Shifting Left Security

Ponencia de Borja González perteneciente al módulo Bases de datos y desarrollo de software seguro de C1b3rWall Academy 22/23

C1b3rWall Academy C1b3rWall Academy
Junio 6, 2023 - 12:16
0
Shifting Left Security

Tiempo de lectura estimado: 5 minutos

Introducción: "Llevándolo hacia la izquierda"

Con la estrategia de Shifting Left lo que se pretende es llevar lo más a la izquierda posible (lo más al principio) la seguridad en el cronograma del proyecto. La seguridad debe estar presente en todo el ciclo de vida del desarrollo de software (SDLC). Colocar la seguridad a la izquierda implica:

  • Anticipar riesgos y brechas de seguridad.
  • Ahorrar tiempo.
  • Ahorrar esfuerzo.
  • Ahorrar costes.

¿Cómo lo hacemos?

  • Security by Design: Diseñar componentes software seguros y robustos.
  • Security by Default: La configuración por defecto de los componentes software será la más segura posible.
  • Apoyo en técnicas como Modelado de Amenazas (Threat Modeling): Identificar amenazas potenciales incluso antes de escribir una sola línea de código.

Modelado de Amenazas (Threat Modeling)

Es la identificación y análisis de la superficie de ataque de todo el espacio que expone nuestra aplicación o proyecto y que es susceptible de ser atacado. El Threat Modeling permite una detección temprana de las amenazas desde la fase de diseño. Se centra en contestar a estas preguntas:

  • ¿Qué estamos haciendo/construyendo/creando?
  • ¿Qué puede ir mal?
  • ¿Qué vamos a hacer para evitarlo/arreglarlo?
  • ¿Hemos hecho un buen trabajo?

Hay varias técnicas para ejecutarlo:

  • Tormenta de ideas (Brainstorming).
  • MITRE ATT&CK.
  • Árboles de ataque (del objetivo a la amenaza).
  • Frameworks (PASTA, STRIDE...).

¿Saber más?

Ya que la charla es una introducción, se señalan autores y otros materiales para profundizar más en la siguiente imagen:

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.

Ponente: Borja González Carro

Borja es profesional de TI con 20 años de experiencia, los últimos orientados a la ciberseguridad. Practica diferentes ramas de la ciberseguridad y está centrado en seguridad de aplicaciones y S-SDLC, Security by Design y Security by Default. Tras su paso por áreas y departamentos de ciberseguridad de consultoras como Everis Aeroespacial y Defensa o Accenture, actualmente desarrolla su actividad como Lead Security Analyst para IRIUSRISK SL.

Etiquetas:

Artículo previo

Marco estratégico del marketing en la transformación digital

Siguiente articulo

¿Cómo innovar rápidamente y con los mínimos costes?

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

C1b3rWall Academy

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/

Posts relacionados

Cibercriminalidad en blanqueo de capitales

Cibercriminalidad en blanqueo de capitales

C1b3rWall Academy Junio 30, 2022 0

Delitos contra las personas

Delitos contra las personas

C1b3rWall Academy Diciembre 9, 2021 0

Vulnerabilidades en proyectos IoT y cómo encontrarlas

Vulnerabilidades en proyectos IoT y cómo encontrarlas

C1b3rWall Academy Julio 12, 2022 0

Operaciones en el ciberpesacio. Modelado de amenazas y ciclo de inteligencia

Operaciones en el ciberpesacio. Modelado de amenazas y ciclo de inteligencia

C1b3rWall Academy Enero 21, 2022 0

Divisas digitales: riesgos para la estabilidad financiera

Divisas digitales: riesgos para la estabilidad financiera

C1b3rWall Academy Junio 25, 2021 0

Botnets y su uso en la generación de noticias fake en redes sociales

Botnets y su uso en la generación de noticias fake en redes sociales

C1b3rWall Academy Abril 8, 2024 0