Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Qué Parte Del Gobierno de TI Trabaja Con Los Elementos de Seguridad
Qué Parte Del Gobierno de TI Trabaja Con Los Elementos de Seguridad
Las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos.
Los negocios exitosos necesitan manejar mejor la compleja tecnología que predomina en todas
sus organizaciones para responder rápida y seguramente a las necesidades del negocio. Además,
el entorno regulador está exigiendo un control más estricto sobre la información. Esto, a su vez,
está condicionado por el incremento de la importancia de desastres en los sistemas de
información y el incremento de fraude electrónico. La gestión de los riesgos relacionados con TI
está siendo entendida ahora como una parte clave del gobierno de la empresa.
3. NECESIDAD DE GOBIERNO DE TI
El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la
información con las estrategias y los objetivos de la empresa. Además, el Gobierno de TI integra
e institucionaliza buenas (o mejores) prácticas de planificación y organización, adquisición e
implementación, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar
que la información de la empresa y las tecnologías relacionadas soportan sus objetivos del
negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su información
logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja
competitiva.
GOBIERNO DE TI
Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de
alcanzar los objetivos de la empresa y añadir valor mientras se equilibran los riesgos y el retorno
sobre TI y sus complementos.
PROCEDIMIENTOS DE SEGURIDAD BÁSICOS PARA APLICACIONES WEB (VISUAL STUDIO)
Incluso los métodos de seguridad de aplicaciones más elaborados pueden verse comprometidos
si un usuario malintencionado logra obtener acceso a los equipos usando medios simples. Entre
las recomendaciones generales de seguridad para aplicaciones Web se encuentran:
Realice copias de seguridad de los datos con asiduidad y guárdelas en un lugar seguro.
Mantenga el servidor Web en un lugar físico seguro, de forma que los usuarios no
autorizados no puedan tener acceso a él, apagarlo, llevárselo, etc.
Utilice el sistema de archivos NTFS de Windows, no el FAT32. NTFS ofrece mucha más
seguridad que FAT32. Para obtener detalles, consulte la documentación de ayuda de
Windows.
Proteja el servidor Web y todos los equipos de la misma red con contraseñas seguras.
Siga los procedimientos recomendados para asegurar los servicios Internet Information
Server (IIS). Para obtener detalles, vea Windows Server TechCenter for IIS.
Cierre los puertos que no se utilicen y desactive los servicios que no se estén en uso.
Use un firewall. Para conocer las recomendaciones, vea el artículo en inglés Microsoft
Firewall Guidelines en el sitio Web sobre seguridad de Microsoft.
Manténgase informado sobre las actualizaciones de seguridad más recientes de
Microsoft y otros fabricantes, e instálelas.
Use las funciones de registro de eventos de Windows y examine los registros con
frecuencia para detectar actividades sospechosas. Esto incluye los intentos repetidos de
iniciar sesión en el sistema y un exceso de solicitudes en el servidor Web.
Para ejecutar con el número mínimo de privilegios necesarios, siga estas pautas:
Establezca permisos (Listas de control de acceso, o ACL) en todos los recursos requeridos
por la aplicación Utilice el valor más restrictivo. Por ejemplo, si resulta viable en la
aplicación, establezca que los archivos sean de sólo lectura. Para obtener una lista de
los permisos ACL mínimos requeridos para la identidad de su aplicación ASP.NET.
Mantenga los archivos de la aplicación Web en una carpeta ubicada debajo de la raíz de
la aplicación. No dé a los usuarios la opción de especificar una ruta que permita tener
acceso a ningún archivo de la aplicación. Esto ayudará a evitar que los usuarios obtengan
acceso a la raíz del servidor.
En muchas aplicaciones los usuarios pueden tener acceso al sitio sin necesidad de proporcionar
credenciales. Si es el caso, la aplicación obtiene acceso a recursos al ejecutarse en el contexto
de un usuario predefinido. Como valor predeterminado, este contexto es el usuario ASPNET
local (Windows 2000 o Windows XP) o el usuario NETWORK SERVICE (Windows Server 2003) en
el servidor Web.
Para restringir el acceso únicamente a los usuarios que se hayan autenticado, siga estas
instrucciones:
Como regla general, nunca se debe dar por sentado que la entrada proveniente de los usuarios
es segura. A los usuarios malintencionados les resulta fácil enviar información potencialmente
peligrosa desde el cliente a la aplicación. Para protegerse contra las entradas malintencionadas,
siga estas instrucciones:
En los formularios, filtre la entrada de los usuarios para comprobar si existen etiquetas
HTML, que pueden contener una secuencia de comandos. Nunca repita (muestre)
entrada de los usuarios sin filtrar. Antes de mostrar información que no sea de
confianza, codifique los elementos HTML para convertir cualquier secuencia de
comandos potencialmente peligrosa en cadenas visibles, pero no ejecutables.
Normalmente, las bases de datos tienen sus propios sistemas de seguridad. Un aspecto
importante de la seguridad de aplicaciones Web es diseñar un modo de que éstas
puedan tener acceso a la base de datos de forma segura. Siga estas instrucciones:
Use el sistema de seguridad inherente de la base de datos para limitar quién puede
tener acceso a los recursos de dicha base. La estrategia exacta dependerá de la base de
datos y de la aplicación:
Si debe almacenar un nombre de usuario y una contraseña en alguna parte para usarlos
como credenciales de inicio de sesión con la base de datos, almacénelos de forma
segura. Si es factible, cífrelos. Para obtener información detallada.
Para obtener más información sobre cómo tener acceso a los datos de forma segura.
No escriba mensajes de error que presenten información que pudiera resultar útil a los
usuarios malintencionados, como un nombre de usuario.
Configure la aplicación para que no muestre errores detallados a los usuarios. Si desea
mostrar mensajes de error detallados para la depuración, compruebe primero que
quien los recibirá es un usuario local con respecto al servidor Web. Para obtener
información detallada.
Considere establecer las propiedades Secure y HttpOnly de sus cookies como true.
Cierre o libere cualquier recurso utilizado. Por ejemplo, cierre siempre las conexiones
de datos y lectores de datos, y siempre cierre los archivos cuando haya terminado de
utilizarlos.
Use un control de errores (por ejemplo, bloques try/catch). Incluya un bloque finally en
el que se liberen los recursos si se produce un error.
Configure los servicios IIS para utilizar la regulación de procesos, que evita que una
aplicación use una cantidad desproporcionada de la CPU.
Incluya límites de tamaño para las consultas a la base de datos y así proteger frente a
las consultas grandes que consumen los recursos del sistema.
Establezca un límite de tamaño para las cargas de archivos, si éstas forman parte de la
aplicación. Puede establecer un límite en el archivo Web.config usando sintaxis como la
del siguiente ejemplo de código, donde el valor maxRequestLength está en kilobytes:
Copiar
<configuration>
<system.web>
</system.web>
</configuration>