You are on page 1of 25

Integrantes:

Mary Bermeo Michael Freire Santiago Medina

La seguridad es un elemento de primer nivel que entra en juego desde la concepcin inicial de un sistema y participa desde un principio en las decisiones de diseo. Los requisitos de seguridad deben considerarse explcitamente durante todo el proceso de desarrollo, lo que da lugar a la inclusin de fases o actividad dedicadas a la seguridad

Su objetivo principal es mantener las tres caractersticas primordiales de la informacin: Confidencialidad Integridad Disponibilidad

Las medidas de seguridad suelen centrarse principalmente en la eliminacin o reduccin de las vulnerabilidades del sistema

Atendiendo a la forma de actuacin, las medidas de seguridad pueden ser: De Prevencin De Detencin De Correccin

Las principales medidas de seguridad aplicadas al mbito de desarrollo son la de carcter preventivo en particular de tipo tcnico/admistrativo .

Entre las medias de seguridad de carcter tcnico se encuentran:


Identificacin y autenticacin de usuarios. Control de accesos. Control de flujo en la informacin. Confidencialidad. Integridad. No repudio. Notorizacin . Auditoria.

Entre las medidas administrativas tenemos los siguientes mecanismos de proteccin: Autenticacin Control de acceso Cifrado de datos Funciones de resumen Firma digital Registro de auditoria

Se debe diferenciar las polticas de los mecanismos de seguridad. Las polticas definen qu hay que hacer (qu datos y recursos deben protegerse de quin; es un problema de administracin). Los mecanismos determinan cmo hay que hacerlo. Esta separacin es importante en trminos de flexibilidad, puesto que las polticas pueden variar en el tiempo y de una organizacin a otra.

Se dice que un sistema es confiable con respecto a una determina poltica de seguridad si ofrecen mecanismos de proteccin capases de cumplir con los requisitos de seguridad impuestos por dicha poltica.

La experiencia en el desarrollo de mecanismos de seguridad relacionado con el control de acceso a dado lugar a los siguientes criterios de diseo:

Abstraccin de datos. Privilegios mnimos. Separacin de privilegios. Separacin de administracin y acceso. Autorizaciones positivas y negativas. Delegacin de privilegios.

Transacciones bien formadas. Autenticacin. Comparticin mnima. Diseo abierto. Exigencias de permiso. Intermediacin completa. Mecanismos econmicos. Sencillez de uso. Aceptabilidad.

Es un mecanismo abstracto que permite poner en practica una determinada poltica e seguridad. En relacin con el control de acceso tenemos los siguientes estndares:

MAC (Mandatory Access Control) DAC (Discretionary Access Control)

Una alternativa a estos modelos es el control de acceso basado en roles (RBAC)

MAC es un sistema centralizado, en el cual las decisiones de seguridad no recaen en el propietario de un objeto y es el sistema el que fuerza el cumplimiento de las polticas por encima de las decisiones de los sujetos, adems de permitir una granularidad y control mayores. Desde el punto de vista de la seguridad, MAC es ms completo que DAC

Es una forma de acceso a recursos basada en los propietarios y grupos a los que pertenece un objeto. Se dice que es discrecional en el sentido de que un sujeto puede transmitir sus permisos a otro sujeto. La mayora de sistemas Linux ahora mismo usan este tipo de acceso, estando los permisos orquestados por grupos y usuarios, pudiendo un usuario normal cambiar los permisos de los archivos que posee con el comando chmod.

Trata de definir los permisos basndose en los roles establecidos en la organizacin, para luego asociar adecuadamente a los usuarios con los roles que tengan derecho a ejercer. Se dice que RBAC es neutral con respecto a la poltica, ya que permite modelar otros modelos previos, que han demostrado limitaciones, como son DAC y MAC.

Este estndar fue aceptado por ANSI y publicado en febrero de 2004 bajo el cdigo ANSI INCITS 359-2004. Tiene dos grandes bloques: El modelo de referencia RBAC: describe sus elementos y sus relaciones. Especificaciones funcionales administrativas y del sistema RBAC: define las caractersticas requeridas para un sistema RBAC

El modelo de referencia RBAC se define en trminos de tres componentes: Ncleo de RBAC: recoge los elementos mnimos, roles, usuarios, permisos, sesiones. RBAC Jerrquico: aade relaciones para soportar jerarqua de errores. RBAC con restricciones: ofrece un mecanismo que da soporte al principio de separacin de privilegio, la cual pude ser esttica o dinmica.

ISO 9126-1 Calidad de uso Seguridad

Formas de diagnostico de seguridad.


Evaluacin de Vulnerabilidades. Pruebas de Penetracin. Auditoria de Seguridad.

Busca determinar las fallas de seguridad de un sistema. Produce reportes de tipo, cantidad y grado de dichas fallas. Permite establecer es status de seguridad en un momento determinado, aunque sin referirse a estndares especficos. Permite tomar medidas preventivas para evita que las fallas sean aprovechadas por un hacker.

Google libera herramienta de uso interno.

Permite detectar vulnerabilidades en las aplicaciones web. Es compatible con Linux, Mac y Windows y puede ser descargada desde el sitio de Google. Su finalidad es detectar agujeros de seguridad en aplicaciones web.

Nikto2:
Es de cdigo abierto. Permite llevar a cabo pruebas exhaustivas de los servidores web para varios artculos. Los plugins se actualizan con frecuencia y se

puede actualizar de forma automtica.

Lder mundial en escneres activos de vulnerabilidad. Con alta velocidad de descubrimiento, la auditora de configuracin, el perfil activo, el descubrimiento de los datos sensibles y anlisis de la vulnerabilidad de su seguridad. Se pueden distribuir a lo largo de toda una empresa, dentro y a travs de redes separadas fsicamente.

Para determinar si el Sitio Web, cumple con las caractersticas de Seguridad


Nro.
CONCEPTOS DE SEGURIDAD
SI CUMPLE NO

El Sitio funciona correctamente y no presenta fallas al navegar por sus pginas o utilizar sus 1 servicios? (especialmente en el caso de Trmites en lnea) Los datos ingresados por un usuario a travs de formularios, son validados antes de ser enviados y 2 procesados por el servidor del Sitio? Todos los vnculos del Sitio tienen una pgina asociada y el contenido adecuado al vnculo 3 sealado? Frente a una bsqueda dentro del Sitio o cualquier operacin en el mismo los resultados se 4 muestran correctamente? Los datos privados, entregados voluntariamente por los usuarios, son guardados de manera 5 reservada? Se ofrece una Poltica de Privacidad de los Datos Personales y se informa de su existencia en las 6 pginas pertinentes? 7 Los servicios ofrecidos son realizados a travs de canales de transaccin seguros? En los temas que requieren de accesos restringidos, el Sitio provee algn medio para validar el acceso, por ejemplo: a travs de una caja de conexin con nombre de usuario y password?

La poltica de seguridad implementada para validar el acceso restringido es adecuada a los 9 propsitos del servicio o de l2a institucin? 10 Protege la integridad de sus programas y datos? 11 Se evita que sea visto, el nombre de los programas y los directorios? 12 Se cuenta con un protocolo de seguridad para evitar ataques externos e intrusiones de hackers?

Se cuenta con una poltica de respaldo de informacin que permita superar efectos de fallas 13 derivadas del punto anterior?

La

informacin condiciones operativas.

o Sin problemas. o Sin encontrar fallas. o Faltas.


Responsabilidad

del prestador del servicio deber tener un plan de soluciones y un mantenimiento preventivo. Si es una pagina para realizar transacciones debern tomar medidas para proteger a los datos.

La

prevencin es la mejor medicina. Se debe mantener la seguridad de los archivos de datos de tal forma que solo las personas correctas puedan verlos. El protocolo SSL permite la transmitir informacin de forma segura. La W3C1 y organizaciones como OASIS, entre otras, han propuesto estndares de polticas de seguridad y control de acceso que garanticen una infraestructura, en lo posible segura para Web Services y Web Semntica.

Preguntas?

You might also like