Día 2: Informática forense y un modelo de madurez para el desarrollo de software seguro (OpenSAMM), Charlas sobre seguridad, auditoría y peritaje informático

02 de diciembre, 2014

El día 26 de Noviembre se efectuó la segunda actividad del Ciclo de Charlas sobre Seguridad, Auditoría y Peritaje Informático del DIINF. Se espera difundir tópicos específicos sobre la temática, a la vez que discutir sobre los desafíos que enfrenta Chile en estos aspectos. “Se ha tenido un buen número de asistentes a las charlas. Esperamos que los participantes se interesen en nuestros programas de postgrado y educación continua, los cuales tienen cursos y asignaturas en la linea de lo visto en las charlas.” indica el Mg. Juan Iturbe, Director del Magíster en Seguridad, Auditoría y Peritaje en Procesos Informáticos.

En la primera charla, se tuvo a Felipe Sánchez, Ingeniero de Ejecución en Computación e Informática de la Universidad de Santiago de Chile y profesor del Diplomado en Peritaje Informático del Departamento de Ingeniería Informática de la Universidad de Santiago. Actualmente se desempeña como Perito Informático Privado y Consultor en Investigaciones Corporativas a través de su empresa Forensic and Cybercrime Investigation (www.fci.cl) y es alumno del Magíster en Seguridad, Peritaje y Auditoría en Procesos Informáticos. En la segunda charla se tuvo a Carlos Allendes, Ingeniero Civil Informático de la Universidad de Santiago de Chile con amplia trayectoria en gestión de equipos de trabajo. Liderazgo en proyectos de acreditación PCI-DSS, evaluación CMMi, implementación de procesos ITIL, ISO.27001 y PMO, para grandes empresas del segmento retail, banca y telecomunicaciones. Presidente del capítulo chileno de OWASP hace más de 4 años.

La charla de Felipe Sánchez trató sobre “Informática forense: Recopilación y Preservación de Evidencia Digital”. Primero, hizo una revisión de la legislación actual que el perito informático tiene que tener en cuenta a la hora de ejecutar su trabajo, para luego presentar un conjunto de casos en que se aplicó ésta legislación a personas que usaron herramientas informáticas para cometer sabotaje o espionaje. Luego se revisaron los pasos metodológicos -según la ISO 27037- que un perito informático tiene que realizar para convertir indicios en evidencias y luego en pruebas admisibles en un juicio. También presentó algunos datos interesantes, por ejemplo que el 35% de la perdida de información es interna y 17% es por la acción de hackers externos a la organización. A modo de ilustración, contó un peritaje que realizaron el último año en donde un empleado de una empresa se robo una planilla Excel con información confidencial y se fue a la competencia con el triple del sueldo. En este caso, Felipe como perito informático y de manera consistente con las metodologías planteadas, obtuvo pruebas para que la empresa perjudicada, pudiera ir a juicio con fundamentos. Durante la charla, los participantes hicieron muchas preguntas, por lo que se generó un rico debate de ideas y experiencias.

Después de un coffee-break, se tuvo la charla de Carlos Allendes la cual tituló “OpenSAMM un Modelo de Madurez de Procesos para Desarrollo Seguro de Software”. En ella primeramente introduce el proyecto abierto de seguridad de aplicaciones web, OWASP (del inglés Open Web Application Security Project), este proyecto esta constituido de decenas de subproyectos, dentro de los cuales, el mas conocido es el TOP 10 de OWASP, en el cual se indican las principales diez vulnerabilidades mas riesgosas a la hora de desarrollar una aplicación web. Luego, se presento el OpenSAMM un modelo, originalmente conocido como SAMM (Software Assurance Maturity Model), que puede ayudar a las organizaciones a formular e implementar estrategias para la seguridad del software que se adapte a los riesgos específicos de la organización. Con este modelo se puede evaluar las prácticas de desarrollo seguro existentes en la organización, construir programas de seguridad de software en iteraciones bien definidas, demostrar mejoras concretas al desarrollar un programa de seguridad, definir y medir las actividades relacionadas con seguridad. Se presentan varias empresas y estándares que hacen referencia a los proyectos de OWASP, entre ellas se tiene Visa, PCI-DSS, US DefenseInformation System Agency, entre otras. Se hace la analogía entre Cmmi y OpenSamm, se detalla en que consiste el modelo y luego se procedió a una ronda de preguntas y respuestas con los asistentes.

El nivel de las charlas ha sido excelente, por lo que se invita a los interesados, el día 10 de Diciembre, para que asistan a las últimas charlas del ciclo:

  • Protegiendo nuestra información: Técnicas de “Ethical Hacking”. Waldo Gomez, Grupo RedInfo. Profesor de los diplomados DIINF.
  • Seguridad en el Ciclo de Desarrollo. Alejandro Johannes M.- Vice president Capítulo Chileno OWASP, empresa Business Advisor

Solicitar inscripción vía correo electrónico a y

¡Los esperamos!