Guía de prácticas de seguridad para un marco ágil de desarrollo.

Con el rápido crecimiento y las ventajas ofrecidas por las metodologías ágiles, Empresas Públicas de Medellín (EPM) empezó a adoptarlas para el desarrollo de software en la empresa, basándose principalmente en Scrum. A su vez EPM tenía definidas políticas y lineamientos para el desarrollo seguro de software, con el fin de tener aplicaciones seguras y minimizar de manera temprana la inyección de posibles vulnerabilidades en el software desarrollado. Buscando brindar entornos seguros a sus usuarios EPM implementó mecanismos de control de seguridad a varios de sus procesos, uno de estos controles son las pruebas de seguridad automatizadas antes de cada despliegue a producción. Los resultados de estas pruebas han mostrado que a pesar de las definiciones de seguridad los desarrollos que están a punto de pasar a producción presentan vulnerabilidades de criticidad media y alta. Las consecuencias de este tipo de vulnerabilidades es que se debe impedir el despliegue en producción de los desarrollos, generando impactos financieros (Correcciones al final del ciclo) para los distintos negocios que los han solicitado, también impidiendo que se pueda contar con los desarrollos en las fechas esperadas. Debido a que los lineamientos y políticas de desarrollo seguro fueron diseñadas pensando en metodologías de desarrollo tradicionales y no tuvieron en cuenta las metodologías ágiles. En este trabajo se plantea una guía que incluye prácticas de seguridad que pueden ser utilizadas dentro del marco ágil de desarrollo de EPM y que aportan al cumplimento de los lineamientos y políticas de seguridad definidos. Para la realización de la guía se consultaron las distintas políticas y lineamientos de seguridad de EPM para extraer las prácticas que aplicaban para el desarrollo de software seguro. Luego a través de encuestas se identificaron los impedimentos para que estos lineamientos y políticas se aplicaran en EPM. Con los impedimentos claros se realizó una revisión bibliográfica de otros posibles impedimentos que se pudieran identificar, así mismo se buscaron prácticas de seguridad para metodologías ágiles que ayudaran a remover los impedimentos encontrados. Finalmente se evaluaron las prácticas identificadas buscando las que más se ajustaran a las necesidades y realidades de EPM, generando como resultado una guía para la utilización de estas prácticas en la metodología de desarrollo ágil de EPM.