Gestión de sistemas de seguridad para redes

(Seguridad en el desarrollo de software)

ACTIVIDAD NO. 2

PRESENTADO POR: ADRIAN RAMIREZ LOPEZ

Universidad Católica del Norte

Octubre 28 de 2012
 1. Describir como aplicarías la S-SDLC de acuerdo a la
norma NIST SP 800-64 para el sistema del problema.

ESPECIFICACIONES

 Describir las necesidades básicas de seguridad del sistema, en términos

de integridad, disponibilidad, confidencialidad, responsabilidad.

 En el desarrollo del sistema del problema se debe contar con un

enfoque estándar para establecer categorías de seguridad para la
información y los sistemas de información.

 Definir el ambiente de amenazas en el cual operará el sistema.

 Identificación inicial de los controles de seguridad requeridos.

DISEÑO

 Diseñar, desarrollar, modificar e implementar los controles, nuevos o

adicionales, referenciados en el plan de seguridad.

 Asegurar que los controles de seguridad necesarios (planeados o

existentes), para redes, facilidades, sistemas de información, estén
totalmente documentados.

 Diseñar herramientas para la identificación de amenazas y

vulnerabilidades en el sistema de información.

 Se debe diseñar una valoración formal y periódica del riesgo al cual es

vulnerable el sistema del problema.

 Adicional al sistema del problema que se está diseñando, se debe

considerar la seguridad de los sistemas a los cuales éste está conectado
directa o indirectamente.
  Se debe tener un planeamiento y descripción completo del sistema del
problema para considerar el plan de seguridad.

PROGRAMACION

 Evitar que los datos en proceso de programación sean manipulados y

accedidos por individuos no autorizados.

 Se deben programar métodos necesarios para recuperar la información

en el futuro.

PRUEBAS

 Probar, si es posible, que los controles trabajan apropiadamente y son

efectivos, antes de colocarlos en producción.

 Las pruebas deben basarse en un plan de evaluación y pruebas.

 En las pruebas, validaciones y verificaciones se deben incluir la

seguridad del sistema.

 Las pruebas de integración y aceptación se deben realizar después de

la entrega e implementación del sistema

 Las pruebas de seguridad serán establecidas y ejecutadas de acuerdo

con las instrucciones del fabricante.

IMPLEMENTACION

 Durante la implementación del sistema se autorizara para que un

sistema proceso, almacene o transmita información de los datos.

 Se deben aprobar los niveles de seguridad que se solicitaron el los

requerimientos del sistema.
  Realizar chequeos de los módulos del sistema para verificar su correcto
uso para los diferentes usuarios.

 Realizar un seguimiento de cómo se comportan los usuarios del

sistema (agentes de tránsito, la policía y conductores).

MANTENIMIENTO

 Se realizaran pruebas y evaluaciones periódicas y continuas de los

controles de seguridad para asegurar su efectividad.

 Se Implementaran fases de monitoreo como las siguientes:

revisiones de seguridad, auto-evaluaciones, pruebas y evaluaciones,
auditorías

2. Describir las tareas que hay en cada fase en términos

de la seguridad de la información para el sistema del
problema.

ESPECIFICACIONES:

DISEÑO

 Identificar los niveles de seguridad para los usuarios

 Identificar los niveles de riesgo de violación a la integridad del sistema

del problema.

 Como el sistema trabaja en la red identificar los inconvenientes

derivados de este medio.

 Diseñar contingencias a nivel de seguridad para el sistema.

PROGRAMACION

 Definir privilegios para acceder al código de las personas encargadas de

la programación.

 Codificar los privilegios de usuarios para interactuar con el sistema.

 Programar niveles de seguridad para la consulta de la información

pública.

 Establecer la seguridad de las aplicaciones del sistema.

 Programar la encriptación de la información.

PRUEBAS

 Realizar chequeos de los incidentes de seguridad de la Información.

 Probar los accesos de los usuarios al sistema.

 Probar los posibles eventos de la seguridad.

 Desarrollar un plan a futuro para monitorear la seguridad integridad

del sistema del problema.

 Probar el código en caso de vulnerabilidad del sistema.

 Probar la seguridad del sistema en la web.

 Realizar las pruebas requeridas para comprobar niveles de seguridad a

nivel de contraseñas de usuario.

IMPLEMENTACION

 Se deben realizar valoraciones periódicas del nivel de seguridad del

sistema.

 Implementar procesos de monitoreo de la integridad del sistema.

  Se deben realizar revisiones de la política de seguridad y de la
conformidad técnica del sistema.

 Utilizar todas las recomendaciones de seguridad dadas por el

desarrollador del sistema.

 Realizar evaluaciones de procedimiento y responsabilidad en la

utilización del sistema.

 Realizar un programa de gestión de incidentes de la seguridad del

sistema.

 Implementar procedimiento de contingencias en caso de afectación de

seguridad del sistema.

MANTENIMIENTO

 Tener preparados soportes de la información en caso de problemas.

 Revisar la gestión de reportes de incidentes de seguridad.

 Ejecutar planes de mantenimiento de la información.

 Realizar depuración de la información periódicamente.

 Intervenir e sistema a cualquier sospecha de vulneración de la

información del sistema.

 Comprobar el correcto almacenamiento de los datos en los medios

dispuestos para ello.
 3. Crear las políticas procedimientos de seguridad de la
información para el sistema del problema para cada
una de las fases del ciclo de desarrollo, desde la
perspectiva de la seguridad.
ESPECIFICACIONES

 Definir el acceso autorizado de los datos.

 Sólo las personas autorizadas pueden tener acceso a la información.

 Definir la tecnología en la que se basara el sistema.

DISEÑO

 Diseñar procedimientos, normas, reglas y estándares de seguridad para

el sistema.

 Diseñar medidas destinadas principalmente a la conservar la integridad

de la información para que no sufran alteración, pérdida o robo.

 Diseñar permisos de usuarios para las personas que interactúan con el

sistema.

PROGRAMACION

 la información no debe sufrir alteraciones no deseadas, en cuanto a su

contenido.

 Sólo las personas autorizadas pueden tener acceso al código de la

información.

 Programar niveles de seguridad para el intercambio de información con

sistemas externos en las web.
PRUEBAS

 Probar la seguridad implementada en el sistema.

 Probar el acceso de la información para cada usuario.

 Evaluar los niveles de seguridad de autenticación de las contraseñas.

IMPLEMENTACION

 Implementar medidas para la conservación de los sistemas de

información en ficheros medios externos, equipos y demás elementos
físicos que tratan los datos.

 Implementar niveles de seguridad en los equipos o todo material en

soporte físico que sirva para tratar y almacenar electrónicamente datos
del sistema.

 Limitar el acceso externo al a información del sistema.

MANTENIMIENTO

 Revisión periódica de la información de control de los accesos a los

datos y aplicaciones.

 Realizar procedimientos de BackUp de la información para poseer

respaldos de esta, en caso de inconvenientes de seguridad.

 Gestionar software de mantenimiento para la seguridad del sistema.

 4. Capítulo donde defina el análisis de riesgos para el
sistema del problema.

Para el trabajo de análisis de riesgo en la ejecución del proyecto de creación

de un sistema de información para mejorar la movilidad en parte del área
metropolitana y el centro de la ciudad se tomaran en cuenta los siguientes
aspectos

ESTIMACION DE RIESGOS

Se estima que los riesgos del sistema se encuentran abarcados en las fases de
diseño, donde puede ocurrir filtración de la información a personas no
autorizadas, esto podría acarrear futuras intromisiones en la basa de datos,
manipulaciones de la información para uso ilegal. También se podría tener
fallas de seguridad en la programación del código del sistema, creando
puertas traseras para el ingreso no autorizado al sistema, la codificación es
una fase muy importante ya que se crean niveles de acceso a los usuarios y se
crea la gestión de contraseñas que limita la manipulación del sistema.

Se debe estimar el riesgo físico de los equipos que tendrán acceso al sistema
ya que podrían atentar contra la calidad del sistema en mención, se
recomienda que se consulten fuentes externas y experiencias de otros
sistemas similares para tomar experiencias ya adquiridas que puedan dar
pautas y fallas que no están contempladas en el sistema a trabajar.

CONTROL DE RIESGOS

Se deben crear elementos para tener una gestión ágil de los riesgos que se
presenten en la implantación del sistema, tales como ataques de hacker,
ingresos de usuarios no autorizados al sistema, estas amenazas y otras que se
puedan presentar en el uso diario del sistema se debe contrarrestar con
acciones y medidas que aseguren la integridad del sistema.
Fuera de las acciones de contingencia también se debe crear un método para
monitorear el funcionamiento de este, el cual debe vigilar las acciones
encaminadas a evitar el riesgo.
 5. Definir y describir los requisitos de seguridad para el
sistema del problema; o sea un capítulo de requisitos
de seguridad.

Plan de Contingencia
Este dará opciones en caso de un posible problema en la seguridad
Respaldos de la información
El objetivo principal será la recuperabilidad de los datos y programas del
sistema del problema.
Gestión de Incidentes de Seguridad
Esta será la herramienta para presentar los procesos y controles preventivos,
y correctivos para mitigar las eventuales vulnerabilidades que pudieran
ocurrir.
Análisis de Vulnerabilidades
Este requisito presentara políticas y procesos para el análisis de las
vulnerabilidades que pudieran afectar al sistema en desarrollo.
Monitoreo y utilización del sistema
Este deberá realizar un monitoreo en tiempo real de toda la ejecución de la
aplicación.
Auditoria
Se debe garantizar el correcto monitoreo de toda la funcionabilidad del
sistema para garantizar su seguridad.
Seguridad de los servidores
Se deberá presentar un esquema detallado de la seguridad a implementar en
los servidores.
Seguridad de las bases de datos
Las bases de datos deberán estar aseguradas desde el momento de
desarrollo del sistema, permitiendo los accesos solamente por aquellos
usuarios y desde aquellos programas que hayan sido habilitados.
Gestión de usuarios, contraseñas y privilegios
Los usuarios deberán manejarse centralizadamente y las contraseñas de los
mismos deberán seguir las pautas que La Secretaria Municipal de Tránsito de
Medellín otorgue a cada uno de ellos.
Nivel de Seguridad Legal
Se deberá dar cumplimiento a las obligaciones establecidas por leyes,
estatutos, normas, reglamentos o contratos en el diseño, operación, uso y
administración de la información.
Política y procedimientos de intercambio y manejo de la información
Se deberá presentar mecanismos a utilizar para el manejo e intercambio de
la información, ya sea para el envío desde el sistema o para que personas
externas suban información a este.

6. Definir y documentar los controles de seguridad para

el sistema; o sea un capítulo de diseño e
implementación de controles (técnicos y
administrativos) de seguridad de acuerdo al lenguaje
de modelado de datos UML.

Controles al acceso

 nivel de seguridad de acceso

 empleo de las claves de acceso
 Controlar la seguridad contemplando la relación costo-beneficio, ya
que a mayor tecnología de acceso mayor costo
Controles para el personal

 Controlar el grado de capacitación operativa y técnica del personal que

operara el sistema
 Controla la cantidad de personas con acceso operativo y
administrativo
 Conocer la capacitación del personal en situaciones de emergencia

Controles físicos

 Controlar el flujo eléctrico sobre el software y hardware

 Evaluar las conexiones de los sistemas eléctricos, telefónicos, cables,
etc.
 Controlar si existen un diseño, especificación técnica, planos o algún
tipo de documentación sobre las instalaciones

Controles administrativos

 Controlar y gestionar los medios para realizar auditorías y seguimientos

al sistema.
 Invertir en asesorías responsables y calificadas para medir los niveles
de vulnerabilidad del sistema del problema.
 Proveer al sistema de plataformas tecnológicas con tecnología de
punta.
 Controlar las prácticas necesarias para la implantación y ejecución de
planes de contingencia y la simulación de posibles delitos.
Casos de usos
Cibergrafia

 http://www.slideshare.net/guest73516b/analisis-de-riesgo-sesion-4

 http://www.criptored.upm.es/cibsi/cibsi2009/docs/Papers/CIBSI-Dia2-
Sesion3(1).pdf

 http://www.monografias.com/trabajos92/gestion-requisitos/gestion-
requisitos.shtml