Facultad de Ingeniería y Arquitectura

Escuela Profesional de Ingeniería de Sistemas

Programación Segura
Tema 2 : Requerimiento y modelado de la seguridad
Resultado del aprendizaje.
Al finalizar la sesión, el estudiante
diseña los casos de uso
relacionados a la seguridad de un
sistema de manera adecuada y
responsable
Contenido.
1. Importancia de la Seguridad en Aplicaciones Web.
2. Requerimientos de Seguridad en Aplicaciones Web
3. Casos de Uso en Modelado de Seguridad.
4. Actividad
 Importancia de la Seguridad en Aplicaciones Web
1. Protección de Datos Sensibles: Las aplicaciones web a menudo manejan información
confidencial de usuarios, como datos personales, financieros o médicos. La falta de
seguridad puede llevar a la exposición no autorizada de estos datos, lo que puede tener
graves repercusiones legales y financieras.
2. Confianza del Usuario: La seguridad es fundamental para ganar la confianza de los
usuarios. Si los usuarios perciben que sus datos no están seguros, es poco probable que
utilicen la aplicación o compartan información sensible a través de ella.
3. Protección contra Ataques: Las aplicaciones web son blancos frecuentes para una
variedad de ataques cibernéticos, como inyecciones SQL, XSS (Cross-Site Scripting) y
CSRF (Cross-Site Request Forgery). La implementación de medidas de seguridad
adecuadas puede ayudar a prevenir estos ataques y proteger la integridad y disponibilidad
de los datos.
4. Cumplimiento Normativo: Muchas industrias están sujetas a regulaciones estrictas en
cuanto a la protección de datos, como GDPR, HIPAA o PCI-DSS. Las organizaciones que
no cumplan con estos requisitos pueden enfrentar sanciones legales significativas.
 … Importancia de la Seguridad en Aplicaciones Web
5. Reputación de la Marca: Una violación de seguridad puede dañar irreparablemente la
reputación de una empresa. Las noticias sobre brechas de seguridad pueden propagarse
rápidamente y disuadir a los clientes potenciales de interactuar con la empresa en el
futuro.
6. Disponibilidad del Servicio: La seguridad también juega un papel crucial en la
disponibilidad del servicio. Los ataques de denegación de servicio (DDoS) pueden dejar
una aplicación web inaccesible para los usuarios legítimos, lo que resulta en pérdida de
ingresos y daño a la reputación.
7. Protección de la Propiedad Intelectual: Las aplicaciones web pueden contener
propiedad intelectual valiosa, como algoritmos, diseños o secretos comerciales. La
seguridad ayuda a proteger esta propiedad contra la piratería o el robo.
8. Responsabilidad Social Corporativa: Las empresas tienen la responsabilidad ética de
proteger los datos de sus clientes y garantizar un entorno en línea seguro para todos los
usuarios.
 Consecuencias de una brecha de Seguridad

• Pérdida de Datos Sensibles

• Daño a la Reputación
• Costos de Recuperación
• Impacto en la Continuidad del Negocio
• Riesgo de Litigios
• Perdida de Ventaja Competitiva
• Impacto en la Confianza del Consumidor
• Repercusiones Regulatorias
 Breve panorama sobre las amenazas más comunes
Las amenazas más comunes asociadas con la falta de seguridad en aplicaciones web
pueden variar en complejidad y gravedad, pero algunas de las más prevalentes
incluyen:
• Inyección de SQL (SQL Injection)
• Cross-Site Scripting (XSS)
• Cross-Site Request Forgery (CSRF)
• Fuga de información sensible
• Autenticación y gestión de sesiones débiles
• Fallas en la configuración de seguridadFalta de actualizaciones y parches
• Falta de protección contra denegación de servicio (DoS/DDoS)
 … Breve panorama sobre las amenazas más comunes

Para mitigar estas amenazas, es crucial que los

desarrolladores implementen buenas prácticas de
seguridad durante el desarrollo de aplicaciones web, que
incluyen la validación y filtrado de entradas, el uso de
parámetros preparados en consultas SQL, la adopción de
mecanismos de autenticación robustos, el uso de cifrado
adecuado para proteger la transmisión de datos, y la
implementación de actualizaciones regulares y parches
de seguridad.
 Requerimientos de Seguridad
1.Identificación de Amenazas:
1. Analizar posibles riesgos y vulnerabilidades.
2. Priorizar medidas de seguridad adecuadas.
2.Cumplimiento Normativo:
1. Evaluar requisitos legales y regulaciones de seguridad.
2. Asegurar el cumplimiento con estándares como GDPR, ISO 27001,
etc.
3.Autenticación y Autorización:
1. Definir políticas de autenticación segura.
2. Establecer roles y privilegios de acceso.
4.Cifrado y Protección de Datos:
1. Encriptar datos sensibles en reposo y en tránsito.
2. Implementar controles de acceso y medidas de protección
adecuadas.
 Casos de Uso

1.Registro de Usuario:
1. Requisitos de seguridad para la creación de cuentas.
2. Validación de contraseñas y verificación de correo electrónico.
2.Inicio de Sesión:
1. Autenticación segura y protección contra ataques de suplantación
de identidad (phishing).
2. Gestión de sesiones y tokens de seguridad.
3.Gestión de Perfiles:
1. Control de acceso basado en roles.
2. Actualización y eliminación segura de información del perfil.
4.Procesamiento de Pagos:
1. Protección de datos de tarjetas de crédito.
2. Implementación de estándares de seguridad de pagos como PCI
DSS.
 Ejemplo de Caso de Uso: Inicio de Sesión
1.Actores:
1. Usuario registrado
2. Sistema
2.Precondiciones:
1. El usuario tiene credenciales válidas.
3.Flujo Básico:
1. El usuario ingresa sus credenciales.
2. El sistema verifica la autenticidad de las credenciales.
3. El sistema inicia la sesión y redirige al usuario a la página principal.
4.Flujo Alternativo:
1. Si las credenciales son incorrectas, el sistema muestra un mensaje de error
y vuelve al paso 1.
Conclusiones

• Integrar la seguridad desde los requerimientos y casos de uso es

esencial para el desarrollo de aplicaciones web seguras.

• La identificación temprana de riesgos y la implementación de

medidas adecuadas ayudan a proteger los datos y a mantener la

confianza de los usuarios.

 ACTIVIDAD
1. Una vez conformados los equipos de trabajo, deben discutir y definir un Proyecto de
Sistemas, el mismo que se implementará desde la etapa de planificación, elaboración
del proyecto e implementación del sistema, donde se aplique los principios de la
programación segura.
2. El docente les proporciona un modelo básico para desarrollar su proyecto.
3. Durante la sesión el equipo debe reunirse e ir avanzando en la elaboración del
proyecto.
METACOGNICIÓN

✓ ¿Qué has aprendido hoy?

✓ ¿Para qué te será útil?

Referencias
• Abdulaziz, W. B., y Croock, M. S. (2023). Review on cyber-security for optimized and smart irrigation systems. Telkomnika, 21(1), 133-141.
• Aymerich, B., Solano, A., Quesada-López, C., y Martínez, A. (2019). Incorporando pruebas basadas en modelos para servicios web en un proceso de desarrollo
ágil: Un caso de estudio en la industria. Revista Ibérica De Sistemas e Tecnologias De Informação, , 526-537.
• Fuada, S., Adiono, T., & Kasan, H. (2023). A high frame-rate of cell-based histogram-oriented gradients human detector architecture implemented in field
programmable gate arrays. IAES International Journal of Artificial Intelligence, 12(2), 714-730.
• Rashid, S. J., Alkababji, A. M., y Khidhir, A. S. M. (2023). Performance evaluation of software-defined networking controllers in wired and wireless networks.
Telkomnika, 21(1), 49-59.
• Rojas-Montes, M. L., Pino-Correa, F. J., y Martínez, J. M. (2015). Testing process for small software development organizations. Revista Facultad de
Ingeniería, 24(39), 55–70.
• Hernández bejarano, m., y baquero rey, l. e. (2020) Ciclo de vida de desarrollo ágil de software seguro. (1ra. edición) Editorial los libertadores
• Abdulaziz, W. B., y Croock, M. S. (2023). Review on cyber-security for optimized and smart irrigation systems. Telkomnika, 21(1), 133-141.
https://doi.org/10.12928/TELKOMNIKA.v21i1.24234
• Aymerich, B., Solano, A., Quesada-López, C., y Martínez, A. (2019). Incorporando pruebas basadas en modelos para servicios web en un proceso de desarrollo
ágil: Un caso de estudio en la industria. Revista Ibérica De Sistemas e Tecnologias De Informação, , 526-537. -
https://search.proquest.com/docview/2195127325
• Dama international (2020) DAMA-DMBOK: Guía Del Conocimiento Para La Gestión De Datos (Spanish Edition). (2da. edición) Technics publications
• Fuada, S., Adiono, T., & Kasan, H. (2023). A high frame-rate of cell-based histogram-oriented gradients human detector architecture implemented in field
programmable gate arrays. IAES International Journal of Artificial Intelligence, 12(2), 714-730. - https://doi.org/10.11591/ijai.v12.i2.pp714-730
Referencias
• Rashid, S. J., Alkababji, A. M., y Khidhir, A. S. M. (2023). Performance evaluation of software-defined networking controllers in wired
and wireless networks. Telkomnika, 21(1), 49-59. -https://doi.org/10.12928/TELKOMNIKA.v21i1.23468
• Kats, m. (2020) Redes y Seguridad. (1ra edición) Editorial marcombo.
• Rojas-Montes, M. L., Pino-Correa, F. J., y Martínez, J. M. (2015). Testing
• process for small software development organizations. Revista Facultad de Ingeniería, 24(39), 55–70. -
https://doi.org/10.19053/01211129.3551
• Gallardo, g (2016) Seguridad en Bases de Datos y Aplicaciones Web (2ª edición) Editorial it campus academy
• Giménez, j. f (2015) Seguridad en equipos informáticos. IFCT0109 (1ra. edición) Ic editorial
• Albert, j. (2021) Seguridad informática y copias de seguridad para PC (1ra edición) Editorial babelcube