Escolar Documentos
Profissional Documentos
Cultura Documentos
Aprendizaje Esperado
Establecer las caractersticas de seguridad
que deben tener los datos y los sistemas de
informacin, mediante el anlisis de los tipos
de informacin y las polticas de acceso, y
aseguramiento de los sistemas, con la
finalidad de disear sistemas seguros y
confiables para el tratamiento de la
informacin.
Rebeca Eugenia Aguilar Durn
Temas
1. Informacin
2. Polticas de Seguridad
3. Bases de Datos
4. Software
5. Huecos de Seguridad en el diseo y desarrollo de Software
6. Seguridad en los Centros de Cmputo
7. Herramientas de Control y seguimiento de acceso
8. Herramientas de verificacin de sistemas
9. Deteccin de intrusin
10. Autenticacin.
1.- Informacin
La informacin es un activo muy valioso que puede
hacer crecer o destruir a su organizacin.
Seguridad de la informacin significa la
proteccin de la informacin y de los accesos a
los sistemas de informacin , control de su uso,
divulgacin, alteracin, modificacin, lectura,
registro o su destruccin.
La proteccin de la
informacin debe
garantizar
Medidas de
Seguridad se
dividen en 3:
Inseguridad de
La Informacin
Norma
ISO/27001
Beneficios
ISO/IEC
27001:2013
Casos de xito en la
implementacin de ISO/27001
Norma ISO/27002
Actividad 1:
4.- Software
4.- Software
4.- Software
4.- Software
Con el crecimiento de Internet, y otras aplicaciones sobre
redes, como el comercio electrnico, correo electrnico, etc.,
la posibilidad de ataques se ha incrementado notablemente,
como tambin lo han hecho las consecuencias negativas de
estos ataques.
En la actualidad prcticamente todo sistema debe incorporar
cuestiones de seguridad para defenderse de ataques
maliciosos. El desarrollador ya no slo debe concentrarse
nicamente en los usuarios y sus requerimientos, sino
tambin en los posibles atacantes.
Rebeca Eugenia Aguilar Durn
4.- Software
Seguridad en el Anlisis de Requerimientos: Tipo de
informacin que se transmitir o procesar (ejemplo
informacin pblica o confidencial, datos personales,
datos financieros, contraseas, etc.)
Seguridad en Ingeniera
de Software
4.- Software
A1 Injection: Corresponde a las inyeccin de cdigo,
siendo las inyecciones SQL una de las ms comunes.
A2 Broken Authentication and Session Management
(anteriormente A3): Corresponde al mal manejo de las
sesiones en aquellas aplicaciones que utilizan
autenticacin.
A3 Cross-Site Scripting (XSS) (anteriormente A2):
Ocurre cuando existe validacin pobre de la
informacin ingresada por el atacante.
Rebeca Eugenia Aguilar Durn
4.- Software
A4 Insecure Direct Object References: Puede derivar
en un acceso no autorizado a informacin crtica debido
a errores en el diseo o desarrollo.
A5 Security Misconfiguration (anteriormente A6):
Corresponde a configuraciones no adecuadas que
pueden impactar en la seguridad de la propia
aplicacin.
4.- Software
A6 Sensitive Data Exposure: Se refiere a la proteccin
incorrecta de datos crticos tales como, por ejemplo,
nmeros de tarjetas de crdito, contraseas, entre
otros.
A7 Missing Function Level Access Control:
Corresponde a la falta de controles desde el servidor,
permitiendo a un posible atacante acceder a funciones
a las que no debera.
A8
Cross-Site
Request
Forgery
(CSRF)
(anteriormente A5): Permite a un atacante generar
peticiones sobre una aplicacin vulnerable a partir de la
sesin de la vctima.
Rebeca Eugenia Aguilar Durn
4.- Software
A9
Using
Known
Vulnerable
Components
(anteriormente formaba parte de A6): Corresponde a
la explotacin de libreras, frameworks y otros
componentes vulnerables por parte de un atacante con
el fin de obtener acceso o combinar con otros ataques.
A10 Unvalidated Redirects and Forwards: Los
atacantes aprovechan el uso de redirecciones de sitios
web a otros sitios utilizando informacin no confiable
(untrusted) para redirigir a las vctimas a sitios de
phising o que contienen malware.
Rebeca Eugenia Aguilar Durn
4.- Software
Actividad No. 2
Seguridad fsica en Centros de Cmputo
Seguridad Lgica en Centros de Cmputo
Seguridad Fsica
Seguridad Lgica
Seguridad Fsica
Controles de Condiciones
Ambientales
Desastres naturales y
Ataques intencionados
Cdigo ptico
Banda magntica
Huella digital
Reconocimiento de voz
Video vigilancia
Aires acondicionados en site.
Pisos falsos y techos falsos
para el paso del cableado.
Puertas de seguridad.
Acceso controlado en site.
Respaldos de informacin
Candados en CPUs
Actividad No. 3
Describir el funcionamiento de una
herramienta
para
verificacin
de
sistemas
(mostrar
pantallas,
funcionamiento prinicpal, descripcin de
algunas opciones).
10.- Autenticacin.
Actividad 3 de la Plataforma
Elegir un sistema operativo (SO)
Con base a ese SO describir lo siguiente:
1. Definicin de Roles (usuario, grupo, propietario, etc.)
2. Procedimiento para creacin de usuarios y roles
Herramientas o interfaces
Mtodo(s) de proteccin de contraseas
3. Control de polticas de usuario, permisos y restricciones
A nivel de sistema operativo
A nivel de aplicaciones
A nivel de red
Elabora un cuadro comparativo sobre tipos de ataques comunes conocidos a
nivel de usuario y de red.
Finalmente, concluye argumentando la importancia de disear un esquema de
usuarios y roles adecuado para cualquier sistema.
Rebeca Eugenia Aguilar Durn
Actividad 3 de la Plataforma
Contenido del trabajo a entregar: