Asignatura: Tecnologías Emergentes 7º Nivel. Docente: Ing. Freddy Melgar Algarañaz

Transcripción

1 Universidad Autónoma del Beni José Ballivian Facultad de Ingeniería y Tecnología Carrera de ingeniería de Sistemas Asignatura: Docente: Tecnologías Emergentes 7º Nivel Ing. Freddy Melgar Algarañaz

2 La seguridad es un elemento de primer nivel que entra en juego desde la concepción inicial de un sistema y participa desde un principio en las decisiones de diseño. Los requisitos de seguridad deben considerarse explícitamente durante todo el proceso de desarrollo, lo que da lugar a la inclusión de fases o actividad dedicadas a la seguridad

3 Su objetivo principal es mantener las tres características primordiales de la información: Confidencialidad Integridad Disponibilidad Las medidas de seguridad suelen centrarse principalmente en la eliminación o reducción de las vulnerabilidades del sistema

4 Atendiendo a la forma de actuación, las medidas de seguridad pueden ser: De Prevención De Detención De Corrección Las principales medidas de seguridad aplicadas al ámbito de desarrollo son la de carácter preventivo en particular de tipo técnico/admistrativo.

5 Entre las medias de seguridad de carácter técnico se encuentran: Identificación y autenticación de usuarios. Control de accesos. Control de flujo en la información. Confidencialidad. Integridad. No repudio. Notorización. Auditoria.

6 Entre las medidas administrativas tenemos los siguientes mecanismos de protección: Autenticación Control de acceso Cifrado de datos Funciones de resumen Firma digital Registro de auditoria

7 Se debe diferenciar las políticas de los mecanismos de seguridad. Las políticas definen qué hay que hacer (qué datos y recursos deben protegerse de quién; es un problema de administración). Los mecanismos determinan cómo hay que hacerlo. Esta separación es importante en términos de flexibilidad, puesto que las políticas pueden variar en el tiempo y de una organización a otra.

8 Se dice que un sistema es confiable con respecto a una determina política de seguridad si ofrecen mecanismos de protección capases de cumplir con los requisitos de seguridad impuestos por dicha política.

9 La experiencia en el desarrollo de mecanismos de seguridad relacionado con el control de acceso a dado lugar a los siguientes criterios de diseño: Abstracción de datos. Privilegios mínimos. Separación de privilegios. Separación de administración y acceso. Autorizaciones positivas y negativas. Delegación de privilegios.

10 Transacciones bien formadas. Autenticación. Compartición mínima. Diseño abierto. Exigencias de permiso. Intermediación completa. Mecanismos económicos. Sencillez de uso. Aceptabilidad.

11 Es un mecanismo abstracto que permite poner en practica una determinada política e seguridad. En relación con el control de acceso tenemos los siguientes estándares: MAC (Mandatory Access Control) DAC (Discretionary Access Control) Una alternativa a estos modelos es el control de acceso basado en roles (RBAC)

12 MAC es un sistema centralizado, en el cual las decisiones de seguridad no recaen en el propietario de un objeto y es el sistema el que fuerza el cumplimiento de las políticas por encima de las decisiones de los sujetos, además de permitir una granularidad y control mayores. Desde el punto de vista de la seguridad, MAC es más completo que DAC

13 Es una forma de acceso a recursos basada en los propietarios y grupos a los que pertenece un objeto. Se dice que es discrecional en el sentido de que un sujeto puede transmitir sus permisos a otro sujeto. La mayoría de sistemas Linux ahora mismo usan este tipo de acceso, estando los permisos orquestados por grupos y usuarios, pudiendo un usuario normal cambiar los permisos de los archivos que posee con el comando chmod.

14 Trata de definir los permisos basándose en los roles establecidos en la organización, para luego asociar adecuadamente a los usuarios con los roles que tengan derecho a ejercer. Se dice que RBAC es neutral con respecto a la política, ya que permite modelar otros modelos previos, que han demostrado limitaciones, como son DAC y MAC.

15 Este estándar fue aceptado por ANSI y publicado en febrero de 2004 bajo el código ANSI INCITS Tiene dos grandes bloques: El modelo de referencia RBAC: describe sus elementos y sus relaciones. Especificaciones funcionales administrativas y del sistema RBAC: define las características requeridas para un sistema RBAC

16 El modelo de referencia RBAC se define en términos de tres componentes: Núcleo de RBAC: recoge los elementos mínimos, roles, usuarios, permisos, sesiones. RBAC Jerárquico: añade relaciones para soportar jerarquía de errores. RBAC con restricciones: ofrece un mecanismo que da soporte al principio de separación de privilegio, la cual pude ser estática o dinámica.

17 ISO Calidad de uso Seguridad Formas de diagnostico de seguridad. Evaluación de Vulnerabilidades. Pruebas de Penetración. Auditoria de Seguridad.

18 Busca determinar las fallas de seguridad de un sistema. Produce reportes de tipo, cantidad y grado de dichas fallas. Permite establecer es status de seguridad en un momento determinado, aunque sin referirse a estándares específicos. Permite tomar medidas preventivas para evita que las fallas sean aprovechadas por un hacker.

19 Google libera herramienta de uso interno. Permite detectar vulnerabilidades en las aplicaciones web. Es compatible con Linux, Mac y Windows y puede ser descargada desde el sitio de Google. Su finalidad es detectar agujeros de seguridad en aplicaciones web.

20 Nikto2: Es de código abierto. Permite llevar a cabo pruebas exhaustivas de los servidores web para varios artículos. Los plugins se actualizan con frecuencia y se puede actualizar de forma automática.

21 Líder mundial en escáneres activos de vulnerabilidad. Con alta velocidad de descubrimiento, la auditoría de configuración, el perfil activo, el descubrimiento de los datos sensibles y análisis de la vulnerabilidad de su seguridad. Se pueden distribuir a lo largo de toda una empresa, dentro y a través de redes separadas físicamente.

22 Para determinar si el Sitio Web, cumple con las características de Seguridad Nro. CONCEPTOS DE SEGURIDAD CUMPLE El Sitio funciona correctamente y no presenta fallas al navegar por sus páginas o utilizar sus 1servicios? (especialmente en el caso de Trámites en línea) Los datos ingresados por un usuario a través de formularios, son validados antes de ser enviados y 2procesados por el servidor del Sitio? Todos los vínculos del Sitio tienen una página asociada y el contenido adecuado al vínculo 3señalado? Frente a una búsqueda dentro del Sitio o cualquier operación en el mismo los resultados se 4muestran correctamente? Los datos privados, entregados voluntariamente por los usuarios, son guardados de manera 5reservada? Se ofrece una Política de Privacidad de los Datos Personales y se informa de su existencia en las 6páginas pertinentes? 7 Los servicios ofrecidos son realizados a través de canales de transacción seguros? En los temas que requieren de accesos restringidos, el Sitio provee algún medio para validar el acceso, por ejemplo: a través de una caja de conexión con nombre de usuario y password? 8 La política de seguridad implementada para validar el acceso restringido es adecuada a los 9propósitos del servicio o de l2a institución? 10 Protege la integridad de sus programas y datos? 11 Se evita que sea visto, el nombre de los programas y los directorios? Se cuenta con un protocolo de seguridad para evitar ataques externos e intrusiones de hackers? 12 Se cuenta con una política de respaldo de información que permita superar efectos de fallas 13derivadas del punto anterior? SI NO

23 La información condiciones operativas. o Sin problemas. o Sin encontrar fallas. o Faltas. Responsabilidad del prestador del servicio deberá tener un plan de soluciones y un mantenimiento preventivo. Si es una pagina para realizar transacciones deberán tomar medidas para proteger a los datos.

24 La prevención es la mejor medicina. Se debe mantener la seguridad de los archivos de datos de tal forma que solo las personas correctas puedan verlos. El protocolo SSL permite la transmitir información de forma segura. La W3C1 y organizaciones como OASIS, entre otras, han propuesto estándares de políticas de seguridad y control de acceso que garanticen una infraestructura, en lo posible segura para Web Services y Web Semántica.

25 GRACIAS!