escuela militar de ingeniería ingeniería de sistemasra089053/pdf/6graduacion.pdf · 4.2...

Escuela Militar de IngenieríaIngeniería de Sistemas

Diapositiva Nº 1

Desarrollo de una Aplicación para Administraciónde Firmas y Certificados Digitales

Caso: Superintendencia de Telecomunicaciones

Postulante: Marcelo Palma Salas

Desarrollo y Aplicación de Firmas y Certificados Digitales


Esquema General del Desarrollo del Proyecto de Grad o

CAPÍTULO 1: GENERALIDADE

1.1 Introducción

Antecedentes

1.2 Planteamiento del Problema

1.3 Objetivos

1.4 Hipótesis

1.5 Justificación

1.6 Alcances y

Aportes

1.7 Técnicas y Métodos

CAPÍTULO 2: MARCOREFERENCIA

2.1 Superintendencia de Telecomunicaciones

2.2 Antecedentes Legislativos

CAPÍTULO 3: MARCOTEÓRICO

3.1 Criptografía y Seguridad de Sistemas

3.2 Ingeniería de Software

3.3 Auditoria de Sistemas de Seguridad

CAPÍTULO 4: FACTIBLIDAD DEL PROYECTO

4.1 Factibilidad Técnica

4.2 Factibilidad Operativa

Índice de FCD

Diapositiva Nº 2

2.3 Antecedentes Normativos3.3 Auditoria de Sistemas de Seguridad 4.3 Factibilidad Económica

CAPÍTULO 5: INGENIERÍA DEL PROYECTO

5.1 Auditoria a la Gestión de Seguridad de las Tecn ologías de Información

5.2 Desarrollo del Proyecto de Software de FCD

5.3 Modelo Lineal Secuencial para la FCD

CAPÍTULO 6: GARANTÍA DE CALIDAD DE SOFTWARE

6.1 Prueba y Mantenimiento para la FCD

6.2 Análisis de Beneficio

6.3 Análisis de Costo - Beneficio

CAPÍTULO 7: CONCLUSIONES Y RECOMENDACIONES

7.1 Conclusiones

7.2 Recomendaciones

EXPLICACIÓN DEL SOFTWARE PARA ADMINISTRACIÓN DE FIRMAS Y CERTIFICADOS

DIGITALES



CAPÍTULO 1. GENERALIDADES

INTRODUCCIÓNFigura: La seguridad en la

Transferencia de la Información

Figura: La seguridad en laTransferencia de la Información

Figura: Firma Manuscrita

Figura: Firma Manuscrita

Figura: BoliviaFigura: Bolivia

Índice de FCD

Diapositiva Nº 3Fuente: Conferencia Internacional “Echelon ylos Sistemas de Espionaje Global Electrónico”

Fuente: Conferencia Internacional “Echelon ylos Sistemas de Espionaje Global Electrónico”

Fuente: Microsoft Company






SUPERINTENDENCIA DE TELECOMUNICACIONES (SITTEL)

TITULOS• SITTEL• OBJETIVO DE

Índice de FCD

Diapositiva Nº 4Fuente: Elaboración Propia

• OBJETIVO DE SITTEL

• TAREAS REGULATORIAS DE SITTEL

• LA ORGANIZACIÓN DE SITTEL

• JEFATURA DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN



Descripción del Objeto de EstudioProblemas:

Ataques

organizativos Atacantes

Índice de FCD

Diapositiva Nº 5

Errores de conexión

Datos

restringidos

Infracciones

accidentales

de la seguridad

Ataques

automatizados

Virus,

caballos de

Troya

y gusanos

Denegación de

servicio (DoS)

DoS

Fuente: Microsoft Corporation



Planteamiento del Problema

EFECTO

Índice de FCD

Diapositiva Nº 6

Fuente: Elaboración Propia

CAUSA



Objetivos

Índice de FCD

Diapositiva Nº 7




Matriz de ConsistenciaTÍTULO

“Desarrollo de una Aplicación para la Administració n de Firmas y Certificados Digitales Caso: Superintendencia de Telecomunicacio nes”

PROBLEMA CENTRALSITTEL cuenta con un nivel deseguridad informática susceptible amejoras tomando en cuenta el

OBJETIVO GENERALContribuir a la seguridad dela Información en SITTEL através del desarrollo de

HIPÓTESISLa aplicación de firmas ycertificados digitales acorde a laNorma Boliviana ISO-IEC 17799

Índice de FCD

Diapositiva Nº 8

constante incremento de riesgos en latransferencia de la información a travésde medios de comunicación, ademásno contar con herramientas quegaranticen la integridad y laautenticidad del origen del mensajegenerando vulnerabilidades en laprotección de la información, equipos yrecursos humanos, siendo la posiblecausa de pérdida y modificación de lainformación.

firmas y certificadosdigitales a ser evaluados porla ISO/IEC 9126, utilizandola NB ISO/IEC 177999 paraafianzar la integridad de lainformación, autenticidad delorigen del mensaje y tenerun mayor nivel deconfiabilidad que lossistemas actuales.

para los procesos internos deintercambio de información enla Superintendencia deTelecomunicaciones permitetener un mayor nivel deconfiabilidad que los sistemasactuales y conserva laintegridad de la informacióncomo también verifica laautenticidad del origen delmensaje .

PROPUESTADesarrollo de firmas y certificados digitales para salvaguardar la integridad y autenticidad de la Información.




Antecedentes LegislativosAnteproyecto de Ley denominada “Ley de Comunicación

Electrónica de Datos, Contratación Electrónica y Fi rmas Electrónicas”

CAPÍTULO 2. MARCO REFERENCIAL

Índice de FCD

Diapositiva Nº 9

Electrónicas”

– Título II: Firmas Electrónicas y– Certificados Digitales.

• Capítulo I. Firma Electrónica• Capítulo II. Certificados Electrónicos

– Sección 1. Disposiciones Generales– Sección 2. Entidades de Certificación– Sección 3. Regulación de las Entidades– de Certificación



Antecedentes Normativos• IBNORCA• SGSI• NB ISO/IEC 17799

CAPÍTULO 2. MARCO REFERENCIAL

1. Política de Seguridad

Dominios del ISO/IEC 17799 Antecedentes Normativos

Índice de FCD

Diapositiva Nº 10

• NB ISO/IEC 17799• Se divide en ISO/IEC 17799 y BS7799-2• Confidencialidad, integridad y disponibilidad• Medible, Repetible y Escalable

2. Organización de la Seguridad

3. Clasificación y Controles de activos

7. Control de accesos

10. Cumplimiento4. Seguridad del Personal

5. Seguridad Física y Ambiental

8. Desarrollo y Mantenimiento de

los Sistemas

6. Gestión de Comunicaciones y

Operaciones

9. Gestión de la Continuidad de los Negocios



Capítulo 3. Marco Teórico y Metodológico

Criptografía y Seguridad

de Sistemas

• Proyecto

Ingeniería de Software

• Auditoria de Sistemas

Auditoria de Seguridad

de Sistemas

Índice de FCD

Diapositiva Nº 11

• Seguridad de Sistemas• Política de Seguridad• Análisis de Gestión y Riesgo de

Seguridad• Técnicas de Hacking• Criptografía• Cifrados Asimétricos• Aplicaciones de Cifrado asimétrico• Estado de Arte• PGP• Estructura de PGP• Firma Digital• Aplicaciones de Firmas Digitales• Certificado Digital

• Personal• Producto• Proceso• Modelo Lineal Secuencial• Métricas de Calidad• Factores de Calidad de McCall• ISO 9126• Herramientas Case

• Políticas de Seguridad• Organización de la Seguridad• Clasificación y Control de Activos• Seguridad del Personal• Control de Acceso• Desarrollo y Mantenimiento de

Sistemas• Gestión de la Continuidad de los

Negocios• Modelo P.H.V.A.



Capítulo 4. Factibilidaddel Proyecto

• Factibilidad Técnica

Índice de FCD

Diapositiva Nº 12

• Factibilidad Operativa

• Factibilidad Económica



Factibilidad Técnica• Uso de herramientas de Software Libres y entrega de licencias para

el desarrollo en Microsoft Visual .Net por parte de SITTEL.

Software Descripción Costo Bs.

Microsoft Visual Studio.NET con LicenciaSoftware de desarrollo tecnología :NET, licencia entregada por SITTEL

0.00

Microsoft Visual Studio.NET Enterprice Architecture con Distribución Gratuita

Software de desarrollo tecnología :NET 0.00

Índice de FCD

Diapositiva Nº 13

Architecture con Distribución GratuitaSoftware de desarrollo tecnología :NET 0.00

Microsoft Internet Information Server 6 con Licencia, incluida en Windows XP o superior

Software de desarrollo tecnología :NET que incluye Windows XP Professional, licencia entregada por SITTEL

0.00

Microsoft Office 2003 Word, Excel, PowerPoint 0.00

Microsoft SQL Server 2000 o Superior con Licencia

Base de Datos con soporte para asp.NET, licencia entregada por SITTEL

0.00

DotNetNuke con Distribución GratuitaManejador de Contenidos para Página Web, Herramienta CASE

0.00

DreamWeaver 2004 con Distribución GratuitaHerramienta de Diseño de Páginas Web con Soporte para asp.NET y SQL Server 2000, se bajo la distribución Triad

0.00

TOTAL 0.00




• Conocimiento de las herramientas para el desarrollo del Software

Factibilidad Técnica

Nº Software Dificultad de AprendizajeNivel de aprendizaje

EstimadoProblemas para el

desarrollo

1 Microsoft Visual Studio.NET Avanzado Medio Solucionar con cursos

2Microsoft Visual Studio.NET Enterprice Architecture

MedioMedio Ninguno

Índice de FCD

Diapositiva Nº 14

3Microsoft Plataform SDK –February 2003 o superior Avaliable on MSDK

MedioMedio Ninguno

4Microsoft Internet Information Server 6

BásicoBásico Ninguno

5Microsoft SQL Server 2000 o Superior

MedioMedio Ninguno

6 DotNetNuke Medio Medio Ninguno

7 DreamWeaver 2004 Avanzado Avanzado Ninguno

8Asp.Net y Microsoft insede asp.Net Web Matrix

MedioMedio




• Utilización de Hardware adquirido:


Equipo Descripción Adquirido

� Pentium IV� Procesador Intel 3.00� Tarjeta Madre Intel Original� Tarjeta de Red 10/100� Tarjeta de Fax/Modem

Índice de FCD

Diapositiva Nº 15

Computadores

� Tarjeta de Fax/Modem� Tarjeta de Video Gforce 128 Mb� Memoria RAM 512� Disco Duro MAXTOR 120 GB� Combo Lector DVD/Quemador LITE-ON� Lector LITE-ON� Disquetera Mitsumi� Combo Case con Mouse y Teclado� Pantalla de 17’’ Samsung

Si

Una Impresora Canon Modelo PIXMA 1000 con una velocidad de 14 ppm Si

Un Scanner GENIUS de página completa, con resolución de 1200 dpi. Si

Servidor Servidor Web con soporte para Asp.Net y SQL Server 2000 Si




• Asesoría de programadores de .Net para el desarrollo del Software


Nº Habilidad de Desarrollo con el Paquete de Softwar e%. De experiencia

necesaria

1 Habilidad con Microsoft Visual Studio.NET 100%

2 Habilidad con Microsoft Visual Studio.NET Enterprice Architecture 100%

Índice de FCD

Diapositiva Nº 16

3 Habilidad con Microsoft Plataform SDK – February 2003 o superior Avaliable on MSDK 100%

4 Habilidad con Microsoft Internet Information Server 6 100%

5 Habilidad con Microsoft SQL Server 2000 o Superior 100%

6 Habilidad con DotNetNuke 100%

7 Habilidad con DreamWeaver 2004 100%

8 Habilidad con Asp.Net 100%

Promedio 100%




Factibilidad Operativa

• Auditoria de Sistemas

Índice de FCD

Diapositiva Nº 17

• Desarrollo del Producto

• Verificación de la Calidad del Producto



Factibilidad Económica

Análisis de Costos

• Costo de Recopilación de Información

Índice de FCD

Diapositiva Nº 18

• Costo de las Licencias de Software

• Costo del Hardware

• Costo del Desarrollo del Producto

• Costo de la Capacitación y Soporte Técnico



Costo de Recopilación de Información

Detalle Precio/Unidad Cantidad Costo en Bs.

Visitas a SITTEL 6.00 30 180.00

Información por Internet en 8 meses (ADSL) 153.90 8 1231.20

Suscripción a Seminarios y Cursos para elconocimiento del área y el software

70.00 10 700.00


Índice de FCD

Diapositiva Nº 19

TOTAL 2111.20


• Costo del Software es cero por que SITTEL se entreg o las licencias de los siguientes productos:

Microsoft Visual Studio .NetMicrosoft Windows XP ProfessionalMicrosoft Office XP ProfessionalSQL Server 2000

El resto del software es de distribución libre.



Costo del Hardware

Equipo Descripción Costo US$

Tres

�Pentium IV con procesador Intel 3.00�Tarjeta Madre Intel Original�Tarjeta de Red 10/100 y Tarjeta de Fax/Modem�Tarjeta de Video Gforce 128 Mb�Memoria RAM 512 850.00


Índice de FCD

Diapositiva Nº 20El costo del Hardware es US$. 2670.00 a Bs. 21600.30

Tres Computadores

�Memoria RAM 512�Disco Duro MAXTOR 120 GB�Combo Lector DVD/Quemador LITE-ON�Lector LITE-ON�Disquetera Mitsumi�Combo Case con Mouse y Teclado�Pantalla de 17’’ Samsung

850.00

2550.00

Una ImpresoraCanon Modelo PIXMA 1000 con una velocidad de 14 ppm y calidad de borrador

50.00

Un Scanner GENIUS de página completa, con resolución de 1200 dpi. 70.00

Servidor Servidor Web con soporte para Asp.Net y SQL Server 2000 0.00

TOTAL 2670.00



Costos de Desarrollo de Software

Etapa del Desarrollo Duración (Meses) Costos en US$

Investigación Preliminar y Análisis deRequerimientos 0.50 640.00

Diseño y obtención de Software de


Índice de FCD

Diapositiva Nº 21

Diseño y obtención de Software deDesarrollo 0.50 640.00

Desarrollo del Prototipo 3.00 11520.00

Prueba y Mantenimiento 1.00 1280.00

Tiempo y Costo Total Personal5.00 14080.00


El costo del desarrollar el software es US$. 14080.00, equivalente en Bs. 113907.20al cambio de Bs. 8.09/US$ 1.00.



Capacitación tiene un costo de Bs. 0.00

E = 0.78 = 1 prog/mes es el esfuerzo del Programado r por mes

D = 2.29 es el lapso aproximado de duración del trabajo en mese s con un programador

Obtención del Costo del Soporte Técnico


Índice de FCD

Diapositiva Nº 22

• Por lo tanto aplicando la ecuación 3 se tiene el costo del programador, y las horas de trabajo por mes especificando en el siguiente párrafo.

•Costo del Analista-Programador = US$. 8.00/Hora•Horas de Trabajo Mes = 160 Hrs.•2.29 Meses * 160 Horas/Mes * 8.00 US$/Hora = US$ 2931.20 Progr.

• Entonces el costo de desarrollar el software es:•E* US$. 2931.20 = 1.00 Prog/Mes * US$. 2931.20 Prog = US$. 2931.20Prog.

•Costo del Soporte Técnico del Software = US$. 2931. 20= Bs. 23742.72



Otros Costos

Se determino el costo de desarrollo de la Auditoria de Sistemas

Tabla 4. 14: Costo de la Auditoria de Sistemas

Costo del Proyecto de Auditoria de Sistemas Bs.

Material 100.00

Índice de FCD

Diapositiva Nº 23

Material 100.00

Norma ISO 17799 169.00

Costo por 10 Horas de Trabajo en la Auditoria de Sistemas 420.68

TOTAL 689.68


Donde Bs. 689.68 equivalente a US$. 85.25 al cambio de Bs. 8.09/US$. 1.00.



Costos Totales

Tipo US$.

Costo de Recopilación de InformaciónCosto de Hardware

260.642670.00

Costo del Hardware

Índice de FCD

Diapositiva Nº 24


Costo de HardwareCosto de Licencias de SoftwareCosto de Desarrollo de SoftwareCosto de Capacitación y Soporte TécnicoCosto de Auditoria de Sistemas

2670.000.00

14080.002931.20

85.25

TOTAL 20017.09

Equivalente en Bs. 161938.26 al cambio de Bs. 8.09/US$. 1.00.



Comprobación de Factibilidad Económica

Se estimo en el capítulo de generalidades que el costo anual de una firma digital es US$. 35.00, si se compraría una firma digital para un conjunto de 100 personas[1] el costo rebajaría a US$. 10.50, se tendría que comprar 100 firmas digitales.

100 FD * 10.50 US$./FD = US$. 1050.00

Índice de FCD

Diapositiva Nº 25

A una tase de interés del 5% anual se debería tener:

21000$.05.0

00.1050$.US

US =

El costo de mantener las firmas digitales infinitamente es de US$. 21.000, mucho mayor a lo estimado de US$. 19985.84 para el desarrollo del software.



Capítulo 5: Ingeniería del Proyecto

• 5.1 Auditoria a la Gestión de Seguridad de las Tecnologías de Información

Índice de FCD

Diapositiva Nº 26

• 5.2 Desarrollo del Proyecto de Software de Firma y Certificado Digital

• 5.3 Modelo Lineal Secuencial para la Firma y Certificado Digital



Auditoria a la Gestión de Seguridad de las Tecnologías de

Información (GSTI)• Modelo PHVA

– Planificar– Hacer– Verificar

Índice de FCD

Diapositiva Nº 27

– Verificar– Actuar

• NB ISO/IEC 17799 - SGSI– Confidencialidad– Integridad– Disponibilidad

• Anteproyecto de Ley de Comunicaciones Electrónicas de Datos, Contratación Electrónica y Firma Electrónica



• Planificación:– Objetivo:

• Se realizó una auditoria de sistemas a la SITTEL con la NB-ISO-IEC 17799 con el fin de obtener los niveles de seguridad de información actuales y después de haber implementad o el software.

Auditoria a la GSTI

Índice de FCD

Diapositiva Nº 28

software.

• Alcances• Alcances Geográficos• Alcance Técnico

• Hacer:– Consideraciones Generales

• Las medidas que permitirán alinearse en mayor medida a la Normativa Internacional ISO/IEC 17799

– Enfoque del P.H.V.A.• Se constituyan en un proceso cíclico.



Verificación: Obtenida a través de análisis de Ries gos en SITTELAplicación de la Gestión de Riesgos a SITTEL

– Política de Seguridad de la Información - PS1– Infraestructura de la Seguridad de la Información - OS1– Clasificación de la Información - CCA2– Capacitación del Usuario - SP2– Respuesta a incidentes y anomalías en materia de se guridad - SP3

Auditoria a la GSTI

Índice de FCD

Diapositiva Nº 29

– Respuesta a incidentes y anomalías en materia de se guridad - SP3– Controles Generales - SFA3– Protección contra el software malicioso - GCO3– Gestión y seguridad de los medios de almacenamiento - CGO6– Intercambios de información y software - CGO7– Responsabilidades de Usuario - CA3– Control de Acceso a las Aplicaciones - CA6– Requerimientos de Seguridad de los Sistemas - DMS1– Controles Criptográficos - DMS3– Seguridad de los Archivos de sistema - DMS4– Aspectos de la Continuidad de los Negocios - GCN1– Consideraciones de Auditoria de Sistemas - C3



Verificación: Formalización y Sensibilización 1-5 1-5

N CR Objetivo Debilidad Recomd. AcciónProbabilidad de

Riesgo (PR)Impacto en SITTEL (IS)

R=PR*IS

1 4 PS1 PS1 PS1 - 2 2 4

2 3 OS1 OS1 OS1 - 3 4 12

3 5 CCA2 CCA2 CCA2 - 2 2 4

4 2 SP2 SP2 SP2 A3 3 5 15

5 3 SP3 SP3 SP3 - 3 3 9

Auditoria a la GSTI

Índice de FCD

Diapositiva Nº 30

6 5 SFA3 SFA3 SFA3 - 3 2 6

7 4 CGO3 CGO3 CGO3 - 2 3 6

8 5 CGO6 CGO6 CGO6 - 2 2 4

9 5 CGO7 CGO7 CGO7 - 2 2 4

10 3 CA3 CA3 CA3 - 2 4 8

11 4 CA6 CA6 CA6 - 2 2 4

12 1 DMS1 DMS1 DMS1 A1 5 4 20

13 1 DMS3 DMS3 DMS3 A2 5 5 25

14 3 DMS4 DMS4 DMS4 - 5 3 15

15 4 GCN1 GCN1 GCN1 - 2 3 6

16 4 C3 C3 C3 - 0 3 1*




Auditoria a la GSTI• Actuar:

– Los riesgos en la seguridad de la información y normas con mayor probabilidad de ocurrencia en SITTEL fueron:

• DMS3 – Controles criptográficos• DMS1 – Requerimiento de Seguridad de los Sistemas

Índice de FCD

Diapositiva Nº 31

• DMS1 – Requerimiento de Seguridad de los Sistemas• SP2 – Capacitación al Usuario• DMS4 – Seguridad de los Archivos del Sistema

Se determino contrarrestar el problema principal por orden de prioridad y riesgo en SITTEL:

• DMS3 – Desarrollo de una aplicación de Firmas y Certificados Digitales.



Desarrollo del Proyecto de Software para Firmas y Certificados DigitalesGestión de Proyectos de Software:

• Proyecto

Índice de FCD

Diapositiva Nº 32

• Personal

• Producto

• Proceso Modelo Lineal Secuencial



•Proyecto:

–Se define 10 razones para que un proyecto de software pueda fracasar, elmétodo desarrollado por Jhon Reel determina que si 7 de las 10 no se alcanza,el proyecto fracaso o se encuentra en peligro de fracasar, de las cualesconcluimos:

Desarrollo del Proyecto de Software para Firmas y Certificados Digitales

Índice de FCD

Diapositiva Nº 33

el proyecto fracaso o se encuentra en peligro de fracasar, de las cualesconcluimos:

1.Se realizó un análisis de requerimientos para comprender las necesidades de losclientes.

2.El ámbito del producto esta definido para SITTEL.3.El desarrollo del software es Modular.4.La tecnología asp.Net progresa y posibilita mejoras continuas.5.Las necesidades del negocio de SITTEL en el área de seguridad no cambian, pero si

evolucionan.6.Las fechas de entrega son realistas.7.Los usuarios no se resisten a la utilización de firmas y certificados digitales, por que es

una herramienta útil para SITTEL.8.SITTEL es el patrocinador del desarrollo del proyecto de grado.9.Se tiene todas las habilidades necesarias para el desarrollo del software.10.El desarrollo del software utilizó las buenas prácticas adquiridas en los cinco años de

estudio en la Escuela Militar de Ingeniería.



• El Personal

– Los Participantes


Índice de FCD

Diapositiva Nº 34

– Los Participantes• Gestores Superiores, Gestores (técnicos) del Proyecto,

Profesionales, Clientes, Usuarios Finales.

– El Equipo de Software• Centralizado Controlado (CC)

– Aspectos Sobre la Comunicación y Coordinación• Comunicación Formal, Procedimientos interpersonales



El Producto:• Ámbito del software

– Contexto– Objetivos de la Información


Índice de FCD

Diapositiva Nº 35

– Objetivos de la Información– Funciones y Rendimiento– Cliente

• Descomposición del Problema– La funcionalidad que debe entregarse– El proceso que se empleara para entregarlo

• Evaluación de Recursos– Se determino dentro de la factibilidad y el ánalisis del proyecto y

personal



• El Proceso:


Índice de FCD

Diapositiva Nº 36

• Modelo Lineal Secuencial• Investigación Preliminar• Análisis sobre los Requerimientos del Sistema• Diseño del Sistema (Diseño Lógico)• Desarrollo de Software (Diseño Físico)



Modelo Lineal Secuencial para Firma y Certificado Digital

• Investigación Preliminar– Análisis del proyecto y su situación:

• Gestión del Proyecto• Gestión del Personal

Índice de FCD

Diapositiva Nº 37

• Gestión del Personal• Gestión del Producto.• Capítulo 4: Factiblidad del Proyecto

– Factibilidad Técnica– Factibilidad Operativa– Factibilidad Económica




• Análisis del Sistema– La Técnica de Gauge y Weinberg

• El relevamiento de información determino:– Utilización de un entorno Web para la Programación y Diseño Gráfico.

Índice de FCD

Diapositiva Nº 38

– Utilización del Modelo Cliente Servidor– Utilización de Tecnología Microsoft asp.Net.– El software tiene la siguiente forma:

Sistema de Administración de Firmas y Certificados Digitales

Menu Actual de SITTEL

Opciones

Generar Firma Firmar Archivo

Modificar Datos

Clave Pública

Getión de Usuarios

Autentificar Firma

Borrar Cuenta

Certificado Digital




• Análisis del Sistema– Casos de Uso

• Actores que interactúan con el Sistema:


Índice de FCD




• Análisis del Sistema– Casos de Uso

• Se realizó el análisis de casos de uso para las siguientes situaciones:• Ingreso al Sistemas y selección de opciones


Índice de FCD

Diapositiva Nº 40

– Inscripción y obtención de Claves Asimétricas– Recuperación y Modificación de Datos de Contraseña de la Firma Digital– Proceso de Firmado Digital– Proceso de Autentificación de un mensaje por Firma Digital– Gestión de Claves Públicas y Anillos Públicos– Gestión de Usuarios– Autentificación de Firma Digital por Certificado Digital– Eliminar el servicio de Firmas y Certificados Digitales



• Diseño Lógico– Análisis Estructurado:


• Modelo Entidad Relación– Base de Datos del Software de Firmas y Certificados Digitales:

Índice de FCD

Diapositiva Nº 41

– Base de Datos del Software de Firmas y Certificados Digitales:» Tabla Usuarios» Tabla de Certificado Digital» Firma Digital

– Obteniéndose una Tercera Normalización» Relación Usuario – Firma Digital (1:N)» Relación Usuario – Certificado Digital (1:N)» Relación Firma Digital – Certificado Digital (1:1)




• Diseño Lógico– Diagrama de flujo de datos (DFD)

• Ingreso al Sistemas, iniciar sesión y selección de opciones• Inscripción y obtención de Claves Asimétricas


Índice de FCD

Diapositiva Nº 42

• Recuperación y Modificación de Datos de Contraseña de la Firma Digital

• Proceso de Firmado Digital• Proceso de Autentificación de un mensaje por Firma Digital• Gestión de Claves Públicas y Anillos Públicos• Gestión de Usuarios• Autentificación de Firma Digital por Certificado Digital• Eliminar el servicio de Firmas y Certificados Digitales• Cerrar Sesión del Programa



• Diseño Lógico– Diagrama de flujo de datos (DFD)

• El nivel 0 o nivel contextual refleja al software o al sistema como una sola burbuja.


Índice de FCD

Diapositiva Nº 43

una sola burbuja.




• Diseño Lógico– Diagrama de flujo

de datos (DFD)• Nivel 1:


Índice de FCD

Diapositiva Nº 44

• Nivel 1:




• Diseño Lógico– Diccionario de Datos (DD)

• La estructura utilizada fue nombre, alias, donde se usa/cómo se usa para:


Índice de FCD

Diapositiva Nº 45

•Usuario•Administrador•Contraseña•BD de Usuarios SITTEL•BD de Usuarios del Sistema•Llave Privada•Llave Pública•Generar Firma•Modificar Datos•Firmar Archivos

•Autentificar Firma•Gestión de Claves Públicas•Gestión de Usuarios•Certificado Digital•Borrar Cuenta•Cerrar Sesión•Pretty Good Privacy (PGP)•Documento•Documento firmando



• Diseño Lógico– Diseño de la Interfaz:– Con un conjunto de

principios para el diseño de


Índice de FCD

Diapositiva Nº 46

principios para el diseño de la interfaz se determino las siguientes reglas de oro:

– Dar el control al usuario – Reducir la carga de

memoria del usuario – Construir una interfaz

consecuente

Fuente: Superintendencia de Telecomunicaciones ©2005



• Diseño Lógico– Representaciones de interfaz

• Respecto a un análisis de colores se utilizara los colores del logo de SITTEL:– Azul– Azul claro– Gris neutro


Índice de FCD

Diapositiva Nº 47

– Gris neutro• Obteniendose un panel de control:




Funcionalidad de las Firmas DigitalesUsuario A Usuario B

DatosDatos

Algoritmo

de hash

Índice de FCD

Diapositiva Nº 48

Valor

de hash

Algoritmo

de hash

Claveprivada delusuario A

Valor de hash

Clavepública delusuario A

Valor de hash

Si los valores de

hash coinciden, los

datos proceden del

propietario de la

clave privada y son

válidosFuente: Microsoft Corporation



Funcionalidad de los Certificados DigitalesClave

privadaPar de claves

privada y pública

Usuario

Clave

pública

Índice de FCD

Diapositiva Nº 49

AplicaciónServicio

Administrador

certificado

Entidad

emisora de

certificados

Fuente: Microsoft Corporation



• Desarrollo del Sistema:

• Código Fuente Generador de Firma Digital• <HTML>• <HEAD>• <TITLE>AspEncrypt - Client-Side Digital Signing</TITLE>• <OBJECT • classid="CLSID:F9463571-87CB-4A90-A1AC-2284B7F5AF4E" • codeBase="aspencrypt.dll"


Índice de FCD

Diapositiva Nº 50

• codeBase="aspencrypt.dll"• id="XEncrypt">• </OBJECT>• <SCRIPT LANGUAGE="VBSCRIPT">• Sub Sign• ' Open "MY" certificate store which contains client certs• Set Store = XEncrypt.OpenStore("MY", False )• ' Does the store contain certificates?• Count = Store.Certificates.Count• If Count = 0 Then• MsgBox "You have no certificates."• Exit Sub• End If• ' If store contains more than one, enable user to pick one• If Count > 1 Then• Set Cert = XEncrypt.PickCertificate(Store, 4+8+16, "Select Certificate Please", "Select the one you want to be used for signing")• If Cert Is Nothing Then Exit Sub• Else• ' otherwise just pick that only one cert• Set Cert = Store.Certificates(1)• End If• ' Make sure the cert has a private key associated with it• If Cert.PrivateKeyExists = False Then



Capítulo 6. Garantía de Calidad de Software

• Prueba y Mantenimiento para las Firmas y Certificados Digitales

Índice de FCD

Diapositiva Nº 51

• Factores de Calidad de McCall e ISO 9126

• Comprobación de la Hipótesis del Proyecto de Grado



• Prueba y Mantenimiento para las Firmas y Certificados Digitales– Prueba

• Cobertura de sentencia


Índice de FCD

Diapositiva Nº 52

• Cobertura de sentencia– Generación de la Firma y Certificado Digital– Autentificación de la firma digital por certificado digital.

• Cobertura de decisión– Ingreso de información, – Gestión de usuarios– La eliminación del servicio de firmas y certificados digitales.

• Cobertura de condición:– Obtención de claves asimétricas– Recuperación y modificación de cuentas de usuario



• Prueba y Mantenimiento para las Firmas y Certificados Digitales

– Mantenimiento• Estándar IEEE 982.1-1988 para determinar un Índice de Madurez de

Software


Índice de FCD

Diapositiva Nº 53

Software– Mt = 2 módulos de la versión actual (Firmas y Certificados Digitales)– Fc = 0 módulos de la versión actual que se han desarrollado o modificado– Fa = 0 módulos de la versión actual que se añadieron (Firmas y

Certificados Digitales)– Fd = 0 módulos de la versión anterior que se han borrado en la versión

actual.

• Mediante la siguiente ecuación se determina el índice de madurez del software (Ecuación 6.1)– IMS = [Mt – (Fa + Fc + Fd)] / Mt (Ecuación 6.1)– IMS = [2 – (0 + 0 + 0)] / 2– IMS = 1.0



• Factores de Calidad de McCall e ISO 9126– Factores de Calidad de McCall


Figura 6. 3: Factores de Calidad de McCall

Índice de FCD

Diapositiva Nº 54Fuente: Pressman ©2003



Regresión Lineal

Métricas de Calidad Cumplimiento de la Métrica según McCall X ISO 17799 Y X*Y X^2

Facilidad de auditoria y Seguridad 1.00 1.00 1.00 1.00

Exactitud 0.75 1.00 0.75 0.5625

Estandarización de comunicaciones

0.75 1.00 0.75 0.5625

Complexión 1.00 1.00 1.00 1.00

Concisión 1.00 1.00 1.00 1.00

Consistencia 1.00 1.00 1.00 1.00

Estandarización 1.00 1.00 1.00 1.00

Tolerancia al error 1.00 1.00 1.00 1.00

Índice de FCD

Diapositiva Nº 55

Eficiencia de expansión 1.00 1.00 1.00 1.00

Generalidad 0.25 0.00 0.00 0.0625

Independencia del hardware 1.00 1.00 1.00 1.00

Instrumentación 0.75 1.00 0.75 0.5625

Modularidad 1.00 1.00 1.00 1.00

Auto documentación 0.75 1.00 0.75 0.5625

Simplicidad 0.25 0.00 0.00 0.0625

Independencia del Sistema Software

0.50 0.00 0.00 0.25

Trazabilidad 1.00 1.00 1.00 1.00

Formación 1.00 1.00 1.00 1.00

Sumatoria 15.00 15.00 14.00 13.625

Promedio 0.8333 0.8333



Factores de Calidad de McCall

Ecuación 6.1

Ecuación 6.2

• Aplicando las fórmulas a los resultados tenemos:

∑∑

∑∑−−

=XXX

XYXYb

21

XbYb 10 −=

Índice de FCD

Diapositiva Nº 56

• Aplicando las fórmulas a los resultados tenemos:

Ecuación 6.1

Ecuación 6.2

• Expresado en la fórmala de regresión lineal se tiene:

• El cumplimiento de una métrica al 100% genera una mejora de 17.57% en todo el modelo.

1.33300.15*8333.0625.13

00.15*8333.000.141 =

−−=b

0.2778333.0*333.18333.00 −=−=b

Xyf 333.1277.0)( +−=




Figura 6. 4: Componentes del ISO 9126

Índice de FCD

Diapositiva Nº 57



Comprobación de la Hipótesis del Proyecto de Grado

• La aplicación de firmas y certificados digitales acorde a la NB ISO/IEC 17799 para los procesos internos de intercambio de información en la Superintendencia d e Telecomunicaciones permite tener un mayor nivel de confiabilidad que los sistemas actuales y conserva la

Índice de FCD

Diapositiva Nº 58

confiabilidad que los sistemas actuales y conserva la integridad de la información como también verifica la autenticidad del origen del mensaje .

• Para el desarrollo del método de validación se clasifica la hipótesis en:

• Hipótesis Nula (Ho)• Hipótesis Estadística (H1)• Hipótesis Alterna (H2)

BA

BA

BAO

XXH

XXH

XXH

==>=<=

2

1



NB ISO/IEC 177991-5 1-5



R=PR*IS

1 4 PS1 PS1 PS1 - 2 2 4

2 3 OS1 OS1 OS1 - 3 4 12

3 5 CCA2 CCA2 CCA2 - 2 2 4

4 2 SP2 SP2 SP2 A3 3 5 15

5 3 SP3 SP3 SP3 - 3 3 9

Antes de la implantación del sistema: 141 de Puntaje

Índice de FCD


6 5 SFA3 SFA3 SFA3 - 3 2 6

7 4 CGO3 CGO3 CGO3 - 2 3 6

8 5 CGO6 CGO6 CGO6 - 2 2 4

9 5 CGO7 CGO7 CGO7 - 2 2 4

10 3 CA3 CA3 CA3 - 2 4 8

11 4 CA6 CA6 CA6 - 2 2 4

12 1 DMS1 DMS1 DMS1 A1 5 4 20

13 1 DMS3 DMS3 DMS3 A2 5 5 25

14 3 DMS4 DMS4 DMS4 - 5 3 15

15 4 GCN1 GCN1 GCN1 - 2 3 6

16 4 C3 C3 C3 - 0 3 1*



NB ISO/IEC 17799Después de la implantación del sistema: 98 de puntaje 1-5 1-5



R=PR*IS

1 4 PS1 PS1 PS1 - 1 2 2

2 3 OS1 OS1 OS1 - 3 4 12

3 5 CCA2 CCA2 CCA2 - 1 2 2

4 2 SP2 SP2 SP2 A3 2 5 10

5 3 SP3 SP3 SP3 - 3 3 9

Índice de FCD


5 3 SP3 SP3 SP3 - 3 3 9

6 5 SFA3 SFA3 SFA3 - 1 2 3

7 4 CGO3 CGO3 CGO3 - 2 3 6

8 5 CGO6 CGO6 CGO6 - 1 2 2

9 5 CGO7 CGO7 CGO7 - 2 2 4

10 3 CA3 CA3 CA3 - 1 4 4

11 4 CA6 CA6 CA6 - 2 2 4

12 1 DMS1 DMS1 DMS1 A1 3 4 12

13 1 DMS3 DMS3 DMS3 A2 2 5 10

14 3 DMS4 DMS4 DMS4 - 4 3 12

15 4 GCN1 GCN1 GCN1 - 2 3 6

16 4 C3 C3 C3 - 0 3 0




5 4 3 2 1

IMPAC

5 DMS3 SP2

4 DMS1 OS1SGO3-

CA3

3 DMS4 SP3 GCN1

PS1-CCA2-

Antes de laImplantación

NB ISO/IEC 17799

Índice de FCD

Diapositiva Nº 61

Riesgos

5 4 3 2 1

IMPACTO

5

4 OS1

3 DMS1 SP3

2SP2-

DMS5CGO3-GCN1

SGO7-CA6

PS1

1 CA3CA2-SFA3-SGO6

C3


CTO

2 SFA3CCA2-SGO6SGO7-

CA6

1 C3

Implantación

Despúes de laImplantación



• Hipótesis Estadística (H1)


BA XXH >=1

Índice de FCD

Diapositiva Nº 62

– La aplicación de firmas y certificados digitales acorde a la NB ISO/IEC 17799 para los procesos internos de intercambio de información en la Superintendencia de Telecomunicaciones permite tener un mayor nivel de confiabilidad que los sistemas actuales y conserva la integridad de la información como también verifica la autenticidad del origen del mensaje.

• Por lo tanto se acepta la Hipótesis estadística H1.



Matriz de ConsistenciaTÍTULO

“Desarrollo de una Aplicación para la Administració n de Firmas y Certificados Digitales Caso: Superintendencia de Telecomunicacio nes”

PROBLEMA CENTRALSITTEL cuenta con un nivel deseguridad informática susceptible amejoras tomando en cuenta el

OBJETIVO GENERALContribuir a la seguridad dela Información en SITTEL através del desarrollo de

HIPÓTESIS ESTADÍSTICALa aplicación de firmas ycertificados digitales acorde ala NB ISO/IEC 17799 para losprocesos internos de

Índice de FCD

Diapositiva Nº 63

constante incremento de riesgos en latransferencia de la información a travésde medios de comunicación, ademásno contar con herramientas quegaranticen la integridad y laautenticidad del origen del mensajegenerando vulnerabilidades en laprotección de la información, equipos yrecursos humanos, siendo la posiblecausa de pérdida y modificación de lainformación.

firmas y certificadosdigitales a ser evaluados porla ISO/IEC 9126, utilizandola NB ISO/IEC 177999 paraafianzar la integridad de lainformación, autenticidad delorigen del mensaje y tenerun mayor nivel deconfiabilidad que lossistemas actuales.

procesos internos deintercambio de información enla Superintendencia deTelecomunicaciones permitetener un mayor nivel deconfiabilidad que los sistemasactuales y conserva laintegridad de la informacióncomo también verifica laautenticidad del origen delmensaje.

PROPUESTADesarrollo de firmas y certificados digitales para salvaguardar la integridad y autenticidad de la Información.




Capítulo 7. Conclusiones y Recomendaciones

• Conclusiones:• Realización de la Auditoria de Sistemas (incisos a y e de la sección

1.4.2 de Objetivos Específicos).• Digitalización de la Información y autentificación de usuarios (inciso b

de la sección 1.4.2 de Objetivos Específicos).

Índice de FCD

Diapositiva Nº 64

de la sección 1.4.2 de Objetivos Específicos).• Mantenimiento de la Integridad de la información a través del

criptosistema PGP (inciso d de la sección 1.4.2 de ObjetivosEspecíficos).

• Disminución del costos de mantenimiento de firmas y certificadosdigitales (inciso c de la sección 1.4.2 de Objetivos Específicos).

• Conceptos de auditabilidad y seguridad utilizados en el desarrollo delsoftware (inciso e de la sección 1.4.2 de Objetivos Específicos).

• Se contribuyó a la seguridad de la Información en SITTEL a través deldesarrollo de firmas y certificados digitales que fueron evaluados por elISO 9126 y las métricas de McCall (inciso e de la sección 1.4.2 deObjetivos Específicos).



Capítulo 7. Conclusiones y Recomendaciones

• Recomendaciones:• La utilización de firmas y certificados digitales mejoró el nivel de seguridad de la

información en SITTEL.• Siendo la Superintendencia de Telecomunicaciones el organismo que controla y

protege las comunicaciones de los bolivianos, deberá tener entre sus objetivosimplantar un sistema PKI (Infraestructura de Llave Pública) para el uso generalde la sociedad, permitiendo autentificar a los usuarios por firma digitales en

Índice de FCD

Diapositiva Nº 65

de la sociedad, permitiendo autentificar a los usuarios por firma digitales enreemplazo de Carnets de Identidad, transacciones monetarias en tiendas ybancos, pago de impuestos, etc. Mediante Firmas y Certificados Digitales.

• Se recomienda realizar una auditoria de sistemas externa una vez al año yrealizar una auditoria de sistemas interna dos veces al año y deberán contratar aun oficial de seguridad.

• Deberán implantar y Certificar a la Superintendencia de Telecomunicaciones conla Norma Boliviana ISO/IEC 17799 por el Departamento de Tecnologías deInformación y Comunicación.

• El Sistema de Administración de Firmas y Certificados Digitales deberáevolucionar hacia una Infraestructura de Llaves Públicas (PKI) para el uso de laSociedad Boliviana y la evaluación de la Sociedad de la Información entreSITTEL, ADSIB y PNUD.



Índice de FCD

Diapositiva Nº 66

Gracias

escuela militar de ingeniería ingeniería de sistemasra089053/pdf/6graduacion.pdf · 4.2...

Documents