INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.

Slides:



Advertisements
Presentaciones similares
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Advertisements

ANALISIS DE RIESGOS.
Control Interno Informático. Concepto
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
Aplicación Web para Control de una Integración de S.I.
DIRECT ACCESS.
Que es el protocolo “SSL”
Análisis y gestión de riesgos en un Sistema Informático
DIRECCIÓN DE EDUCACIÓN SUPERIOR PEDAGÓGICA
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
Felipe Donoso Natalia Sandoval
UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.
Proyecto de Ingeniería de Software 2008
Guía para la evaluación de seguridad en un sistema
SISTEMAS DE GESTION DE CALIDAD
Análisis y Gestión de riesgos en un sistema informático
Introducción a la Seguridad de la información
ESCUELA POLITÉCNICA DEL EJÉRCITO
Proceso de Certificación en Industria Limpia
Seguridad del protocolo HTTP
JOSE FERNANDO MORA CARDONA Administración de redes - CTMA SENA 2012 FALLAS DE RESTRICCIÓN DE ACCESO A URL.
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
DeSkToP oRbItEr.
MAESTRÍA DE GERENCIA EN SISTEMA
OWASP - A6 Open Web Application Security Project Riesgo por: Configuración Defectuosa de Seguridad Guillermo David Vélez Álvarez C.C. 71' 763,346.
TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.
Análisis y Gestión de Riesgos
ESCUELA POLITÉCNICA DEL EJÉRCITO
Resumen análisis y gestión de riesgos Marcos Castro Franco.
Instituto Tecnológico Superior de Nochistlán División Académica Ingeniería en Sistemas Computacionales “Manejo de Seguridad en PHP: Aplicaciones Seguras”
SGI-P04 PROCEDIMIENTO PARA LA TOMA DE ACCIONES CORRECTIVAS, PREVENTIVAS O DE MEJORAS ABRIL DE 2010 – VERSIÓN 1.
FIABILIDAD, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD
Gestión Racional de Sustancias Químicas (RENIMAP & RELABTOX) Misión y Arquitectura del Proyecto:
Análisis y Gestión de Riesgos en un Sistema Informático.
UD 1: “Adopción de pautas de seguridad informática” Análisis de las principales vulnerabilidades de un sistema informático. Luis Alfonso Sánchez Brazales.
Análisis y diseño detallado de aplicaciones informáticas de gestión
Analisis y Gestion de Riesgos en un Sistema Informatico
UNIVERSIDAD ESTATAL DE MILAGRO
Seguridad del protocolo HTTP
Notas sobre Ciberseguridad en Ambientes Empresariales Francisco Mejía 02 Diciembre 2014.
VISIÓN GENERAL DE LA IS Con independencia del modelo de proceso hay tres fases genéricas: Fase de definición Fase de desarrollo Fase de mantenimiento Cada.
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
Técnicas de cifrado. Clave pública y clave privada:
PUNTO 3.
Seguridad del protocolo HTTP:
UNIVERSIDAD LATINA II. FUNCIONES DEL ADMINISTRADOR.
PROYECTO ECOS.  Producto desarrollado  Problemas encontrados  Riesgos materializados  PIP.
Análisis y Gestión de Riesgos en un Sistema Informático
Introducción al proceso de verificación y validación.
CONTROL DE ATAQUES INFORMATICOS
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Punto 6 – Seguridad en el protocolo HTTP Juan Luis Cano.
Procesos itil Equipo 8.
Análisis de las principales vulnerabilidades de un sistema informático. Gabriel Montañés León.
Técnicas de cifrado. Clave pública y clave privada:
Seguridad del Protocolo HTTP
APLICACIONES EN LINEA.
A NÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez.
El protocolo SSL (Secure Sockets Layer) fue diseñado con el objeto de proveer privacidad y confiabilidad a la comunicación entre dos aplicaciones. Este.
S ERVICIOS DE RED E I NTERNET T EMA 4 : I NSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS W EB Nombre: Adrián de la Torre López.
Asesoría Relacionada a la Seguridad. Balance de Seguridad.
Universidad Latina CONTROL INTERNO.
1 Seguridad en Redes Presentación 3 Sistemas Grado 11 Hernán Darío García.
República Bolivariana de Venezuela Universidad Nacional Experimental Politécnica de la Fuerza Armada (UNEFA) Carrera: Ingeniería de Sistemas Cátedra: Análisis.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
Ingeniería del Software
Autor: Reinozo Cuesta Christian Marcelo
Autores: Myriam Montes, Iván Viera, Carlos Caizaguano, José Sancho
SEGURIDAD TELEMÁTICA. VISIÓN ACTUAL Y DE FUTURO.
Transcripción de la presentación:

INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES TOP 10 DE OWASP Tutores: Ing. Mario Ron e Ing. Fernando Solís Autor: Angel Lenin Salgado Yánez SANGOLQUÍ, ABRIL 2014

Contenido Motivación y Contexto. Planteamiento del Problema. Objetivos. Marco Teórico. Top 10 de Owasp. Análisis de Riesgos de Aplicaciones Web de la SBS. Resultados. Conclusiones y Recomendaciones.

Motivación y Contexto Tecnología Las aplicaciones Web se han vuelto indispensables para el manejo de la información y facilitar la automatización de procesos. Decreto Ejecutivo 1014 Establece política gubernamental de uso de Software Libre en la Administración Publica Central. Frente a este escenario Se propone el análisis de las aplicaciones web utilizando las recomendaciones OWASP Top 10 para descubrir las vulnerabilidades que se presentan.

Planteamiento del Problema DECRETO 1014 Empieza a desarrollar aplicaciones Web con plataforma JEE para automatizar sus procesos No aplica estándares para el aseguramiento del aplicativo

Objetivos General Analizar las aplicaciones web de la SBS para identificar los riesgos de seguridad más comunes mediante el top ten de OWASP y definir buenas prácticas para el aseguramiento de las aplicaciones. Específicos Identificar las aplicaciones web más importantes de la Superintendencia de Bancos y Seguros bajo la plataforma JEE. Identificar las vulnerabilidades, amenazas y riesgos más comunes presentes en una aplicación Web. Realizar una evaluación de riesgos basados en el Top Ten de OWASP. Recomendar la implementación de buenas prácticas en base a los riesgos identificados.

Marco Teórico Seguridad Informática: conjunto de medidas preventivas, técnicas y organizativas de una institución que permiten asegurar y proteger la información. Amenaza: Es un evento que puede causar un incidente de seguridad produciendo pérdidas o daños potenciales en sus activos. Vulnerabilidad: Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo. Riesgo: Es la probabilidad de ocurrencia de un evento que puede ocasionar un daño potencial a servicios, recursos o sistemas.

Marco Teórico Aplicaciones Web: Es una herramienta que puede ser utilizada por los usuarios accediendo a un servidor web utilizando un navegador a través de internet o intranet.

Marco Teórico Java Enterprise Edition (JEE): estándar para el desarrollo de aplicaciones empresariales que usa tecnología Java.

Marco Teórico OWASP: proyecto de código abierto de seguridad en aplicaciones web y determina las causas que hacen un software inseguro.

Marco Teórico OWASP Top Ten Son los riesgos más importantes en aplicaciones web con el objetivo principal de educar a desarrolladores, diseñadores, arquitectos, gerentes y organizaciones.

OWASP Top 10 R1: Inyección. R2: Secuencia de comandos en sitios cruzados (XSS). R3: Pérdida de Autenticación y Gestión de Sesiones. R4: Referencia Directa Insegura a Objetos. R5: Falsificación de Peticiones en Sitios Cruzados. R6: Configuración Defectuosa de seguridad. R7: Almacenamiento Criptográfico Inseguro. R8: Falla de Restricción de Acceso a URL. R9: Protección Insuficiente en la Capa de Transporte. R10: Redirecciones y Reenvíos no validados.

Análisis de Riesgos Aplicaciones Web de la SBS Sistema de Población de Identificaciones (SPI) Sistema de Auditoría de Prevención de Lavado de Activos (SAPLA) Sistema para otorgar Credenciales a Intermediarios de Seguros (SOCI)

Análisis de Riesgos Riesgos

Análisis de Riesgos Ocurrencia de Riesgos R7: Almacenamiento Criptográfico Inseguro El sistema SOCI utiliza el algoritmo hash MD5. En el caso de los sistemas SPI y SAPLA no se utiliza ningún algoritmo para encriptar los datos.

Análisis de Riesgos Ocurrencia de Riesgos R9: Protección insuficiente en la capa de transporte Está presente en las tres aplicaciones, no se utiliza un protocolo criptográfico como SSL, el cual proporciona privacidad entre dos aplicaciones de comunicaciones utilizando HTTPS.

Análisis de Riesgos Evaluación de Riesgos

Resultados En los sistemas SAPLA y SPI se deben utilizar algoritmos de encriptación de datos para proteger la información. Se recomienda utilizar algoritmos asimétricos que son más factibles en cuanto a seguridad. En el caso de SOCI se debe realizar un estudio para ver como sustituir el algoritmo MD5 que se utiliza actualmente por otro más fuerte como Advanced Encryption Standard (AES).

Resultados Las tres aplicaciones deben utilizar algún protocolo criptográfico, que proporcione seguridad en la autenticación y privacidad de la información, como por ejemplo Secure Sockets Layer (SSL) y Transport Layer Security (TLS). Los proyectos que estén en desarrollo deben considerar estas vulnerabilidades en la documentación que realizan en cada una de las fases de requerimientos, diseño, implementación y pruebas. Deben asegurarse que en las aplicaciones no han sido introducidas estas vulnerabilidades y en caso de que existan deben ser eliminadas de forma correcta.

Conclusiones Se analizaron tres aplicaciones de la SBS con arquitectura JEE. Se realizó una evaluación de los riesgos basados en el OWASP Top 10 - 2010, de las vulnerabilidades, amenazas, el impacto, detectándose los riesgos de Almacenamiento Criptográfico Inseguro y Protección Insuficiente en la Capa de Transporte. Se realizó una lista de buenas prácticas para asegurar las aplicaciones, corregir los riesgos detectados y los que estén por surgir en el proceso de desarrollo de nuevas funcionalidades en las aplicaciones estudiadas, partiendo de los resultados obtenidos y siguiendo los resultados encontrados en la investigación.

Recomendaciones Aunque el riesgo de Inyección no está presente se recomienda utilizar la función PreparedStatement de Java, debido a que es la primera opción de defensa que propone OWASP para prevenir ataques de inyección. Reducir el tiempo de cierre de las sesiones a 15 minutos ya que actualmente este tiempo lo configura el CAS y la sesión se cierra 30 minutos después de que no se registre actividad por parte del usuario evitara que los atacantes tengan menos oportunidad de realizar un ataque en ese tiempo. Como trabajo a futuro se plantea utilizar la nueva versión del OWASP Top 10 – 2013 para el análisis de las aplicaciones Web de la Superintendencia de Bancos y Seguros, destinar presupuesto, tiempo e implementar políticas de desarrollo seguro, mecanismos de diseño, pruebas de intrusión y revisión de seguridad al código fuente.

GRACIAS POR SU ATENCIÓN

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.