SECDSGNILTSeguridad Informática
Security by Design - Taller Intensivo
12 Presencial-Remoto
Descripción
Este curso intensivo tiene como objetivo proporcionar a los participantes un conocimiento profundo y práctico sobre cómo integrar la seguridad en el diseño de sistemas desde el inicio del ciclo de desarrollo, con un enfoque en la prevención de vulnerabilidades y amenazas desde la fase de planificación hasta la implementación.
Objetivos
• Comprender los principios fundamentales del enfoque "Security by Design".
• Aprender a integrar la seguridad desde las fases iniciales del desarrollo.
• Conocer técnicas y herramientas para identificar y mitigar riesgos de seguridad.
• Aplicar buenas prácticas y patrones de diseño seguro en arquitectura y desarrollo.
• Capacitar para identificar vulnerabilidades comunes y abordarlas desde el diseño.
• Aprender a integrar la seguridad desde las fases iniciales del desarrollo.
• Conocer técnicas y herramientas para identificar y mitigar riesgos de seguridad.
• Aplicar buenas prácticas y patrones de diseño seguro en arquitectura y desarrollo.
• Capacitar para identificar vulnerabilidades comunes y abordarlas desde el diseño.
Audiencia
Curso dirigido a desarrolladores, arquitectos de software, responsables de ciberseguridad y profesionales técnicos que participen en el diseño y desarrollo de soluciones tecnológicas. También adecuado para equipos de DevOps o QA con interés en la integración de la seguridad desde fases tempranas del ciclo de vida.
Prerrequisitos
• Conocimientos de programación/desarrollo de aplicaciones.
• Familiaridad con Git.
• Familiaridad con Git.
Temario
**Bloque 1: Introducción y fundamentos**
• Qué es Security by Design.
• Principios fundamentales: mínimo privilegio, defensa en profundidad, fallos seguros por defecto.
• Casos reales de diseño inseguro: Equifax y Uber.
• Usable Security: seguridad sin sacrificar experiencia de usuario.
**Bloque 2: Seguridad en el ciclo de vida del desarrollo**
• Integración de seguridad en cada fase del SDLC.
• Establecimiento de requisitos de seguridad.
• Seguridad en metodologías ágiles y DevSecOps.
• Automatización con herramientas SAST, DAST, SCA, etc.
**Bloque 3: Diseño seguro de arquitecturas**
• Introducción al Threat Modeling.
• Uso de STRIDE como técnica de análisis.
• Diagramas de flujo de datos (DFD) y zonas de confianza.
• Patrones comunes de arquitectura segura.
**Bloque 4: Seguridad en el desarrollo**
• Validación de entradas y tratamiento de errores.
• Autenticación, autorización y gestión de sesiones.
- Buenas prácticas modernas (OAuth2, OIDC, JWT, expiración, revocación).
- Consideraciones de seguridad en CORS.
• Protección de datos sensibles y gestión de secretos.
• Prevención de vulnerabilidades OWASP Top 10.
**Bloque 5: Revisiones y pruebas de seguridad**
• Revisión de código orientada a la seguridad.
• Automatización de pruebas de seguridad en CI/CD.
• Testing de APIs, servicios y aplicaciones web.
• Herramientas útiles: linters, escáneres y frameworks.
**Bloque 6: Taller práctico y cierre**
• Ejercicio guiado: análisis de fallos en diseño inseguro.
• Checklist de seguridad en el diseño.
• Conclusiones y buenas prácticas clave.
• Turno de preguntas y debate final.
• Qué es Security by Design.
• Principios fundamentales: mínimo privilegio, defensa en profundidad, fallos seguros por defecto.
• Casos reales de diseño inseguro: Equifax y Uber.
• Usable Security: seguridad sin sacrificar experiencia de usuario.
**Bloque 2: Seguridad en el ciclo de vida del desarrollo**
• Integración de seguridad en cada fase del SDLC.
• Establecimiento de requisitos de seguridad.
• Seguridad en metodologías ágiles y DevSecOps.
• Automatización con herramientas SAST, DAST, SCA, etc.
**Bloque 3: Diseño seguro de arquitecturas**
• Introducción al Threat Modeling.
• Uso de STRIDE como técnica de análisis.
• Diagramas de flujo de datos (DFD) y zonas de confianza.
• Patrones comunes de arquitectura segura.
**Bloque 4: Seguridad en el desarrollo**
• Validación de entradas y tratamiento de errores.
• Autenticación, autorización y gestión de sesiones.
- Buenas prácticas modernas (OAuth2, OIDC, JWT, expiración, revocación).
- Consideraciones de seguridad en CORS.
• Protección de datos sensibles y gestión de secretos.
• Prevención de vulnerabilidades OWASP Top 10.
**Bloque 5: Revisiones y pruebas de seguridad**
• Revisión de código orientada a la seguridad.
• Automatización de pruebas de seguridad en CI/CD.
• Testing de APIs, servicios y aplicaciones web.
• Herramientas útiles: linters, escáneres y frameworks.
**Bloque 6: Taller práctico y cierre**
• Ejercicio guiado: análisis de fallos en diseño inseguro.
• Checklist de seguridad en el diseño.
• Conclusiones y buenas prácticas clave.
• Turno de preguntas y debate final.