Microsoft Security Development Lifecycle (I de VII) – Introducción y primera fase

Windows Técnico

Sindicación

Proximos HOLs

Loading...
View more

Posts Recientes

Tags

View more

Blogs

Archivo

Paperblog

clip_image002

La seguridad en el mundo de la informática es un tema de gran importancia, por ello es vital seguir una metodología que ayude a securizar nuestros entornos corporativos, desde nuestra infraestructura de redes y servidores hasta nuestro portal web, lo cual supone una fuerte inversión de tiempo y dinero.


Es por ello que nació Microsoft Security Development Lifecycle (SDL), cuyo uso por expertos en la materia no es muy extendido en la actualidad pero que  sin embargo tener conocimiento de su existencia, importancia y sobretodo, los beneficios que puede proporcionar a nuestras empresas a la hora se desarrollar nuestras aplicaciones, es de gran interés para realizarlas de la forma mas segura posible.

clip_image004

 

SDL consiste en un conjunto de practicas de seguridad  que nos ayudarán a determinar que nuestra fase de desarrollo de software es lo menos vulnerable posible.

 

Desde 2004, Security Development Lifecycle ha desempeñado un papel muy importante en la integración de seguridad y privacidad en el software y la cultura de Microsoft, empezando en su entorno corporativo y convirtiéndose en una directiva obligatoria desde dicho año con el claro objetivo de reducir el número y la gravedad de las vulnerabilidades en el software.

 

Y es en Mayo del presente año en el que Microsoft liberó la nueva versión 5.2 de su SDL, donde encontraremos nuevas características como la forma en la que debemos trabajar con las especificaciones de diseño que se han completado, definido y documentado, y como reducir la superficie de ataque.

 

 

Las prácticas de seguridad de las que está compuesto el SDL están agrupadas en siete fases:

  • Formación.
  • Requisitos.
  •  Diseño.
  • Implementación.
  • Verificación.
  • Lanzamiento.
  •  Respuesta.

 

De las cuales procederemos a definir y profundizar cada una de ellas.

clip_image006

 

 

Primera fase: Formación de los integrantes del equipo.

image
Es muy recomendable que el equipo de desarrollo de software de nuestra empresa posea conocimientos de seguridad inicialmente, ya sea por cursos recibidos en otras empresas o formación en centros superiores como institutos especializados, empresas dedicadas a la labor o universidades, sin embargo, si este no es el caso, dichos integrantes del equipo deben recibir una formación adecuada en los conceptos básicos de seguridad y privacidad, de forma que desde ese punto en adelante se mantengan informados sobre las novedades y avances en dicho sector.

 

Existen muchos libros sobre medidas de ataque y defensa a sistemas de información, por citar algunos aquí tenéis una buena colección de ellos.

 

Todos los miembros de un equipo de desarrollo de software deben recibir una formación apropiada con el fin de mantenerse al corriente de los conceptos básicos y últimas tendencias en el ámbito de la seguridad y privacidad. Las personas con roles técnicos (desarrolladores, evaluadores y administradores de programas) que están directamente implicadas en el desarrollo de programas de software deben asistir como mínimo una vez al año a una clase de formación en materia de seguridad.

 

image

Hay diversas empresas que se dedican a este propósito, como Informatica64, que brinda su Formación Técnica en Seguridad y Auditoría Informática (FTSAI). Un programa  diseñado y planificado pensando en capacitar a un grupo reducido de profesionales IT en el ámbito de la seguridad y auditoría informática, donde al finalizar la formación los asistentes dominarán el uso de diversas herramientas y conocerá las tecnologías de ataque y defensa siendo capaces de securizar apropiadamente sus sistemas.

 

En la próxima entrega de la serie se hablará sobre los requisitos que debe cumplir las aplicaciones en cuanto a seguridad se refiere e identificar los aspectos funcionales del software en los que se requiere una mayor revisión.

Por último, recuerda suscribirte al Canal RSS de Windows Técnico para recibir información como la que aparece aquí reflejada y otras actividades de interés que publicamos regularmente en este blog.

clip_image007

 


Microsoft Security Development Lifecycle (I de VII) – Introducción y primera fase
Microsoft Security Development Lifecycle (II de VII) – Requisitos de seguridad
Microsoft Security Development Lifecycle (III de VII) – Requisitos de diseño
Microsoft Security Development Lifecycle (IV de VII) – Implementación
Microsoft Security Development Lifecycle (V de VII) – Comprobación
Microsoft Security Development Lifecycle (VI de VII) – Lanzamiento
Microsoft Security Development Lifecycle (VII de VII) – Respuesta

Enviado jun 13 2012, 08:33 por Jhonattan Fiestas
Archivado en: ,,,

Comentarios

Windows Técnico escrito Microsoft Security Development Lifecycle (II de VII) – Requisitos de seguridad
en 06-26-2012 3:06

En la pasada entrega se habló sobre los requisitos previos que debe tener una corporación en temas de

Windows Técnico escrito Microsoft Security Development Lifecycle (III de VII) – Requisitos de diseño
en 09-04-2012 17:37

En la pasada entrega se habló sobre los requisitos de seguridad con los que deben contar las aplicaciones

Añadir un comentario

(requerido)  
(opcional)
(requerido)  
Recordarme
If you can't read this number refresh your screen
Enter the numbers above:  
     
Ofrecido por Community Server (Non-Commercial Edition)