VIDEO
HIGHLIGHT
Log InSign up
Agile Security, Recalibrating Information Security for Agile Development Projects
SummaryTranscriptChat

Agile Security, Recalibrating Information Security for Agile Development Projects

Bienvenida y presentación

Resumen de la sección: En esta sección, el presentador da la bienvenida a los participantes y se presenta como el organizador del webinar. También menciona que PCB organiza webinars diarios sobre sus cinco carteras y semanalmente organiza un webinar sobre seguridad. Además, anuncia un evento de capacitación en Estocolmo del 27 de junio al 1 de julio sobre técnicas avanzadas de auditoría.

Presentación del webinar y eventos futuros

  • El presentador da la bienvenida a los participantes y se presenta como el organizador del webinar.
  • Informa sobre los webinars diarios y semanales organizados por PCB.
  • Anuncia un evento de capacitación en Estocolmo sobre técnicas avanzadas de auditoría.

Presentadores del webinar

  • Se mencionan los nombres de los dos presentadores, Mr. Arthur Donkers y Pascal Dekonning, junto con sus credenciales en seguridad de la información.

Introducción al tema "Seguridad ágil"

Resumen de la sección: En esta sección, uno de los presentadores introduce el tema principal del webinar, que es "seguridad ágil" para proyectos de desarrollo ágil. Se menciona que han recopilado experiencias y soluciones para ayudar a abordar este desafío.

Introducción al tema

  • Uno de los presentadores introduce el tema de "seguridad ágil" para proyectos de desarrollo ágil.
  • Se menciona que han recopilado experiencias y soluciones para abordar este desafío.

Desafíos y soluciones en la seguridad ágil

Resumen de la sección: En esta sección, los presentadores explican los desafíos que enfrentaron al incorporar la seguridad de la información en proyectos ágiles y cómo desarrollaron soluciones para superar estos desafíos.

Desafíos en la seguridad ágil

  • Los presentadores mencionan que tuvieron que adaptarse a enfoques de desarrollo ágil y estilos de gestión rápidamente cambiantes.
  • Explican que tuvieron que encontrar formas de integrar la seguridad de la información en el desarrollo ágil.

Soluciones desarrolladas

  • Se invita a los participantes a enviar preguntas o solicitar una copia del documento técnico sobre las soluciones desarrolladas por los presentadores.

Integración de requisitos de seguridad e información en un enfoque ágil

Resumen de la sección: En esta sección, los presentadores explican cómo integrar los requisitos de seguridad e información dentro del ciclo PDCA (Planificar, Hacer, Verificar, Actuar) en un enfoque ágil.

Integración de requisitos de seguridad en un enfoque ágil

  • Se menciona que el objetivo es alinear la seguridad de la información con el desarrollo ágil.
  • Se enfoca en las formas más comunes de gestión ágil y gestión ágil de la seguridad.

División del webinar

  • Los presentadores explican que abordarán los problemas y soluciones por separado.

Conclusiones

En este webinar, se aborda el desafío de integrar la seguridad de la información en proyectos ágiles. Los presentadores comparten sus experiencias y soluciones para lograr una alineación efectiva entre la seguridad y el desarrollo ágil. Se invita a los participantes a enviar preguntas y solicitar más información sobre las soluciones desarrolladas.

Recuerda que puedes acceder a los timestamps proporcionados para obtener más detalles sobre cada sección del webinar.

Desarrollo continuo y seguridad de la información

Resumen de la sección: En esta sección, el orador plantea la pregunta sobre si la seguridad de la información puede mantenerse al día con el modelo de desarrollo continuo y entrega ágil. Se menciona la necesidad de adaptarse a nuevos enfoques y frameworks en lugar de depender únicamente del antiguo estándar ISO 27,000.

Retos del modelo de desarrollo continuo

  • El desafío es mantenerse al día con el modelo de desarrollo continuo y entrega ágil.
  • Se cuestiona si los antiguos marcos como ISO 27,000 siguen siendo relevantes o si se necesitan enfoques diferentes.
  • La terminología "ciber" no está claramente definida y se evita su uso en esta presentación.
  • La aplicación de seguridad de la información en un entorno ágil aún está en progreso y no existe una metodología completa.
  • Existen supuestos erróneos tanto desde el punto de vista de seguridad como desde el punto de vista del desarrollo.

Limitaciones del enfoque tradicional

  • Los marcos y herramientas actuales siguen un enfoque descendente que requiere tiempo para definir políticas, procesos y controles genéricos.
  • La falta de oportunidades para retroalimentar mejoras más rápidamente dificulta el soporte al desarrollo ágil.
  • Los controles genéricos deben ser adaptados a implementaciones específicas, lo que lleva a la reinvención constante de soluciones y falta de detalle.
  • El uso excesivo de listas de verificación en lugar de evaluaciones de riesgo adecuadas puede comprometer la efectividad de los controles de seguridad.

Importancia del contexto y enfoque ágil

  • La perspectiva y el contexto son fundamentales para determinar la mejor solución en seguridad.
  • Incluso en el modelo tradicional, la seguridad a menudo se considera como una reflexión tardía, lo que limita su eficacia.
  • El desarrollo ágil aborda los sistemas y aplicaciones desde un enfoque diferente al permitir una implementación más temprana y adaptativa.

Enfoque de programación extrema

Resumen de la sección: El enfoque de programación extrema implica tomar decisiones continuamente sobre qué desarrollar, posponer o descartar. Estas decisiones se basan en la gestión de los riesgos del proyecto y en la entrega oportuna de funcionalidades acordadas.

Toma continua de decisiones

  • En el enfoque ágil, se toman decisiones continuas sobre qué desarrollar, posponer o descartar.
  • Estas decisiones se basan en la gestión de los riesgos del proyecto y en la entrega oportuna de funcionalidades acordadas.

Ciclos cortos y manejo del tiempo

  • Los pasos del proyecto se dividen en pequeños fragmentos manejables por las personas involucradas.
  • Los ciclos suelen durar dos o tres semanas, durante los cuales se desarrollan funciones y características acordadas.
  • Al finalizar cada ciclo, hay una definición clara de lo que está "hecho" para poder avanzar al siguiente ciclo.
  • Existe una estricta gestión del tiempo dentro del desarrollo ágil, permitiendo aprender y mejorar continuamente.

Enfoque mixto: arquitectura inicial y bloques básicos

  • Se pueden definir bloques básicos al comienzo del proyecto para establecer metas claras.
  • Estos bloques básicos se combinan para crear más funcionalidad a medida que avanza el proyecto.
  • Se prioriza construir solo lo necesario para cada ciclo, evitando desperdiciar recursos.

Postergación y mejora continua

  • Si una característica es demasiado complicada o no hay suficientes recursos, se puede posponer para el siguiente ciclo.
  • Existe una estricta gestión del tiempo y recursos en los proyectos ágiles.
  • Se aprovecha la retroalimentación de ciclos anteriores para mejorar continuamente la calidad de las funcionalidades y entregables.

Desafíos de seguridad en proyectos ágiles

Resumen de la sección: Los proyectos ágiles presentan desafíos en cuanto a la implementación de controles de seguridad. Existe una falta de alineación entre el enfoque ágil y los marcos tradicionales, lo que requiere abordar adecuadamente la seguridad de la información.

Alineación entre agilidad y seguridad

  • Los marcos tradicionales, como ISO 27001, tienen un enfoque descendente con ciclos largos y limitadas oportunidades para implementar retroalimentación.
  • En proyectos ágiles, se prioriza construir funcionalidades y características sobre controles genéricos de seguridad.
  • Existe una falta de alineación entre ambas perspectivas, lo que dificulta abordar adecuadamente la seguridad en proyectos ágiles.

Asunciones erróneas

  • La gestión de seguridad asume que el equipo ágil puede traducir los requisitos genéricos de seguridad a controles específicos durante cada ciclo.
  • Sin embargo, el equipo ágil tiene otras prioridades y recursos limitados para implementar dichos controles.

Cultura clash: desarrollo vs. InfoSec

  • Existe un choque cultural entre los equipos de desarrollo y los responsables de la seguridad (InfoSec).
  • El desarrollo considera aburrida la implementación de controles de seguridad y ve a InfoSec como paranoico y ajeno al negocio.
  • InfoSec considera que el desarrollo no comprende la importancia de los controles de seguridad y tiene plazos ajustados.

Conclusiones

Resumen de la sección: El enfoque ágil presenta desafíos en cuanto a la implementación de controles de seguridad. Existe una falta de alineación entre los marcos tradicionales y las necesidades del desarrollo ágil, lo que requiere encontrar soluciones para abordar adecuadamente la seguridad en proyectos ágiles.

Desafíos de la seguridad de la información en proyectos ágiles

Resumen de la sección: En esta sección se discuten los desafíos que surgen en relación a la seguridad de la información en proyectos ágiles. Se mencionan tres suposiciones erróneas que suelen hacerse y cómo afectan al desarrollo ágil. También se destaca la falta de tiempo y recursos para realizar pruebas de seguridad adecuadas.

Suposiciones erróneas sobre las habilidades y conocimientos del equipo ágil

  • La seguridad de la información asume que el equipo ágil tiene las habilidades, experiencia y conocimientos necesarios para construir una solución segura.
  • Sin embargo, muchas veces los miembros del equipo ágil no tienen estas habilidades ni están conscientes de los requisitos de seguridad.
  • Es importante proporcionar herramientas y enfoques para abordar estos requisitos de seguridad.

Falta de tiempo y recursos para pruebas separadas

  • La seguridad de la información asume que hay suficiente tiempo y dinero para realizar pruebas separadas en una versión congelada del producto.
  • Sin embargo, el modelo de entrega continua no siempre permite tener una fase clara de pruebas.
  • Esto dificulta realizar pruebas exhaustivas de seguridad.

Dificultad para identificar y abordar todos los riesgos

  • La seguridad de la información asume que hay suficiente tiempo y dinero para identificar y abordar todos los riesgos.
  • Sin embargo, esto no es factible dentro de un proyecto ágil debido a las limitaciones temporales y recursos limitados.
  • Además, existe una barrera cultural entre el desarrollo y la seguridad de la información.

Soluciones para abordar los desafíos de seguridad en proyectos ágiles

Resumen de la sección: En esta sección se presentan algunas soluciones para abordar los desafíos mencionados anteriormente. Se destaca la importancia de seguir el ciclo de gestión de seguridad y adaptarlo al desarrollo ágil.

Adaptación del ciclo de gestión de seguridad

  • Se propone seguir el ciclo planificar, hacer, verificar y actuar del proceso de gestión de seguridad.
  • El plan estratégico y los objetivos de control siguen siendo los mismos.
  • Sin embargo, en la fase "hacer" es necesario incluir un experto en seguridad como parte del equipo ágil para traducir los requisitos generales a medidas específicas.
  • También se sugiere proporcionar un esquema o línea base de seguridad para guiar al equipo ágil en la implementación adecuada.

Conclusiones finales

Resumen: En este video se discutieron los desafíos que surgen en relación a la seguridad de la información en proyectos ágiles. Se destacaron las suposiciones erróneas sobre las habilidades del equipo, la falta de tiempo y recursos para pruebas separadas, y las dificultades para identificar y abordar todos los riesgos. Además, se presentaron soluciones como adaptar el ciclo de gestión de seguridad al desarrollo ágil.

Desarrollo ágil y seguridad

Resumen de la sección: En esta sección se discute cómo integrar la seguridad en el proceso de desarrollo ágil. Se menciona la importancia de utilizar bloques de construcción de seguridad existentes para acelerar el proceso de desarrollo y garantizar que se implementen componentes seguros. También se destaca la necesidad de realizar pruebas continuas de seguridad y automatizar los controles de seguridad dentro del equipo de desarrollo ágil.

Integración de bloques de construcción de seguridad

  • Se puede desarrollar un servicio propio de autenticación, pero también es posible utilizar un servicio existente ya probado y seguro.
  • Utilizar bloques de construcción predefinidos para mejorar la seguridad, como gestión de autenticación o certificados SSL.
  • Los bloques blancos deben ser implementados por el equipo ágil, mientras que los bloques grises son servicios ejecutados por expertos en seguridad.

Pruebas continuas y automatización

  • La reducción del tiempo en el desarrollo no permite realizar pruebas tradicionales como las pruebas de penetración planificadas con anticipación.
  • Es necesario realizar monitoreo continuo para verificar si las medidas adecuadas han sido implementadas en el sistema desarrollado.
  • Automatizar las pruebas de seguridad y agregarlas al conjunto existente que se ejecuta todas las noches.

Monitoreo continuo y correcciones rápidas

Resumen de la sección: En esta parte se aborda la importancia del monitoreo continuo y cómo corregir rápidamente las deficiencias encontradas durante este proceso. Se destaca la necesidad de retroalimentar al equipo ágil y agregar los casos de seguridad en el backlog para su implementación en el siguiente ciclo.

Monitoreo continuo y correcciones rápidas

  • Durante el monitoreo continuo se pueden encontrar deficiencias que deben ser corregidas en uno de los ciclos de desarrollo.
  • No es necesario esperar hasta que todo el proyecto esté terminado para implementar mejoras o corregir deficiencias.
  • Agregar casos de seguridad al backlog del equipo ágil asegura que se les dé la prioridad adecuada para su implementación.

Retroalimentación y mejora continua

Resumen de la sección: En esta parte se discute cómo proporcionar retroalimentación sobre problemas de seguridad y mejorar continuamente. Se mencionan dos formas de abordar esto: retroalimentación directa al equipo ágil o retroalimentación a través del ciclo estratégico de seguridad.

Retroalimentación y mejora continua

  • La retroalimentación directa al equipo ágil permite una solución rápida a los problemas específicos del sistema en construcción.
  • La retroalimentación a través del ciclo estratégico de seguridad garantiza mejoras a largo plazo, pero es un proceso más lento.
  • Se debe ayudar activamente al equipo ágil con la seguridad, proporcionando catálogos de servicios y patrones reutilizables para facilitar la implementación adecuada de bloques de construcción seguros.

Automatización y monitoreo continuo

Resumen de la sección: En esta parte se destaca la importancia de automatizar las pruebas de seguridad y realizar un monitoreo continuo para garantizar la seguridad en el desarrollo ágil.

Automatización y monitoreo continuo

  • Las pruebas de seguridad deben ser automatizadas y agregadas al conjunto de pruebas automatizadas del equipo de desarrollo ágil.
  • Durante el monitoreo continuo se pueden encontrar deficiencias que deben ser corregidas rápidamente.
  • El monitoreo continuo independiente del ciclo de desarrollo es esencial para garantizar la seguridad en todo momento.

Conclusiones

Resumen de la sección: En esta parte se presentan las conclusiones finales sobre cómo abordar la seguridad en el desarrollo ágil. Se destaca la importancia de ayudar activamente al equipo ágil con la seguridad, proporcionando catálogos de servicios y patrones reutilizables. También se enfatiza la necesidad de realizar pruebas continuas y corregir rápidamente las deficiencias encontradas durante el monitoreo.

Conclusiones

  • No debemos esperar que el equipo de desarrollo haga toda la seguridad por nosotros, sino que debemos ayudarles activamente.
  • Proporcionar catálogos de servicios y patrones reutilizables facilita la implementación adecuada de bloques de construcción seguros.
  • Realizar pruebas continuas y corregir rápidamente las deficiencias encontradas durante el monitoreo es fundamental para garantizar la seguridad en el desarrollo ágil.

Enfoque de seguridad ágil

Resumen de la sección: En esta sección, se discute la importancia de adoptar un enfoque de seguridad ágil en los proyectos y cómo esto puede afectar las prioridades empresariales y de seguridad.

Importancia del enfoque ágil

  • Es importante aceptar que todo está basado en el riesgo y que las prioridades empresariales pueden superponerse a las prioridades de seguridad.
  • Se necesita ser proactivo y participar desde el inicio en proyectos ágiles.
  • Es fundamental contar con personas que puedan comprender el lenguaje de los desarrolladores y trabajar junto a ellos.

Capacitación en seguridad para desarrolladores

  • Algunas empresas envían a sus desarrolladores a cursos de hacking para que comprendan la perspectiva de seguridad al momento de programar. Esto ayuda a cerrar la brecha entre las culturas de desarrollo y seguridad.
  • La capacitación en hacking puede abrir los ojos del equipo sobre cuánto desconocen sobre seguridad. Ayuda a cambiar la mentalidad y mejorar los conocimientos del equipo.

Evaluaciones periódicas de riesgos

  • Un equipo de desarrollo expresó su interés en realizar evaluaciones periódicas de riesgos al comenzar un proyecto. Sin embargo, solo estaban dispuestos a hacerlo una vez al año, lo cual no es suficiente para garantizar una gestión adecuada del riesgo. Se destaca la importancia de tener una persona especializada en seguridad involucrada en el equipo para traducir los riesgos en medidas efectivas.

Cambios organizacionales en el enfoque ágil de seguridad

Resumen de la sección: En esta sección, se discuten los posibles cambios organizacionales que pueden surgir al adoptar un enfoque ágil de seguridad.

Cambios en roles y perfiles

  • No se observan cambios significativos en las operaciones diarias, ya que aún se requieren las mismas personas y procesos.
  • Sin embargo, en el entorno de desarrollo y proyectos, es necesario contar con personas más técnicamente sofisticadas en seguridad para integrarlas adecuadamente. Se destaca la disminución del rol del arquitecto de seguridad clásico y el aumento de la necesidad de programadores conscientes de la seguridad.
  • El papel del probador de penetración también puede cambiar a medida que se automatizan ciertas verificaciones y pruebas relacionadas con la seguridad.

Respuesta rápida a incidentes de seguridad

Resumen de la sección: En esta sección, se aborda cómo el enfoque ágil puede permitir una respuesta más rápida ante incidentes de seguridad.

Monitoreo continuo y ciclos rápidos

  • La metodología ágil permite un monitoreo continuo y pruebas frecuentes, lo que facilita una respuesta más rápida ante cualquier deficiencia o vulnerabilidad identificada durante el ciclo del proyecto.
  • Una vez finalizado el proyecto y pasado a las operaciones diarias, los procedimientos regulares para manejar incidentes siguen aplicándose.

Cambios posteriores a la adopción del enfoque ágil de seguridad

Resumen de la sección: En esta sección, se discuten los pasos adicionales que pueden ser necesarios después de adoptar el enfoque ágil de seguridad.

Seguimiento y gestión de información

  • Después de cambiar al enfoque ágil de seguridad, es importante realizar un seguimiento adecuado y gestionar la información generada durante el proceso.

Este resumen proporciona una visión general del contenido del video y destaca los puntos clave discutidos sobre el enfoque ágil de seguridad. Se recomienda ver el video completo para obtener más detalles y contexto.

Desarrollo Ágil y Evaluación de Riesgos

Resumen de la Sección: En esta sección, se discute la importancia de adaptar metodologías adecuadas de evaluación de riesgos al modelo ágil. También se menciona la necesidad de seleccionar el enfoque y contexto adecuados para realizar la evaluación en un entorno ágil. Se presenta un ejemplo sobre cómo hacer que la evaluación de riesgos sea más fácil utilizando un modelo de clasificación basado en enclaves.

Adaptando Metodologías de Evaluación de Riesgos al Modelo Ágil

  • La evaluación de riesgos debe adaptarse al modelo ágil.
  • Es importante seleccionar el enfoque y contexto adecuados para realizar la evaluación en un entorno ágil.

Uso del Modelo de Clasificación por Enclaves

  • Se utiliza un modelo de clasificación basado en enclaves.
  • Un enclave es un grupo de sistemas similares o ubicados en una parte similar de la red con requisitos y vulnerabilidades similares.
  • Este modelo facilita la clasificación y está vinculado a conjuntos predefinidos de bloques constructivos para implementar medidas básicas de seguridad.

Beneficios del Uso de Bloques Constructivos Seguros

  • El uso de bloques constructivos seguros reduce los incidentes relacionados con seguridad.
  • Construir soluciones seguras utilizando bloques predefinidos, probados y asegurados es ideal a largo plazo.

Creando un Catálogo Seguro con Bloques Constructivos

  • Durante proyectos ágiles, se pueden desarrollar bloques constructivos para gestionarlos desde un repositorio de catálogo de seguridad.
  • El uso de bloques constructivos seguros reduce el número de incidentes relacionados con seguridad.

Próximos Webinars y Cierre

Resumen de la Sección: En esta sección, se invita a los asistentes a participar en futuros webinars y se proporciona información sobre un próximo webinar titulado "16 pasos en la implementación ISO 27001". Se anima a los espectadores a visitar el sitio web para registrarse en futuros webinars.

Próximos Webinars

  • Invitación a participar en futuros webinars.
  • Próximo webinar: "16 pasos en la implementación ISO 27001".
  • Los espectadores pueden visitar el sitio web para registrarse en futuros webinars.
Video description

More and more systems are being developed using an agile approach. Benefits are that the time-to-market of a new feature can be short, and that in complex projects it reduces the impact of changes. No wonder that Agile is popular with the business owners. Classic information security, using classic top-down frameworks, however has trouble keeping up with this agile way of system development. How can we change this? This presentation explores ways in which information security can be adequately addressed in an agile environment. It starts at the basis of the security management process, and advises new ways of working with respect to agile development in order to reach the ultimate goal: an environment with systems at acceptable risk. Main points covered: • Agile development from a security viewpoint (what are the major aspects of agile that have an impact on management of information security?) • Why does ISO 27001 not fit properly in agile development? • How to perform agile security management (a new use of the PDCA cycle)? • Conclusions and recommendations Presenters: This webinar was presented by Arthur Donkers and Pascal de Koning. Arthur Donkers (arthur@1secure.nl): Is qualified as an Information Security, and Technology professional; he is a Critical Security Architect and certified PECB Trainer for ISO 27001, 27005, 31000. Arthur is convinced that Information Security is a means to an end, not a purpose in itself. Pascal de Koning p.de.koning@i-to-i.nl Is qualified as an Information Security professional and Cybersecurity with a wide experience as a consultant. Among many, he holds a CISSP qualification and currently working as a Chairman of Security Services at The Open Group and SABSA Institute. Date: May 25, 2016 Organizer: Gezim Zeneli Slides of the webinar: http://bit.ly/1OZgPYw ------------------------------------------------------------------------------- Find out more about Information Security: Trainings: https://www.pecb.com/iso-iec-27001-lead-implementer https://www.pecb.com/iso--iec27001-lead-auditor Webinars: https://www.pecb.com/webinars Article: https://www.pecb.com/article/how-to-apply-proper-risk-management-methodology-on-information-security Whitepaper: https://pecb.com/pdf/whitepapers/pecb-whitepaper_iso-31000.pdf https://www.pecb.com/whitepaper/iso-27001-information-technology--security-techniques-information-security--management-systems---requirements Video: https://youtu.be/N5KczJVdmpg ------------------------------------------------------------------------------- For more information about PECB: Website: https://pecb.com/ LinkedIn: https://www.linkedin.com/company/pecb/ Google +: https://plus.google.com/+PECB Facebook: https://www.facebook.com/PECBInternational/ YouTube: https://www.youtube.com/PECB Slideshare: http://www.slideshare.net/PECBCERTIFICATION