DEFINIR LAS POLÍTICAS DE SEGURIDAD

PRESENTADO POR:

DAVID HERNANDO DIAZ RAMIREZ

JESÚS GUILLERMO PERTUZ ARTEAGA

LUIS CARLOS MORA VELA

ROBERT SANCHEZ FUENTES

PROGRAMA INGENIERÍA DE SISTEMAS

FUNDACIÓN UNIVERSITARIA DEL AREANDINA

DOCENTE: GUSTAVO ENRIQUE TABARES PARRA

MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 CONTENIDO

 Introducción………………………………………………………………………..1

 Objetivo…………………………………………………………………………….2

 Desarrollo de la actividad…………………………………………………………..3

 Conclusión…………………………………………………………………………13

 Bibliografía………………………………………………………………………...14

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 1

INTRODUCCIÓN

La característica de la seguridad de la información es la complejidad que trae, la cual depende de

la interdependencia que generan los escenarios en los que se debe practicar, la complejidad de la

interacción entre factores externos e internos. El impacto de metas, requisitos de seguridad,

procesos utilizados, y el tamaño y la estructura de la organización. En la actualidad, la mayoría

de las empresas aún malinterpretan este concepto, y sus gerentes consideran estos conceptos,

políticas y prácticas de seguridad de la información como un costo sin prioridad o simplemente

como un requisito que debe cumplirse. Para este ejercicio, se practicará en un escenario donde se

aplican herramientas, estrategias, técnicas y protocolos para garantizar la seguridad de la

información en las entidades que administran los fondos de sus afiliados como recursos.

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 2

OBJETIVOS

 Analizar los escenarios de los clientes e identifique los riesgos que puedan poner en

peligro la integridad y la confidencialidad de la información de la empresa.

 Establecer una solución segura que permita establecer la secuencia y el control del flujo

de información entrante y saliente para la parte de la aplicación y la infraestructura

interna de los componentes de TI de la empresa.

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 3

DESARROLLO DE LA ACTIVIDAD

Una cooperativa desea crear una aplicación web para que sus usuarios puedan realizar sus

transacciones online (consultas, aportes, retiros, actualizaciones, descarga de certificados,

extractos, etc.). Usted ha sido la persona seleccionada para crear una estrategia que pueda brindar

las técnicas, herramientas, políticas y protocolos que le garanticen la seguridad necesaria para su

buen funcionamiento. Por lo tanto, debe enviar un documento en el que explique qué acciones

aplicaría con el fin de obtener este nivel de seguridad.

ANÁLISIS

Se identifica a una empresa del sector FINANCIERO donde está incursionando en las

aplicaciones tecnológicas, brindando soluciones ágiles a sus afiliados para la consulta de su

información financiera. Al ser este negocio, manipulador de datos Confidenciales, y de alta

vulnerabilidad a posibles incursiones cibernéticas, se debe aplicar protocolos, políticas,

uso de herramientas y técnicas para salvaguardar la información de sus clientes y afiliados,

adoptando el modelo de procesos (PHVA) “Planificar – Hacer – Validar - Actuar”. Se plantea

para este cliente la implementación de políticas de seguridad en el marco del SGSI ocupándonos

en 3 clientes o engranajes de la cooperativa:

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 4

Donde el cliente interno son todos los integrantes (funcionarios) de la cooperativa, quienes tienen

en sus funciones o roles la manipulación de la información, de los clientes o afiliados de la

cooperativa. El cliente externo, referimos en lo todo cliente que no labora para la cooperativa,

pero que tiene relación como afiliado o cliente quien consume de los servicios que presta la

cooperativa y que a su vez brinda su información personal para que el cliente interno vele por

estos. La Infraestructura TIC, se determina como todo activo físico o lógico que maneja el

cliente interno y el cliente externo, para el consumo y gestión de la información que posee la

cooperativa. En la siguiente imagen reflejaremos los posibles riesgos por cada uno de los clientes

identificados:

CLIENTE INTERNO
Uso de dispositivos de almacenamiento externos, sin el debido control por parte
del departamento TIC.Acceso a ubicaciones de red que por su rol o perfil de
empleado de la cooperativa, no debería tener.Acceso a módulos o software,
donde por su rol o perfil de empleado en la cooperativa, no debería tener.

CLIENTE EXTERNO
Empleo de formas de acceso a la informacion de la cooperativa no controladas
por esta.Uso inadecuado de las plataformas de informacion, para beneficios no
orientados a la mision de la cooperativa.Acceso a informacion CONFIDENCIAL, y
no autorizada o controlada por parte del departamento TIC de la cooperativa.

INFRAESTRUCTURA TIC
Falta de implementación de controles para el flujo de entrada y de salida de
informacion.Falta de seguimiento y/o auditoría a los componentes fisicos y
logicos que usa la cooperativaPosibles fugas de informacion, para estas ser
tratadas fuera de los lineamientos proyectados por la cooperativa.

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 5

Como parte de la planificación, se propone en discriminar cada cliente para verificar que nivel de

riesgo impacta para el negocio de la cooperativa, siendo estos en implementación directa de las

políticas de seguridad con base al SGSI, o si debe ese cliente entrar al modelo de divulgación de

información.

PROPUESTA

Para entonces tratar con los riesgos planteados anteriormente, se propone como solución para la

cooperativa, el implementar las siguientes políticas directamente desde el engranaje de

Infraestructura, ya que este es el núcleo donde el flujo de la información viaja desde sus

contenedores de almacenamiento, viaja por una estructura de red, para llegar a su destino final

(cliente externo o interno), mientras que con los engranajes de cliente interno y externo, deberán

recibir la divulgación de dichas políticas.

Infraestructura TIC se compone en dos áreas unidas entre sí:

 Desarrollo de aplicaciones.

 Infraestructura de redes, conectividad y mantenimiento TIC.

Estas áreas tienen la particularidad en que se puede implementar las políticas de SGSI en forma

separada apoyándonos a incrementar la seguridad desde la entrada o captura de la información,

como también fusionando ambas áreas para verificación y control de flujo de la información.

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 6

Como parte de optimizar la infraestructura de la cooperativa, de acuerdo al anterior diagrama de

red, se debe implementar las siguientes políticas, para los escenarios de uso de los recursos de

infraestructura desde el cliente interno:

 Salvo con los permisos otorgados por su superior a cargo, ningún

colaborador de la compañía, tendrá acceso a manipular la información mediante

dispositivos de almacenamiento externos.

 El acceso a carpetas, archivos, aplicaciones de la cooperativa, dispositivos de salida de

información (fax, impresoras), queda cubierto bajo las restricciones

implementadas de acuerdo al perfil que tenga el colaborador, con excepción de que

exista los permisos otorgados por el superior designado.

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 7

 Al tratarse el insumo (información de clientes, cuentas, información financiera)

de cuidado y estricto manejo, los permisos para navegación a internet, quedan sujetas a la

política de perfil del colaborador.

 El uso del mobiliario tecnológico, (computadores de escritorio o portátiles, tabletas,

PDA, etc.) son de responsabilidad directa del colaborador. Quien, al iniciar sus labores en

la cooperativa, tendrá asignado su(s) equipo(s) bajo las configuraciones de seguridad,

implementadas desde el área de Infraestructura TIC donde bajo ningún motivo, el

colaborador podrá realizar modificaciones tanto en aplicaciones, como modificaciones en

el hardware de su(s) equipo(s) asignados.

 Configuración de la política local del sistema, considerando varios puntos relevantes:

Política de contraseñas robusta, con claves caducables, almacenamiento histórico

de contraseñas (para no usar contraseñas cíclicas), bloqueos de cuentas por

intentos erróneos y requisitos de complejidad de contraseñas.

En cuanto al tráfico por la red del usuario, Infraestructura TIC deberá implementar las siguientes

políticas de control:

 Configuración de los protocolos de Red. En la medida de lo posible, es recomendable

usar sistemas de traducción de direcciones (NAT) para direccionar los equipos internos

de una organización. Deshabilitar todos aquellos protocolos de red innecesarios en el

sistema y limitar el uso de los mismos al mínimo.

 Configuración de redes virtuales por puerto en el switch para segmentar la red de acuerdo

al nivel de permisos otorgados por el área de Infraestructura TIC, reduciendo el acceso de

estos equipos solo a los que estén dentro de la red.

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 8

 Configuración de listas de control de acceso creando reglas de tráfico para bloquear toda

conexión hacia los servidores que no sea por parte de Infraestructura TIC.

 Configuración adecuada de permisos de seguridad en archivos y carpetas del sistema. En

la medida de lo posible, denegar explícitamente cualquier permiso de archivo a las

cuentas de acceso anónimos o que no tengan contraseña.

 Cifrado de archivos o unidades según las necesidades del sistema,

considerando un almacenamiento externo para las llaves de descifrado. Considerar

además la opción de trabajar con sistemas de cifrado de mensajería instantánea y correo

electrónico.

 Realizar y programar un sistema de respaldos frecuente a los archivos y al estado de

sistema. En la medida de lo posible, administrar los respaldos vía red o llevar los

respaldos a unidades físicas que estén alejadas del equipo que las origina.

Como parte de optimizar la infraestructura de la cooperativa, de acuerdo al anterior diagrama de

red, se debe implementar las siguientes políticas, para los escenarios de uso de los recursos de

infraestructura desde el cliente externo:

 Políticas en las aplicaciones desarrolladas (de preferencia con desarrolladores

que se empleen dentro de la cooperativa, modo in-house). Los desarrollos deben

orientarse a la eficacia dentro del manejo para el cliente, como también en su “dureza”

para prevenir grietas que puedan ser aprovechadas a ataques de ciber delincuentes,

bien sea aplicando validaciones desde el lado cliente, de ingreso de información.

 Garantizar que las aplicaciones web vayan con su correspondiente certificado

de seguridad SSL.

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 9

 En las bases de datos, se debe garantizar la jerarquización de usuarios, con sus

respectivos privilegios o accesos dentro de sus consultas, a fin de evitar que desde

ataques externos o probablemente internos intenten sabotear la(s) base (s) de datos.

 Política de contraseñas robusta, con claves caducables, almacenamiento histórico de

contraseñas (para no usar contraseñas cíclicas), bloqueos de cuentas por intentos erróneos

y requisitos de complejidad de contraseñas.

 Considerar el uso de doble autenticación descentralizada con llaves físicas para las

personas que intenten consumir de los recursos tecnológicos desde redes externas.

 Garantizar la operatividad de las aplicaciones, servidores y bases de datos de forma

continua, como también el balanceo de estos, crear una red tolerante a fallas con rutas

redundantes y escalables admitiendo nuevos usuarios sin pérdida de rendimiento.

SEGURIDAD EN EL DESARROLLO DEL SOFTWARE

La Seguridad de la Información se puede definir como conjunto de medidas técnicas,

organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y

disponibilidad de su sistema de información.

Nuestra política de seguridad de la información en el desarrollo de nuestras aplicaciones se basa

en los 3 pilares básicos:

 Confidencialidad: asegurando que el acceso a la información está adecuadamente

autorizado y validado para aquel usuario que solamente lo tiene permitido.

 Integridad: Aseguramos que la información suministrada sea verídica y sin alteraciones

por terceros.

 Disponibilidad: Teniendo acceso siempre a toda la información permitida.

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 10

Contamos con el ambiente adecuado para el desarrollo de nuestro software:

1. Desarrollo: Es el ambiente propio de los desarrolladores del software.

2. Testeo: Es el ambiente en el cual se realizan las pruebas para así mejorar o validar que

se estén haciendo las cosas bien.

CONTROLES DE ACCESO:

Todos los sistemas que no sean de libre acceso deberán contar con control de acceso basado

en roles para controlar el acceso de usuarios a tareas que normalmente están restringidas al

superusuario, aprobación del acceso y rendición de cuentas donde:

 La autorización específica lo que un sujeto puede hacer.

 La identificación y autenticación garantizan que sólo el sujeto legitimados puedan

entrar (login) a un sistema.

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 11

 La aprobación del acceso garantiza el acceso durante las operaciones, mediante la

asociación de usuarios con los recursos que a los que están autorizados a acceder,

basándose en la política de autorizaciones.

 La rendición de cuentas o auditoría identifica que un sujeto (o todos los sujetos

asociados un usuario) ha hecho.

CONTROLES CRIPTOGRAFICOS:

1. Para la protección de claves de acceso a sistemas, datos y servicios.

2. Para asegurar la transmisión de información clasificada.

3. Para el asegurar de información.

Se desarrollarán procedimientos respecto de la administración de claves, de la recuperación de

información cifrada en caso de pérdida, compromiso o daño de las claves y en cuanto al

reemplazo de las claves de cifrado:

1. Generar claves para diferentes sistemas criptográficos y diferentes aplicaciones

2. Distribuir claves de forma segura a los usuarios que corresponda, incluyendo información

sobre cómo deben activarse cuando se reciban

3. Almacenar claves, incluyendo la forma de acceso a las mismas por parte de los usuarios

autorizados.

4. Cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo deben cambiarse las

claves.

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 12

La verificación de la seguridad con referente al desarrollo del software se debe dar en

distintos niveles:

1. En el desarrollo de un componente, clase o conjunto de método. (En el código desarrollado

o el que se está desarrollando).

2. En la vista externa de los componentes de una aplicación (caja Negra).

3. La aplicación (como sistema global).4.Sistema de aplicaciones5.Estado de salud de la

aplicación en producción.

La utilización de estándares de la industria favorece que se desarrollen soluciones que con

herramientas (cómo metodologías, paradigmas, IDE,s, bibliotecas, patrones) que sean conocidas.

Esto permite conocer tantos sus fortalezas como sus debilidades y vulnerabilidades.

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 13

CONCLUSIÓN

Gracias al desarrollo de esta actividad podemos concluir los siguientes puntos:

 La aplicación de regulaciones, estrategias y políticas en empresas independientes de sus

funciones puede garantizar la confidencialidad y generar mayor credibilidad cuando los

clientes procesan sus datos.

 Separar el lado del cliente inferido de la gestión de seguridad de la información separada

internamente (interna o externa) contribuye al control y procesamiento específicos de

cada participante.

 La implementación correcta del protocolo de red dirige el tráfico solo al servicio

solicitado para un rendimiento óptimo, reduciendo así el consumo de la red.

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31

 14

BIBLIOGRAFIA

 Junta de Andalucía . (s .f .) . Conceptos de seguridad en los servicios web .Recuperado

de http://www .juntadeandalucia .es /servicios /madeja/contenido/recurso/211

 Martínez, F . (2013) . Seguridad en aplicaciones web (I) . Recuperado de

https://www .portantier .com/seguridad-en-aplicaciones-web-i .html

 Netuniversecorp . (2017) . Seguridad de sitios web: problemas, peligros y

amenazas . Recuperado de https://www .netuniversecorp .com/seguridad-en-web/

INGENIERIA DE SISTEMAS – MODELOS DE PROGRAMACIÓN II - 202110-1A – 31