Secure software development presentación de servicios

ecure

oftware

evelopment

Introducción

Visión

Secure Software Development

Nuestro equipo

Índice

Antecedentes

Metodología

Necesi

dad

es

Secure Software DevelopmentIntroducción

+ C

on

fian

za

Necesi

dad

es


Actualmente la mayoría de los ataques exitosos

están dirigidos contra las aplicaciones, sin

embargo las organizaciones siguen focalizando

sus esfuerzos y recursos en la protección de la

infraestructura tecnológica.

Esta es la causa principal por la cual las

organizaciones de diversos países, tamaños y

sectores están siendo fácilmente vulneradas por

distintos tipos de cibercriminales.

La mayoría de las veces estos ataques pasan

desapercibidos.

Baufest ofrece un completo portafolio de servicios

y soluciones especializadas en la protección

profesional de aplicaciones.

INFRAESTRUCTURA

ATAQUES EXITOSOS 80%

APLICACIONES


Secure Software

Development

Ob

jetiv

os

Solución

Consultoría

Necesidades


La identificación oportuna, evaluación y gestión de riesgos de seguridad asociados a las aplicaciones de

negocios, redes, dispositivos móviles así como su entorno tecnológico

relacionado; permiten que las empresas puedan hacer frente a las

amenazas emergentes al mismo tiempo que mantienen el

cumplimiento de la normativa aplicable, los requisitos legales y los

estándares de la industria

Somos una unidad especializada en apoyar a empresas que están en el proceso de aseguramiento de su

SDL. Ayudamos a evitar el rediseño y el retrabajo asociado con el diseño

inseguro y los defectos de implementación en código que se descubren, a menudo, demasiado

tarde en el ciclo de vida de desarrollo. De esta manera se evitan potenciales demandas de los clientes, sanciones

legales, multas y pérdidas de reputación.


¿Dónde

estoy?¿Dónde quiero

estar?

Secure Software DevelopmentVisión

Inicial

• Cuestiones de

seguridad abordadas

por aplicación de

parches existentes

• Contratación de

empresas de

consultoría en

seguridad para llevar

a cabo pruebas

mediante Ethical

Hacking o Penetration

Testing.

Repetible

• Análisis de

vulnerabilidades en

aplicaciones de alto

riesgo.

• Estándares de

codificación y

desarrollo seguro

documentados.

• Herramientas de

análisis dinámico y de

código fuente

aprobadas.

Definido

• Proceso de

evaluación de la

vulnerabilidades

definido para todas

las aplicaciones.

• Proceso de análisis de

código fuente de las

aplicaciones críticas.

• Metricas de

vulnerabilidades

utilizadas para la

evaluación de riesgos.

Administrado

• La seguridad es capaz

de medir los avances

en la detección y la

mitigación de las

vulnerabilidades de

forma temprana en el

SDLC.

• Los Riesgos del

software se gestionan

durante el SDLC.

• Ingeniería es capaz

de gestionar los

costos de las

vulnerabilidades

Optimizado

• Nuevas

oportunidades para

mejorar la seguridad

del software con la

adopción de nuevas

herramientas y/o

procesos

identificados durante

el diseño, desarrollo y

pruebas.

• Actividades de

seguridad ineficientes

son identificadas y

reemplazadas de

manera dinámica.

¿Dónde

estoy?¿Dónde quiero

estar?


Procesos

Herr

am

ien

tas

Pers

on

as


¿Qué enfoques de desarrollo se han

establecido para crear aplicaciones más

seguras?

¿Nuestras aplicaciones tienen alguna

restricción de nivel cumplimiento o están

alcanzadas por alguna directiva o normativa?

¿Contamos con métricas que nos permitan

evaluar el actual costo de remediación de las

fallas en el desarrollo?

¿Cómo es que el riesgo de software en los

dispositivos móviles funciona distinto que en

el software empresarial?

¿Cómo es que estas aplicaciones interactúan

con nuestros servidores internos?

¿Tenemos establecida la habilidad interna

para gestionar ese riesgo?

¿Mis desarrolladores tienen más o menos

probabilidades de entender los conceptos

de seguridad que otros desarrolladores?

¿Estamos seguros de que la información

confidencial no se quedará en un

dispositivo después de que una sesión

haya terminado?

¿actualmente cual es el real ROI/TCO que

tengo en seguridad en desarrollo? ¿Debería

invertir mas en Herramientas, Consultoría o

en mejorar y ampliar mi equipo?

¿Mi equipo de desarrollo esta preparado para

hacer frente a todo lo nuevo que demanada

el negocio como: entornos híbridos, Cloud,

IoT, Mobile, o Cosumerization?


Ninguna iniciativa de

Seguridad en

desarrollo de software

es igual.

Nuestro equipo de

expertos tienen una

amplia experiencia

trabajando con clientes

de todos los tamaños e

industrias.

Ayudamos a las

empresas a construir

una iniciativa de

seguridad en desarrollo

de software que se

adapte a sus procesos,

su gestión de riesgo y

su estructura

organizacional.



Staff

AugmentationThreat Modeling

SDL

Transformation

Security Design

and ArchitectureSDL Tools

Integration

Secure

Development

Training

Secure Software DevelopmentModelado de amenazas es el proceso estructurado por el que llegamos a identificar, clasificar y documentar los riesgos a nivel de aplicación.

El proceso de securización de aplicaciones comienza con entender las amenazas de seguridad que enfrentan y por lo tanto, la generación de un documento de modelado de amenazas es una de las piedras angulares de un ciclo de vida de desarrollo seguro (SDL).

EL Modelado de amenazas se realiza mejor utilizando un enfoque iterativo. La mayoría de la información se reúne y discute durante sesiones de trabajo de modelo de amenaza programadas y celebradas con miembros de los equipos de desarrollo de aplicaciones tales como gerentes, arquitectos, desarrolladores y seguridad.

El proceso de modelado de amenazas se realiza en las siguientes fases:

• Recopilación de información y planificación

• Descomposición de aplicaciones

• Análisis de Amenazas de aplicaciones

• Identificación de contramedidas y medición de riesgos

• Informes y Comunicación

Threat

Modeling

Secure Software DevelopmentPara que una aplicación sea segura, debe ser diseñada con la seguridad como una consideración primordial. La identificación y gestión de los posibles riesgos de seguridad en una aplicación de gran tamaño es una tarea compleja. Los Profesionales de BAUFEST han realizado el diseño y la arquitectura de seguridad para varias aplicaciones críticas y pueden proporcionarle una orientación basada en la experiencia.

Es importante realizar revisiones al diseño y la arquitectura de una aplicación a intervalos definidos con regularidad. Estas revisiones pueden ser desencadenadas por la adición de nuevas características, el descubrimiento de nuevas amenazas, o durante la fase de diseño de una nueva versión de la aplicación.

La mayoría de la información básica necesaria para realizar estas actividades procede de artefactos recogidos o creados durante el último modelo de amenazas.

El proceso de Diseño y Arquitectura de Seguridad se realiza en las siguientes fases:

• Verificación de Información

• Análisis de requisitos de seguridad de la aplicación

• Análisis de Implementación, Red y Infraestructura

• Análisis de los componentes de la aplicación

• Informes y Comunicación

Security

Design and

Architecture

Secure Software DevelopmentLa implementación de un ciclo de vida de desarrollo seguro (SDL) es una tarea compleja y una difícil transformación para cualquier organización. BAUFEST cuenta con experiencia tanto en el desarrollo y la implementación de un nuevo SDL donde éste no existe, así como en la gestión de planes existentes mediante asesoramiento y consultoría para la mejora de las prácticas que ya se encuentran en funcionamiento.

Gestión de proyectos de SDL

Baufest cuenta con profesionales de la seguridad de la información con experiencia en gestión de proyectos y con amplia familiaridad con la gestión del diseño, la integración de procesos y las tecnologías necesarias para llevar adelante su plan de SDL.

Proceso de Revisión de Seguridad del SDLC

El primer paso en la implementación de un ciclo de vida de desarrollo seguro (SDL) implica obtener una comprensión de la situación actual de una organización, la determinación del nivel de madurez de la seguridad en las diferentes etapas del ciclo de desarrollo. Con esta información podemos comparar y contrastar a la organización en relación con otras en la industria, segmento y/o región.

Revisión de Madurez

Utilizando modelos líderes en la industria, tales como OpenSAMM y BSIMM Baufest proporcionará un análisis de la madurez actual de la organización en seguridad durante el desarrollo.

Desarrollo de Hoja de Ruta

Sobre la base de una revisión de madurez, Baufest puede ayudar en el desarrollo del plan estratégico de la organización para la mejora del plan de SDL de su organización.

SDL

Transformation


¿Siente que no esta recibiendo el máximo beneficio en la utilización de herramientas de Análisis Estático o Análisis Dinámico?

Baufest posee una amplia experiencia en una gran variedad de soluciones de seguridad en SDL, y puede ayudar a su organización para que pueda aprovechar al máximo los beneficios de su inversión.

La integración de cualquier solución de desarrollo seguro en sus procesos y prácticas de negocio existentes puede ser difícil. Baufest ofrece un enfoque flexible, para ayudar a las organizaciones en la toma decisiones y para que la mayor parte de su inversión se manifieste en una automatización efectiva.

• Análisis Estático

• Despliegue de Software de seguridad

• Planificación / Implementación

• Personalización

• Análisis Dinámico

• Despliegue de Software de seguridad

• Implementación de escaneo de aplicaciones automatizado

SDL Tools

Integration

Secure Software DevelopmentLos equipos de desarrollo rara vez cuentan con los recursos necesarios y los conocimientos internos de seguridad para lograr implementaciones que sean seguras de manera constante y consistente.

Baufest puede ayudar a elevar el nivel de concientización sobre seguridad dentro de un equipo de desarrollo mediante la prestación de transferencia de conocimiento a demanda, asistencia en pruebas y consultoría SDL. Los expertos en la materia de Baufest pueden abordar de inmediato las preguntas, inquietudes y formular recomendaciones relacionadas con la seguridad de software y ayudar a conseguir código seguro.

Baufest puede proporcionar experiencia en seguridad adicional en el tema en que una organización no tiene la experiencia interna, o donde la experiencia interna no se encuentra disponible.

Baufest también puede proporcionar asistencia en Testeos de seguridad, tales como la realización de pruebas de penetración ad-hoc o revisión de código fuente, como parte de un proceso de desarrollo.

Staff

Augmentation


¿Cuentan sus desarrolladores con el conocimientos y las herramientas para construir aplicaciones suficientemente seguras?

Escribir código seguro requiere la comprensión de los fundamentos del desarrollo seguro - las técnicas y los procesos que conducen a la generación consistente y repetible de código seguro y robusto.

Baufest ofrece cursos de formación de seguridad avanzados; diseñados para enseñar técnicas para probar la seguridad de aplicaciones y la creación de aplicaciones seguras.

Las clases cubren los fundamentos de seguridad de aplicaciones y las trampas mas comunes de seguridad desarrollo.

Todos los cursos de formación de Baufest incluyen demostraciones en vivo, ejemplos interactivos y tests para reforzar los conceptos aprendidos durante la clase.

Secure

Development

Training

Usted ha asegurado su

perímetro, configuró la

detección de intrusos, y

aumentó la vigilancia. Sin

embargo, sus aplicaciones,

incluso aquellas que están en

sus propios servidores,

todavía pueden proporcionar

a los hackers una ruta a sus

datos u otra información

sensible.

Además del análisis estático

y dinámico de las

aplicaciones web o móviles,

los servicios de evaluación

de seguridad de aplicaciones

de Baufest hacen que sus

servidores de aplicaciones y

APIs estén igualmente

protegidos, proporcionando a

su organización una solución

de testeo única para todas las

aplicaciones.


Pruebas de Seguridad de Aplicación

Las pruebas de Seguridad de Aplicación combinan el acercamiento de seguridad técnica manual y automatizada para identificar

todas las vulnerabilidades comunes indicadas por el standard OWASP Top Ten 2013, WASC Threat Classification 2.0, SANS/CWE

Top 25, así como otros marcos de trabajo líderes de la industria.

La oferta de servicios de evaluación en seguridad de aplicación cubre aplicaciones web y servicios web.

•Perfilado del tipo

de aplicación

web.

Fase 1

•Exploración

automatizada de

seguridad de la

aplicación.

Fase 2•Determinación de

vulnerabilidades

de aplicación.

Fase 3

•Explotación de

vulnerabilidades

de aplicación.

Fase 4• Elaboración y

presentación de

informe de

resultados.

Fase 5

•Consultoría de

remediación y re-

evaluación.

Fase 6


Perfilado del tipo de aplicación web.

• El perfilado de la aplicación objetivo se realiza identificando puntos de entrada del usuario, entendiendo los mecanismos de seguridad centrales

empleados por la aplicación, interfaces a aplicaciones internas o externas, identificando roles con varios niveles de confianza y determinando el camino del

flujo de datos con indicios en límites de privilegios.

Exploración automatizada de seguridad de la aplicación.

• Exploradores de vulnerabilidades de aplicación automatizados (ya sean comerciales o de código abierto) son utilizados para sondear vulnerabilidades

específicas de aplicación cubriendo todas las referencias de OWASP, WASC y SANS.

Determinación de vulnerabilidades de aplicación.

• Esta fase involucra un acercamiento híbrido completo para identificar vulnerabilidades de seguridad de aplicaciones web con herramientas y scripts

automatizados junto con evaluación manual para eliminar falsos positivos o negativos. La evaluación manual utiliza varias bases de datos de

vulnerabilidades para identificar aquellas que puedan haberse filtrado durante la exploración manual, además de la verificación de seguridad para fallas en

la lógica del negocio, controles de acceso rotos y demás.

Explotación de vulnerabilidades de aplicación. – SOLO EN PROYECTOS DE PRUEBAS DE PENETRACIÓN –

• El foco primario en esta fase está en el uso de técnicas manuales de testeos de seguridad para explotar los sistemas que incluyan varias vulnerabilidades

para ponderar las medidas de endurecimiento de la aplicación, problemas de criptografía, controles de autenticación y autorización, módulo de

administración de sesión, fallas en la lógica de negocio y varias mediciones de validación. En escenarios de ataques para ambientes de producción se

usarán una combinación de cargas de vulnerabilidades en estricta concordancia con las reglas del compromiso acordado.

Elaboración y presentación de informe de resultados.

• Todas las vulnerabilidades de seguridad identificadas y validadas como explotables en la aplicación objetivo son registradas con una puntuación basada en

CVSS v2 y son reportadas al cliente. La vulnerabilidad de seguridad identificada es evaluada exhaustivamente y reportada junto con una apropiada

recomendación o medidas de mitigación.

Consultoría de remediación y re-evaluación.

• La consultoría de remediación engloba asistir al equipo del cliente en los pasos necesarios para remediar todas las vulnerabilidades de seguridad en

aplicación reportadas. Posteriormente a la remediación, una re-evaluación será conducida para validar la efectividad de las contramedidas de seguridad de

la aplicación usadas para mitigar la vulnerabilidad de seguridad reportada.


Pruebas de Seguridad de Aplicaciones Móviles

Las pruebas de Seguridad de Aplicación combinan el acercamiento de seguridad técnica manual y automatizada para identificar

todas las vulnerabilidades comunes indicadas por el standard OWASP Top Ten Mobile Security Risks 2013, así como otros marcos

de trabajo líderes de la industria.

La oferta de servicio de evaluación en seguridad de aplicación nativa móvil cubre aplicaciones instalables en varias plataformas

móviles tales como Android, iOS, o Windows Mobile.

•Perfilado de la

aplicación móvil

Fase 1

•Exploración

automatizada de

seguridad de

aplicación.

Fase 2•Determinación de

vulnerabilidades

de la aplicación

móvil.

Fase 3

•Explotación de

vulnerabilidades

de la aplicación

móvil

Fase 4•Elaboración y

presentación de

informe de

resultados.

Fase 5

•Consultoría de

remediación y re-

evaluación.

Fase 6


Perfilado de la aplicación móvil

• El perfilado de la aplicación nativa objetivo se realiza identificando puntos de entrada del usuario, entendiendo los mecanismos de seguridad centrales

empleados por la aplicación.

Exploración automatizada de seguridad de aplicación.

• Exploradores de vulnerabilidades de aplicación móvil automatizados (ya sean comerciales o de código abierto) son usados para sondear vulnerabilidades

específicas de aplicación nativa cubriendo todas las referencias de OWASP y SANS.

Determinación de vulnerabilidades de la aplicación móvil.

• Esta fase involucra un acercamiento hibrido completo para identificar vulnerabilidades de seguridad de aplicaciones nativas móviles con herramientas y

scripts automatizados junto con evaluación manual para eliminar falsos positivos o negativos. La evaluación manual cubre un amplio rango de chequeos

de seguridad en el paquete de instalación, archivos en el sistema de archivos local, permisos de archivo inseguros, restricciones de autenticación y

autorización en aplicación nativa, fallas en la lógica del negocio, inyecciones del lado del cliente, validación del lado del servidor de datos ingresados en

aplicación nativa, reproducir vulnerabilidades de ataque, transferencia segura de información sensitiva y métodos de administración de sesión y manejo de

errores.

Explotación de vulnerabilidades de la aplicación móvil – SOLO EN PROYECTOS DE PRUEBAS DE PENETRACIÓN –

• El foco primario en esta fase está en el uso de técnicas manuales de testeos de seguridad para explotar la aplicación nativa móvil en la plataforma

respectiva que incluya varias vulnerabilidades para ponderar las medidas de endurecimiento de la aplicación nativa móvil, fallas en la lógica de negocio y

varias mediciones de validación, agregado a la lista de vulnerabilidades de seguridad determinadas en la etapa anterior.

Elaboración y presentación de informe de resultados.

• Todas las vulnerabilidades de seguridad explotables en la aplicación nativa móvil objetivo son evaluadas exhaustivamente, registradas con clasificaciones

de riesgos asociadas y son reportadas al cliente con una apropiada recomendación o medidas de mitigación.

Consultoría de remediación y re-evaluación.

• La consultoría de remediación engloba asistir al equipo del cliente en los pasos necesarios para remediar todas las vulnerabilidades de seguridad en la

aplicación nativa móvil reportadas. Posteriormente a la remediación, una re-evaluación será conducida para validar la efectividad de las contramedidas de

seguridad de la aplicación móvil usadas para mitigar la vulnerabilidad de seguridad reportada.


Secure Software DevelopmentSoftware Security Assurance Fast Track


Entendiendo la dinámica y las

actuales necesidades de las

empresas de contar con

servicios de forma rápida y

que logren adaptarse de

forma transparente a sus

procesos y proyectos.

Baufest desarrollo tres

servicio en modalidad Fast

Track.

Estos servicios facilitan a los

clientes a elegir que contratar

en base a sus necesidades

actuales y su nivel de

madurez en los aspectos de

seguridad sobre su ciclo de

vida del desarrollo de

software.

Software Security Assurance Fast Track


Security & Risk 360

Software Security

Assessment

Built-in Software

Security

SDLC

Security & Risk 360

• Nos aseguramos que cada proyecto cumpla con los estándares de la industria en materia de seguridad en desarrollo.

• Nuestro equipo de especialistas colabora con el área de Desarrollo en todas las actividades de Seguridad.

Built-in Software Security

• Analizamos el estado de madurez en materia de seguridad y diseñamos un plan de acción para mejorarlo.

Software Security Assessment


Security & Risk 360

Software Security

Assessment

Built-in Software

Security

SDLC

Security & Risk 360

• Cuando los proyectos de su compañía requieren cumplir con estándares de seguridad, ya sea por normativa, compliance, criticidad de la información, Baufest asegura desde el primer minuto del proyecto y hasta su implementación en producción, que se cumplan todos los estándares de la industria en materia de seguridad en desarrollo. Con una visión de 360°, cubriendo todo el ciclo de vida del proyecto.

• A partir de un análisis del estado actual de madurez en materia de seguridad en desarrollo (As-Is), ayudamos a su empresa a entender cuáles son los estándares de la industria adecuados para el área IT, qué herramientas son las mejores y definimos el roadmap necesario para alcanzar el nivel de madurez ideal. Nuestras capacitaciones y esquemas de acompañamiento le permitirán llegar a la meta deseada (To-Be).

Built-in Software Security

• Nuestro equipo de especialistas certificados trabaja en coordinación con todo el área de IT de su empresa para asegurar todos los aspectos en materia de seguridad en Desarrollo, de forma de cumplir con los estándares definidos por la compañía.

Software Security Assessment

Scrum PlanningPoker Modelado de

Amenazas con Cartas

Secure Software DevelopmentMetodología

Definir la Arquitectura del Software

- User Stories- Diagramas UML

Generar el código de la aplicación

- Hacerlo para que pase las pruebas definidas

Adaptar el Modelo de Amenazas

- Análisis de Riesgo

Test-Driven DevelopmentTDD

- Escribir las pruebas de seguridad primero

Identificar y Mitigar las Amenazas

- Juegos Elevation of

Privilege y Cornucopia

Crear Casos de Prueba de seguridad y las Historias

de Abuso

El Modelado de Amenazas es Agile de manera nativa…

Secure Software DevelopmentMetodología


Sprint 1 Sprint … nSprint 2 Goal

Metodología


Daily Scrum

Security

ProductBacklog

SprintPlanning

SprintBacklog

PotentiallyShippable

Increment

Sprint

Review &

Retro

Security

Sprint

Metodología


Discutir los riesgos de seguridad activos.

Replanificar las tareas de seguridad.Daily Scrum

Actualizar el/los Modelos de Amenazas (on-going).

Codificación Segura (e.g. Assertions).

Pair programming con un especialista de seguridad.

Revisiones de código basadas en riesgo.

Pruebas de seguridad (incluyendo regresión).

Integración y despliegues contínuos validados como seguros.

Sprint

Metodología

Nuestro equipoSecure Software Development

Nuestro responsable de la Práctica

Posee una amplia y variada experiencia en diferentes mercados y posiciones, siempre ligado a las tecnologías

informáticas y comunicaciones. Su experiencia en IT y seguridad informática esta validada por su certificaciones

de Auditor Líder ISO 27001, MSCE + Security, ITIL, Auditor interno ISO 9001:2008, Certified Integrator in Secure

Cloud Services, Cloud Computing Foundation, BIGGER IS BETTER - BIG DATA - CLOUD UNIVERTY, CLODU - CLOUD

UNIVERSITY. Participó y lideró proyectos complejos en grandes empresas.

Especialidades:

Sólidos conocimientos y experiencia en proyectos relacionados con la implementación y mejora de un

sistemas de gestión de la calidad y de seguridad de la información.

Conocimientos:

ISO/IEC 27001, ISO/IEC 27002, 31000, 22301, 9001 Auditoría de Seguridad, COBIT, ITIL v3, SOX, PCI, BCRA.

LUCIANO MOREIRA DA CRUZ

Algunos de nuestros Technical leaders

• ISC2 CISSP

• ISACA CISA

• IRCA Certified Lead Auditor

ISO/IEC 27001

• MCSA Office 365

• Microsoft Specialist: Server

Virtualization 2012

• MCSA Windows Server 2008

• MCITP Virtualization

Administrator 2008R2

• MCITP Enterprise

Administrator 2008

• MCSE + Security 2003

LEONARDO ROSSO

• Certified Information System

Auditor (CISA)

• Lead Auditor ISO 25999-2

• Fundation ITIL v.3

• ISO 20000

• Curso Seguridad Informática

– Aplicación de LOPD

• La Seguridad en los Sistemas

de Información e Internet

(LOPD)

MARCELA MEYORÍN

• IRCA Certified Lead Auditor

ISO/IEC 27001

• VMware vSphere 5: Optimize

& Scale

• VMware Certified

Professional 5 - Data Center

Virtualization (VCP5-DCV)

• Microsoft Windows Server

2012

• MCTS Windows server 2008

• Red Hat Certified System

Administrator (RHCSA)

• CCNA

HECTOR MARTINOTI

• MCSE Communication

• MCSE Private Cloud

• MCSE Server Infrastructure

• MCSA Office 365

• MCTS Administering Office

365 for Small Business

• MCTS Implementing

Microsoft Azure

Infrastructure

• MCTS Server Virtualization

with Windows Server

CHRISTIAN IBIRI

Secure Software DevelopmentAntecedentes

SDL Transformation, Secure Development Training

• Análisis de madurez de la práctica de seguridad en

desarrollo e implementación del Framework de

Seguridad para el Desarrollo Seguro (OpenSAMM)

• Definición, desarrollo e implementación de las

actividades necesarias para seguridad en

desarrollo en el marco metodológico interno.

• Elaboración de políticas, estándares y lineamientos

de desarrollo seguro para diferentes plataformas y

proyectos.

• Elaboración de material de concientización y

capacitación para modalidad presencial /

eLearning sobre seguridad en desarrollo para

Tenaris University

• Definición de métricas y modelo de análisis de

riesgo para el desarrollo de nuevas aplicaciones.

Tenaris

SDL Transformation, Security Design and Architecture, Threat Modeling

• Definición, desarrollo e implementación de las actividades

necesarias para garantizar la seguridad en el desarrollo en el marco

de un proyecto específico.

• Diseño y despliegue de un ambiente de desarrollo seguro

virtualizado y aislado de otros proyectos con acceso limitado al

equipo de desarrollo.

• Diseño de la arquitectura de seguridad del producto y los controles

específicos a implementar para resolver cada requerimiento.

• Facilitación de actividades de modelado de amenazas mediante la

técnica de naipes con Microsoft Elevation of Privilege y OWASP

Cornucopia.

Fundación Sadosky

Security Assessments, SDL Transformation

Luego de un incidente de seguridad en su antigua

aplicación core, Giftcard contactó a Baufest solicitando

una evaluación de seguridad para comprobar el estado

del sistema existente y con eso lograr mitigar riegos en el

sistema nuevo a ser desplegado

• Evaluación de los distintos componentes del sistema

(procesos, personas, aplicaciones).

• Elaboración de recomendaciones para el nuevo

sistema.

• Planificación e implementación de un proyecto de

hardening de plataforma y aplicación.

• Asesoramiento respecto de buenas prácticas para el

despliegue de aplicaciones.

Oh! Gift Card

Security Assessments

Evaluación de seguridad sobre infraestructura

Cloud

• Evaluación de una aplicación desplegada

sobre Microsoft Azure.

• Asesoramiento respecto de buenas prácticas

para el desarrollo de aplicaciones.

DON MARIO

Desde 1991, brindamos servicios de Software & IT para grandes empresas

Oficinas en Argentina, Chile, México, España y USA

+1.000 proyectos en 50 países de América, Europa, Asia y África

+350 personas, +310 dedicadas a servicios e IT

Antigüedad top customers: entre 18 y 5 años

+95% índice de satisfacción de clientes

Desde 2008, entre las mejores empresas para trabajar en la Argentina

ISO 9001 en Gestión de Servicios de Software

Calificación Investment Grade otorgada por Standard & Poor’s

+23 años de innovación

http://www.google.com/url?sa=i&source=images&cd=&cad=rja&docid=xuVlC8MW8HKRiM&tbnid=AJCOmhVF4JR62M:&ved=0CAgQjRwwADgO&url=http://logonoid.com/standard-and-poors-logo/&ei=03zlUYeaH7DWigLk-4D4Cw&psig=AFQjCNF8grJZwdJMhGF0JDjsDrVhMI-fiA&ust=1374080595549926

http://www.google.com/url?sa=i&source=images&cd=&cad=rja&docid=xuVlC8MW8HKRiM&tbnid=AJCOmhVF4JR62M:&ved=0CAgQjRwwADgO&url=http://logonoid.com/standard-and-poors-logo/&ei=03zlUYeaH7DWigLk-4D4Cw&psig=AFQjCNF8grJZwdJMhGF0JDjsDrVhMI-fiA&ust=1374080595549926

Argentina

Buenos AiresTel.: +54 (11) 4118-8080Fax: +54 (11) 4118-8080Roosevelt 1655C1428BNC, Buenos AiresArgentina

Santa FeTel.: +54 (342) 412-0368San Jerónimo 1838S3000FPP, Santa FeArgentina

Spain

Tel.: +34 91 745-2763Fax: +34 91 561-5626c/ Francisco Giralte, 228002, MadridSpain

Mexico

Tel.: +52 (55) 5531-8878Fax: +52 (55) 5531-8878Avda. Ejército Nacional 678,Col. Polanco Reforma, Distrito Federal C.P. 11550 México D.F.

USA

Tel +1 (617) 275-24201 Broadway 14th floorCambridge, MA 02142USA

¡Muchas Gracias!

Luciano MoreiraIT & Security [email protected]

ChileTel.: +56 (2) 2840-9977General del Canto 526,7500652, Providencia, Santiago de Chile

https://twitter.com/Baufest

https://twitter.com/Baufest

http://www.linkedin.com/company/baufest

http://www.linkedin.com/company/baufest

http://www.youtube.com/user/BaufestChannel

http://www.youtube.com/user/BaufestChannel

http://www.baufest.com/index.php/es/acerca-de-baufest/contactenos

http://www.baufest.com/index.php/es/acerca-de-baufest/contactenos

Secure software development presentación de servicios

Technology

Transcript of Secure software development presentación de servicios