Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Apellidos:
Seguridad en el
Software
Nombre:
Actividades
Descripción
Los objetivos de seguridad establecidos para la tienda web de Librería On-Line SA son
los siguientes:
El sistema estará basado en una típica arquitectura de una aplicación web de tres capas
donde el cliente es un navegador que accede a los servicios proporcionados por el sitio
web de la librería, que contiene una base de datos de los clientes, cuentas y
publicaciones disponibles alojada en un servidor de bases de datos y un servidor web
que implementa toda la lógica de negocio.
Hay que tener en cuenta que nos encontramos en la fase análisis de requisitos del SDLC
identificando requisitos funcionales y de seguridad.
Para la realización del DFD se utilizará la herramienta Threat analysis and modeling
tool 2016 de la compañía Microsoft, descargable en el siguiente enlace:
https://www.microsoft.com/en-us/download/details.aspx?id=49168
Como ayuda a su manejo, aparte de los manuales que se pueden descargar con
esta herramienta, se aconseja visionar estos dos vídeos:
La aplicación permite analizar las amenazas de una aplicación web típica de negocio de
pago electrónico de una librería (textos, libros, revistas, etc.) en formato digital con
opciones de impresión.
El sistema está basado en una típica arquitectura de una aplicación web de tres capas,
donde el cliente es un navegador que acceder a los servicios proporcionados por el sitio
web de la librería, que contiene una base de datos de los clientes, cuentas y
publicaciones disponibles alojada en un servidor bases de datos (que replica a un
hosting externo para tener un backup), un servidor web que implementa toda la lógica
de negocio, un servidor de logs interno como podrían ser un SIEM y por último un
acceso a una pasarela de pagos externa.
Tener en cuenta que nos encontramos en la fase análisis de requisitos del SDLC,
identificando requisitos funcionales y de seguridad.
Un ejemplo puede ser el siguiente, aunque lo puedes modelar de forma diferente según
consideres:
Selección de vitas
Figura 23. Relación entre las amenazas del método STRIDE y los elementos de un diagrama DFD
Aplicación de Plantilla
Una vez que tenemos identificada la lista de amenazas, el siguiente paso consiste en
puntuarlas de acuerdo al riesgo que suponen. Esto nos permitirá priorizar las
actuaciones a efectuar para mitigar el riesgo.
Deberás incluir en la memoria esta tabla rellena con al menos 15 de las amenazas
obtenidas de la de la herramienta Threat analysis and modeling tool 2016. Se valorará
que se implemente en idioma español. En la herramienta deberán estar analizadas
todas.
Salvaguardas
Una vez calculado el riesgo con el método DREAD hay que incluir en la herramienta
manualmente para cada una las salvaguardas que ayuden a mitigarlas.