ACTIVIDAD EVALUATIVA EJE 4

PRESENTADO POR:

DAVINSON FABIAN VARGAS

OWEN JOSE ARIAS ARIAS

CLAUDIA LORENA CAPERA YARA

DIEGO EDUARDO BENITEZ

INSTRUCTOR

ANGEL ALBERTO VARON QUIMBAYO

INGENIERIA DE SOFTWARE II

FUNDACION UNIVERSITARIA DEL AREA ANDINA

NOVIEMBRE 2020
 INTRODUCCION

El siguiente taller consiste en la ciberseguridad utilizando las herramientas y métodos tales como un check list
Para la protección de la aplicación. También la implementación de un certificado SSL donde se establecen las
políticas de seguridad, además de esto la encriptación o cifrado para la información sensible lo cual es una
prioridad para los usuarios y corporaciones, aplicaremos los conocimientos aprendidos del referente de pensamiento
del EJE 4.
 MATRIZ DE RIESGOS

PLAN DE ACCION PARA SEGURIDAD DE LA APLICACIÓN

En nuestro plan de acción, manejaremos unas pautas a seguir brindar la seguridad de
nuestra aplicación.
Estas las manejaremos en formato “Check List”, para asegurar que todo lo planteado en
nuestro plan de acción se cumpla y se verifique.
-Perfilamiento de usuarios en el sistema
Consiste en que el sistema maneja una serie de perfiles con el fin de restringir el acceso a la
información, ya se porque es sensible y puede afectar la privacidad e integridad de la
información en la base de datos.
-Revisión del código
Consiste en validar el código fuente una vez culminado el proyecto, para evitar fallos u
vulnerabilidades.
-Restringir acceso al servidor
Consiste en restringir en acceso al servidor donde se encuentra alojado el servicio, producto
o aplicación, manejando credenciales de acceso, para prevenir que terceros pueda ingresar y
afectar el mismo.
-testing seguridad
Consiste en que un individuo realice pruebas en el sistema a niel de seguridad, intentando
vulnerar cualquier ingreso al mismo o a la base de datos.
-Configuración de firewall
Consiste en tener reglas de bloqueo de acceso a la URL donde se encuentre el sistema, para
evitar ataques al servicio.
Fuga de información
Consiste en hacer acciones con especialistas, para evitar de cualquier tipo la fuga de la
información del sistema ya que llegue a anos inescrupulosas.
-Certificaciones
Implementar certificados de seguridad de nivel nacional e internacional, con el fin de
asegurar la información del sistema.
-Herramientas de seguridad
Someter la aplicación a herramientas de pruebas de seguridad.
 CIBERSEGURIDAD DEL PRODUCTO
Certificación SSL para el producto:

Todos los sistemas actuales mínimamente deben de tener este certificado digital
Un certificado SSL (secure sockets layer) es un título digital que autentifica la identidad
de un sitio web y cifra con tecnología SSL la información que se envía al servidor.
El cifrado es el proceso de mezclar datos en formato indescifrable que solo puede volver al
formato legible con la clave de descifrado adecuada.
Un certificado sirve como un “pasaporte” electrónico que establece las credenciales de una
entidad en línea al ser negocios en la Web. Cuando un usuario de internet intenta enviar
información de credenciales a un servidor Web, el navegador del usuario intenta accede al
certificado digital del servidor y establece una conexión segura.
Un certificado SSL contiene la siguiente información:
El nombre del título del certificado.
El número de serie del certificado y la fecha de vencimiento.
Una copia de la clave pública del titular del certificado.
La firma digital de la autorización que emite el certificado.
Establezca políticas de seguridad.
Para mantener la integridad de los datos de nuestros productos, es necesario tener políticas
de seguridad con las personas que tendrán acceso al mismo u a la red donde se encuentra en
producto.
El objetivo es mitigar el riesgo de pérdida, deterioro o acceso no autorizado.
Además de la información, en las políticas de seguridad informática se incluyen elementos
como hardware, el software y los empleados; se identifican posibles vulnerabilidades y
amenazas externas e internas; y se establecen medidas de protección y planes de acción ante
una falla o un ataque.
Educar a los empleados ayuda a prevenir brechas de seguridad, por lo que es preciso incluir
las mejores prácticas que todos los trabajadores deben seguir para minimizar riesgo y
asegurar al máximo la seguridad informática de la empresa.
Esto implica la prohibición de acceder a páginas web sospechosas, optar siempre por las
conexiones HTTPS y no insertar unidades de memorias externas USB sin previa
autorización, entre otros.
Respalde la información y sepa cómo recuperarla.

Es necesarios mantener copias de seguridad de los datos que se procesan a diario en el

producto, ya que en caso de la seguridad se vea vulnerada y la información corrupta no se
pierda en su totalidad la información gracias a los backups.
Una compañía que mantiene copias de seguridad periódicas de su información es capaz de
recuperarse más rápido de cualquier ciberataque. Se pueden hacer respaldos físicos, (que
deben ser cambiados cada cierto tiempo), en la nube o en una combinación de ambas. La
opción que se escoja depende en gran medida de las necesidades de su empresa, pero lo ideal
es que se cuente con una alternativa que se haga de manera automática y periódica. También
puede encriptar los backups con una contraseña, en caso de que quiera cuidar información
confidencial.
Cifre las comunicaciones de su compañía.

Cuando se implementa la encriptación de datos sensibles se puede mitigar un poco, que, en

caso de un ataque, estos datos queden expuestos de forma directa para cualquier persona, si
se hace correctamente y con métodos de buen cifrado, puede dar que la persona que realizo
el ataque le quede imposible poder descifrarlos, haciendo que la información que tiene en su
poder no le sea de mucho valor.
El cifrado es una técnica con la cual se altera la información para que esta no sea legible para
quienes lleguen a tener acceso a los datos. En las empresas, la protección de todas las
comunicaciones por las cuales se transmiten datos sensibles debe ser una prioridad
corporativa.
De ahí que cifrar contraseñas de usuarios, datos personales y financieros, llamadas lista de
contactos, el acceso a páginas web y al correo electrónico y conexiones a terminales remotas,
entre otros, se ha convertido en una necesidad de primer nivel. Existen sistemas que cifran
los datos enviados desde una página web y evitan el acceso de posibles ataques y hoy hasta
los mensajes que se envían por WhatsApp son cifrados.
Utilice antivirus (tanto en pc como en móviles).

Es necesario que en el servidor en el cual este el producto instalado, se tenga todas las
aplicaciones necesarias para impedir la llegada de virus informáticos.
Las empresas siguen siendo las victimas número uno de los virus informáticos por su
información financiera o por los datos confidenciales que manejan, por eso resulta vital que
los computadores cuenten con un antivirus instalado.
En el mercado se encuentran varias opciones, por lo que escoger una de ellas dependerá de
las necesidades de cada empresa. En este sentido, tenga en cuenta aspectos como
actualizaciones periódicas, servicio técnico y su facilidad a la hora de instalar.
Además, recuerde que, si sus empleados se conectan a información de la compañía desde
equipos móviles, también debe instalar antivirus en aparatos como tablets y teléfonos
inteligentes.
Proteja todos los equipos conectados a la red.
Adicional al antivirus se deben tener otras medidas frente a la seguridad en las redes que
componen la empresa y por consiguiente el producto.
Muchas compañías siguen cayendo en el error de creer de estar blindadas ante posible ataque
solo por contar con antivirus en sus computadores, pero dejan de lado otros dispositivos
conectados a la red como impresoras o televisores, inteligentes, los cuales se han convertidos
en nuevos focos de amenazas informáticas. Aunque aún no existen en el mercado opciones
de antivirus para estos aparatos específicos, si se puede minimizar el riesgo con ciertas
acciones.
En el caso de las impresoras, ubíquelas tras el cortafuego de la empresa y sin conexión
abierta a internet, mantenga actualizado su software, cifre el disco duro y controle a través
de contraseñas quien hace uso de la misma. En el caso de los televisores, navegue en ellos
solo por sitios seguros, descargue aplicaciones oficiales y mantenga igualmente el software
siempre actualizado.
Adquiera herramientas de seguridad.

Los firewalls o cortafuegos son otra manera de mantener a los ciberdelicuentes alejados de
la información de las compañías, pues ayudan a prevenir ataques exteriores a las redes
locales. Aunque los computadores ya vienen con esta opción preinstalada, existen otros más
seguros que se pueden incluir por hardware (dispositivos que se añaden a la red) o por
software (una aplicación que se instala en el computador) y lo que hacen es analizar y filtrar
el tráfico que entra y sale y bloquear posibles amenazas. La diferencia es que el primero lo
hace en todos los dispositivos que estén conectados a la red local, mientras el segundo solo
en el dispositivo en el que esté instalado.
Por último, pero no menos importante.
Esta la protección de la red Wi-fi, una de las ventanas preferidas por los atacantes por lo cual
pueden acceder a la red de las empresas. Para protegerlas de manos criminales, empiece por
cambiar las claves que viene por defecto en el router por una de alto nivel de seguridad, así
como el nombre de la red. Utilice el nivel de seguridad WPA2 (el más seguro), reduzca los
rangos de direcciones IP permitidas y autentique a todas las personas que se conectan a dicha
red.
 CONCLUSION
Con la actividad logramos hacer el análisis de riesgo del producto, implementamos técnicas e hicimos
nuestra matriz de riesgo, además trabajamos en un plan de acción para asegurar la seguridad de
nuestro producto o aplicación, bajo una dinámica de “Check list” y finalizando hicimos las
recomendaciones pertinentes para no tener problemas en la ciberseguridad de la aplicación o
producto.
 BIBLIOGRAFIA

 Check list

https://www.isotools.org/2018/08/21/importancia-de-checklist-en-una-empresa/

 Certificados SSL

https://www.verisign.com/es_LA/website-presence/online/ssl-certificates/index.xhtml

 Cifrado y Encriptación

https://www.youtube.com/watch?v=8Ois7NYwf_M