La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Integrantes: Mary Bermeo Michael Freire Santiago Medina.

Publicada porYazmin Celis Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Integrantes: Mary Bermeo Michael Freire Santiago Medina."— Transcripción de la presentación:

1 Integrantes: Mary Bermeo Michael Freire Santiago Medina

2  La seguridad es un elemento de primer nivel que entra en juego desde la concepción inicial de un sistema y participa desde un principio en las decisiones de diseño.  Los requisitos de seguridad deben considerarse explícitamente durante todo el proceso de desarrollo, lo que da lugar a la inclusión de fases o actividad dedicadas a la seguridad

3  Su objetivo principal es mantener las tres características primordiales de la información: ◦ Confidencialidad ◦ Integridad ◦ Disponibilidad  Las medidas de seguridad suelen centrarse principalmente en la eliminación o reducción de las vulnerabilidades del sistema

4  Atendiendo a la forma de actuación, las medidas de seguridad pueden ser: ◦ De Prevención ◦ De Detención ◦ De Corrección  Las principales medidas de seguridad aplicadas al ámbito de desarrollo son la de carácter preventivo en particular de tipo técnico/admistrativo.

5  Entre las medias de seguridad de carácter técnico se encuentran:  Identificación y autenticación de usuarios.  Control de accesos.  Control de flujo en la información.  Confidencialidad.  Integridad.  No repudio.  Notorización.  Auditoria.

6  Entre las medidas administrativas tenemos los siguientes mecanismos de protección:  Autenticación  Control de acceso  Cifrado de datos  Funciones de resumen  Firma digital  Registro de auditoria

7  Se debe diferenciar las políticas de los mecanismos de seguridad. Las políticas definen qué hay que hacer (qué datos y recursos deben protegerse de quién; es un problema de administración).  Los mecanismos determinan cómo hay que hacerlo. Esta separación es importante en términos de flexibilidad, puesto que las políticas pueden variar en el tiempo y de una organización a otra.

8  Se dice que un sistema es confiable con respecto a una determina política de seguridad si ofrecen mecanismos de protección capases de cumplir con los requisitos de seguridad impuestos por dicha política.

9  La experiencia en el desarrollo de mecanismos de seguridad relacionado con el control de acceso a dado lugar a los siguientes criterios de diseño:  Abstracción de datos.  Privilegios mínimos.  Separación de privilegios.  Separación de administración y acceso.  Autorizaciones positivas y negativas.  Delegación de privilegios.

10  Transacciones bien formadas.  Autenticación.  Compartición mínima.  Diseño abierto.  Exigencias de permiso.  Intermediación completa.  Mecanismos económicos.  Sencillez de uso.  Aceptabilidad.

11  Es un mecanismo abstracto que permite poner en practica una determinada política e seguridad. En relación con el control de acceso tenemos los siguientes estándares: ◦ MAC (Mandatory Access Control) ◦ DAC (Discretionary Access Control)  Una alternativa a estos modelos es el control de acceso basado en roles (RBAC)

12  MAC es un sistema centralizado, en el cual las decisiones de seguridad no recaen en el propietario de un objeto y es el sistema el que fuerza el cumplimiento de las políticas por encima de las decisiones de los sujetos, además de permitir una granularidad y control mayores.  Desde el punto de vista de la seguridad, MAC es más completo que DAC

13  Es una forma de acceso a recursos basada en los propietarios y grupos a los que pertenece un objeto. Se dice que es discrecional en el sentido de que un sujeto puede transmitir sus permisos a otro sujeto.  La mayoría de sistemas Linux ahora mismo usan este tipo de acceso, estando los permisos orquestados por grupos y usuarios, pudiendo un usuario normal cambiar los permisos de los archivos que posee con el comando chmod.

14  Trata de definir los permisos basándose en los roles establecidos en la organización, para luego asociar adecuadamente a los usuarios con los roles que tengan derecho a ejercer.  Se dice que RBAC es neutral con respecto a la política, ya que permite modelar otros modelos previos, que han demostrado limitaciones, como son DAC y MAC.

15  Este estándar fue aceptado por ANSI y publicado en febrero de 2004 bajo el código ANSI INCITS 359-2004.  Tiene dos grandes bloques: ◦ El modelo de referencia RBAC: describe sus elementos y sus relaciones. ◦ Especificaciones funcionales administrativas y del sistema RBAC: define las características requeridas para un sistema RBAC

16  El modelo de referencia RBAC se define en términos de tres componentes: ◦ Núcleo de RBAC: recoge los elementos mínimos, roles, usuarios, permisos, sesiones. ◦ RBAC Jerárquico: añade relaciones para soportar jerarquía de errores. ◦ RBAC con restricciones: ofrece un mecanismo que da soporte al principio de separación de privilegio, la cual pude ser estática o dinámica.

17  ISO 9126-1  Calidad de uso  Seguridad Formas de diagnostico de seguridad.  Evaluación de Vulnerabilidades.  Pruebas de Penetración.  Auditoria de Seguridad.

18  Busca determinar las fallas de seguridad de un sistema.  Produce reportes de tipo, cantidad y grado de dichas fallas.  Permite establecer es status de seguridad en un momento determinado, aunque sin referirse a estándares específicos.  Permite tomar medidas preventivas para evita que las fallas sean aprovechadas por un hacker.

19  Google libera  herramienta de uso interno. Permite detectar vulnerabilidades en las aplicaciones web. Es compatible con Linux, Mac y Windows y puede ser descargada desde el sitio de Google. Su finalidad es detectar agujeros de seguridad en aplicaciones web.

20 Nikto2: Es de código abierto. Permite llevar a cabo pruebas exhaustivas de los servidores web para varios artículos. Los plugins se actualizan con frecuencia y se puede actualizar de forma automática.

21  Líder mundial en escáneres activos de vulnerabilidad.  Con alta velocidad de descubrimiento, la auditoría de configuración, el perfil activo, el descubrimiento de los datos sensibles y análisis de la vulnerabilidad de su seguridad.  Se pueden distribuir a lo largo de toda una empresa, dentro y a través de redes separadas físicamente.

22 Nro. CONCEPTOS DE SEGURIDAD CUMPLE SINO 1 El Sitio funciona correctamente y no presenta fallas al navegar por sus páginas o utilizar sus servicios? (especialmente en el caso de Trámites en línea) 2 Los datos ingresados por un usuario a través de formularios, ¿son validados antes de ser enviados y procesados por el servidor del Sitio? 3 ¿Todos los vínculos del Sitio tienen una página asociada y el contenido adecuado al vínculo señalado? 4 Frente a una búsqueda dentro del Sitio o cualquier operación en el mismo ¿los resultados se muestran correctamente? 5 ¿Los datos privados, entregados voluntariamente por los usuarios, son guardados de manera reservada? 6 ¿Se ofrece una Política de Privacidad de los Datos Personales y se informa de su existencia en las páginas pertinentes? 7 ¿Los servicios ofrecidos son realizados a través de canales de transacción seguros? 8 ¿En los temas que requieren de accesos restringidos, el Sitio provee algún medio para validar el acceso, por ejemplo: a través de una caja de conexión con nombre de usuario y password? 9 ¿La política de seguridad implementada para validar el acceso restringido es adecuada a los propósitos del servicio o de l2a institución? 10¿Protege la integridad de sus programas y datos? 11¿Se evita que sea visto, el nombre de los programas y los directorios? 12 Se cuenta con un protocolo de seguridad para evitar ataques externos e intrusiones de hackers? 13 Se cuenta con una política de respaldo de información que permita superar efectos de fallas derivadas del punto anterior? Para determinar si el Sitio Web, cumple con las características de Seguridad

23  La información  condiciones operativas. o Sin problemas. o Sin encontrar fallas. o Faltas.  Responsabilidad del prestador del servicio  deberá tener un plan de soluciones y un mantenimiento preventivo.  Si es una pagina para realizar transacciones  deberán tomar medidas para proteger a los datos.

24  La prevención es la mejor medicina.  Se debe mantener la seguridad de los archivos de datos de tal forma que solo las personas correctas puedan verlos.  El protocolo SSL permite la transmitir información de forma segura.  La W3C1 y organizaciones como OASIS, entre otras, han propuesto estándares de políticas de seguridad y control de acceso que garanticen una infraestructura, en lo posible segura para Web Services y Web Semántica.

25  Preguntas?

Descargar ppt "Integrantes: Mary Bermeo Michael Freire Santiago Medina."

Presentaciones similares

Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
Ingeniería de Software II

Ingeniería de Software II
ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Integridad y seguridad de las empresas en las bases de datos

Integridad y seguridad de las empresas en las bases de datos
CNAP Centro Nacional de Acreditación Profesional.

CNAP Centro Nacional de Acreditación Profesional.
Auditoria de Sistemas de Gestión

Auditoria de Sistemas de Gestión
INTERPRETACIÓN DE NORMAS ISO

INTERPRETACIÓN DE NORMAS ISO
DIRECT ACCESS.

DIRECT ACCESS.
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
PRODUCTO NO CONFORME.

PRODUCTO NO CONFORME.
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
AUDITORIA INTERNA.

AUDITORIA INTERNA.
Administración de Procesos de Pruebas

Administración de Procesos de Pruebas
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Enrique Cardenas Parga

Enrique Cardenas Parga
Evaluación de Productos

Evaluación de Productos
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Presentaciones similares

Anuncios Google