PROYECTO LPIII - I SEMESTRE 2023

Objetivo:
Aplicar los conocimientos adquiridos por los estudiantes, en la materia de Seguridad de la
Información y Seguridad Informática, en un proyecto práctico y riguroso.

1 Definición de la aplicación
1.1 Descripción funcional

Desarrollar una aplicación para un centro de formación, donde se pueda consultar los alumnos
inscritos, así como los diferentes cursos en los que se encuentra matriculado un alumno.
A continuación se detallan una serie de requisitos que debe cumplir.

 Página de inicio:
 Debe proveerse una página de inicio donde se solicitará un usuario y contraseña para
acceder a la aplicación.
 En ningún caso debe poder accederse a la aplicación si no se dispone de credenciales para ello.
 Se proveerá de un mecanismo para restablecer la contraseña de un usuario en caso de que esta
haya sido olvidada o pueda estar comprometida por haber sido divulgada o sustraída.
 Buscador:
 La aplicación debe incluir un buscador de alumnos, donde podrá filtrarse por distintos
criterios.
 Se mostrará un listado de los alumnos que correspondan al criterio introducido con un
enlace a la ficha del mismo.
 Ficha del alumno:
 Deberá mostrar unos datos básicos del alumno.
 Se incluirá el listado de los cursos en los que figura matriculado el alumno con un enlace a
la ficha del mismo.
 Ficha del curso:
 Incluye una breve descripción del curso así como un temario detallado del mismo. Para los
fines de entrenamiento de la aplicación, se simulará que esta sección se encuentra aún en
construcción.

1.2 Descripción tecnológica

Para llevar a cabo la aplicación se han utilizado las que, en la actualidad, son las tecnologías más
utilizadas en los entornos web realizando así una aproximación más cercana a lo que podría ser
una aplicación real.

• Tecnologías obligatorias:
 Plataforma AZURE
 SQL SERVER - AZURE
Precisamente por tratarse de una aplicación que debe ser vulnerable, en la implementación de la
parte servidor se ha prescindido de la utilización de una plataforma de desarrollo (o framework)
para evitar las medidas de seguridad que habitualmente ya incorporan éstos.
El modelo de base de datos es extremadamente sencillo y se puede plasmar con el siguiente
diagrama.

2 Análisis y Diseño UML

Elaborar un documento detallado que incluya los diseños requeridos a continuación.

2.1 Diagramas estructurales

Los diagramas estructurales muestran la estructura estática del sistema y sus partes en diferentes
niveles de abstracción. Existen un total de siete tipos de diagramas de estructura:

2.1.1 Diagrama de clases

Muestra la estructura del sistema, subsistema o componente utilizando clases con sus
características, restricciones y relaciones: asociaciones, generalizaciones, dependencias, etc.

2.1.2 Diagrama de componentes

Muestra componentes y dependencias entre ellos. Este tipo de diagramas se utiliza para el
desarrollo basado en componentes (CDB), para describir sistemas con arquitectura orientada a
servicios (SOA).

2.1.3 Diagrama de despliegue

Muestra la arquitectura del sistema como despliegue (distribución) de artefactos de software.
2.1.4 Diagrama de objetos
Un gráfico de instancias, incluyendo objetos y valores de datos. Un diagrama de objeto estático es
una instancia de un diagrama de clase; muestra una instantánea del estado detallado de un
sistema en un punto en el tiempo.

2.1.5 Diagrama de paquetes

Muestra los paquetes y las relaciones entre los paquetes.

2.1.6 Diagrama de perfiles

Diagrama UML auxiliar que permite definir estereotipos personalizados, valores etiquetados y
restricciones como un mecanismo de extensión ligero al estándar UML. Los perfiles permiten
adaptar el metamodelo UML para diferentes plataformas o dominios.

2.1.7 Diagrama de estructura compuesta

Muestra la estructura interna (incluidas las partes y los conectores) de un clasificador
estructurado.

2.2 Diagramas de comportamiento

A diferencia de los diagramas estructurales, muestran cómo se comporta un sistema de
información de forma dinámica. Es decir, describe los cambios que sufre un sistema a través del
tiempo cuando está en ejecución. Hay un total de siete diagramas de comportamiento,
clasificados de la siguiente forma:

2.2.1 Diagrama de actividades

Muestra la secuencia y las condiciones para coordinar los comportamientos de nivel inferior, en
lugar de los clasificadores que poseen esos comportamientos. Estos son comúnmente llamados
modelos de flujo de control y flujo de objetos.

2.2.2 Diagrama de casos de uso

Describe un conjunto de acciones (casos de uso) que algunos sistemas o sistemas (sujetos) deben
o pueden realizar en colaboración con uno o más usuarios externos del sistema (actores) para
proporcionar algunos resultados observables y valiosos a los actores u otros interesados del
sistema(s).

2.2.3 Diagrama de máquina de estados

Se utiliza para modelar el comportamiento discreto a través de transiciones de estados finitos.
Además de expresar el comportamiento de una parte del sistema, las máquinas de estado también
se pueden usar para expresar el protocolo de uso de parte de un sistema.

2.2.4 Diagramas de interacción.

Es un subconjunto de los diagramas de comportamiento. Comprende los siguientes diagramas:

2.2.5 Diagrama de secuencia

Es el tipo más común de diagramas de interacción y se centra en el intercambio de mensajes entre
líneas de vida (objetos).
2.2.6 Diagrama de comunicación
Se enfoca en la interacción entre líneas de vida donde la arquitectura de la estructura interna y
cómo esto se corresponde con el paso del mensaje es fundamental. La secuencia de mensajes se
da a través de una numeración.

2.2.7 Diagrama de tiempos

Se centran en las condiciones que cambian dentro y entre las líneas de vida a lo largo de un eje de
tiempo lineal.

2.2.8 Diagrama global de interacciones

Los diagramas global de interacciones brindan una descripción general del flujo de control donde
los nodos del flujo son interacciones o usos de interacción.

3 Diseño Estrategia de Seguridad

3.1 Diseño Estrategia de Seguridad de la información
Que atienda las políticas requeridas de seguridad propuestas por la ISO 27001, para dar soporte a
las necesidades de la empresa y especificaciones OWASP.

3.2 Diseño Estrategia de Seguridad Informática

Que atienda las políticas requeridas de seguridad, para dar soporte a las necesidades de la empresa
y especificaciones OWASP.

4 Desarrollo e Implementación de la solución

Desarrollo de la solución al ejercicio, según los diseños y estrategias de seguridad definidas,
funcionando en una plataforma web.

5 Validación de la aplicación
Asegurarse que la solución desarrollada, atienda las especificaciones de la estrategia de seguridad
de la información e informática.

6 Auditoría de Seguridad de la información e Informática

Auditoría a la seguridad de la información e informática, realizada por equipo de auditores externos,
que validarán la aplicación exitosa de éstas y posibles vulnerabilidades.

7 Fechas de entrega:
 Lunes 7 de marzo de 2023: Punto: 1 hasta 2.2.8. Entrega de documento, con normas APA,
en formato PDF, indicando los integrantes del grupo y avances del proyecto.
 Martes 18 de abril de 2023: Puntos: 3 a 4. Entrega de documento, con normas APA, en
formato PDF, indicando los integrantes del grupo y avances del proyecto.
 Martes 23 de mayo de 2023: 5 y 6. Entrega: aplicación operando en dominio web y
plataforma Agzure, documento elaborado con ajustes requeridos, con normas APA, en
formato PDF, indicando los integrantes del grupo y entrega del proyecto completo.
Actividad evaluable de escaneo y validación de un dominio web, según orientación del
tutor.