TALLER EJE 4

INGENIERIA DE SOFTWARE II

Integrantes:
Andrés Santiago Rodríguez Romero
José Luis Rubiano Mendoza
Cristian Elías Rodríguez Romero

Instructor:
ANGEL ALBERTO VARON QUIMBAYO

Programa:
Ingeniería en sistemas – virtual

FUNDACION UNIVERSITARIA DEL AREANDINA

2020
 INTRODUCCION

La siguiente presentación tiene como finalidad entender y resolver el problema

planteado en el EJE 4.

Hablamos de gestión de riegos en matriz, además hacemos un plan de acción para

la seguridad del sistema o aplicativo y unas recomendaciones de ciberseguridad.
 MATRIZ DE RIESGOS

*Nota: Para una correcta visualización, amplié el documento*

PLAN DE ACCION PARA SEGURIDAD DE LA APLICACION

En nuestro plan de acción, manejaremos unas pautas a seguir para brindar la

seguridad de nuestra aplicación.

Estas las manejaremos en formato “Check List”, para asegurar que todo lo
planteado en nuestro plan de acción se cumpla y se verifique.
- Perfilamiento de usuarios en el sistema:

Consiste en que el sistema manejara una serie de perfiles con el fin

de restringir el acceso a la información, ya se porque es sensible y puede
afectar la privacidad e integridad de la información en la base de datos.

--Revisión del código

Consiste en validar el código fuente una vez culminado el proyecto, para

evitar fallos y vulnerabilidades

-Restringir acceso al servidor

Consiste en restringir el acceso al servidor donde se encuentra alojado el

servicio, producto o aplicación, manejando credenciales de acceso, para
prevenir que terceros pueda ingresar y afectar el mismo.

-Testing seguridad

Consiste en que un individuo realice pruebas en el sistema a nivel de

seguridad, intentando vulnerar cualquier ingreso al mismo o a la base de
datos.

--Configuración de firewall

Consiste en tener reglas de bloqueo de acceso a la URL donde se encuentre

el sistema, para evitar ataques al servicio

--Fuga de información

Consiste en hacer acciones con especialistas, para evitar de cualquier tipo la

fuga de la información del sistema y que llegue a manos inescrupulosas.

--Certificaciones

Implementar certificados de seguridad de nivel nacional e internacional, con

el fin de asegurar la información del sistema

--Herramientas de seguridad

Someter la aplicación a herramientas de pruebas de seguridad.

 CIBERSEGURIDAD DEL PRODUCTO

Certificación SSL para el Producto:

Todos los sistemas actuales mínimamente deben tener este certificado digital
Un certificado SSL (Secure Sockets Layer) es un título digital que autentifica la
identidad de un sitio web y cifra con tecnología SSL la información que se envía al
servidor.

El cifrado es el proceso de mezclar datos en un formato indescifrable que solo

puede volver al formato legible con la clave de descifrado adecuada.

Un certificado sirve como un "pasaporte" electrónico que establece las credenciales

de una entidad en línea al hacer negocios en la Web. Cuando un usuario de Internet
intenta enviar información de credenciales a un servidor web, el navegador del
usuario accede al certificado digital del servidor y establece una conexión segura.

Un certificado SSL contiene la siguiente información:

El nombre del titular del certificado

El número de serie del certificado y la fecha de vencimiento
Una copia de la clave pública del titular del certificado
La firma digital de la autoridad que emite el certificado.

Establezca políticas de seguridad

Para mantener la integridad de los datos de nuestro producto, es necesario tener
políticas de seguridad con las personas que tendrán acceso al mismo u a la red
donde se encuentra en producto.

El objetivo final es mitigar el riesgo de pérdida, deterioro o acceso no autorizado.

Además de la información, en las políticas de seguridad informática se incluyen
elementos como el hardware, el software y los empleados; se identifican posibles
vulnerabilidades y amenazas externas e internas; y se establecen medidas de
protección y planes de acción ante una falla o un ataque.

Educar a los empleados ayuda a prevenir brechas de seguridad, por lo que es

preciso incluir las mejores prácticas que todos los trabajadores deben seguir para
minimizar el riesgo y asegurar al máximo la seguridad informática de la empresa.
Esto implica la prohibición de acceder a páginas web sospechosas, optar siempre
por las conexiones HTTPS y no insertar unidades de memoria externas USB sin
previa autorización, entre otros.

Respalde la información y sepa cómo recuperarla

Es necesario mantener copias de seguridad de los datos que se procesan a diario en

el producto, ya que en caso de que la seguridad se vea vulnerada y la información
corrupta no se pierda en su totalidad la información gracias a los backups.
Una compañía que mantiene copias de seguridad periódicas de su información es
capaz de recuperarse más rápido de cualquier ciberataque. Se pueden hacer
respaldos físicos (que deben ser cambiados cada cierto tiempo), en la nube o una
combinación de ambas. La opción que se escoja depende en gran medida de las
necesidades de su empresa, pero lo ideal es que se cuente con una alternativa que
se haga de manera automática y periódica. También puede encriptar los backups
con una contraseña, en caso de que quiera cuidar información confidencial.
Cifre las comunicaciones de su compañía

Cuando se implementa la encriptación de datos sensibles se puede mitigar un poco,

que, en caso de un ataque, estos datos queden expuestos de forma directa para
cualquier persona, si se hace correctamente y con métodos de buen cifrado, puede
dar que la persona que realizo el ataque le quede imposible poder descifrarlos,
haciendo que la información que tiene en su poder no le sea de mucho valor.

El cifrado es una técnica con la cual se altera la información para que esta no sea
legible para quienes lleguen a tener acceso a los datos. En las empresas, la
protección de todas las comunicaciones por las cuales se transmiten datos sensibles
debe ser una prioridad corporativa.

De ahí que cifrar contraseñas de usuario, datos personales y financieros, llamadas,

lista de contactos, el acceso a páginas web y al correo electrónico y conexiones a
terminales remotos, entre otros, se ha convertido en una necesidad de primer nivel.
Existen sistemas que cifran los datos enviados desde una página web y evitan el
acceso de posibles atacantes y hoy hasta los mensajes que se envían por WhatsApp
son cifrados.

Utilice antivirus (tanto en pc como en móviles)

Es necesario que en el servidor en el cual este el Producto instalado, se tenga todas

las aplicaciones necesarias para impedir la llegada de virus informáticos.
Las empresas siguen siendo las víctimas número uno de los virus informáticos por
su información financiera o por los datos confidenciales que manejan, por eso
resulta vital que los computadores cuenten con un antivirus instalado.

En el mercado se encuentran varias opciones, por lo que escoger una de ellas

dependerá de las necesidades de cada empresa. En este sentido, tenga en cuenta
aspectos como actualizaciones periódicas, servicio técnico y su facilidad a la hora
de instalar.

Además, recuerde que, si sus empleados se conectan a información de la compañía

desde equipos móviles, también debe instalar antivirus en aparatos como tablets y
teléfonos inteligentes.

Proteja todos los equipos conectados a la red

Adicional al antivirus se deben tener otras medidas frente a la seguridad en las

redes que componen la empresa y por consiguiente el producto.

Muchas compañías siguen cayendo en el error de creer estar blindadas ante

posibles ataques solo por contar con antivirus en sus computadores, pero dejan de
lado otros dispositivos conectados a la Red como impresoras o televisores
inteligentes, los cuales se han convertido en nuevos focos de amenazas
informáticas. Aunque aún no existen en el mercado opciones de antivirus para
estos aparatos específicos, sí se puede minimizar el riesgo con ciertas acciones.

En el caso de las impresoras, ubíquelas tras el cortafuegos de la empresa y sin

conexión abierta a Internet, mantenga actualizado su software, cifre el disco duro y
controle a través de contraseñas quién hace uso de la misma. En el caso de los
televisores, navegue en ellos solo por sitios seguros, descargue aplicaciones
oficiales y mantenga igualmente el software siempre actualizado.

Adquiera herramientas de seguridad

Los firewalls o cortafuegos son otra manera de mantener a los ciberdelincuentes

alejados de la información de las compañías, pues ayudan a prevenir ataques
exteriores a las redes locales. Aunque los computadores ya vienen con esta opción
preinstalada, existen otros más seguros que se puede incluir por hardware
(dispositivos que se añaden a la red) o por software (una aplicación que se instala
en el computador) y lo que hacen es analizar y filtrar el tráfico que entra y sale y
bloquear posibles amenazas. La diferencia es que el primero lo hace en todos los
dispositivos que estén conectados a la red local, mientras el segundo solo en el
dispositivo en el que esté instalado.

Por último, pero no menos importante

Está la protección de la red Wi-Fi, una de las ventanas preferidas por los atacantes
por la cual pueden acceder a la red de las empresas. Para protegerla de manos
criminales, empiece por cambiar la clave que viene por defecto en el router por una
de alto nivel de seguridad, así como el nombre de la red. Utilice el nivel de
seguridad WPA2 (el más seguro), reduzca los rangos de direcciones IP permitidas
y autentique a todas las personas que se conectan a dicha red.
 CONCLUSION

Con la actividad logramos hacer el análisis de riesgos del producto,

implementamos técnicas e hicimos nuestra matriz de riegos, además trabajamos en
un plan de acción para asegurar la seguridad de nuestro producto o aplicación, bajo
una dinámica de “Check List”, y finalizando hicimos las recomendaciones
pertinentes para no tener problemas en la ciberseguridad de la aplicación o
producto
 REFERENCIAS

https://www.tecnologia-informatica.com/que-es-firewall-como-funciona-tipos-
firewall/

https://www.universidadviu.com/crear-plan-seguridad-informatica-
facilmente/

EJE 4 CANVAS INGENIERIA DE SOFTWARE

PORTAFOLIO. (2017). Siete consejos para proteger los sistemas informáticos de

su compañía. JUNIO 12 DE 2017 - 06:07 P.M., de portafolio Sitio web:

https://www.portafolio.co/innovacion/siete-recomendaciones-para-proteger-
los-sistemas-informaticos-de-su-compania-506755