Fernando Alonso Blázquez

Sistemas de Información

en entorno Web13 de Mayo de 2004

Índice

• ¿Qué es un Sistema de Información en entorno Web?

• Ventajas y desventajas• Control de acceso

– Autenticación y Autorización

• Seguridad– Amenazas deliberadas a la seguridad

de la información

• Ejemplos de Sistemas de Información

• Diseño de Sistemas de Información

¿Qué es un S.I. en entorno Web?

Máquina Servidor

SERVIDORDE

SERVLETSBD

externa

BD

Otros proceso

s

HTTP

HTTP

SERVIDORWEB

Ventajas y desventajas

• Ventajas– No es necesaria ninguna instalación en el

cliente (aplicaciones, drivers, ...)– Accesible desde cualquier lugar– Sólo es necesario un navegador

• Desventajas– Lentitud de Internet– Calidad de las interfaces de usuario

• Menos posibilidades que las ofrecidas por las aplicaciones cliente tradicionales

– Vulnerabilidad de la información• Importancia de la Seguridad: Encriptación,

protocolo seguro HTTPS

Control de acceso

• Protege la entrada a un Sistema de Información completo o a funcionalidades concretas de éste

• Consta generalmente de dos pasos– Autenticación: que identifica al usuario o a

la máquina que trata de acceder a los recursos, protegidos o no

– Autorización: que dota al usuario de privilegios para poder efectuar ciertas operaciones con los datos protegidos, tales como crearlos, leerlos, modificarlos, etc.• Establecimiento de Roles

Control de acceso

• Tres tipos básicos de control de acceso:– Por dirección IP, nombre de host o

dominio• Se puede configurar el servidor web de manera

que ciertos recursos sean accesibles sólo por ordenadores que posean determinada dirección IP, cierto nombre de host o pertenezcan a un dominio dado

– Por nombre de usuario y contraseña• Se requiere al usuario que introduzcan un

nombre y una contraseña como medio de asegurar su identidad

– Por certificados • El usuario simplemente instala el certificado en

su navegador y posteriormente, cuando se conecte al servidor, sólo tiene que presentarlo para que se produzca la autenticación

Seguridad

• Se entiende por amenaza– Una condición del entorno del sistema de

información (persona, máquina, suceso o idea) – que, dada una oportunidad, podría dar lugar a

que se produjese una violación de la seguridad

• Violación de la seguridad – Confidencialidad, integridad, disponibilidad o

uso legítimo

• Categorias generales de amenazas o ataques– Interrupción, intercepción, modificación y

fabricación• Los ataques pueden clasificarse a su vez

– Pasivos y activos

Ataques pasivos

• El atacante no altera la comunicación, sino que únicamente la escucha o monitoriza– Muy difíciles de detectar

• Objetivos– Obtención del origen y destinatario de la

comunicación• Leyendo las cabeceras de los paquetes

monitorizados. – Control del volumen de tráfico intercambiado

entre las entidades monitorizadas• Obteniendo así información acerca de

actividad o inactividad inusuales. – Control de las horas habituales de

intercambio de datos entre las entidades de la comunicación• Para extraer información acerca de los

períodos de actividad

Ataques activos

• Implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo

• Tipos– Suplantación de identidad

• el intruso se hace pasar por una entidad diferente– Reactuación

• uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado

– Modificación de mensajes• una porción del mensaje legítimo es alterada, o los

mensajes son retardados o reordenados, para producir un efecto no autorizado

– Degradación fraudulenta del servicio• impide o inhibe el uso normal o la gestión de

recursos informáticos y de comunicaciones • Entre estos ataques se encuentran los de

denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.

Ejemplos de Sistemas de Información

• Automatrícula de la Escuela• Gestión Académica

– Profesores• Introducción de calificaciones, consulta de

datos– Alumnos

• Consulta de expediente académico

• Gestión de Programas de Intercambio– Gestores: Administración– Alumnos: Consulta de situación

• Comercio Electrónico– Amazon

• Sistemas de Información Empresarial

Diseño de Sistemas de Información• Transparencia

– La organización debe ser fácil de entender para los usuarios

• Información accesible fácilmente– Diseñar una estructura de ficheros que

permita a los usuarios obtener la información con el menor número de clicks

• Uso de estándares– Que todas las páginas de una web compartan

un formato visual similar– El uso de un formato estándar mejora en gran

manera el aspecto y “feeling” de una web– Una vez que el usuario entiende el formato

común, encuentra más fácil el uso de la web

Diseño de Sistemas de Información• Mantenimiento

– Diseñar el sitio web con el objetivo claro de que su mantenimiento sea fácil

• Prestaciones– Cada día más, la gente demanda de los sitios

web un valor añadido más allá del puro “anuncio”

• Motores de búsqueda– Cuando los sitios web son muy grandes hay que

poner a disposición un motor de búsqueda

• Usuarios– Conocer quiénes son, que sistemas usan y

desarrollar una estrategia para servir eficientemente a los diferentes grupos de usuarios

Diseño de Sistemas de Información• Seguridad

– Tener presente la seguridad desde el diseño

• Web logs– Permiten obtener información sobre usuarios

• Tipo de organización de la que provienen• Tipo de sistema operativo y navegador que usan• Cómo llegaron a tu página web• Qué les resultó de utilidad

• Diseño visual– Diseñar la página principal para que cuadre en

un monitor de 15” con el menor scrolling posible

– No usar archivos de figuras grandes • incrementan el tiempo de carga

– Usar fondos lisos con fuentes de texto que tengan suficiente contraste con el fondo

¿Cuál es la clave del éxito?