Shifting Left Security
Ponencia de Borja González perteneciente al módulo Bases de datos y desarrollo de software seguro de C1b3rWall Academy 22/23
Tiempo de lectura estimado: 5 minutos
Introducción: "Llevándolo hacia la izquierda"
Con la estrategia de Shifting Left lo que se pretende es llevar lo más a la izquierda posible (lo más al principio) la seguridad en el cronograma del proyecto. La seguridad debe estar presente en todo el ciclo de vida del desarrollo de software (SDLC). Colocar la seguridad a la izquierda implica:
- Anticipar riesgos y brechas de seguridad.
- Ahorrar tiempo.
- Ahorrar esfuerzo.
- Ahorrar costes.
¿Cómo lo hacemos?
- Security by Design: Diseñar componentes software seguros y robustos.
- Security by Default: La configuración por defecto de los componentes software será la más segura posible.
- Apoyo en técnicas como Modelado de Amenazas (Threat Modeling): Identificar amenazas potenciales incluso antes de escribir una sola línea de código.
Modelado de Amenazas (Threat Modeling)
Es la identificación y análisis de la superficie de ataque de todo el espacio que expone nuestra aplicación o proyecto y que es susceptible de ser atacado. El Threat Modeling permite una detección temprana de las amenazas desde la fase de diseño. Se centra en contestar a estas preguntas:
- ¿Qué estamos haciendo/construyendo/creando?
- ¿Qué puede ir mal?
- ¿Qué vamos a hacer para evitarlo/arreglarlo?
- ¿Hemos hecho un buen trabajo?
Hay varias técnicas para ejecutarlo:
- Tormenta de ideas (Brainstorming).
- MITRE ATT&CK.
- Árboles de ataque (del objetivo a la amenaza).
- Frameworks (PASTA, STRIDE...).
¿Saber más?
Ya que la charla es una introducción, se señalan autores y otros materiales para profundizar más en la siguiente imagen:
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Borja González Carro
Borja es profesional de TI con 20 años de experiencia, los últimos orientados a la ciberseguridad. Practica diferentes ramas de la ciberseguridad y está centrado en seguridad de aplicaciones y S-SDLC, Security by Design y Security by Default. Tras su paso por áreas y departamentos de ciberseguridad de consultoras como Everis Aeroespacial y Defensa o Accenture, actualmente desarrolla su actividad como Lead Security Analyst para IRIUSRISK SL.
¿Cuál es tu reacción?