Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONTENIDO
1 Introducción........................................................................................................................................2
1
2 Objetivos.............................................................................................................................................3
2.1 Objetivo General..........................................................................................................................3
2.2 Objetivo Específicos.....................................................................................................................3
3 Planteamiento del Problema...............................................................................................................4
4 Desarrollo............................................................................................................................................4
4.1 Infraestructura y seguridad en red..............................................................................................4
4.1.1 Proveedor de hosting...........................................................................................................4
4.1.2 Protección servidor seguridad WEB.....................................................................................5
4.1.3 protocolo HTTPS..................................................................................................................5
4.2 Integridad (garantizar que los datos sean los que se supone que son)........................................6
4.2.1 Integridad de entidad..........................................................................................................6
4.2.2 Integridad de dominio.........................................................................................................6
4.2.3 Integridad referencial..........................................................................................................6
4.3 Confidencialidad (asegurar que sólo los individuos autorizados tengan acceso a los recursos
que se intercambian):..............................................................................................................................7
4.4 Vulnerabilidades De Las Páginas Web.........................................................................................8
4.4.1 Vulnerabilidades más comunes e implementaciones ante cada una...................................8
4.5 Copias De Seguridad (Backups Base De Datos) Y Restauración De Información........................11
5 Referencias........................................................................................................................................12
6 Conclusiones......................................................................................................................................12
2
1 Introducción
Este documento tiene como finalidad establecer el procedimiento de seguridad que se enfoca en
las necesidades de protección, el análisis y la gestión de los riesgos que gravitan sobre el sistema
a desarrollar.
2 Objetivos
3
web, definiendo los respectivos ítems que hagan de ellas soluciones más seguras
4
Una cooperativa desea crear una aplicación web para que sus usuarios puedan realizar sus
transacciones online (consultas, aportes, retiros, actualizaciones, descarga de certificados,
extractos, etc.). se debe crear una estrategia que pueda brindar las técnicas, herramientas,
políticas y protocolos que le garanticen la seguridad necesaria para su buen funcionamiento.
4 Desarrollo
Con el creciente aumento de los servicios de correo electrónico externos, la pérdida de barreras
organizacionales a través del uso de facilidades de acceso remoto; exposiciones de seguridad
tales como virus, negaciones de servicio, intrusiones, accesos no autorizados, nos lleva a la
necesidad de una administración efectiva de la seguridad de la información.
Dentro de las variables que conforman la seguridad del sistema para la cooperativa planteamos:
Bloquear inicios de sesión maliciosos, también puede especificar el número de intentos de inicio
de sesión fallidos antes de que se bloquee una dirección IP. Y permite definir algunas acciones
adicionales para realizar y desencadenar un bloqueo automático.
4.2 Integridad (garantizar que los datos sean los que se supone que son)
La exigencia de integridad de los datos garantiza la calidad de los datos de la base de datos. Por
ejemplo, si se especifica para un empleado el valor de identificador de 158, la base de datos no
debe permitir que ningún otro empleado tenga el mismo valor de identificador.
La integridad referencial garantiza que los valores de clave sean coherentes en las distintas
tablas. Para conseguir esa coherencia, es preciso que no haya referencias a valores inexistentes y
que, si cambia el valor de una clave, todas las referencias a ella se cambien en consecuencia en
toda la base de datos.
Debe existir una revisión del sistema por un área diferente al departamento de desarrollo, el cual
deberá tener conocimiento sobre los parámetros que opera el sistema, para poder realizar la
revisión de forma exacta.
4.3 Confidencialidad (asegurar que sólo los individuos autorizados tengan acceso a los
recursos que se intercambian):
Las contraseñas son un medio común de verificación de la identidad del usuario antes de acceder
al sistema de acuerdo a la autorización que tenga el usuario, pero es un método que puede ser
violado con relativa facilidad.
Todo el personal de la cooperativa y personal nuevo que ingresan a esta, debe ser entregada sus
respectivas credenciales de acceso, los usuarios deberán realizar el cambio de la contraseña con
un link que es enviado al correo, la contraseña es cifrada con un sistema de seguridad
programado en el sistema que crea la contraseña cifrada.
En el caso que se desee bloquear algún usuario por temas interno del mismo, el departamento
responsable podrá realizar la gestión a través de la plataforma.
Cada usuario se puede programar con módulos específicos, se puede cambiar bajo la supervisión
de un administrador de sistema o del área encargada para estos procesos que se encuentre a cargo
de la empresa
Solución: Validar y limpiar todo lo que el usuario ingrese a nuestro sistema antes de realizar
cualquier proceso.
9
Secuencias de comandos en sitios cruzados: Esta falla permite desplegar en el navegador datos
no confiables proporcionados por usuarios, generalmente inyectando código JavaScript
malicioso. Estos datos pueden secuestrar el sitio web, permitiendo que los usuarios sean re
direccionados a sitios maliciosos o descarguen malware.
Solución: Validar y escapar cualquier dato a ser impreso en el sitio, tratar siempre de usar
herramientas de templates los cuales permitan optimizar este proceso.
Autenticación rota: Se presenta cuando es posible suplantar la identidad del usuario al obtener
acceso a datos como contraseñas o identificadores. Un ejemplo es poder modificar el id de la
sesión en la cookie y obtener así acceso como un administrador o cambiar el perfil de acceso.
Solución: Controlar el flujo de los procesos usando tokens únicos por sesión y por solicitud
Solución: Usar siempre controles de acceso y no ofrecer datos sobre la implementación interna.
Solución: Definir todos los elementos de seguridad y no usar atributos por defecto (por ejemplo
el usuario y password root), mantener nuestras aplicaciones, servidores y librerías siempre
actualizados.
10
Fallas al restringir acceso URL: Una página en nuestro sitio que no sea no validada puede
permitir el acceso áreas restringidas mediante la manipulación de la URL otorgando permisos
administrativos a un atacante. Por ejemplo, tener una página admin.php como centro de control y
no validar su acceso.
Solución: Validar todas las páginas o controladores, usar métodos de autenticación incorporados
en el servidor.
Solución: Usar SSL y TSL y evitar enviar información sensitiva que pueda ser accedida por un
escuchante.
Forwards y Redirects no validados: El permitir que la aplicación envié a los visitantes a otra
página o sitio sin validar puede dejarlos caer en sitios de phishing o malware.
Solución: Valida y lleva un control sobre los links y forwards que aparecen en tu página.
Dentro del contexto de un ataque a una aplicación Web, un atacante primero tratará de probar y
manipular los campos de entrada para ganar acceso al servidor Web.
Cualquier proceso que se realice sobre el aplicativo web de la cooperativa deberá estar
autenticado por un inicio de sesión.
La ruta tiene que ser exacta, de lo contrario arrojara un mensaje de error en la url, si recortamos
la url hasta la raíz de una carpeta, el sistema deberá arrojar un mensaje de error en la url.
Si la sesión es finalizada por cantidad de tiempo por inactividad, el sistema devolverá al usuario
al sistema de login.
11
Para alcanzar un nivel de respaldo adecuado se harán las copias de seguridad de la información y
del software que se determinen en cada caso y se comprobarán regularmente, los Backups deben
tener una periodicidad diaria y por horas.
Para la cooperativa, las disposiciones de respaldo cubrirán la información y datos para recuperar
el sistema completo en caso de un desastre.
5 Referencias
12
Dongee. (29 de 07 de 2017). 8 MEDIDAS DE SEGURIDAD PARA NUESTRO SITIO WEB QUE
DEBERÍAMOS CONOCER. Obtenido de https://blog.dongee.com/8-medidas-de-
seguridad-para-nuestro-sitio-web-que-deber%C3%ADamos-conocer-f6f78c8980cf
González, P. J. (2019). MODELOS DE PROGRAMACION EJE 4. Fuente:
Shutterstock/460592098.
Ortiz, A. E. (09 de 03 de 2019). hostdime. Obtenido de ¿Cómo funciona CPHulk? Cuales son sus
usos; cómo configurar: https://blog.hostdime.com.co/como-funciona-cphulk-cuales-son-
sus-usos-configurar/
Whitepapers. (26 de 12 de 2013). Ataques de inyección SQL: qué son y cómo protegerse.
Obtenido de https://pressroom.hostalia.com/white-papers/ataques-inyeccion-sql/
6 Conclusiones
Cuando se libera un producto o servicio a internet se deben proteger los recursos y datos para
esto debemos utilizar mecanismos de protección que aseguren mantener la integridad,
confidencialidad, la autenticidad, el no repudio y el control de acceso, además se debe tener una
infraestructura solidad que permitan transmitir la información de una manera segura, que
garanticen el transporte seguro y la confirmación de seguridad de los usuarios.