Curso en Técnicas de Seguridad en Desarrollo
Próximos Cursos
Fechas:
21/10/2019 to 24/10/2019
Ciudad:
No Presencial
Duración:
16 horas
Horarios:
Lunes a Jueves de 14:30 a 18:30h. (Hora de Madrid, España)
Inscripción anticipada con descuento:
Vie, 13/09/2019
Fecha límite:
Vie, 04/10/2019
Examen: último día del curso
La proliferación de modelos de negocio basados en aplicaciones web y el gran número de organizaciones que no incorpora mecanismos de seguridad en las mismas, hace a las aplicaciones un objetivo muy atractivo a los ciberataques. Según diferentes estadísticas, entre el 75% y el 90% de todos los ataques online están dirigidos a aplicaciones web y han explotado vulnerabilidades clasificadas en el Top Ten de la OWASP.
El siguiente programa de capacitación en Técnicas de Seguridad en Desarrollo aportará a los profesionales implicados dentro del ciclo de vida del desarrollo de software, independiente de las tecnologías de programación empleadas (C/C++, Java, PHP, .Net, ASP.Net, Python, etc.), conocer las debilidades y técnicas de desarrollo para crear aplicaciones seguras.
Este es un curso donde la práctica, las pruebas, ejercicios sobre casos reales y la demostración de la teoría tienen un peso clave en la formación.
Tras esta formación los desarrolladores y los diferentes responsables conocerán todo aquello que deben tener en cuenta para desarrollar software seguro y qué puede suceder cuándo esas premisas no se han incluido en el Ciclo de Vida de Desarrollo de Software.
A quién va dirigido
Product managers, project managers, ingenieros de software, arquitectos de software, gestores de desarrollo, desarrolladores (programadores), testers y responsable de calidad de software y auditores y personal de operaciones que deseen certificar sus conocimientos en el campo de la seguridad en el desarrollo de software.
Requisitos
Experiencia en desarrollo de software o participación en procesos del Ciclo de Vida de Desarrollo de Software.
Temario
El curso consta de siete módulos teóricos, detallados a continuación:
Tema 1 - Introducción a la seguridad en el desarrollo de software
1.1. Casos reales de vulnerabilidades y su impacto
1.2. Problemática de las aplicaciones inseguras
1.3. Derribando mitos
1.4. Participación de Seguridad Informática en el desarrollo del software
Tema 2 – Sobre el proyecto OWASP.
2.1. ¿Qué es OWASP
2.2. Recursos que ofrece OWASP a la comunidad
2.3. Vulnerabilidades del Top Ten Owasp
A1: Injection
A2: Broken Authentication
A3: Sensitive Data Exposure
A4: XML External Entities
A5: Broken Access Control
A6: Security Misconfiguration
A7: Cross-Site Scripting (XSS)
A8: Insecure Deserialization
A9: Using Components with Known Vulnerabilities
A10: Insufficient Logging & Monitoring
2.4. SANS TOP 2
Tema 3 – Seguridad en la etapa de análisis.
3.1. Pautas de seguridad en el análisis de requerimientos.
3.2. Desarrollo seguro y compliance:
› PCI DSS: Requerimiento 6.3 Develop internal and external software applications.
Requerimiento 6.5 Address common coding vulnerabilities in software development processes.
› ISO 27002:2013: Requerimiento 14.2 Security in development and support processes. SOX
Tema 4 – Seguridad en el diseño de software.
4.1. Criterios Básicos de Seguridad:
› Principio del menor privilegio.
› Criterio de defensa en profundidad.
4.2. Manejo seguro de errores:
› Criterio del “Fallo Seguro”.
› Definición de mensajes de error.
› Prevención de divulgación de información.
4.3. Manejo de información sensible:
› Almacenamiento seguro.
› Transferencia segura.
› Cifrado y Hashes.
4.4. Auditoría y Logging.
4.5. Diseño de Autenticación y Autorización:
› Seguridad en Web Services.
4.6. Diseño de protección contra Denial of Service (D.O.S).
4.7. Errores de Lógica de negocio.
4.8. Marco para el Manejo del Riesgo.
Tema 5 – Seguridad en la codificación de software.
5.1. Vulnerabilidades más comunes. ¿Cómo prevenirlas?:
› SQL Injection & Command injection.
› XSS, CSRF.
5.2. Vulnerabilidades del ranking OWASP Top 10.
5.3. Otras vulnerabilidades:
› Errores de Canonicalización.
› Information disclosure.
› Phishing Vector.
5.4 Recursos de OWASP para seguridad en la codificación.
Tema 6 – Testing de seguridad de software.
6.1 Técnicas de testing de seguridad:
› Testing de seguridad vs testing funcional.
› Revisión de código.
6.2 Recursos de OWASP para testing de seguridad:
› OWASP Testing Project.
› OWASP Code Review Guide.
6.3 Testing de seguridad en el ciclo de vida del software.
6.4 Escalamiento de privilegios.
6.5 Herramientas de testing de seguridad:
› Burp, Dirbuster, Nikto, W3af, Nessus.
Tema 7 – Implementación segura de aplicaciones.
7.1 Diseño de implementación segura.
› Separación de Ambientes
7.2 Seguridad en el proceso de implementación.
7.3 Administración de la implementación.
Detalles de la formación
Para más información, rellene el formulario.
Capítulo de ISACA Bogotá