Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
2
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
3
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
ante un ataque.
Análisis de ambigüedad: Define los nuevos tipos de ataques o
riesgos, depende de la experiencia y lecciones aprendidas
Análisis de debilidad: Etapa en donde se comprende su entorno y
efectos de tener elementos externos.
4
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
5
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
6
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
7
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
8
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
9
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
10
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
(https://docs.microsoft.com/en-
us/azure/security/develop/threat-modeling-tool)
(https://www.microsoft.com/en-
us/securityengineering/sdl/threatmodeling)
• PASTA (Process for Attack Simulation and Threat Analysis).
Es una metodologia de modelado de amenazas centrada en el riesgo orientada
a identificar patrones de amenaza viables contra una aplicacion o entorno del
Sistema. Basado en la idea de abordar los posibles patrones de Ataque en casos
de uso de alto impacto, este enfoque se integra extremadamente bien en un
proceso de gestion de riesgos.
Como proceso, PASTA se ejecuta en un contexto especifico que es el contexto
de la seguridad de la aplicacion y la gestion de riesgos, pero PASTA por
definicion no es una metodologia de evaluacion de riesgos, sino que es un
proceso que puede ayudar a las organizaciones a gestionar los diversos riesgos
tecnicos y no tecnicos causados. Por amenazas que buscan explotar
vulnerabilidades en aplicaciones. El enfoque de este proceso es la simulacion
de ataques y el analisis de amenazas.
Las etapas en las cuales se divide PASTA son:
Etapa I – Definicion de los objetivos para el analisis de riesgos.
Cumplir con los requisitos del negocio.
Definir los requisitos de proteccion de datos.
Identificar las normas y las obligaciones de cumplimiento normativo.
Identificar las leyes de privacidad.
Determinar el perfil de riesgo inicial.
Definir objetivos de gestion de riesgos.
Etapa II – Definicion del alcance tecnico.
© Universidad Internacional de La Rioja (UNIR)
11
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
Analisis funcional.
Etapa IV – Analisis de amenzas.
Escenarios de amenaza de documentos.
Actualizar la biblioteca de amenazas.
Asignar probabilidad a cada amenaza.
Mapear las amenazas a los controles de seguridad.
Etapa V – Analisis de debilidad y vulnerabilidad.
Consultar las vulnerabilidades existentes de los controles de seguridad.
Mapear amenazas a vulnerabilidades de control de seguridad.
Calcular la severidad del riesgo a las vulnerabilidades.
Priorizar los controles de seguridad para pruebas de vulnerabilidad.
Etapa VI – Modelado y Simulacion de Ataques.
Modelar los escenarios ataques.
Actualizar la biblioteca ataques.
Identificar la superficie ataques y enumerar los vectores ataques.
Evaluar la probabilidad y el impacto de cada escenario de ataques.
METODOLOGIA TRIKE
• ¿Quiénes participan en el modelado y análisis de amenazas?
Usualmente el modelado de amenazas y el analisis de la seguridad
arquitectónica caen en el domino de:
Arquitectos Senior: Requieren de una mayor experiencia y experticia
© Universidad Internacional de La Rioja (UNIR)
que cualquiera de las tareas dentro del SDL. Las personas del equipo que hacen
esto deben ser capaces de pensar como un adversario.
Los desarrolladores y miembros de equipo que se integren en este proceso
deben saber no solo como desarrollar o construir software, sino también como
12
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
ACTIVOS (ASSETS):
Todo lo que es atacable dentro del sistema.
Entidades de datos normalmente atacables.
No son activos:
o Reputación de la empresa.
13
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
METODOLOGIA CORAS:
Tipo de modelado:
Para el proceso de modelado se utiliza el: Lenguaje de Modelado
Unificado (UML).
o El CORAS Tool
Herramientas:
14
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
CORAS_Visio_stencil.vssx Plantilla de
Microsoft Visio 2013 para el lenguaje CORAS
CORAS_Visio_stencil.vss Plantilla de
Microsoft Visio 2003-2010 para el lenguaje CORAS
Iconos CORAS, PNG
Todos los iconos del lenguaje CORAS en formato PNG
Iconos CORAS, SVG
Todos los iconos del lenguaje CORAS en formato SVG
15
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
16
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
5. Conclusiones.
1. El modelado de amenazas es un proceso abierto, los cual se traduce en
que cada persona puede llegar a tener diferentes interpretaciones de
© Universidad Internacional de La Rioja (UNIR)
17
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
BIBLIOGRAFIA:
E. José (2013, Septiembre), Octave, Metodología para el análisis de
riesgos de TI, Periódico de los universitarios Universo, [On line].
Disponible en:
http://www.uv.mx/universo/535/infgral/infgral_08.html
Metodología Coras (Construct a platform for Risk Analysis of Security
critical system) [On line]. Disponible en:
http://seguridades7a.blogspot.com/p/coras.html
© Universidad Internacional de La Rioja (UNIR)
https://cambiodigital-ol.com/2020/05/que-es-el-modelado-
de-amenazas/
https://whatis.techtarget.com/definition/OCTAVE
18
Actividades
Asignatura Datos del alumno Fecha
Apellidos: LEON ALDEAN
Seguridad en el Software 06 – 05 - 2021
Nombre: CRISTIAN ANDRES
Rúbrica
© Universidad Internacional de La Rioja (UNIR)
19
Actividades