Embed Size (px)
Citation preview
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
www.necsia.cl
Ciberseguridad y Transformación Digital
TRANSFORMACIÓN DIGITAL
www.necsia.clMOBILITY
www.necsia.cl
APPWEB DEVELOPMENT
www.necsia.cl
APPWEB DEVELOPMENTwww.necsia.cl
MOBILITYwww.necsia.cl
MOBILITYwww.necsia.cl ©
2
01
7,
N
ec
si
a
IT
C
on
su
lt
in
g.
C
on
fi
de
nt
ia
l
www.necsia.es
DESARROLLO
SEGURO DE SOFTWARE
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
AGENDABARCELONA, 4 DE OCTUBRE 2017
12:00hPRESENTACIÓN
Endika Fuika – Director de Cuentas EstratégicasNecsia Portfolio
12:15hDESARROLLO SEGURO DE SOFTWARE
Rodrigo Jiménez del Val – Responsable de Ciberseguridad de Necsia
12:30hINTRODUCCIÓN
Maurizio Di Stefano, CSSLP® – Fortify Presales ConsultantBrechas de Seguridad en el Desarrollo
13:00hSOFTWARE SECURITY ASSURANCE “DEMO” – Micro Focus Fortify
Solución para el desarrollo seguro de aplicaciones
13:15hCORRELACIÓN DE EVENTOS Y GESTIÓN INTELIGENTE DE LOGS – Micro Focus ArcSight
Jesús Prieto – Presales Manager Security
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
ENDIKA FUIKADIRECTOR CUENTAS ESTRATÉGICAS
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
Cambiandolas reglas del juegoen Ciberseguridady Transformación
Digital
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
5
Nuestra compañía
Q U I É N E S S O M O S
Crecimiento sostenido del 20%durante los últimos cuatroaños.
CAPITAL ESPAÑOL
FUNDADA EN 2005Más de 10 años de solvenciacontrastada en el sector ITespañol. Presencia en cuentasIBEX-35
PROFESIONALESProfesionales contrastados concertificaciones.Personas comprometidas conlos valores de Necsia
100%
2005
300
D Ó N D E E S TA M O S
BARCELONA MADRID
SANTIAGO DE CHILE LIMA CIUDAD DE MÉXICO
I N N O VA C I Ó N
S O C I O S
PEDRO FONTANA
Presidente
MIGUEL PLANAS
Vicepresidenteejecutivo
RAMON PLANAS
DirectorGeneral
3
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
6
Presencia
Barcelona Tech City
San FranciscoPlug and Play Tech Center
N E C S I A M A D R I DGeneral Oraá, 2928027 Madrid - EspañaT +34 914 415 677
N E C S I A B A R C E L O N AWorld Trade Center Moll de Barcelona s/nEdificio Sur, Local 10 – Planta Baja08039 Barcelona T +34 93 252 12 85
N E C S I A S A N T I A G O D E C H I L ECerro El Plomo 5680, 197560742 Las Condes - Santiago de ChileT +56 984 093 378
N E C S I A L I M AEnrique Palacios 420, Of.203 MirafloresT +51 947 478 151
Headquarters Sedes Innovación
4
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
.
Co
nf
id
en
ti
al
N E C S I A C I U D A D D E M É X I C OMéxico D.F.T +5215554061454
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
7
¿Por qué Necsia?
Especialización
PersonalizaciónEquipo con talento
Flexibilidad
Más de 10 años de experiencia
Apoyo de losmejores partners
tecnológicos+10
Innovación
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
lBA N C A y S EG U R O S U T I L I T I E S y A A P P I N D U S T R I A y S E R V I C I O S
Nuestros clientes
Necsia es el tipo de compañía que sabe entender las oportunidades que la
tecnología aporta en cada momento.
- Banco Sabadell -
Necsia demuestra siempre e implicación y profesionalidad,
aportando su experiencia y conocimiento en los proyectos
de la Oficina Técnica de Seguridad.
- Vueling -
Es una empresa próxima y capaz de entender todos
nuestros problemas.
- CIRSA -
Trabajamos con Necsia, entre todos los motivos,
por su flexibilidad.
- Grupo Agbar -
El equipo de Necsia está formado por personas de confianza y
honestidad que transmiten todo su conocimiento y calidad de
servicios en cada uno de nuestros proyectos.
- CaixaBank -
ESPECIALIZACIÓNFLEXIBIL IDAD INNOVACIÓN
6
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
Nuestros servicios
FLEXIBILIDAD | INNOVACIÓN | ESPECIALIZACIÓN
7
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
10
Necsia Cybersecurity Center
ComplianceNecsia
Academy
SecurityInfraestructure
Auditoría
ServiciosEspecializados
HACKING ÉTICO INFRAESTRUCTURAWEB, APPs e IoT
SIEMAPT REDAPT ENDPOINTNG HONEYPOTNG FIREWALLNACMDM
OTSEXPERTOS EN
CIBERSEGURIDAD
PLANOS DE CONCIENCIACIÓNCURSOS ON-LINE
(E-LEARNING)
CURSOS PRESENCIALES APP DE CONCIENCIACIÓN
ProSOC
Managed Detection & Response
MicrosoftSecure Platform
SEGURIDAD LÓGICA(ISO27001, NIST, ENS)
AUDITORIAS(ISO27001, GDPR, PCI-DSS)
GESTIÓN DE RIESGOS Y DE TERCEROS
MSSP
IDENTIDADAPLICACIONES Y DATOS
DISPOSITIVOSINFRAESTRUCTURA
SOC-AS-A-SERVICEACTIVE DEFENSETHREAT INTELLIGENCESIEM-AS-A-SERVICE
DEVICE MANAGEMENTSECURITY TECHNICAL SUPPORTVULNERABILITY ASSESMENT
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
RODRIGO JIMÉNEZ DEL VALCYBERSECURITY MANAGER
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
12
Introducción
Estándares: BSIMM, OPENSAM, OWASP, CWE, CVSS
SSDLCSecure Software Development LifeCycle
¿QUIÉN LO NECESITA?
Organizaciones con:Dependencia del software por parte de negocio.Protección de la información sensible.Obligaciones legales o normativas.
BENEFICIOSDeterminar el nivel de seguridad de las aplicaciones.Proponer acciones mitigadoras.Reducción de costes.Para todo tipo de usuarios.
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
13
Caso de Uso 1 – SSDLC WEB OWASP
Proyecto abierto de Seguridad enAplicaciones Web. Es una comunidadabierta y libre, de nivel mundial enfocadaen mejorara la seguridad en lasaplicaciones de software. De los múltiplesproyectos que abarca Owasp solo sonutilizados en nuestra metodología losrelacionados con el desarrollo y el testing(pruebas)
¿Qué es Owasp?
http://www.owasp.org/index.php/Category:OWASP_Project
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
14
Caso de Uso 1 – SSDLC WEB OWASP
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
15
Caso de Uso 1 – SSDLC WEB OWASP
IMPLANTACIÓNREQUERIMIENTOS DESARROLLO VERIFICACIÓNDISEÑO
•Política Seguridad en el
Desarrollo
•Responsabilidades
•Requerimientos
Seguridad.
•Requerimientos
LOPD / GDPR
•Requerimientos
PCI DSS
•Auditoría y Registros
•Guía Buenas Practicas
Desarrollo seguro
•Formación Desarrolladores
sobre Seguridad.
•Pruebas de Seguridad basadas
en OWASP
•Peetration Test
•Análisis de Código Estático
•Modelo de amenazas
al desarrollo
•Vulnerabilidades
•Controles
•Gestión Configuración
Infraestructura
•Requerimientos de
Sistemas
•Procedimientos gestión
publicación.
•Seguimiento Incidencias
Seguridad.
KISS SSDLC
El único método para evitar la aparición de bugs de seguridad graves en las aplicaciones, es mejorar el Ciclo deVida de Desarrollo del Software (Software Development Life Cycle, o SDLC), incluyendo la seguridad (SSDLC).
La seguridad se aplica a cada una de las fases que conforman el Ciclo de Vida del desarrollo de Software. En laimagen se puede ver las actividades en un modelo de desarrollo tradicional.
PM AF DEV TESTER SIS
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
16
Caso de Uso 2 – SSDLC App OWASP
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
17
Caso de Uso 2 – SSDLC App OWASP
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
18
Caso de Uso 2 – SSDLC App OWASP
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
19
Caso de Uso 2 – SSDLC App OWASP
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
Aviso: Este documento es material confidencial y propiedad de Necsia. Se prohíbe el uso, reproducción o la divulgación del contenido de este
material sin permiso previo y por escrito de la empresa propietaria.
Derechos de Autor© 2017, Necsia IT Consulting. Todos los derechos reservados.
20
©
20
17
,
Ne
cs
ia
I
T
Co
ns
ul
ti
ng
. C
on
fi
de
nt
ia
l
CONTÁCTANOS¿ALGUNA PREGUNTA?
BARCELONA
MADRID
SANTIAGO DE CHILE
LIMA
www.necsia.es
932 521 285
914 415 677
CIUDAD DE MÉXICO
