Conceptos

Prácticas Tradicionales

• Equipo aparte revisa justo antes de salir a producción:
• Arquitectura
• Código
• Resultado:
• Se aplaza la salida a Producción
• Se generan recomendaciones de infraestructura
• Se agregan bugs a la Aplicación
• Se agregan nuevas Historias de Usuario

Herramientas Tradicionales: TLS/SSL - HTTPS

Herramientas Tradicionales: SSH

Herramientas Tradicionales: PGP

Herramientas Tradicionales: VPNs

Prácticas de Seguridad

Campeones de Seguridad

• Personas enfocadas en seguridad
• Conceptos de Protección de Datos
• Tecnologías
• Procedimientos

Arquitectura del Software

• Definir Roles de Negocio y asegurar su creación controlada
• Identificar sistemas externos que requieren proceso de autenticación
• Definir procesos de autenticación
• Definir procesos ubicación de llaves privadas
• Optar por procesos de creación de llaves temporales

Seguridad en Etapa de Desarrollo

• Puma Scan
• Find Security Bugs

Puma Scan

Find Security Bugs

Test Driven Security

Gauntlt

Open Web Application Security Project (OWASP)

• Noticias
• Libros
• Videos
• 100s+ Aplicaciones de Seguridad

ZAP: Zed Attack Proxy(OWASP)

Pipeline de Software

• Realizar chequeos de código
• Debilidades
• Malas Configuraciones
• Vulnerabilidades

Implementar Políticas Similares por Ambiente

• Implementar los mismos mecanismos de acceso en cada Ambiente
• Usuario por persona
• Agupar usuarios por recursos
• Generar llaves temporales

Pipeline de Software

“Thinking of security as code as the only consideration may mean you are oversimplifying. It is certainly one of the big pillars, [but security] is really a complex matter.” —Francois Renaud