Curso de Seguridad en el Desarrollo de Software

Objetivo:

Presentar los conceptos principales de seguridad de la información, que aplican al ciclo de desarrollo seguro de software (SDLC). Se entenderá cuales son los riesgos y protecciones aplicables para medir, detectar, mitigar y remediar amenazas y vulnerabilidades de seguridad en el software. El objetivo es contar con herramientas y hábitos para producir software con determinados niveles de seguridad.

Recorriendo las diferentes fases del ciclo de vida del desarrollo de software (SDLC), se profundizará en los 10 riesgos más importantes que sufren las aplicaciones, entregaremos documentación para identificar amenazas, vulnerabilidades y controles con el objetivo de reconocer los mecanismos y hábitos, que permitan producir software más seguro y acceder a los beneficios que ello conlleva en las organizaciones.

Temario

  • Introducción a seguridad de la información
  • Conceptos de seguridad en el software
  • Ciclo de vida del software y SDLC
  • Seguridad en requerimientos
  • Seguridad en adquisiciones
  • Seguridad en diseño
  • Seguridad en codificación
  • Testeo y aceptación
  • Implantación, mantenimiento y disposición
  • Introducción a proyecto OWASP
  • OWASP Top 10
  • Herramientas y librerías de protección
  • SANS 25

Descripción detallada

El curso tiene como base el material de estudio para la preparación de la certificación CSSLP y conceptos que se han incorporado en el dominio de seguridad en el desarrollo de software de la preparación de la certificación CISSP que dicta Datasec desde hace varios años.

Contamos con 3 niveles de presentación del curso, basados en el nivel de maduración y exigencias propias de cada organización.

1) Introducción a seguridad y SDLC + OWASP Top 10
Se presentan las fases y procesos del ciclo de desarrollo seguro estándar, y los 10 principales riesgos en aplicaciones Web de manera teórica. El curso está programado para ejecutarse durante un período de 5 a 6 hs.

2) OWASP Top 10 con prácticas
Se realiza una introducción a la seguridad de la información y ciclo de desarrollo seguro, y se profundiza en cada uno de los 10 principales riesgos en aplicaciones Web, se realiza de manera teórico-práctica, en dónde los participantes utilizarán proxys locales, herramientas de desarollo del navegador para reconocer y comprometer una aplicación web especialmente vulnerable, la misma puede estar desarrollada en lenguajes Java, PHP o NodeJS, dependiendo de las tecnologías utilizadas en la organización, se mostrará código vulnerable y seguro o saneado. La programación de este taller se estima en 6 a 7 hs.

3) SDLC + Owasp top 10 + SANS 25
Este completo curso, cubre además de riesgos en apps web, los riesgos en infraestructura de desarrollo, arquitecturas vulnerables, herramientas de remediación y mitigación y cubre riesgos en apps nativas no web. Se presenta de manera teórica, y está especialmente diseñado para equipos de desarrollo que requieran implementar software en cumplimiento con la normativa PCI-DSS. Se programó el curso en 11 hs en total, y si se requieren prácticas habría que sumar 2 hs más.

El teórico comienza sensibilizando sobre la importancia de la seguridad en el desarrollo de software y recorriendo el cuerpo de conocimiento disponible para abordar la temática.
Se presentan aspectos conceptuales como ser:

Integridad, confidencialidad, disponibilidad, autenticación, autorización.
Principios de diseño seguro.
Vector de ataque, tipos de ataques, superficie de ataque.
Luego se siguen las fases típicas del ciclo de vida de desarrollo de software abordando temas como ser:

Modelado de amenazas
Consideraciones de seguridad en computación distribuida, SOA, cloud computing
Seguridad en bases de datos
Manejo de excepciones, programación defensiva, revisión de código
Ofuscación y protección del código
Tipos de testeo
Hardening
En las fases de diseño y codificación se recorren las vulnerabilidades identificadas en OWASP Top 10 y CWE-SANS Top 25 junto con controles y recomendaciones para evitar estos ataques.

En la parte de demostraciones se muestran ejemplos concretos y el uso de herramientas automáticas para detección de vulnerabilidades..

Dirigido a

Informáticos vinculados al desarrollo de software, personal de seguridad informática, auditores de TI.

En particular, el curso es adecuado para: 

  • Desarrolladores de software
  • Arquitectos de software
  • Especialistas en seguridad de aplicaciones
  • Personal de aseguramiento de la calidad
  • Gerentes de proyectos
  • Oficiales de seguridad
  • Directores y gerentes de TI
  • Auditores de TI

Carga horaria

6 horas (2 sesiones de 3 horas).

Cupo máximo

20 asistentes.

Material entregado

  • Diapositivas
  • Certificado de asistencia

Costo

Por consulta de costo y/o mayor información de curso comunicarse al:

Tel.: 27110420
E-mail: contacto@datasec-soft.com

Somos una firma presente en el mercado internacional desde 1987, pionera en el área del buen gobierno, aseguramiento, gestión de riesgos, calidad y seguridad en sistemas de la información (TI).

Más sobre Datasec >

Social