APLICACIONES SEGURAS
¿Porque debemos usar SD3+C, SAMM, SDL?
Se deben de usar ya que estas metodologías están enfocadas en el desarrollo seguro de aplicaciones, desde el incio, es decir, antes que se comience el desarrollo, se denomina que un desarrollo se software seguro es un desarrollo de calidad.
-
SD3+C
- Seguro por el diseño (Se busca que se sigan todas las etapas necesarias para lograr que el resultado final este acorde a los requerimientos.
- Seguro por defecto (Se busca que ir agregando seguridad dependiendo del usuario)
-
Seguro por el desarrollo (Esto indica que pueda ser fácil de administrar una vez que esté en producción)
-
SAMM
Es un modelo de madurez para el aseguramiento del software, por sus siglas (Software Assurance Maturity Model) es un marco de trabajo abierto para ayudar a formular e implementar una estrategia de seguridad para software, este modelo maneja 3 niveles de madurez
- Punto de inicio implícito
- Incremento de la eficiencia
- Dominio amplio de la práctica de seguridad
-
SDL
Es un proceso para mejorar la seguridad de software propuesto por la compañía Microsoft en 2004. El modelado de amenazas que sirve a los desarrolladores para encontrar partes del código, donde probablemente existía vulnerabilidades o sean objeto de ataque, las fases del SDL son:
- Fase de entrenamiento
- Fase de Requerimientos
- Fase de Diseño
- Fase de Implementación
- Fase de Verificación
- Fase de Lanzamiento
- Fase de Respuesta
Explique la diferencia con los ciclos de vida tradicionales, ventajas y desventajas.
La diferencia de los ciclos de vida tradicionales y las metodología enfocada al desarrollo seguro, radica que en que las metodologías tradicionales se enfocan en la rapidez del desarrollo dejando de la lado la seguridad, como por ejemplo la metodología XP se enfoca en la velocidad poniendo pocos reglas, ya que promueve la adaptabilidad de los procesos, pero no toma un apartado para la seguridad del producto terminado.
-
Ventajas
- Software más seguro
- Software con menos riegos de ataques
- Anticipa falla en el código
-
Desventajas
- Pierde velocidad en el desarrollo
- Poca documentación existente
¿Cual es el aporte de la revolución industrial 4.0?
El aporte de esta revolución industrial es que todo está conectado, maquinas caceras, teléfonos, computadoras, autos. Esta revolución conecto todo lo que cotidianamente usamos, para hacerlo de forma más óptima, más rápida y mejor.
¿Qué es la revolución industrial 4.0?
Nuestra forma de vivir a dado un salto cualitativo al futuro, todo lo que nos rodea está conectado, personas datos máquinas y ahora este salto lo ha dado también la industria. Nuevo concepto de consumo que implica nuevas formas de fabricar y hacer llegar lo que se fabrica, una nueva idea de comunicación global con nuevos profesionales profesionales especializados en:
-
Robótica colaborativa
- Son un grupo de entidades virtuales o máquinas que por distintos medios y protocolos pueden cambiar información entre ellos, para actuar de manera conjunta para un fin en especial.
-
Realidad aumentada
- Es el término que se usa para definir una visión a través de un dispositivo tecnológico, directa o indirecta, de un entorno físico del mundo real, cuyos elementos se combinan con elementos virtuales para la creación de una realidad mixta en tiempo real.
-
Big data
- Es un concepto que hace referencia al almacenamiento de grandes cantidades de datos y a los procedimientos usados para encontrar patrones repetitivos dentro de esos datos.
-
Impresión 3D
- Es un grupo de tecnologías de fabricación por adición donde un objeto tridimensional es creado mediante la superposición de capas sucesivas de material
-
Visión Artificial
- Visión por computador es una disciplina científica que incluye métodos para adquirir, procesar, analizar y comprender las imágenes del mundo real con el fin de producir información numérica o simbólica para que puedan ser tratados por un computador.
-
Internet de las cosas
- Es un concepto que se refiere a la interconexión digital de objetos cotidianos con internet.
-
Sistemas ciber-fisicos
- Sistema cibernético físico es un sistema compuesto de elementos computacionales de colaboración con el fin de controlar las entidades físicas.
¿Cómo lo implementaría en sus tareas diarias?
Mi trabajo que no está enfocado en el desarrollo de software, ya que trabajo de hacer implementaciones de software ya hecho y por lo cual no podría aportar nada en temas de seguridad a los ya establecidos por la empresa dueña del software. Pero para no dejarlo en el olvido, me parece que, si desde que empezamos a hacer una implementación, incluimos desde el principio la seguridad y no al final, se puede esperar que la implementación sea un éxito a largo plazo.
¿Cuál es su relación con CIDAN?
Primero vamos a decir que es CIDAN, es una relación de diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios.
- C – Confidencialidad
- I – Integridad
- D – Disponibilidad
- A – Autenticación
- N – No repudio
La relación de las metodologías de desarrollo seguro tiene una relación con la CIDAN ya que al estar haciendo desarrollo es importante tomar en cuenta las técnicas de CIDAN para la seguridad.
SEGURIDAD DE LA INFORMACION
¿Porque son importantes las normas industriales como las siguientes, PCI_DSS, HIPAA 2.0, SAS 70 y NIST?
Comencemos por el principio y explique cada norma.
-
PCI_DSS es un estándar de seguridad de datos para la industria de tarjetas de crédito , la compañías que trabajan con los datos de tarjetas de crédito de los usuarios deben deben procesar dicha información confiedencialmente, respetando a los clientes, estas empresas deben seguir los 12 requisitos para poder manejar datos de tarjetas.
- Instalar y mantener una configuración cortafuegos para protección de los clientes
- No usar contraseñas del sistema o sistemas.
- Proteger los datos almacenados
- Cifrar los datos de los propietarios
- Usar y actualizar sus antivirus
- Desarrollar aplicaciones seguras
- Restringir el acceso a los datos
- Asignar una identificación única a cada persona
- Restringir el acceso físico a los datos
- Rastrear y monitorear todo acceso a la red
- Probar regularmente los sistemas y procesos de seguridad
- Mantener una política de seguridad de la información
-
HIPAA 2.0 son normativas de protección de la información de los pacientes en hospitales por medio de seguros, esta ley es conocida como (Health Insurance Portability and Accountability Act) por su traducción Ley de portabilidad y responsabilidad de seguros de salud. La HIPAA exige que las entidades tienen que salvaguardar la información de cualquier amenaza, uso no autorizado o divulgación de la información.
-
SAS 70 son normas de auditoria y se clasifican en dos:
- Tipo 1 revisión de sistemas para evaluar sus controles de seguridad, en una fecha determinada.
- Tipo 2 Auditoria que revisa los sistemas para evaluar sus controles, en un periodo determinado.
- NIST es una metodología que indica que una encriptación debe ser más fuerte y con mayor longitud.
Explicado los puntos anteriores podemos concluir que las normas expuestas anteriormente, son estándares para proteger la información y no divulgación de los clientes.
¿Qué buscan evaluar estas normas?
Buscan que se esté cumpliendo la protección de la información de los clientes.
¿Cuál es el aporte en la revolución industrial 4.0?
Como de todos es sabido con la revolución industrial 4.0, todo está conectado, en todo momento, por lo cual nuestra información está constantemente viajando de un lugar a otro, por lo cual es necesario tomar medidas de seguridad para proteger nuestros datos y las empresas deben ser las encargadas de cuidar dicha información.
¿Cuál es su relación con CIDAN?
Su relación es muy importante ya que, las empresas deben proteger la información de sus clientes y para lo cual la metodología CIDAN debe ser adoptada por las empresas.
Medievals Trucos 