Integrantes: Mary Bermeo Michael Freire Santiago Medina.
25
SEGURIDAD EN SITIOS WEB Integrantes: Mary Bermeo Michael Freire Santiago Medina
-
Upload
yazmin-celis -
Category
Documents
-
view
230 -
download
0
Transcript of Integrantes: Mary Bermeo Michael Freire Santiago Medina.
SEGURIDAD EN SITIOS WEB
Integrantes:Mary BermeoMichael Freire
Santiago Medina
La seguridad es un elemento de primer nivel que entra en juego desde la concepción inicial de un sistema y participa desde un principio en las decisiones de diseño.
Los requisitos de seguridad deben considerarse explícitamente durante todo el proceso de desarrollo, lo que da lugar a la inclusión de fases o actividad dedicadas a la seguridad
INTRODUCCIÓN
Su objetivo principal es mantener las tres características primordiales de la información:
◦Confidencialidad◦Integridad ◦Disponibilidad
Las medidas de seguridad suelen centrarse principalmente en la eliminación o reducción de las vulnerabilidades del sistema
Seguridad en las tecnologías de la información
Atendiendo a la forma de actuación, las medidas de seguridad pueden ser:
◦De Prevención◦De Detención ◦De Corrección
Las principales medidas de seguridad aplicadas al ámbito de desarrollo son la de carácter preventivo en particular de tipo técnico/admistrativo .
Seguridad en las tecnologías de la información
Entre las medias de seguridad de carácter técnico se encuentran:
Identificación y autenticación de usuarios.Control de accesos.Control de flujo en la información.Confidencialidad.Integridad.No repudio.Notorización .Auditoria.
SEGURIDAD EN LAS TECNOLOGÍAS DE LA
INFORMACIÓN
Entre las medidas administrativas tenemos los siguientes mecanismos de protección:
AutenticaciónControl de accesoCifrado de datosFunciones de resumenFirma digital Registro de auditoria
SEGURIDAD EN LAS TECNOLOGÍAS DE LA
INFORMACIÓN
Se debe diferenciar las políticas de los mecanismos de seguridad. Las políticas definen qué hay que hacer (qué datos y recursos deben protegerse de quién; es un problema de administración).
Los mecanismos determinan cómo hay que hacerlo. Esta separación es importante en términos de flexibilidad, puesto que las políticas pueden variar en el tiempo y de una organización a otra.
DISEÑO DE POLÍTICAS DE SEGURIDAD
Se dice que un sistema es confiable con respecto a una determina política de seguridad si ofrecen mecanismos de protección capases de cumplir con los requisitos de seguridad impuestos por dicha política.
DISEÑO DE POLÍTICAS DE SEGURIDAD
La experiencia en el desarrollo de mecanismos de seguridad relacionado con el control de acceso a dado lugar a los siguientes criterios de diseño:
Abstracción de datos.Privilegios mínimos.Separación de privilegios.Separación de administración y acceso.Autorizaciones positivas y negativas.Delegación de privilegios.
PRINCIPIOS DE DISEÑO
Transacciones bien formadas.Autenticación.Compartición mínima.Diseño abierto.Exigencias de permiso.Intermediación completa.Mecanismos económicos.Sencillez de uso.Aceptabilidad.
PRINCIPIOS DE DISEÑO
Es un mecanismo abstracto que permite poner en practica una determinada política e seguridad. En relación con el control de acceso tenemos los siguientes estándares:
◦MAC (Mandatory Access Control)◦DAC (Discretionary Access Control)
Una alternativa a estos modelos es el control de acceso basado en roles (RBAC)
MODELOS DE SEGURIDAD
MAC es un sistema centralizado, en el cual las decisiones de seguridad no recaen en el propietario de un objeto y es el sistema el que fuerza el cumplimiento de las políticas por encima de las decisiones de los sujetos, además de permitir una granularidad y control mayores.
Desde el punto de vista de la seguridad, MAC es más completo que DAC
ESTÁNDAR MAC
Es una forma de acceso a recursos basada en los propietarios y grupos a los que pertenece un objeto. Se dice que es discrecional en el sentido de que un sujeto puede transmitir sus permisos a otro sujeto.
La mayoría de sistemas Linux ahora mismo usan este tipo de acceso, estando los permisos orquestados por grupos y usuarios, pudiendo un usuario normal cambiar los permisos de los archivos que posee con el comando chmod.
ESTÁNDAR DAC
Trata de definir los permisos basándose en los roles establecidos en la organización, para luego asociar adecuadamente a los usuarios con los roles que tengan derecho a ejercer.
Se dice que RBAC es neutral con respecto a la política, ya que permite modelar otros modelos previos, que han demostrado limitaciones, como son DAC y MAC.
ESTÁNDAR RBAC
Este estándar fue aceptado por ANSI y publicado en febrero de 2004 bajo el código ANSI INCITS 359-2004.
Tiene dos grandes bloques:◦El modelo de referencia RBAC:
describe sus elementos y sus relaciones. ◦Especificaciones funcionales administrativas y del sistema RBAC: define las características requeridas para un sistema RBAC
ESTÁNDAR RBAC
El modelo de referencia RBAC se define en términos de tres componentes:
◦Núcleo de RBAC: recoge los elementos mínimos, roles, usuarios, permisos, sesiones.
◦RBAC Jerárquico: añade relaciones para soportar jerarquía de errores.
◦RBAC con restricciones: ofrece un mecanismo que da soporte al principio de separación de privilegio, la cual pude ser estática o dinámica.
ESTÁNDAR RBAC
ISO 9126-1 Calidad de uso
Seguridad
Formas de diagnostico de seguridad.
Evaluación de Vulnerabilidades.Pruebas de Penetración.Auditoria de Seguridad.
ISO 9126
Busca determinar las fallas de seguridad de un sistema.
Produce reportes de tipo, cantidad y grado de dichas fallas.
Permite establecer es status de seguridad en un momento determinado, aunque sin referirse a estándares específicos.
Permite tomar medidas preventivas para evita que las fallas sean aprovechadas por un hacker.
Evaluación de Vulnerabilidades
Google libera herramienta de uso interno.
Permite detectar vulnerabilidades en las aplicaciones web.
Es compatible con Linux, Mac y Windows y puede ser descargada desde el sitio de Google.
Su finalidad es detectar agujeros de seguridad en aplicaciones web.
SOFTWARE DE VERIFICACIÓN DE SEGURIDAD
Nikto2:Es de código abierto.Permite llevar a cabo pruebas exhaustivas de los
servidores web para varios artículos. Los plugins se actualizan con frecuencia y se
puede actualizar de forma automática.
SOFTWARE DE VERIFICACIÓN DE SEGURIDAD
Líder mundial en escáneres activos de vulnerabilidad.
Con alta velocidad de descubrimiento, la auditoría de configuración, el perfil activo, el descubrimiento de los datos sensibles y análisis de la vulnerabilidad de su seguridad.
Se pueden distribuir a lo largo de toda una empresa, dentro y a través de redes separadas físicamente.
SOFTWARE DE VERIFICACIÓN DE SEGURIDAD
Nro.CONCEPTOS DE SEGURIDAD CUMPLE
SI NO
1El Sitio funciona correctamente y no presenta fallas al navegar por sus páginas o utilizar sus servicios? (especialmente en el caso de Trámites en línea)
2Los datos ingresados por un usuario a través de formularios, ¿son validados antes de ser enviados y procesados por el servidor del Sitio?
3¿Todos los vínculos del Sitio tienen una página asociada y el contenido adecuado al vínculo señalado?
4Frente a una búsqueda dentro del Sitio o cualquier operación en el mismo ¿los resultados se muestran correctamente?
5¿Los datos privados, entregados voluntariamente por los usuarios, son guardados de manera reservada?
6¿Se ofrece una Política de Privacidad de los Datos Personales y se informa de su existencia en las páginas pertinentes?
7¿Los servicios ofrecidos son realizados a través de canales de transacción seguros?
8
¿En los temas que requieren de accesos restringidos, el Sitio provee algún medio para validar el acceso, por ejemplo: a través de una caja de conexión con nombre de usuario y password?
9¿La política de seguridad implementada para validar el acceso restringido es adecuada a los propósitos del servicio o de l2a institución?
10¿Protege la integridad de sus programas y datos?
11¿Se evita que sea visto, el nombre de los programas y los directorios?
12Se cuenta con un protocolo de seguridad para evitar ataques externos e intrusiones de hackers?
13Se cuenta con una política de respaldo de información que permita superar efectos de fallas derivadas del punto anterior?
ChecklistPara determinar si el Sitio Web, cumple con las características de Seguridad
La información condiciones operativas.o Sin problemas.o Sin encontrar fallas.o Faltas.
Responsabilidad del prestador del servicio deberá tener un plan de soluciones y un
mantenimiento preventivo. Si es una pagina para realizar transacciones deberán tomar medidas para proteger a los
datos.
CONCLUSIONES
La prevención es la mejor medicina.Se debe mantener la seguridad de los
archivos de datos de tal forma que solo las personas correctas puedan verlos.
El protocolo SSL permite la transmitir información de forma segura.
La W3C1 y organizaciones como OASIS, entre otras, han propuesto estándares de políticas de seguridad y control de acceso que garanticen una infraestructura, en lo posible segura para Web Services y Web Semántica.
CONCLUSIONES
Preguntas?
