Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
AUTOR: ANGEL ALBERTO VARÓN QUIMBAYO SEGURIDAD EN DESARROLLO DE SOFTWARE ÍN D IC E Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 Seguridad en desarrollo de Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 Arquitecturas de Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5 Análisis de riesgos en la arquitectura . . . . . . . . . . . . . . . . . . . . . . . . . . .8 Seguridad basada en riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9 Políticas de seguridad informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16 Operaciones de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 IN TR O D U C C IÓ N Introducción Una aplicación Web es una herramienta totalmente funcional, que se codifica en un lenguaje soportado por los navegadores, para brindar seguridad a las aplicaciones Web, es necesario una cantidad de conoci- miento específico en relación a los lenguajes de programación, también es importante conocer algunas técnicas innovadoras, por ejemplo, para no tener que recargar la página se emplea tecnología AJAX, la utilización de applets, Arquitecturas de Software, Análisis de riesgos en la arquitectura, Seguridad basada en riesgos, Requerimientos de seguridad y Operaciones de seguridad más el uso de tecnología Web dinámica en general, múltiples plataformas de desarrollo para programar de manera correcta, ofrecer una compatibilidad en todos los navegadores disponibles, sistemas operativos y demás factores que son importantes a la hora de desarrollar una aplicación Web . Los avances tecnológicos vienen acompañados no solo de la habitual manera de delinquir sino también de nuevas formas de delitos, pero en sí un delito informático o ciberdelito implica cualquier acto ilegal como: robo, estafa, fraude, perjuicio, falsificación o sabotaje . es por ello que se deben tener sólidos conocimiento que ayuden a responder: ¿Por qué es tan impor- tante conocer e identificar las características de los delitos informáticos? Seguridad en desarrollo de Software 5Seguridad en aplicaciones - eje 2 analicemos la situación Todas las organizaciones hoy día se ven expuestas a sufrir ataques cada vez más perfeccionados apuntando a los sistemas de información, inclusive a los servicios disponibles en internet, por eso, se hace necesario realizar un test de autoevalua- ción para revisar si la organización está capacitada para recibir este tipo de ata- ques, las preguntas que debemos hacer son las siguientes: 1 . ¿La organización realmente está lo suficientemente preparada en sus sistemas de información para obsta- culizar este tipo de ataques? 2 . ¿La organización cuenta con prue- bas efectivas para evaluar dentro de su organización, la capacidad real para enfrentar cualquier tipo de ata- que externo? 3 . ¿la organización cuenta con las su- ficientes medidas técnicas apropia- das para mitigar ataques externos? 4 . ¿La organización cuenta con los re- cursos apropiados y suficientes para hacerles frente? Es claro que todo tipo de organización, sin importar su tamaño, debe aplicar ciber-resiliencia, es un término nuevo que consiste en utilizar técnicas para la admi- nistración de amenazas en la red para proteger y defender el uso del ciberespa- cio, para poder estar preparadas para dar respuestas ágiles a este tipo de amenazas para que los servicios ofertados no sean interrumpidos . Esto permite robustecer las capacidades de: identificación, detección, prevención, contención, recuperación, cooperación y mejora continua contra las ciberamena- zas . Es necesario aclarar que esta no es la solución para eliminar del todo la amenaza, pero impide que nuestra información sufra daños caóticos . Se recomienda realizar un análisis de hacking ético en los sistemas de informa- ción, ya que con este podemos identificar las fallas en la parte de seguridad informá- tica, con este diagnóstico podemos imple- mentar técnicas suficientes para reducir las vulnerabilidades de la organización y de esta forma poder mitigar ataques sin comprometer los activos . Video Se recomienda ver el siguiente video: Requerimientos de seguridad https://vimeo .com/240860937 Arquitecturas de Software Es un conjunto de modelos que dirigen el diseño de un programa, estableciendo: el sistema, la funcionalidad e interrela- ción entre todas las partes del software; guiando a programadores, analistas y todo el grupo de desarrolladores del programa a participar en una misma dirección, abar- cando todos los objetivos y obstáculos de las aplicaciones, permitiendo el intercam- bio de conocimientos y razones entre ellos . La mayor característica de la arquitectura del software es la responsabilidad para admitir o no propiedades de calidad del sistema donde predominan la confiabilidad y la utilidad del software . 6Seguridad en aplicaciones - eje 2 analicemos la situación La arquitectura del software nos proporciona una visión del sistema a construir, surgen entonces: • Los tipos de arquitectura . • Los modelos . • Los factores . • Las interacciones . • Los atributos de calidad . Tipos de arquitectura: • Arquitectura monolítica: establecida por un solo programa formado por un grupo de prácticas ligadas de manera que cada una pueda designar a otra cualquiera (este tipo se aplicó para los primeros sistemas operativos) . Figura 1 . Arquitectura N-Capas Fuente: https://bit .ly/2Js6ELE 7Seguridad en aplicaciones - eje 2 analicemos la situación • Arquitectura cliente-servidor: el sof- tware divide su trabajo en dos partes los proveedores de recursos (servido- res), y los clientes (sin función espe- cífica) . • Arquitectura de capas: es una arqui- tectura cliente-servidor cuyo objeti- vo es apartar la lógica de negocios de la lógica de diseño . Los modelos: • Modelos estructurales: expone la ar- quitectura como una serie organiza- da de componentes . • Modelos de procesos: se orientan en el diseño de los procesos del negocio que el sistema debe sostener . • Modelos frameworks: reconoce pa- trones de diseño arquitectónico re- incidentes en aplicaciones similares . • Modelos funcionales: se pueden usar para interpretar la jerarquía funcio- nal del sistema . • Modelos dinámicos: evidencian las actitudes de conducta dinámica de la arquitectura mostrando cómo la configuración del sistema puede modificarse en función de eventos externos . Los factores: • Clientes y servidores . • Bases de datos . • Filtros . • Niveles en sistemas jerárquicos . Las interacciones: • Llamadas a procedimientos . • Comportamiento de variables . • Protocolos cliente-servidor . • Transmisión asíncrona de eventos Los atributos de calidad: • Desempeño . • Usabilidad . • Modificabilidad . La arquitectura de software dirige el desarrollo y los diseños arquitectónicos que se crean en una organización, los cuales se reutilizan para crear sistemas diferentes, esto posibilita minimizar costos e incre- mentar la calidad, la forma en que se orga- niza el sistema y su ciclo de desarrollo hará posible o no que se satisfagan los atributos de calidad, conformado por fases como: • Fase de requerimiento: induce a la documentación, captura y la prima- cía de requerimientos que se proyec- tan en la arquitectura, siendo desta- cados los atributos de calidad dentro de estos, además encontramos re- querimientos funcionales primarios y las restricciones siendo destacados también en la arquitectura. • Fase de diseño: esta es la fase cen- tral y la más elemental pues en ella se determina el sistema que se ha de basar en patrones de diseño e inte- gra todo aquello que abarca la ar- quitectura para complacer requeri- mientos que influyen en ella . 8Seguridad en aplicaciones - eje 2 analicemos la situación • Fase de documentación: una vez he- cho el diseño se ha de documentar apropiadamente para poder comu- nicarlo a las otras partes implicadas dentro del desarrollo, la documen- tación de la arquitectura incluye funciones que son interpretadas en varias vistas conformadas de diagra- mas e información complementaria que ayuda a interpretar el diseño; el éxito en esta fase dependerá en gran parte de cómo se documente del di- seño . • Fase de evaluación: una vez docu- mentado el diseño se evalúa para determinar problemas y riesgos, la mayor ventaja en esta fase es que se hace con antelación minimizan- do costos en la rectificación de fallas aún antes de codificar el diseño . Estas fases necesitan de habilidades par- ticulares por eso el arquitecto como líder técnico ha de dominarlas y poseer gran conocimiento y agilidad en la comunicación referente al diseño, de lo contrario tendrá consecuencias negativas todo el desarrollo de la arquitectura de software . Análisis de riesgos en la arquitectura Es el conjunto de procedimientos de: evaluación, recopilación, inspección, regis- tro y divulgación de datos necesarios para hacer sugerencias y así adoptar medidas para las amenazas presentadas, en la valo- ración de datos se plantean dos aspectos básicos: los activos que corren peligro en especial datos clasificados y cuáles serían los efectos si sus debilidades reconocidas fueran explotadas con éxito, se contempla que el análisis de riesgo se basa en cuatro ciclos: 1 . Identificación del riesgo . 2 . Evaluación del riesgo . 3 . Gestión del riesgo . 4 . Comunicación del riesgo . El análisis de riesgo se usa como meca- nismo de gestión y de seguridad para reconocer y examinar riesgos cualitativos y cuantitativos donde el arquitecto deberá hacer un apropiado balance de elementos y servicios de protección, donde tendrá en cuenta una normatividad que sea adap- table a la organización, para mitigar los riesgos . El mencionado análisis de riesgo debe hacerse permanentemente para que se mantenga actualizado para afrontar cambios, y dar garantía de que el riesgo se mantenga dentro de unos límites y un coste admisible . La mayor ventaja que se presenta por medio del análisis de riesgo es que aumenta la reflexión en materia de seguridad que debe estar presente en todos los niveles de la organización desde el más alto nivel de gestión hasta el personal subalterno y de operaciones . El resultado del proceso de gestión del riesgo puede facilitar detalles importantes a incluir en la documentación de seguri- dad requerida en concreto en el plan de protección . Dado cualquier caso, en la mente de todo responsable de seguridad debe existir siempre una concepción del riesgo y tratar de identificar en todo momento las posi- bles amenazas y debilidades que se puedan padecer, de forma que el diseño de la pro- tección a aplicar permita hacerles frente y minimizarlas . 9Seguridad en aplicaciones - eje 2 analicemos la situación Seguridad basada en riesgos La seguridad basada en riesgos facilita las pruebas del software y proporciona a las organizaciones a realizar un enfoque impetuoso en él y en las tareas de negocio que sostiene, no solo para darle una utilidad, sino, para dar garantía sobre las evidencias, sobresaliendo las fallas cuando éste está en uso, con este enfoque, tendrá un mejor resul- tado, si se tiene un mayor conocimiento de la información que se va a diseñar, procesar y almacenar en el software a partir de una evaluación de riesgos, para así tener claridad en las debilidades y posibles amenazas del software y el ámbito donde se utilizará, selec- cionando las alternativas y soluciones adecuadas a tiempo . La seguridad basada en riesgos abarca este proceso según la norma ISO 31000 que contempla básicamente el proceso de gestión de riesgos tiene tres etapas: Estableci- miento del contexto, evaluación de riesgos y tratamiento de los mismos . A su vez, la eva- luación de los riesgos está constituida en forma progresiva por la Identificación, análisis, y evaluación de riesgos . Un verdadero pilar de la norma es establecer el contexto en el que opera la organización . Concretamente se trata de establecer tanto el contexto interno como externo, es decir, los entornos correspondientes en los que la organización busca alcanzar sus objetivos, así como también establecer el proceso para la gestión de riesgos, y la definición de los criterios de evaluación de los mismos . Figura 2 . Análisis de riesgos Fuente: propia 10Seguridad en aplicaciones - eje 2 analicemos la situación Algunos de estos parámetros son simi- lares a los que se consideran en la fase de Diseño del Marco de Trabajo, pero en esta etapa hay que considerarlas en mayor detalle en referencia el Proceso de gestión de riesgos . Por su parte, en el paso de selección de opciones de tratamiento de los riesgos, la norma da una lista de opciones apli- cables en forma individual o concurrente en dicho tratamiento, que se muestran a continuación: • Evitar el riesgo decidiendo no co- menzar o continuar con la actividad que da lugar al riesgo en cuestión . • Aceptar o incrementar el riesgo con el objeto de concretar una oportuni- dad . • Remover la fuente de riesgo . • Cambiar la probabilidad . • Cambiar las consecuencias (impac- tos) . • Compartir el riesgo con terceros (in- cluyendo contratos y financiamiento del riesgo) . • Retener el riesgo por decisión propia . El proceso de Gestión de Riesgos final- mente se cierra con la interconexión de todas las etapas mencionadas con la comunicación y consultas, por un lado, y el monitoreo y revisión por el otro . Como puede observarse, hay gran simili- tud con los procesos de la ISO 27005, desde que esta norma en su última versión se adaptó precisamente a la ISO 31000 . La meta de una organización debe pro- curar un nivel adecuado de desempeño del marco de trabajo, conforme la criticidad de las decisiones correspondientes . La norma responde a esto con un Anexo referido a los atributos que caracterizan una gestión avanzada de riesgos, a partir de metas explícitas de desempeño . Estos atributos son los que siguen: • Mejora continua . • Rendición de cuentas . • Aplicación de la gestión de riesgos en la toma de decisiones . • Comunicación permanente . Figura 3 . Norma ISO 31000 . Fuente: https://bit .ly/2SuCmfr 11Seguridad en aplicaciones - eje 2 analicemos la situación Framework (marco de trabajo) es un esquema o patrón para el desarrollo o la imple- mentación de aplicaciones, no necesariamente están direccionados a un lenguaje con- creto, existe una normativa mundial aprobada para la administración y gestión de riesgo, esta norma es la ISO 31000 (2009) que presenta a las organizaciones varios principios y reglas para que los gerentes dirijan y conduzcan a usar una gestión de riesgos apta y segura, esta norma se estructura así: Figura 4 . Framework para la gestión de riesgos Fuente: https://seguinfo .files .wordpress .com/2013/07/riesgos_gestion_tbl1_gr .jpg 12Seguridad en aplicaciones - eje 2 analicemos la situación Lectura recomendada • Marco de trabajo o framework: don- de se compromete la dirección, pla- nificación, políticas, cultura y esti- mación de la empresa para que la gestión de riesgo sea satisfactoria . • Principios de gestión de riesgo: los cuales determinan cómo ha de ser la gestión, cuál es su importancia y la necesidad de que esta gestión mejo- re las tácticas, recalcando la impor- tancia de la comunicación e infor- mación en torno al riesgo . • Proceso de gestión: para una exce- lente gestión de riesgo la norma ISO 31000 establece 3 etapas: - La comunicacióny consulta: para instaurar el ambiente y calificar los riesgos . - La evaluación de riesgos: para identificar riesgos estudiarlos y ca- lificarlos objetivamente . - La monitorización y revisión: aquí se lleva a cabo el rastreo y la ob- servación continúa para revelar riesgos posibles e inspeccionarlos por medio de intervenciones ap- tas . Basarse en un sistema de gestión de riesgo fundamentado en la ISO 31000 ayuda a la empresa a mejorar en: • Ampliar alternativas para lograr ob- jetivos empresariales . • Fortalecer la toma de decisiones . • Fortalecer la seguridad, el control y la prevención de riesgos . • Fomentar confianza de las partes in- teresadas . • Impulsar procesos de comunicación . • Desarrollo en los procesos de gestión . • Mejora la eficacia y eficiencia en las operaciones . Se invita al estudiante a realizar la siguiente lectura: Norma ISO 31000 de Riesgos Corporativos Ormella, C . 13Seguridad en aplicaciones - eje 2 analicemos la situación Figura 5 . Delitos informáticos . Fuente: https://www .cloudseguro .co/infografias/la-realidad-de-los-delitos-informaticos-en-colombia/ 14Seguridad en aplicaciones - eje 2 analicemos la situación Los avances tecnológicos vienen acom- pañados no solo de la habitual manera de delinquir sino también de nuevas formas de delitos, pero en sí un delito informático o ciberdelito implica cualquier acto ilegal como: robo, estafa, fraude, perjuicio, falsi- ficación o sabotaje . En una actividad informática delictiva se encuentran dos tipos de actores: el sujeto activo que comete un delito informático y el sujeto pasivo que no es otro más que la víctima . Por eso en Colombia se estableció la Ley 1273 de enero de 2009 por medio de la cual se modifica el código penal y se crea un bien jurídico denominado “de la protección social de la información y de los datos” con penas de prisión que van desde los 48 hasta 120 meses y multas de hasta 1500 salarios mínimos legales mensuales vigentes a ciberdelincuentes, con esta ley se preservan integralmente los sistemas que usen las tecnologías de la información y las comunicaciones, entre otras disposiciones . Los delincuentes que cometan ilícitos, y sin estar autorizados: desarrollen, diseñen, ejecuten, vendan, trafiquen, programen o envíen páginas electrónicas enlaces o ven- tanas emergentes, serán sancionados y en esa misma sanción incurrirá el que modi- fique el sistema de resolución de nombres de dominio, es decir; que haga ingresar al usuario a una IP diferente creyendo que está teniendo acceso a su banco o a un sitio de confianza o personal . La informática y las redes integran cier- tas cualidades que las tornan un medio ideal para aplicar delitos nuevos, de hecho, los medios en que nos estamos moviendo y usando han traído consigo al crimen organizado y organizaciones terroristas a nivel internacional para cometer actos delictivos, como: estafas, entre muchos otros tipos de delitos, con ellos también ha aparecido leyes y la lucha se ha masificado a nivel mundial . Dentro de las principales características de los delitos informáticos encontramos: • Son delitos difíciles de demostrar, es complicado encontrar pruebas . • Son conductas criminales de cuello blanco, porque son un determina- do número de personas con conoci- mientos técnicos los que las come- ten . • Son acciones de oportunidad ya que se aprovechan las funciones y orga- nizaciones de sistema tecnológico y económico . • Son tendientes a evolucionar lo que complica su identificación y el ras- treo . • Son acciones ocupacionales; es decir que la mayoría se cometen cuando la persona está laborando . • Son muchos los casos y pocas las de- nuncias . • No hay presencia física . • Provocan pérdidas la mayoría de ellas económicas . La ONU (Organización de las Naciones Unidas) determina tres tipos de delitos informáticos: • Daños o modificaciones de progra- mas o datos . 15Seguridad en aplicaciones - eje 2 analicemos la situación Instrucción • Manipulación de datos de entrada . • Estafa cometida por medio de la manipulación de computadora . También encontramos otros tipos de delitos informáticos como: • Robo de identidad, red, correo, etc . • Corrupción de ficheros . • Borrado fraudulento de datos, disco duro . • Conexión a red no autorizada . • Invasión de privacidad . • Estafas de Phishing . • Fugas de información . • Virus, spyware, keyloger . • Acoso en línea . • Formateo, abandono de funciones . • Web pornográfica, pornografía infantil . • Espionaje informático . • Piratería . Se invita al estudiante a realizar la actividad de aprendizaje: prueba objetiva 16Seguridad en aplicaciones - eje 2 analicemos la situación Políticas de seguridad informática Figura 6 . Esquema de las políticas de seguridad informática Fuente: https://bit .ly/2P0yQeS Las políticas de seguridad informática (PSI) establecen medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas que inte- ractúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de cómputo de las organizaciones . Tales políticas deben contener visiblemente las prácticas que serán tomadas por la organización, que han de ser verificadas y llegado el caso actualizadas constantemente, pues esta es una práctica para describir lo que queremos proteger y el por qué adoptarlas . La elaboración de las Políticas de Seguridad está fundada bajo la norma ISO/IEC 17799, han sido planteadas, analizadas y revisadas con el fin de no contravenir con las garan- tías básicas de los usuarios, muestra la manera de operar los sistemas con seguridad, respetando en todo momento estatutos y reglamentos internos de las organizaciones . Sus objetivos estiman actividades dirigidas a cumplir metas reales, alcanzables y acce- sibles, el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de apoyo para desarrollar los procesos concretos de seguridad . Después de implantar una política de seguridad los objetivos son: • Establecer un esquema y mecanismos de seguridad claros . • Comprometer al personal con el proceso de seguridad, agilizando la aplicación de los controles . • Que la prestación del servicio de seguridad gane en calidad . • Que los empleados se conviertan en interventores del sistema de seguridad . 17Seguridad en aplicaciones - eje 2 analicemos la situación A partir de las políticas se podrá comenzar a desarrollar las normas y luego los proce- dimientos de seguridad que serán la guía para la realización de las actividades . Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y seguir con ciertas medidas como lo son: • Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados . • Un procedimiento para administrar las actualizaciones . • Una estrategia de realización de copias de seguridad planificada adecuadamente . • Un plan de recuperación luego de un altercado . • Un sistema documentado actualizado . Los mecanismos de seguridad se dividen en tres grupos: • Prevención . • Detección . • Recuperación . Existen ciertos principios fundamentales de las políticas de seguridad como lo son: • Responsabilidad individual . • Autorización . • Clasificación de obligaciones . • Auditoría y redundancia . • Privilegio mínimo . Las PSI (Políticas de Seguridad Informática) han de considerar los siguientes componentes • Alcance de políticas . • Objetivos de la política y una clara descripción . • Responsabilidades de usuarios . 18Seguridad en aplicaciones - eje 2 analicemos la situación • Responsabilidades de recursos informáticos y servicios . • Requerimientos mínimos de configuración . • Definición de violaciones . Video Se recomienda ver el siguiente video: Seguridad en aplicaciones https://vimeo.com/240863797 Se invita al estudiante a revisar el recurso de aprendizaje: videoresumen Operaciones de seguridad Figura 7 . Operaciones de seguridad . Fuente: https://qanewsblog .files .wordpress .com/2013/04/fig5 .png Las organizaciones deben contar con un área destinada a la seguridad de los sistemas de información ya que las operaciones de seguridad informática, corresponden al área y debe estar liderada por el CISO (Chief Information Segurity Officer) jefe de seguridad informática . 19Seguridad en aplicaciones - eje 2 analicemos la situación Esta área se compone de diferentes personas cumpliendo cada una un rol y se deter- mina que la composición ideal para el área de seguridad informática es la siguiente: Figura 8 . Jerarquía Fuente: Propia Descripción de cada uno de los roles que conforman el área de seguridad informática: • CIO Jefe de seguridad informática: responsable de administrar y gestionar el área de sistemas es el responsable de la seguridad informática • ABM usuarios: se dedica a otorgar permisos, dar de baja, modificar usuarios y password dentro de los sistemas operativos, y aplicaciones de toda la Empresa . • Revisión, evaluación y mantenimiento: se dedica a revisar la seguridad informática de la red de la organización, de los sistemas que se están utilizando, se encarga de realizar pruebas de productos de seguridad informática y del mantenimiento de la seguridad informática activa en todos los sectores . • Participación en proyectos: esta parte se dedica a participar en todos los proyec- tos de informática en la empresa, (Implementación de sistemas, hardware, redes y telecomunicaciones etc .,) para que desde el principio los mismos se implementen los mecanismos de seguridad necesarios . Esta área debe contar con unas condiciones especiales del recurso humano que se debe determinar por dos aspectos: • Confiable • Experticia y conocimientos técnicos Lectura recomendada Se invita al estudiante a realizar la siguiente lectura: Hacia un modelo para la gestión de riesgos de TI en MiPyMEs: MOGRIT Vanegas, G ., y Pardo, C . 20Seguridad en aplicaciones - eje 2 analicemos la situación La principal función del departamento de seguridad informática consiste en pro- teger la organización de agresiones a los sistemas que puedan poner en riesgo la funcionalidad normal de la misma . El CIO es el encargado de liderar todas las operaciones relacionadas con la seguridad de la información y es el directo responsa- ble de proveer seguridad de la misma, por eso debe organizar todas las actividades relacionadas con la seguridad y reportar al CEO las anomalías que se presenten . Las principales funciones del área de seguridad informática son: • Brindar seguridad a los sistemas in- formáticos de la organización para contrarrestar las posibles amenazas . • Implementación, configuración y operación de los controles de segu- ridad informática (Firewalls, IPS/IDS, antimalware, etc .) . • Crear, socializar, actualizar y velar para que se apliquen las políticas y estándares de seguridad de la infor- mación . • Gestionar los proyectos informáti- cos . • Proteger los usuarios . • Diseño y programación de contro- les de seguridad (control de acceso, funciones criptográficas, filtros, bi- tácoras de seguridad de aplicativos, etc .) • Administrar el recurso humano del área . • Desarrollar e implementar el Plan de seguridad y monitorear los indicado- res de controles de seguridad . • Detectar las necesidades y vulnera- bilidades de seguridad desde el pun- to de vista de la organización y la so- lución a implementar . • Asegurarse de que los aspectos rela- cionados con la seguridad se tengan en cuenta cuando se seleccionen los contratistas . • Monitorear diariamente la imple- mentación y el uso de los mecanis- mos de seguridad de la información . • Coordinar investigaciones de inci- dentes de seguridad informática . • Revisar los logs de auditoría y siste- mas de detección de intrusiones . • Participar en los proyectos informá- ticos de la empresa agregando to- das las consideraciones de seguridad informática . • Administrar los recursos financieros destinados a seguridad informática . • Primer nivel de respuesta ante inci- dentes (típicamente a través de ac- ciones en los controles de seguridad que operan) . • Modificación de accesos a sistemas y aplicaciones . • Integración con el gobierno corpora- tivo de la organización . 21Seguridad en aplicaciones - eje 2 analicemos la situación Adicionalmente, el anexo proporciona algunos indicadores para medir el desempeño de cada uno de los dichos atributos, con dichos indicadores y metas se puede incluso trabajar con el cuadro de mando integral, definiendo los objetivos e iniciativas correspondientes para lograr cumplir las respectivas metas . Cierre: La información resulta ser unos de los insumos de mayor valor en las organizaciones, por tal motivo, es lógico que se inviertan grandes cantidades de recursos en su resguardo, garantizando de igual forma confidencialidad, integridad y disponibilidad para la infor- mación, por tanto, es necesario adquirir aplicaciones que permitan gestionar la seguridad de los recursos de TI, complementándose con el adecuado diseño e implementación de políticas de seguridad . Video Se recomienda ver el siguiente video: Seguridad en aplicaciones https://vimeo .com/240862532 Instrucción Ahora se invita al estudiante a realizar la actividad evaluativa . B IB LI O G R A FÍ A Bibliografía Angarita, A ., Tabares, C ., y Ríos, J . (2015) . Definición de un modelo de medición de análisis de riesgos de la seguridad de la información aplicando lógica difusa y sistemas basados en el conocimiento . Recuperado de http://biblioteca .ucp .edu .co/OJS/index .php/entrecei/ article/viewFile/2475/3349#page=71 Andrade, R . (2015) . Diseño y dimensionamiento de un equipo de un equipo de respuesta ante incidentes de seguridad informática (CSIRT) . Caso de estudio: ESPE . Gómez, R ., Perez, D ., Donoso, Y ., y Herrera, A . (2015) . Metodología y gobierno de la gestión de riesgos de tecnologías de la información . Recuperado de http://www .redalyc .org/html/1210/121015012006/ ISO . (2009) . Norma ISO 31000 . Recuperado de http://www .criptored . upm .es/descarga/ISO_31000_riesgos_corporativos .pdf Miranda, M ., Valdés, O ., Pérez, I ., Portelles, M ., y Sánchez, R . (2016) . Metodología para la Implementación de la Gestión Automatizada de Controles de Seguridad Informática. Recuperado de http://scielo .sld .cu/ scielo .php?pid=S2227-18992016000200002&script=sci_arttext&tlng=en Sadvisor . (2016) . Con que vulnerabilidades nos estamos encontrando . Recuperado 2018 de http://www .sadvisor .com/2016/10/21/con-que- vulnerabilidades-nos-estamos-encontrando/ Vanegas, G ., y Pardo, C . (2014) . Hacia un modelo para la gestión de riesgos de TI en MiPyMEs: MOGRIT . Recuperado de http://www .redalyc . org/pdf/4115/411534000003 .pdf http://biblioteca.ucp.edu.co/OJS/index.php/entrecei/article/viewFile/2475/3349#page=71 http://biblioteca.ucp.edu.co/OJS/index.php/entrecei/article/viewFile/2475/3349#page=71 http://www.redalyc.org/html/1210/121015012006/ http://www.criptored.upm.es/descarga/ISO_31000_riesgos_corporativos.pdf http://www.criptored.upm.es/descarga/ISO_31000_riesgos_corporativos.pdf http://scielo.sld.cu/scielo.php?pid=S2227-18992016000200002&script=sci_arttext&tlng=en http://scielo.sld.cu/scielo.php?pid=S2227-18992016000200002&script=sci_arttext&tlng=en http://www.sadvisor.com/2016/10/21/con-que-vulnerabilidades-nos-estamos-encontrando/ http://www.sadvisor.com/2016/10/21/con-que-vulnerabilidades-nos-estamos-encontrando/ http://www.redalyc.org/pdf/4115/411534000003.pdf http://www.redalyc.org/pdf/4115/411534000003.pdf www.usanmarcos.ac.cr San José, Costa Rica Introducción Seguridad en desarrollo de Software Arquitecturas de Software Análisis de riesgos en la arquitectura Seguridad basada en riesgos Políticas de seguridad informáticaOperaciones de seguridad Bibliografía _GoBack _gjdgxs
Compartir