SECDSGNILTCiberseguridad
    Security by Design - Taller Intensivo

    Security by Design - Taller Intensivo

    8 horas Presencial-Remoto

    Descripción

    La seguridad construida en los cimientos, no añadida al final. Modelado de amenazas y decisiones de diseño que evitan la vulnerabilidad antes de escribirla.

    Objetivos

    • Incorporar la seguridad como criterio de diseño, no como una revisión final.
    • Modelar amenazas sobre una arquitectura real.
    • Reconocer los patrones de diseño que cierran clases enteras de vulnerabilidad.
    • Justificar ante negocio por qué corregir tarde sale caro.

    Audiencia

    Arquitectos, desarrolladores senior y responsables técnicos que toman decisiones de diseño.

    Prerrequisitos

    Experiencia diseñando o construyendo software. No hace falta ser especialista en seguridad.

    Temario

    Bienvenidos a este taller intensivo sobre Security by Design, diseñado para desarrolladores, arquitectos de software, responsables de ciberseguridad y profesionales técnicos que participan en el diseño y desarrollo de soluciones tecnológicas.


    Durante esta jornada completa, aprenderemos a integrar la seguridad desde las fases iniciales del desarrollo, conoceremos técnicas y herramientas para identificar y mitigar riesgos, y aplicaremos buenas prácticas de diseño seguro en arquitectura y desarrollo.


    Objetivos del Curso


    Comprender los principios fundamentales

    Entender en profundidad el enfoque "Security by Design" y su importancia en el ciclo de desarrollo.


    Integrar seguridad desde el inicio

    Aprender a incorporar consideraciones de seguridad desde las primeras fases del desarrollo de software.


    Dominar técnicas y herramientas

    Conocer y aplicar metodologías para identificar vulnerabilidades y mitigar riesgos de seguridad de forma efectiva.


    Aplicar buenas prácticas

    Implementar patrones de diseño seguro en la arquitectura y desarrollo de soluciones tecnológicas.


    Fundamentos de Security by Design


    Fallos seguros por defecto

    Sistemas que fallan de forma segura


    Defensa en profundidad

    Múltiples capas de protección


    Principio de mínimo privilegio

    Acceso limitado a lo necesario


    Estos principios fundamentales constituyen la base del enfoque Security by Design. El principio de mínimo privilegio garantiza que cada componente tenga acceso únicamente a los recursos que necesita. La defensa en profundidad establece múltiples capas de seguridad para proteger los sistemas. Los fallos seguros por defecto aseguran que, ante cualquier error, el sistema mantenga un estado seguro.


    Casos Reales: Lecciones Aprendidas


    Caso Equifax (2017)

    Una vulnerabilidad no parcheada en Apache Struts provocó la exposición de datos personales de más de 147 millones de personas.


    Caso Uber (2016)

    Credenciales de AWS subidas por error a GitHub permitieron el acceso completo a backups sin controles adecuados.


    Seguridad en el Ciclo de Vida del Desarrollo


    Planificación

    Definir requisitos de seguridad


    Diseño

    Modelado de amenazas


    Desarrollo

    Prácticas de codificación segura


    Pruebas

    Análisis de vulnerabilidades


    Despliegue

    Configuración segura


    La seguridad debe ser parte integral de todo el proceso de desarrollo, no un añadido posterior. Este enfoque moderno contrasta con el tradicional, donde la seguridad se consideraba solo al final. Las decisiones inseguras tomadas en etapas tempranas son difíciles y costosas de corregir más adelante.


    Requisitos de Seguridad desde el Inicio


    Definición Explícita

    Establecer requisitos de seguridad como parte integral de los requisitos funcionales, no como un apartado separado o posterior.


    Ejemplo Práctico

    Historia de usuario: "Como usuario quiero subir una imagen"


    Beneficios

    La inclusión temprana de requisitos de seguridad reduce significativamente el coste y esfuerzo de implementación.


    Seguridad en Metodologías Ágiles y DevSecOps


    Security Champions

    Miembros del equipo con conocimientos de seguridad


    Tareas de Seguridad

    Incluidas en cada sprint


    Automatización

    Controles en pipelines CI/CD


    Políticas Claras

    Control de versiones y configuración segura


    Las metodologías ágiles presentan retos específicos para la seguridad, como las iteraciones rápidas donde los aspectos de seguridad pueden ser olvidados, o la falta de conocimiento especializado dentro del equipo. El enfoque DevSecOps busca integrar la seguridad de forma natural en los procesos de desarrollo y operaciones.


    Herramientas de Análisis y Automatización


    SAST

    Análisis estático de código fuente sin ejecución. Herramientas: SonarQube, Semgrep, Checkmarx.


    DAST

    Pruebas en aplicaciones en ejecución. Detecta fallos como XSS, SQLi. Herramientas: OWASP ZAP, Burp Suite.


    SCA

    Análisis de dependencias de terceros. Herramientas: Snyk, Dependency-Check, OWASP Dependency Track.


    RASP

    Protección de aplicaciones en tiempo de ejecución. Monitorea y bloquea ataques en tiempo real.


    Diseño Seguro de Arquitecturas


    Threat Modeling

    Identificación sistemática de amenazas


    Diagramas de Flujo de Datos

    Representación visual de componentes y flujos


    Patrones de Arquitectura Segura

    Implementación de diseños probados


    El Threat Modeling es una técnica sistemática para identificar, categorizar y mitigar amenazas en una arquitectura antes de su implementación. Los beneficios incluyen la prevención en lugar de corrección, mejora en la calidad del diseño y la posibilidad de priorizar medidas de seguridad con base técnica. Entre los métodos más conocidos están STRIDE, PASTA, LINDDUN y OCTAVE.


    Técnica STRIDE para Análisis de Amenazas


    Amenaza


    Riesgo asociado


    Spoofing


    Suplantación de identidad


    Tampering


    Alteración de datos


    Repudiation


    Denegación de acciones


    Information Disclosure


    Fugas de información


    Denial of Service


    Interrupción de servicios


    Elevation of Privilege


    Escalada de privilegios


    La técnica STRIDE permite analizar sistemáticamente cada componente del sistema para identificar posibles amenazas. Para cada elemento, se evalúan los seis tipos de amenazas y se generan escenarios de ataque potenciales. Posteriormente, estas amenazas se priorizan utilizando modelos como DREAD o matrices de impacto/probabilidad.


    Diagramas de Flujo de Datos y Zonas de Confianza


    Elementos del DFD

    Los Diagramas de Flujo de Datos (DFD) representan entidades externas, procesos, almacenes de datos y flujos entre componentes, facilitando el análisis con STRIDE.


    Zonas de Confianza

    Las zonas de confianza (trust boundaries) separan niveles de confianza entre componentes y ayudan a identificar dónde aplicar controles adicionales como firewalls, validaciones o autenticación.


    Aplicación Práctica

    El análisis de un sistema web sencillo (login, base de datos, API externa) mediante DFD permite identificar puntos críticos donde implementar controles de seguridad.


    Seguridad en el Desarrollo


    Validación de Entradas

    Toda entrada es potencialmente maliciosa. Validar siempre en servidor, nunca confiar en datos del cliente. Implementar validaciones específicas por tipo, rango y listas blancas. Escapar o sanear inputs según el contexto (HTML, SQL, comandos).


    Autenticación y Autorización

    Utilizar estándares modernos como OAuth2, OIDC o JWT con expiración. Implementar mecanismos de expiración y revocación de sesiones. Evitar tokens persistentes sin rotación y proteger contra ataques de sesión fijada o secuestro.


    Protección de Datos Sensibles

    Usar variables de entorno para secretos. Implementar encriptación en reposo y en tránsito. Nunca subir archivos .env o con claves a repositorios. Utilizar gestores de secretos como AWS Secrets Manager, Vault o Doppler.


    Revisiones y Pruebas de Seguridad


    Revisión de Código

    Utilizar checklists de revisión segura como OWASP Code Review Guide. Buscar validación insuficiente de entradas, problemas de autenticación, mal uso de funciones criptográficas y secretos expuestos.


    Automatización

    Integrar pruebas SAST, DAST y SCA en pipelines de CI/CD. Configurar ejecución automática tras pull requests o despliegues para reducir errores humanos.


    Testing de APIs

    Realizar pruebas funcionales con validación de seguridad, tests de abuso de API y escenarios comunes como autenticación rota o exposición de datos.


    Herramientas

    Utilizar linters con reglas de seguridad, escáneres de vulnerabilidades como SonarQube y frameworks para seguridad automatizada como ZAP Baseline Scan.


    Checklist de Seguridad y Conclusiones


    Requisitos de Seguridad

    ¿Están definidos desde la fase inicial del proyecto?


    Modelo de Amenazas

    ¿Existe documentación STRIDE u otra metodología?


    Principios Básicos

    ¿Se aplican mínimo privilegio y separación de responsabilidades?


    Monitoreo

    ¿Existen mecanismos de logging y alertas desde el diseño?


    Recuerda que la seguridad no es una fase, sino un enfoque transversal. Las decisiones arquitectónicas tienen impacto directo en la seguridad del sistema. Como dice el refrán: una cadena es tan fuerte como el más débil de sus eslabones.


    La seguridad en el frontend es usabilidad, no seguridad real. Las herramientas automatizadas ayudan, pero no reemplazan el juicio técnico. El modelo de amenazas es una herramienta viva y útil para cualquier equipo de desarrollo.

    ¿Prefieres hablar con una persona?934 094 040

    Preguntas frecuentes

    ¿Cuánto dura el curso Security by Design - Taller Intensivo?

    El curso tiene una duración de 8.

    ¿En qué modalidad se imparte el curso?

    Se imparte en modalidad presencial. Consulta el calendario de convocatorias en la ficha del curso.

    ¿Este curso es bonificable a través de FUNDAE?

    La formación de SINENSIA IT SOLUTIONS para trabajadores en activo puede bonificarse a través de FUNDAE. Gestionamos los trámites de bonificación para tu empresa; contáctanos para más información.

    ¿Qué requisitos previos necesito?

    Experiencia diseñando o construyendo software. No hace falta ser especialista en seguridad.

    ¿A quién va dirigido el curso?

    Arquitectos, desarrolladores senior y responsables técnicos que toman decisiones de diseño.

    Related courses

    We transform companies through technology, security and specialized training. Your trusted partner in the digital era.

    Services

    Company

    © 2026 Sinensia. All rights reserved.