Asignatura:Tecnologías Emergentes – 7º Nivel

Docente:Ing. Freddy Melgar Algarañaz

Universidad Autónoma del Beni “José Ballivian”Facultad de Ingeniería y TecnologíaCarrera de ingeniería de Sistemas

La seguridad es un elemento de primer nivelque entra en juego desde la concepcióninicial de un sistema y participa desde unprincipio en las decisiones de diseño.

Los requisitos de seguridad debenconsiderarse explícitamente durante todo elproceso de desarrollo, lo que da lugar a lainclusión de fases o actividad dedicadas a laseguridad

Su objetivo principal es mantener las trescaracterísticas primordiales de lainformación:

◦ Confidencialidad

◦ Integridad

◦ Disponibilidad

Las medidas de seguridad suelen centrarseprincipalmente en la eliminación o reducciónde las vulnerabilidades del sistema

Atendiendo a la forma de actuación, lasmedidas de seguridad pueden ser:

◦ De Prevención

◦ De Detención

◦ De Corrección

Las principales medidas de seguridadaplicadas al ámbito de desarrollo son la decarácter preventivo en particular de tipotécnico/admistrativo .

Entre las medias de seguridad de caráctertécnico se encuentran:

Identificación y autenticación de usuarios.

Control de accesos.

Control de flujo en la información.

Confidencialidad.

Integridad.

No repudio.

Notorización .

Auditoria.

Entre las medidas administrativas tenemoslos siguientes mecanismos de protección:

Autenticación

Control de acceso

Cifrado de datos

Funciones de resumen

Firma digital

Registro de auditoria

Se debe diferenciar las políticas de losmecanismos de seguridad. Las políticasdefinen qué hay que hacer (qué datos yrecursos deben protegerse de quién; es unproblema de administración).

Los mecanismos determinan cómo hay quehacerlo. Esta separación es importante entérminos de flexibilidad, puesto que laspolíticas pueden variar en el tiempo y de unaorganización a otra.

Se dice que un sistema es confiable conrespecto a una determina política deseguridad si ofrecen mecanismos deprotección capases de cumplir con losrequisitos de seguridad impuestos por dichapolítica.

La experiencia en el desarrollo demecanismos de seguridad relacionado con elcontrol de acceso a dado lugar a lossiguientes criterios de diseño:

Abstracción de datos.Privilegios mínimos.Separación de privilegios.Separación de administración y acceso.Autorizaciones positivas y negativas.Delegación de privilegios.

Transacciones bien formadas.

Autenticación.

Compartición mínima.

Diseño abierto.

Exigencias de permiso.

Intermediación completa.

Mecanismos económicos.

Sencillez de uso.

Aceptabilidad.

Es un mecanismo abstracto que permiteponer en practica una determinada política eseguridad. En relación con el control deacceso tenemos los siguientes estándares:

◦ MAC (Mandatory Access Control)

◦ DAC (Discretionary Access Control)

Una alternativa a estos modelos es el controlde acceso basado en roles (RBAC)

MAC es un sistema centralizado, en el cuallas decisiones de seguridad no recaen en elpropietario de un objeto y es el sistema elque fuerza el cumplimiento de las políticaspor encima de las decisiones de los sujetos,además de permitir una granularidad ycontrol mayores.

Desde el punto de vista de la seguridad, MACes más completo que DAC

Es una forma de acceso a recursos basada en lospropietarios y grupos a los que pertenece unobjeto. Se dice que es discrecional en el sentidode que un sujeto puede transmitir sus permisos aotro sujeto.

La mayoría de sistemas Linux ahora mismo usaneste tipo de acceso, estando los permisosorquestados por grupos y usuarios, pudiendo unusuario normal cambiar los permisos de losarchivos que posee con el comando chmod.

Trata de definir los permisos basándose enlos roles establecidos en la organización,para luego asociar adecuadamente a losusuarios con los roles que tengan derecho aejercer.

Se dice que RBAC es neutral con respecto a lapolítica, ya que permite modelar otrosmodelos previos, que han demostradolimitaciones, como son DAC y MAC.

Este estándar fue aceptado por ANSI ypublicado en febrero de 2004 bajo el códigoANSI INCITS 359-2004.

Tiene dos grandes bloques:

◦ El modelo de referencia RBAC: describe suselementos y sus relaciones.

◦ Especificaciones funcionales administrativasy del sistema RBAC: define lascaracterísticas requeridas para un sistemaRBAC

El modelo de referencia RBAC se define entérminos de tres componentes:

◦ Núcleo de RBAC: recoge los elementosmínimos, roles, usuarios, permisos,sesiones.

◦ RBAC Jerárquico: añade relaciones parasoportar jerarquía de errores.

◦ RBAC con restricciones: ofrece unmecanismo que da soporte al principio deseparación de privilegio, la cual pude serestática o dinámica.

ISO 9126-1

Calidad de uso

Seguridad

Formas de diagnostico de seguridad.

Evaluación de Vulnerabilidades.

Pruebas de Penetración.

Auditoria de Seguridad.

Busca determinar las fallas de seguridad deun sistema.

Produce reportes de tipo, cantidad y gradode dichas fallas.

Permite establecer es status de seguridad enun momento determinado, aunque sinreferirse a estándares específicos.

Permite tomar medidas preventivas para evitaque las fallas sean aprovechadas por unhacker.

Google libera herramienta de uso interno.

Permite detectar vulnerabilidades en lasaplicaciones web.

Es compatible con Linux, Mac y Windows y puedeser descargada desde el sitio de Google.

Su finalidad es detectar agujeros de seguridad enaplicaciones web.

Nikto2:Es de código abierto.

Permite llevar a cabo pruebas exhaustivas de losservidores web para varios artículos.

Los plugins se actualizan con frecuencia y sepuede actualizar de forma automática.

Líder mundial en escáneres activos devulnerabilidad.

Con alta velocidad de descubrimiento, laauditoría de configuración, el perfil activo, eldescubrimiento de los datos sensibles y análisisde la vulnerabilidad de su seguridad.

Se pueden distribuir a lo largo de toda unaempresa, dentro y a través de redes separadasfísicamente.

Nro.CONCEPTOS DE SEGURIDAD CUMPLE

SI NO

1El Sitio funciona correctamente y no presenta fallas al navegar por sus páginas o utilizar susservicios? (especialmente en el caso de Trámites en línea)

2Los datos ingresados por un usuario a través de formularios, ¿son validados antes de ser enviados yprocesados por el servidor del Sitio?

3¿Todos los vínculos del Sitio tienen una página asociada y el contenido adecuado al vínculoseñalado?

4Frente a una búsqueda dentro del Sitio o cualquier operación en el mismo ¿los resultados semuestran correctamente?

5¿Los datos privados, entregados voluntariamente por los usuarios, son guardados de manerareservada?

6¿Se ofrece una Política de Privacidad de los Datos Personales y se informa de su existencia en laspáginas pertinentes?

7¿Los servicios ofrecidos son realizados a través de canales de transacción seguros?

8

¿En los temas que requieren de accesos restringidos, el Sitio provee algún medio para validar elacceso, por ejemplo: a través de una caja de conexión con nombre de usuario y password?

9¿La política de seguridad implementada para validar el acceso restringido es adecuada a lospropósitos del servicio o de l2a institución?

10¿Protege la integridad de sus programas y datos?11¿Se evita que sea visto, el nombre de los programas y los directorios?

12Se cuenta con un protocolo de seguridad para evitar ataques externos e intrusiones de hackers?

13Se cuenta con una política de respaldo de información que permita superar efectos de fallasderivadas del punto anterior?

Para determinar si el Sitio Web, cumple con las características de Seguridad

La información condiciones operativas.o Sin problemas.

o Sin encontrar fallas.

o Faltas.

Responsabilidad del prestador del servicio

deberá tener un plan de soluciones y unmantenimiento preventivo.

Si es una pagina para realizar transacciones

deberán tomar medidas para proteger a losdatos.

La prevención es la mejor medicina.

Se debe mantener la seguridad de losarchivos de datos de tal forma que solo laspersonas correctas puedan verlos.

El protocolo SSL permite la transmitirinformación de forma segura.

La W3C1 y organizaciones como OASIS, entreotras, han propuesto estándares de políticasde seguridad y control de acceso quegaranticen una infraestructura, en lo posiblesegura para Web Services y Web Semántica.

¡GRACIAS!