La proliferación de modelos de negocio basados en aplicaciones web y el gran número de organizaciones que no incorpora mecanismos de seguridad en las mismas, hace a las aplicaciones un objetivo muy atractivo a los ciberataques. Según diferentes estadísticas, entre el 75% y el 90% de todos los ataques online están dirigidos a aplicaciones web y han explotado vulnerabilidades clasificadas en el Top Ten de la OWASP.
El siguiente programa de capacitación en Técnicas de Seguridad en Desarrollo aportará a los profesionales implicados dentro del ciclo de vida del desarrollo de software, independiente de las tecnologías de programación empleadas (C/C++, Java, PHP, .Net, ASP.Net, Python, etc.), conocer las debilidades y técnicas de desarrollo para crear aplicaciones seguras.
Este es un curso donde la práctica, las pruebas, ejercicios sobre casos reales y la demostración de la teoría tienen un peso clave en la formación.
Tras esta formación los desarrolladores y los diferentes responsables conocerán todo aquello que deben tener en cuenta para desarrollar software seguro y qué puede suceder cuándo esas premisas no se han incluido en el Ciclo de Vida de Desarrollo de Software.
A quién va dirigido
- Product managers,
- Project managers,
- Ingenieros de software,
- Arquitectos de software,
- Gestores de desarrollo,
- Desarrolladores (programadores),
- Testers
- Responsable de calidad de software
- Auditores y personal de operaciones que deseen certificar sus conocimientos en el campo de la seguridad en el desarrollo de software.
- Experiencia en desarrollo de software o participación en procesos del Ciclo de Vida de Desarrollo de Software.
Requisitos de Conexión Virtual (En vivo)
- Conexión a Internet de, al menos 10Mb.
- Disponer de webcam.
- Disponer de audífonos/auriculares.
- Disponer de micrófono.
Inscripciones España y/o UE (Unión Europea): 400 €*
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Inscripciones Colombia: COP$1.450.000*
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Inscripciones América (excepto Colombia): US$400**
*Estos precios no incluyen IVA ni otros impuestos (en el caso de las inscripciones desde América)
** Aplicable para pagos desde fuera de Colombia.
Bonificaciones y descuentos
- Todas nuestras formaciones son bonificables.
- 15% para los miembros del Capítulo de ISACA Bogotá
- Los profesores del curso son miembros del departamento de Auditoría de Internet Security Auditors, expertos en hacking ético y reconocidos en el sector de la seguridad, con experiencia de más de 10 años en proyectos relacionados con auditorías y consultorías de seguridad en aplicaciones.
- Este curso puede impartirse en modalidad on-site, adaptandose hasta 24h de duración. Para más información, rellene el formulario.
El curso consta de siete módulos teóricos, detallados a continuación:
- Casos reales de vulnerabilidades y su impacto.
- Problemática de las aplicaciones inseguras.
- Derribando mitos.
- Participación de Seguridad Informática en el desarrollo del software.
- ¿Qué es OWASP?
- Recursos que ofrece OWASP a la comunidad.
- Pautas de seguridad en el análisis de requerimientos:
- 2.1.Casos de abuso.
- 2.2. Patrones de ataque.
- 2.3. Marco para el manejo de riesgo.
- 2.4. Modelado de amenazas.
- 2.5. Definición de criticidad.
- Desarrollo seguro y cumplimiento:
- 2.2. PCI, ISO 27002, GDPR, HIPPA.
- Requerimientos de seguridad:
- 3.1. Gestión de errores.
- 3.2. Criptografía.
- 3.3. Autenticación y autorización.
- 3.4. Gestión de sesiones.
- 3.5. Auditoría y registros.
- 3.6. Copias de seguridad.
- Principio del menor privilegio.
- Criterio de defensa en profundidad.
- Criterio del "Fallo Seguro".
- Diseño de protección contra Denial of Service (DoS).
- Errores de Lógica de negocio.
- Vulnerabilidades del Top Ten OWASP:
- A1: Injection.
- A2: Broken Authentication.
- A3: Sensitice Data Exposure.
- A4: XML External Entities (XXE).
- A5: Broken Acces Control.
- A6: Security Misconfiguration.
- A7: Cross-Site Scripting (XSS).
- A8: Insecure Dserialization.
- A9: Using Components With Known Vulnerabilities.
- A10: Insufficient Loggin & Monitoring.
- Otras vulnerabilidades:
- 4.1. Errores de Canonicalización.
- 4.2. CSRF.
- 4.3. Information disclosure.
- 4.4. Phishing Vector.
- Testing de seguridad VS testing funcional.
- Revisión de código.
- ASVS.
- Fuzzing.
- Pruebas de seguridad en el ciclo de vida del software.
- Escalamiento de privilegios.
- Herramientas de pruebas de seguridad.
- DevSecOps.
- Security misconfigurations.
- Separación de ambientes.
- Marco documental.
- Firma de código.