¿Qué parte del gobierno de TI trabaja con los elementos de seguridad?

En el pasado, considerar la función de TI de una organización como una Función meramente de

soporte –una función separada y diferenciada del resto del negocio- era una práctica común.
Actualmente, la mayor parte de la inversión en infraestructura y nuevas aplicaciones de TI
abarcan líneas y funciones del negocio. Algunas organizaciones incluso llegan a integrar a socios
y clientes en sus procesos internos. Por consiguiente los CEO’s (directores ejecutivos) y los CIO’s
(directores de TI) cada vez más sienten la necesidad de aumentar las relaciones entre TI y el
negocio. Pero, ¿cómo se puede afrontar este reto estratégico? Las cuestiones clave son:

− Existe un marco para ayudar a los responsables del negocio y de

− Tecnología en su esfuerzo por cambiar el rol de TI y reducir la
− Distancia entre TI y el negocio que ésta debe soportar y apoyar?
− ¿Cuáles son las responsabilidades a nivel de dirección y gestión?
− ¿Es ésta una cuestión de gobierno?.

Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración

efectiva de la información y de las

Tecnologías de la Información (TI) relacionadas. En esta sociedad global (donde la información

viaja a través del “ciberespacio” sin las restricciones de tiempo, distancia y velocidad) esta
criticidad emerge de:

- La creciente dependencia en información y en los sistemas que proporcionan dicha

información.
- La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las “ciber amenazas”
y la guerra de información.
-El coste de las inversiones actuales y futuras en información y en tecnología de información.
- El potencial que tienen las tecnologías para cambiar radicalmente.

Las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos.

Para muchas organizaciones, la información y la tecnología que la soporta, representan los

activos más valiosos de la empresa. Es más, en nuestro competitivo y rápidamente cambiante
ambiente actual, la Gerencia ha incrementado sus expectativas relacionadas con la entrega de
servicios de TI. Por lo tanto, la gerencia requiere servicios que presenten incrementos en calidad,
en funcionalidad y en facilidad de uso, así como una mejora continua y una disminución de los
tiempos de entrega; al tiempo que demanda que esto se realice a un costo más bajo.

Muchas organizaciones reconocen los beneficios potenciales que la tecnología puede

proporcionar. Las organizaciones punteras, sin embargo, también comprenden y administran
los riesgos asociados con la implementación de nuevas tecnologías.

LA NECESIDAD DEL CAMBIO DEL ROL DE TI

Es necesario un cambio en el rol de TI para extraer el máximo rendimiento a una inversión en TI

y usar la tecnología como un arma competitiva. De esta forma conseguimos que la actitud de TI
frente al negocio pase de ser meramente reactiva a ser proactiva, anticipándose a las
necesidades de la organización.
La investigación de las prácticas de gestión de TI en cientos de compañías en todo el mundo ha
revelado que la mayoría de las organizaciones no están optimizando su inversión en TI. El factor
diferenciador entre los que lo consiguen y los que no, radican en la participación de gerencia en
las decisiones clave de TI. La correcta participación de la gerencia en dichas decisiones aporta
un valor real a la inversión en TI al tiempo que sirven para evitar desastres relacionados con TI.
Se debe diferenciar entre decisiones estratégicas y operacionales, y dichas decisiones deben
estar alineadas con los planes estratégicos y operacionales del negocio.

Hay numerosos cambios en TI y en la construcción de redes que hacen énfasis en la necesidad

de manejar mejor los riesgos relacionados con TI.

La dependencia de la información electrónica y de los sistemas de TI es esencial para respaldar

procesos críticos de negocio.

Los negocios exitosos necesitan manejar mejor la compleja tecnología que predomina en todas
sus organizaciones para responder rápida y seguramente a las necesidades del negocio. Además,
el entorno regulador está exigiendo un control más estricto sobre la información. Esto, a su vez,
está condicionado por el incremento de la importancia de desastres en los sistemas de
información y el incremento de fraude electrónico. La gestión de los riesgos relacionados con TI
está siendo entendida ahora como una parte clave del gobierno de la empresa.

3. NECESIDAD DE GOBIERNO DE TI

Si TI se va a gestionar como un negocio dentro del negocio, el concepto de gobierno (proceso

en el que se ayuda la gerencia para conseguir sus objetivos) es también aplicable a la gestión de
TI. En muchas organizaciones, TI es fundamental para mantener y hacer que crezca el negocio.

Como consecuencia, la gerencia necesita entender la importancia estratégica de TI y debería

tener en su agenda el gobierno de TI. El principal objetivo del gobierno de TI es entender las
cuestiones y la importancia estratégica de TI para permitir a la organización que mantenga sus
operaciones e implemente las estrategias necesarias para sus proyectos y actividades futuras.

El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la
información con las estrategias y los objetivos de la empresa. Además, el Gobierno de TI integra
e institucionaliza buenas (o mejores) prácticas de planificación y organización, adquisición e
implementación, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar
que la información de la empresa y las tecnologías relacionadas soportan sus objetivos del
negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su información
logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja
competitiva.

GOBIERNO DE TI

Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de
alcanzar los objetivos de la empresa y añadir valor mientras se equilibran los riesgos y el retorno
sobre TI y sus complementos.
PROCEDIMIENTOS DE SEGURIDAD BÁSICOS PARA APLICACIONES WEB (VISUAL STUDIO)

VISUAL STUDIO 2005

Aunque tenga una experiencia y un conocimiento limitados sobre la seguridad de aplicaciones,

existen ciertas medidas básicas que debería tener en cuenta para ayudar a proteger las
aplicaciones Web. Las siguientes secciones de este tema ofrecen instrucciones sobre la
seguridad mínima que aplican a todas las aplicaciones Web. Para obtener una información
detallada sobre los procedimientos recomendados para escribir código seguro y garantizar la
seguridad de las aplicaciones, consulte el libro "Writing Secure Code", de Michael Howard y
David LeBlanc, y lea la especificación proporcionada en el sitio Web Microsoft Patterns and
Practices.

 Recomendaciones generales de seguridad para aplicaciones Web

 Ejecutar las aplicaciones con el mínimo de privilegios

 Conocer a los usuarios

 Protegerse contra entradas malintencionadas

 Tener acceso seguro a bases de datos

 Crear mensajes de error seguros

 Mantener segura la información confidencial

 Usar cookies de forma segura

 Protegerse contra amenazas de denegación de servicio

Recomendaciones generales de seguridad para aplicaciones Web

Incluso los métodos de seguridad de aplicaciones más elaborados pueden verse comprometidos
si un usuario malintencionado logra obtener acceso a los equipos usando medios simples. Entre
las recomendaciones generales de seguridad para aplicaciones Web se encuentran:

 Realice copias de seguridad de los datos con asiduidad y guárdelas en un lugar seguro.

 Mantenga el servidor Web en un lugar físico seguro, de forma que los usuarios no
autorizados no puedan tener acceso a él, apagarlo, llevárselo, etc.

 Utilice el sistema de archivos NTFS de Windows, no el FAT32. NTFS ofrece mucha más
seguridad que FAT32. Para obtener detalles, consulte la documentación de ayuda de
Windows.

 Proteja el servidor Web y todos los equipos de la misma red con contraseñas seguras.

 Siga los procedimientos recomendados para asegurar los servicios Internet Information
Server (IIS). Para obtener detalles, vea Windows Server TechCenter for IIS.

 Cierre los puertos que no se utilicen y desactive los servicios que no se estén en uso.

 Ejecute un programa antivirus que supervise el tráfico.

 Use un firewall. Para conocer las recomendaciones, vea el artículo en inglés Microsoft
Firewall Guidelines en el sitio Web sobre seguridad de Microsoft.
  Manténgase informado sobre las actualizaciones de seguridad más recientes de
Microsoft y otros fabricantes, e instálelas.

 Use las funciones de registro de eventos de Windows y examine los registros con
frecuencia para detectar actividades sospechosas. Esto incluye los intentos repetidos de
iniciar sesión en el sistema y un exceso de solicitudes en el servidor Web.

EJECUTAR LAS APLICACIONES CON EL MÍNIMO DE PRIVILEGIOS

Cuando la aplicación se ejecuta, lo hace en un contexto que tiene privilegios específicos en el

equipo local y posiblemente en equipos remotos. Para obtener información sobre cómo
configurar identidad de aplicaciones.

Para ejecutar con el número mínimo de privilegios necesarios, siga estas pautas:

 No ejecute la aplicación con la identidad de un usuario de sistema (administrador).

 Ejecute la aplicación en el contexto de un usuario con los mínimos privilegios factibles.

 Establezca permisos (Listas de control de acceso, o ACL) en todos los recursos requeridos
por la aplicación Utilice el valor más restrictivo. Por ejemplo, si resulta viable en la
aplicación, establezca que los archivos sean de sólo lectura. Para obtener una lista de
los permisos ACL mínimos requeridos para la identidad de su aplicación ASP.NET.

 Mantenga los archivos de la aplicación Web en una carpeta ubicada debajo de la raíz de
la aplicación. No dé a los usuarios la opción de especificar una ruta que permita tener
acceso a ningún archivo de la aplicación. Esto ayudará a evitar que los usuarios obtengan
acceso a la raíz del servidor.

CONOCER A LOS USUARIOS

En muchas aplicaciones los usuarios pueden tener acceso al sitio sin necesidad de proporcionar
credenciales. Si es el caso, la aplicación obtiene acceso a recursos al ejecutarse en el contexto
de un usuario predefinido. Como valor predeterminado, este contexto es el usuario ASPNET
local (Windows 2000 o Windows XP) o el usuario NETWORK SERVICE (Windows Server 2003) en
el servidor Web.

Para restringir el acceso únicamente a los usuarios que se hayan autenticado, siga estas
instrucciones:

 Si la aplicación pertenece a una intranet, configúrela para usar la seguridad integrada

de Windows. De este modo, las credenciales de inicio de sesión de los usuarios se
pueden usar para obtener acceso a los recursos.

 Si precisa recabar credenciales del usuario, utilice una de las estrategias de

autenticación de ASP.NET.

PROTEGERSE CONTRA ENTRADAS MALINTENCIONADAS

Como regla general, nunca se debe dar por sentado que la entrada proveniente de los usuarios
es segura. A los usuarios malintencionados les resulta fácil enviar información potencialmente
peligrosa desde el cliente a la aplicación. Para protegerse contra las entradas malintencionadas,
siga estas instrucciones:
 En los formularios, filtre la entrada de los usuarios para comprobar si existen etiquetas
HTML, que pueden contener una secuencia de comandos. Nunca repita (muestre)
entrada de los usuarios sin filtrar. Antes de mostrar información que no sea de
confianza, codifique los elementos HTML para convertir cualquier secuencia de
comandos potencialmente peligrosa en cadenas visibles, pero no ejecutables.

 Asimismo, no almacene nunca información proporcionada por el usuario sin filtrar en

una base de datos.

 Si desea aceptar algún elemento de código HTML de un usuario, fíltrelo manualmente.

En el filtro, defina explícitamente lo que aceptará. No cree un filtro que intente eliminar
cualquier entrada malintencionada, ya que es muy difícil anticipar todas las
posibilidades.

 No dé por sentado que la información que obtiene del encabezado (normalmente

mediante el objeto Request) es segura. Proteja las cadenas de consulta, cookies, etc.
Tenga en cuenta que la información que el explorador envía al servidor (información del
agente de usuario) puede ser suplantada, en caso de que resulte importante para la
aplicación.

 Si es posible, no almacene información confidencial en un lugar accesible desde el

explorador, como campos ocultos o cookies. Por ejemplo, no almacene una contraseña
en una cookie.

TENER ACCESO SEGURO A BASES DE DATOS

Normalmente, las bases de datos tienen sus propios sistemas de seguridad. Un aspecto
importante de la seguridad de aplicaciones Web es diseñar un modo de que éstas
puedan tener acceso a la base de datos de forma segura. Siga estas instrucciones:

 Use el sistema de seguridad inherente de la base de datos para limitar quién puede
tener acceso a los recursos de dicha base. La estrategia exacta dependerá de la base de
datos y de la aplicación:

o Si resulta viable en la aplicación, use la seguridad integrada de Windows de

forma que sólo los usuarios autenticados mediante Windows puedan tener
acceso a la base de datos. La seguridad integrada es más confiable que utilizar
la seguridad estándar de SQL.

o Si la aplicación utiliza el acceso anónimo, cree un único usuario con permisos

muy limitados, y haga que las consultas se ejecuten conectándose como dicho
usuario.

 No cree instrucciones SQL concatenando cadenas que contengan información aportada

por los usuarios. En su lugar, cree una consulta parametrizada y use la entrada del
usuario para establecer los valores de los parámetros.

 Si debe almacenar un nombre de usuario y una contraseña en alguna parte para usarlos
como credenciales de inicio de sesión con la base de datos, almacénelos de forma
segura. Si es factible, cífrelos. Para obtener información detallada.

 Para obtener más información sobre cómo tener acceso a los datos de forma segura.

CREAR MENSAJES DE ERROR SEGUROS

 Si no se es cuidadoso, un usuario malintencionado puede deducir información
importante sobre la aplicación a partir de los mensajes de error que ésta muestra. Siga
estas instrucciones:

 No escriba mensajes de error que presenten información que pudiera resultar útil a los
usuarios malintencionados, como un nombre de usuario.

 Configure la aplicación para que no muestre errores detallados a los usuarios. Si desea
mostrar mensajes de error detallados para la depuración, compruebe primero que
quien los recibirá es un usuario local con respecto al servidor Web. Para obtener
información detallada.

 Utilice el elemento de configuración customErrors para controlar quién ve las

excepciones desde el servidor.

 Cree un sistema de administración de errores personalizado para las situaciones que

sean propensas a los errores, como el acceso a las bases de datos.

Mantener segura la información confidencial

Información confidencial es toda aquella información que se desea conservar privada.

Un ejemplo de información confidencial es una contraseña o una clave cifrada. Si un
usuario malintencionado consigue llegar a la información confidencial, los datos
protegidos se verán expuestos. Siga estas instrucciones:

 Si la aplicación transmite información confidencial entre el explorador y el servidor,

plantéese utilizar el protocolo SSL (Secure Sockets Layer). Para obtener información
detallada sobre cómo cifrar un sitio mediante SSL, vea el artículo Q307267, "How to:
Secure XML Web Services with Secure Sockets Layer in Windows 2000" en Microsoft
Knowledge Base.

 Utilice Configuración protegida para proteger la información confidencial en archivos de

configuración como los archivos Web.config o Machine.config. Para obtener más
información.

 Si debe almacenar información confidencial, no lo haga en una página Web, ni siquiera

en un formato que piense que la gente no podrá verlo (por ejemplo, código del servidor).

 Utilice los algoritmos de cifrado de alta seguridad proporcionados en el espacio de

nombres System.Security.Cryptography.

Usar cookies de forma segura

Las cookies constituyen un modo fácil y útil de almacenar la información específica

disponible sobre los usuarios. Sin embargo, como se envían al explorador del equipo,
son vulnerables a la suplantación u otros usos malintencionados. Siga estas
instrucciones:

 No almacene información vital en cookies. Por ejemplo, no almacene, ni siquiera

temporalmente, la contraseña de un usuario en una cookie. Como norma, no almacene
ninguna información confidencial en una cookie. En lugar de eso, guarde en la cookie
una referencia a la ubicación del servidor en la que se encuentra la información.
  Establezca el período de tiempo mínimo posible para la fecha de caducidad de las
cookies. Si es posible, evite las cookies permanentes.

 Plantéese cifrar la información que contienen las cookies.

 Considere establecer las propiedades Secure y HttpOnly de sus cookies como true.

Protegerse contra amenazas de denegación de servicio

Un modo indirecto en el que un usuario malintencionado puede comprometer una

aplicación es haciendo que ésta no esté disponible. El usuario malintencionado puede
mantener la aplicación demasiado ocupada como para que pueda servir a otros
usuarios, o puede simplemente bloquearla. Siga estas instrucciones:

 Cierre o libere cualquier recurso utilizado. Por ejemplo, cierre siempre las conexiones
de datos y lectores de datos, y siempre cierre los archivos cuando haya terminado de
utilizarlos.

 Use un control de errores (por ejemplo, bloques try/catch). Incluya un bloque finally en
el que se liberen los recursos si se produce un error.

 Configure los servicios IIS para utilizar la regulación de procesos, que evita que una
aplicación use una cantidad desproporcionada de la CPU.

 Compruebe los límites de tamaño de la entrada del usuario antes de usarla o

almacenarla.

 Incluya límites de tamaño para las consultas a la base de datos y así proteger frente a
las consultas grandes que consumen los recursos del sistema.

 Establezca un límite de tamaño para las cargas de archivos, si éstas forman parte de la
aplicación. Puede establecer un límite en el archivo Web.config usando sintaxis como la
del siguiente ejemplo de código, donde el valor maxRequestLength está en kilobytes:

Copiar

<configuration>

<system.web>

<httpRuntime maxRequestLength="4096" />

</system.web>

</configuration>

Asimismo puede utilizar la propiedad RequestLengthDiskThreshold para reducir la

sobrecarga de memoria de grandes cargas y devoluciones de formularios.

o Ahora, observe la presentación interactiva “Conceptos de

SGSI, procedimientos, aplicabilidad e inmersión de la
seguridad en ITIL y COBIT”. Esta condensa conceptos
fundamentales sobre la relación directa del negocio y los
riesgos asociados a las plataformas tecnológicas y cómo
podrían tratarse estas eventualidades.
 Conceptos de SGSI, procedimientos, aplicabilidad e
inmersión de la seguridad en ITIL y COBIT.
o Otra herramienta ideal para identificar los principales sistema
de gestión de seguridad de la información está detallada en la
siguiente infografía.
o La siguiente infografía le permitirá identificar las
principales características y objetivos del gobierno de
TI, proceso vital para reconocer este tipo de
escenario y su importancia en la vida cotidiana y en
grandes instituciones.
o El siguiente mapa conceptual presenta la interacción
entre riesgos, controles y el sistema de gestión de
seguridad de la información. Ingrese y comprenda su
correlación.

o Los ataques por robo o daño de información

provenientes de la red ocurren con frecuencia debido
a que los usuarios no blindan sus códigos ni su
información. Por esta razón, los usuarios activos
deben entender cómo funcionan los ataques, de qué
manera son vulnerables e identificar cómo
contrarrestarlos y evitarlos. Para ilustrar este tema, a
continuación, observe el video Creación de un código
malicioso o virus informático.