Sistemas de Información en entorno Web 13 de Mayo de 2004 Fernando Alonso Blázquez

Índice ¿Qué es un Sistema de Información en entorno Web? Ventajas y desventajas Control de acceso Autenticación y Autorización Seguridad Amenazas deliberadas a la seguridad de la información Ejemplos de Sistemas de Información Diseño de Sistemas de Información

¿Qué es un S.I. en entorno Web? Máquina Servidor HTTP SERVIDOR WEB BD SERVIDOR DE SERVLETS BD externa HTTP Otros procesos

Ventajas y desventajas No es necesaria ninguna instalación en el cliente (aplicaciones, drivers, ...) Accesible desde cualquier lugar Sólo es necesario un navegador Desventajas Lentitud de Internet Calidad de las interfaces de usuario Menos posibilidades que las ofrecidas por las aplicaciones cliente tradicionales Vulnerabilidad de la información Importancia de la Seguridad: Encriptación, protocolo seguro HTTPS

Control de acceso Protege la entrada a un Sistema de Información completo o a funcionalidades concretas de éste Consta generalmente de dos pasos Autenticación: que identifica al usuario o a la máquina que trata de acceder a los recursos, protegidos o no Autorización: que dota al usuario de privilegios para poder efectuar ciertas operaciones con los datos protegidos, tales como crearlos, leerlos, modificarlos, etc. Establecimiento de Roles

Control de acceso Tres tipos básicos de control de acceso: Por dirección IP, nombre de host o dominio Se puede configurar el servidor web de manera que ciertos recursos sean accesibles sólo por ordenadores que posean determinada dirección IP, cierto nombre de host o pertenezcan a un dominio dado Por nombre de usuario y contraseña Se requiere al usuario que introduzcan un nombre y una contraseña como medio de asegurar su identidad Por certificados El usuario simplemente instala el certificado en su navegador y posteriormente, cuando se conecte al servidor, sólo tiene que presentarlo para que se produzca la autenticación

Seguridad Se entiende por amenaza Violación de la seguridad Una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad Violación de la seguridad Confidencialidad, integridad, disponibilidad o uso legítimo Categorias generales de amenazas o ataques Interrupción, intercepción, modificación y fabricación Los ataques pueden clasificarse a su vez Pasivos y activos

Ataques pasivos El atacante no altera la comunicación, sino que únicamente la escucha o monitoriza Muy difíciles de detectar Objetivos Obtención del origen y destinatario de la comunicación Leyendo las cabeceras de los paquetes monitorizados. Control del volumen de tráfico intercambiado entre las entidades monitorizadas Obteniendo así información acerca de actividad o inactividad inusuales. Control de las horas habituales de intercambio de datos entre las entidades de la comunicación Para extraer información acerca de los períodos de actividad

Ataques activos Implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo Tipos Suplantación de identidad el intruso se hace pasar por una entidad diferente Reactuación uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado Modificación de mensajes una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado Degradación fraudulenta del servicio impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones Entre estos ataques se encuentran los de denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.

Ejemplos de Sistemas de Información Automatrícula de la Escuela Gestión Académica Profesores Introducción de calificaciones, consulta de datos Alumnos Consulta de expediente académico Gestión de Programas de Intercambio Gestores: Administración Alumnos: Consulta de situación Comercio Electrónico Amazon Sistemas de Información Empresarial

Diseño de Sistemas de Información Transparencia La organización debe ser fácil de entender para los usuarios Información accesible fácilmente Diseñar una estructura de ficheros que permita a los usuarios obtener la información con el menor número de clicks Uso de estándares Que todas las páginas de una web compartan un formato visual similar El uso de un formato estándar mejora en gran manera el aspecto y “feeling” de una web Una vez que el usuario entiende el formato común, encuentra más fácil el uso de la web

Diseño de Sistemas de Información Mantenimiento Diseñar el sitio web con el objetivo claro de que su mantenimiento sea fácil Prestaciones Cada día más, la gente demanda de los sitios web un valor añadido más allá del puro “anuncio” Motores de búsqueda Cuando los sitios web son muy grandes hay que poner a disposición un motor de búsqueda Usuarios Conocer quiénes son, que sistemas usan y desarrollar una estrategia para servir eficientemente a los diferentes grupos de usuarios

Diseño de Sistemas de Información Seguridad Tener presente la seguridad desde el diseño Web logs Permiten obtener información sobre usuarios Tipo de organización de la que provienen Tipo de sistema operativo y navegador que usan Cómo llegaron a tu página web Qué les resultó de utilidad Diseño visual Diseñar la página principal para que cuadre en un monitor de 15” con el menor scrolling posible No usar archivos de figuras grandes incrementan el tiempo de carga Usar fondos lisos con fuentes de texto que tengan suficiente contraste con el fondo

¿Cuál es la clave del éxito? Valor añadido + Diseño visual amigable