Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mexingweb 05 T 3 Trab
Mexingweb 05 T 3 Trab
Apellidos:
Seguridad en el
Software
Nombre:
Actividades
Caso práctico
Los objetivos de seguridad establecidos para la tienda web de Librería On-Line SA son
los siguientes objetivos:
El sistema estará basado en una típica arquitectura de una aplicación web de tres capas,
donde el cliente es un navegador que accede a los servicios proporcionados por el sitio
web de la librería, que contiene una base de datos de los clientes, cuentas y
publicaciones disponibles, alojada en un servidor de bases de datos y un servidor web
que implementa toda la lógica de negocio.
Tener en cuenta que nos encontramos en la fase análisis de requisitos del SDLC,
identificando requisitos funcionales y de seguridad.
Para la realización del DFD se utilizará la herramienta Threat Analysis and Modeling
Tool 2016 de la compañía Microsoft, descargable en el siguiente enlace:
Accede a más información a través del aula virtual o desde la siguiente dirección web:
https://www.microsoft.com/en-us/download/details.aspx?id=49168
Como ayuda a su manejo, aparte de los manuales que se pueden descargar con
esta herramienta, se aconseja visionar estos dos videos:
La aplicación permite analizar las amenazas de una aplicación web típica de negocio de
pago electrónico de una librería (textos, libros, revistas, etc.), en formato digital con
opciones de impresión. El sistema está basado en una típica arquitectura de una
aplicación web de tres capas, donde el cliente es un navegador que acceder a los
servicios proporcionados por el sitio web de la librería, que contiene una base de datos
de los clientes, cuentas y publicaciones disponibles, alojada en un servidor uno de bases
de datos (que replica a un hosting externo para tener un backup), un servidor web que
implementa toda la lógica de negocio, una servidor de logs interno como podrían ser un
SIEM y por último un acceso a una pasarela de pagos externa
Tener en cuenta que nos encontramos en la fase análisis de requisitos del SDLC,
identificando requisitos funcionales y de seguridad.
Selección de vitas
Relación entre las amenazas del método STRIDE y los elementos de un diagrama DFD.
ellas nos permite introducir las salvaguardas que consideremos y el análisis DREAD del
paso de la metodología.
Aplicación de Plantilla
Aplicación de plantilla.
Valorar las amenazas
Una vez que tenemos identificada la lista de amenazas, el siguiente paso consiste en
puntuarlas de acuerdo al riesgo que suponen. Esto nos permitirá priorizar las
actuaciones a efectuar para mitigar el riesgo.
Calculo el riesgo.
El alumno deberá incluir en la memoria esta tabla rellena con al menos 15 de las
amenazas obtenidas de la de la herramienta Threat Analysis and Modeling Tool 2016.
Se valorará que se implemente en idioma español. En la herramienta deberán estar
analizadas todas.
Salvaguardas
Una vez calculado el riesgo con el método DREAD, hay que incluir en la herramienta
manualmente para cada una las salvaguardas que ayuden a mitigarlas. Si se quiere un
catálogo más completo de salvaguardas consultar el Libro II de la Metodología
MAGERIT.
Disponible en:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/
pae_Metodolog/pae_Magerit.html#.U2_oe2CKB2E
Entrega
Incluir el fichero con extensión .tm7 que genera la herramienta y el informe que se
puede generar con la misma.