“Application Security” con Microsoft SDL

El otro día estaba en una entrevista de trabajo en el que me preguntaban si tenía experiencia en metodologías de desarrollo seguro de software. Tras salir de allí pensé que nunca había escrito por aquí sobre ese tema y es algo que me costó encontrar cuando me quise enfrentar al reto de asimilarlo. Es por eso que os traigo la primera de varias entradas, ¡espero que os gusten!

Cuando trabajas como responsable de seguridad, participar en los procesos de desarrollo de software es una de las tareas en las que tienes que dar lo máximo.

Como es lógico, las aplicaciones estarán expuestas a todo tipo de usuario. Puede que sean para uso interno (limitando un poco la exposición) o pueden estar abiertas al mundo, pero siempre serán un objetivo para los fallos “espontáneos” o “buscados” de seguridad.

En la forma de trabajo que hemos tenido hasta “hace cuatro días”, se desarrollaba siguiendo un modelo Waterfall, el que se daba (se sigue dando?) en la Universidad en la que todo tenía una secuencia inalterable basada en:

  • Toma de requisitos
  • Diseño
  • Desarrollo
  • Pruebas
  • Mantenimiento (tras lanzamiento)

Todo muy encorsetado, siendo complicado arreglar ciertos problemas o añadir nuevos requisitos sobre la marcha. Es cierto que se logra una mejora al añadir la implementación de prototipos, lo que podría verse como un leve precursor del modelo agile.

En cualquier caso, utilizar este modelo ha llevado en muchas ocasiones a algo parecido al extreme programming donde se termina por lanzar a la papelera el diseño y los requisitos para realizar desarrollos inmersos en un éxtasis de locura, infinidad de horas y mucho café.

El problema de este tipo de forma de trabajar es que da lugar a todo tipo de fallos de seguridad, sobre todo en viejos modelos de pruebas de seguridad “binarios”, lo que se traduce en “si da tiempo hago alguna prueba y si no…, pues no”.

Como podrás entender, en un mundo en el que cada vez hay más tecnología, en el que todo está conectado y en el que los problemas de seguridad pueden arruinar literalmente negocios y grandes empresas, esa forma de desarrollar ya no es viable.

Microsoft y la seguridad

La multinacional de Redmond archiconocida por el sistema operativo Windows, desde hace años colabora de forma sistemática con gobiernos y organizaciones en la búsqueda de las mejores prácticas en materia de ciberseguridad.

Una muestra de esto es su definición del ciclo de vida de desarrollo seguro, más conocido como Microsoft SDL, que se estableció internamente para todos los desarrollos desde el año 2.004.

Como ejemplo, podemos ver cómo los productos Microsoft han mejorado sustancialmente con respecto a los fallos graves de seguridad detectados antes y después de la puesta en práctica del modelo.

Figura 1 – Boletines de seguridad importantes y críticos de Windows antes y después del SDL

Figura 2 – Boletines de seguridad de SQL Server 2000 antes y después del SDL

Figura 3 – Boletines de seguridad para Exchange Server 2000 antes y después del SDL

Introducción a Microsoft SDL

La metodología que nos presenta Microsoft SDL se basa en tres conceptos principales que tendremos que tener siempre en cuenta:

Formación: todos los roles tanto técnicos como de gestión dentro de un proyecto deben estar debidamente formados en seguridad. Puesto que cada día aparecen nuevas vulnerabilidades y nuevos ataques, la formación debe ser continua en el tiempo y de la mejor calidad posible.

Mejora continua: es importante comprender la causa y el efecto de cada vulnerabilidad para evaluar de forma periódica todos los procesos, así podremos implementar los cambios que sean necesarios.

Responsabilidad: será muy importante archivar toda la información necesaria para realizar el mantenimiento de una aplicación cuando aparezcan los problemas. Tener un plan de detección y respuesta ante incidentes de seguridad nos permitirá poner en movimiento a todas las partes implicadas en el mismo.

Es por eso que el modelo de Microsoft SDL se estructura en cinco áreas de capacidades alineadas con las fases clásicas de desarrollo de software:

  • Formación, directivas y capacidades organizativas
  • Requisitos y diseño
  • Implementación
  • Comprobación
  • Lanzamiento y respuesta

Con el paso del tiempo y la creciente utilización de metodologías ágiles, Microsoft ha implementado una versión especial del SDL para este tipo de forma de desarrollar. Dicho modelo lo iremos viendo en las próximas entradas.

¿Te lo vas a perder?

gdpr

Preparados… listos… GDPR! (for dummies)

A pocos meses de que GDPR o “General Data Protection Regulation” arranque de forma oficial, la cruda realidad es que una gran cantidad de empresas todavía no están preparadas o (lo que es peor) desconocen aquello en lo que les afecta.

Y no, aquí no hablamos de algo que se pueda ignorar hasta que venga una multa para empezar a mirarlo, las leyes de protección de datos se han hecho mayores y vienen con mucha fuerza… dispuestas a dar guerra. ¿De verdad piensas que no hay que tomarlas en serio?

A lo largo de este artículo, de forma sencilla, voy a tratar de explicarte lo más importante que debes saber sobre la nueva GDPR, ¿estás listo?

Un poco (muy poco) de historia

Nada menos que cuatro años ha durado la preparación de esta ley que fue aprobada por el Parlamento Europeo el 14 de Abril del 2.016. La fecha oficial de entrada en vigor (esto márcalo en el calendario con rojo) es el 25 de Mayo del 2.018. A partir de esa fecha, aquellas organizaciones que no cumplan con sus requisitos se podrán enfrentar a elevadas multas que se definen como un 4% de la facturación con un máximo de 20 millones.

De forma muy resumida, podemos decir que el (en Español) Reglamento General de Protección de Datos se ha diseñado para unir las características de las diferentes leyes de protección de datos existentes en Europa. El claro objetivo es proteger la privacidad de todos los ciudadanos de la Unión Europea con el mismo nivel de detalle.

De forma muy sencilla, ¿en qué consiste GDPR?

Aunque el texto es largo y complejo, no debes tener miedo o pensar en GDPR como un ogro que viene a poner multas sin más. Al contrario, es una gran oportunidad para concienciar e involucrar a todas las partes de la empresa en una cultura de seguridad que tanta falta hace tanto ahora como (mucho más) en el futuro cercano.

Podemos reducir todo a cuatro sencillas reglas:

1 – La información:

Conoce de forma clara la información que almacenas y el motivo por el que lo haces. También será necesaria la existencia de un responsable de dicha información y unos métodos claros y seguros de almacenamiento.

Se acabó almacenar datos personales que no necesitamos por si en un futuro me hacen falta. Se acabó no saber dónde los tengo o si se cifran de alguna forma. Ahora las respuestas a todo esto deben ser dadas de forma clara por el responsable de la información.

2 – El cifrado:

Cifra, cifra y cifra (es un tema personal, encriptar no me gusta). A estas alturas no nos podemos permitir almacenar información sensible si no está cifrada. No cometas ese error y cifra todo aquello que no quieras que se sepa en el caso de que una hipotética fuga de información ocurra en tu empresa.

3 – La cultura de seguridad:

La seguridad no es algo que se aplica al final de los procesos como una capa de pintura. GDPR nos pide a gritos que se establezca de forma general una cultura de seguridad en todos los niveles de las organizaciones.

Sólo si vamos de la mano con los procesos, procedimientos y controles de seguridad podremos avanzar como compañía en un mundo (cada vez más) lleno de amenazas digitales.

4 – Los incidentes:

Prepárate para caer, te van a atacar, te van a entrar y se va a saber. Olvídate de las multas, puede que la multa sea calderilla frente al destrozo en imagen que te puede hacer una intrusión. ¿Recuerdas el caso de Yahoo con su venta a Horizon en la que el precio de compra bajó 350 millones tras una gran fuga de información? No hace falta que explique qué duele más, si 350 millones de pérdida o 20 millones de multa, ¿verdad?

Además, el nuevo reglamento te va a obligar a comunicar el incidente en un máximo de 72 horas así que se va a saber sí o sí.

Aprovecha la oportunidad y prepara un plan de contingencia y continuidad de negocio. Emplea tus recursos no sólo en prevenir, también en detectar y en corregir.

¿Y al usuario cómo le afecta esto?

Aunque no lo va a notar de forma agresiva, va a notar ligeros cambios destinados a ofrecerle:

  • El derecho a la información y la transparencia.
  • El derecho de acceso y rectificación.
  • El derecho a borrar (‘derecho al olvido’).
  • El derecho a restringir el procesamiento.
  • El derecho a la portabilidad de datos.
  • El derecho a oponerse.

¿Más o menos claro?

Por supuesto, si quieres más detalle, puedes acceder al portal oficial y a cientos de recursos sobre el tema en internet.

Espero haberte ayudado a comprender mejor este gran cambio. Recuerda que, si tienes alguna duda, puedes dejar un comentario y te responderé lo mejor que pueda.

Saludos!

IDGSecurity

SecurityInside Live: IDGSecurity 2018

El proceso de transformación digital que están abordando las empresas y la sociedad, de forma generalizada, obliga a operar en un entorno diferente y, aunque es cierta la gran oportunidad que se abre tanto en el mundo de los negocios como en la sociedad, hay que ser conscientes de los riesgos. La Ciberseguridad se ha posicionado como el eje de cualquier proyecto de transformación y en la mayor preocupación tanto de CEO, como de CIO y CISO. Ya no se trata solo de proteger sino de ser proactivos y ser capaces de detectar y responder a los ataques de la forma más inmediata posible.

Leer más

SecurityInside Live: CyberCamp 2017

CyberCamp es el gran evento de ciberseguridad que INCIBE organiza anualmente con el objetivo de identificar, atraer, gestionar y en definitiva, ayudar a la generación de talento en ciberseguridad que sea trasladable al sector privado, en sintonía con sus demandas. Esta iniciativa es uno de los cometidos que el Plan de Confianza en el ámbito Digital, englobado dentro de la Agenda Digital de España, encomienda a INCIBE.

CyberCamp 2017 se celebra en el Palacio de Exposiciones y Congresos de Santander, del 30 de noviembre al 3 de diciembre de 2017. El principal objetivo de CyberCamp es identificar, atraer e impulsar a todos aquellos que tengan talento en materia de ciberseguridad:

  • Identificar trayectorias profesionales de los jóvenes talentos.
  • Llegar a las familias, a través de actividades técnicas, de concienciación y difusión de la ciberseguridad para todos.
  • Despertar e impulsar el talento en ciberseguridad mediante talleres y retos técnicos.

Si no puedes asistir, no te preocupes ya que emiten los Talleres y Conferencias en directo a través de videostreaming:

 

Leer más

Sueño cumplido, profesor en Máster de Seguridad

Corría el año 2.007 cuando participé como ponente en el evento CodeCamp de Microsoft como reciente ganador del premio Imagine Cup (también de la compañía de Bill Gates). Allí tuve el placer de asistir a una charla de un chaval con gorro a rayas que salió disfrazado de rock star (con la guitarra de Guitar Hero) y que encendió mi curiosidad por la Seguridad de la Información.

Sí, era Chema Alonso antes de ser estrella del rock

Desde ese momento empecé a leer blogs, a practicar cosillas por mi cuenta y a buscar la forma en la que poder formarme o incluso orientar mi vida laboral hacia ese mundo tan interesante que me habían mostrado.

Finalmente me decidí por realizar un Máster de Seguridad con el que me metí de lleno en ese campo, lo que me abrió las puertas a poder trabajar en el sector para ir creciendo y aprendiendo hasta llegar a ser el Responsable de Seguridad de una startup que será bombazo a corto/medio plazo.

Sin embargo, la lista de deseos para una vida no se queda sólo en trabajar en aquello que realmente te apasiona. Tambien fui tachando los deseos cumplidos relaticos a escribir un libro, grabar un disco, tener hijas, ver en directo “The Wall” de Pink Floyd, tener una banda de R&R, … pero faltaba algo importante para mi: Ser profesor de un Máster. Y ahora lo he conseguido, ¿te lo vendo? A ver qué tal se me da…

¿Eres un apasionado de la seguridad? ¿Trabajas en el sector tecnológico? ¿Quieres seguir formándote? Es probable que, en algún momento, te hagas una pregunta importante…

¿Debería hacer un Máster en Seguridad de la Información?

En este campo, toda la formación que recibas es una inversión de futuro. El sector IT forma parte cada vez más de nuestras vidas y su avance nos obliga a mantener un estado de formación continua si no queremos quedarnos obsoletos en unos meses.

Por suerte o desgracia, la seguridad toma un papel vital en todo esto y tener una formación especializada es un elemento diferenciador ahora, pero puede que obligatorio en un futuro cercano.

Hacer un Máster en Seguridad de la Información es un paso muy importante en tu carrera profesional, deja que te de tres motivos que influyeron positivamente en mi decisión para hacerlo:

  • Obtendrás conocimientos de primera mano gracias a los profesionales que lo imparten: los profesores suelen ser personas destacadas del sector, con amplia experiencia en aquello que te van a contar. No sólo aprenderás la teoría, también recibirás un valioso conocimiento de su experiencia práctica que te servirá para estar preparado para lo que te puedes encontrar.
  • Te centrarás en aquello que realmente te interesa: en la Universidad estudiamos un abanico de opciones relacionadas con nuestra carrera, algunas de ellas nos gustan y otras nos resultan irrelevantes. En un Máster, todo lo que ves está relacionado con tu pasión.
  • Forjarás nuevos y duraderos contactos: las personas que te encontrarás en el camino tienen tus mismos intereses y es muy habitual que surjan grandes amistades y hasta proyectos profesionales.

Como te digo, en mi caso particular, la elección fue afirmativa. No hay un día en el que no me alegre de aquella decisión. Desde entonces, he orientado mi vida laboral y continúo formándome para estar preparado ante los nuevos retos de seguridad que aparecen casi a diario.

Ojo, no lo hagas si …

Si tu única motivación es encontrar trabajo porque has leído que se necesitan cientos de miles de millones de especialistas por todo el mundo, no lo hagas. Si, he dicho no lo hagas. Un Máster es una especialización que necesita pasión, si no te resulta atractivo lo que vas a aprender, te aburrirás, nuncas serás un buen profesional y terminarás cambiando de campo habiendo tirado tu tiempo y dinero a la basura.

Echa un ojo a los perfiles más demandados

Dentro del mundo de la seguridad, hay diferentes caminos que puedes seguir:

  • Operación.
  • Hacking ético.
  • Arquitectura de seguridad.
  • Desarrollo de seguridad.
  • Auditor 27.001, LOPD, …
  • Continuidad de negocio.
  • Gestión de incidentes.

De todos estos campos, tienes formación dentro del Máster de Seguridad de la Información y Continuidad de Negocio de Eadic, título propio de la Universidad Rey Juan Carlos.

Partiendo de esta base, he tratado de reunir todo mi conocimiento y experiencia en los dos temas relativos a la auditoría de la norma ISO 27.001 de la que espero ser tu profesor si te animas a participar.

Durante dos semanas, te contaré todo lo que necesitas saber para afrontar como auditor un proceso completo de auditoría. Recuerda que estoy cumpliendo un sueño, así que te aseguro que voy a dar lo mejor de mi para que te resulte interesante y útil todo lo que te cuente.

¿He conseguido llamar tu atención?

Si es así, no dudes en ampliar información en la web de Eadic. ¡Espero verte pronto!