Seguridad en sitios web

43,101 views

Published on

Published in: Education
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
43,101
On SlideShare
0
From Embeds
0
Number of Embeds
86
Actions
Shares
0
Downloads
1,224
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Seguridad en sitios web

  1. 1. SEGURIDAD EN SITIOS WEB<br />Integrantes:<br />Mary Bermeo<br />Michael Freire<br />Santiago Medina <br />
  2. 2. La seguridad es un elemento de primer nivel que entra en juego desde la concepción inicial de un sistema y participa desde un principio en las decisiones de diseño.<br />Los requisitos de seguridad deben considerarse explícitamente durante todo el proceso de desarrollo, lo que da lugar a la inclusión de fases o actividad dedicadas a la seguridad<br />INTRODUCCIÓN <br />
  3. 3. Su objetivo principal es mantener las tres características primordiales de la información: <br />Confidencialidad<br />Integridad <br />Disponibilidad <br />Las medidas de seguridad suelen centrarse principalmente en la eliminación o reducción de las vulnerabilidades del sistema<br />Seguridad en las tecnologías de la información <br />
  4. 4. Atendiendo a la forma de actuación, las medidas de seguridad pueden ser:<br />De Prevención<br />De Detención <br />De Corrección<br />Las principales medidas de seguridad aplicadas al ámbito de desarrollo son la de carácter preventivo en particular de tipo técnico/admistrativo .<br />Seguridad en las tecnologías de la información <br />
  5. 5. Entre las medias de seguridad de carácter técnico se encuentran: <br /><ul><li>Identificación y autenticación de usuarios.
  6. 6. Control de accesos.
  7. 7. Control de flujo en la información.
  8. 8. Confidencialidad.
  9. 9. Integridad.
  10. 10. No repudio.
  11. 11. Notorización .
  12. 12. Auditoria.</li></ul>SEGURIDAD EN LAS TECNOLOGÍAS DE LA INFORMACIÓN <br />
  13. 13. Entre las medidas administrativas tenemos los siguientes mecanismos de protección:<br /><ul><li>Autenticación
  14. 14. Control de acceso
  15. 15. Cifrado de datos
  16. 16. Funciones de resumen
  17. 17. Firma digital
  18. 18. Registro de auditoria </li></ul>SEGURIDAD EN LAS TECNOLOGÍAS DE LA INFORMACIÓN <br />
  19. 19. Se debe diferenciar las políticas de los mecanismos de seguridad. Las políticas definen qué hay que hacer (qué datos y recursos deben protegerse de quién; es un problema de administración).<br />Los mecanismos determinan cómo hay que hacerlo. Esta separación es importante en términos de flexibilidad, puesto que las políticas pueden variar en el tiempo y de una organización a otra. <br />DISEÑO DE POLÍTICAS DE SEGURIDAD<br />
  20. 20. Se dice que un sistema es confiable con respecto a una determina política de seguridad si ofrecen mecanismos de protección capases de cumplir con los requisitos de seguridad impuestos por dicha política.<br />DISEÑO DE POLÍTICAS DE SEGURIDAD<br />
  21. 21. La experiencia en el desarrollo de mecanismos de seguridad relacionado con el control de acceso a dado lugar a los siguientes criterios de diseño:<br /><ul><li>Abstracción de datos.
  22. 22. Privilegios mínimos.
  23. 23. Separación de privilegios.
  24. 24. Separación de administración y acceso.
  25. 25. Autorizaciones positivas y negativas.
  26. 26. Delegación de privilegios.</li></ul>PRINCIPIOS DE DISEÑO <br />
  27. 27. <ul><li>Transacciones bien formadas.
  28. 28. Autenticación.
  29. 29. Compartición mínima.
  30. 30. Diseño abierto.
  31. 31. Exigencias de permiso.
  32. 32. Intermediación completa.
  33. 33. Mecanismos económicos.
  34. 34. Sencillez de uso.
  35. 35. Aceptabilidad.</li></ul>PRINCIPIOS DE DISEÑO <br />
  36. 36. Es un mecanismo abstracto que permite poner en practica una determinada política e seguridad. En relación con el control de acceso tenemos los siguientes estándares: <br />MAC (Mandatory Access Control)<br />DAC (Discretionary Access Control) <br />Una alternativa a estos modelos es el control de acceso basado en roles (RBAC)<br />MODELOS DE SEGURIDAD<br />
  37. 37. MAC es un sistema centralizado, en el cual las decisiones de seguridad no recaen en el propietario de un objeto y es el sistema el que fuerza el cumplimiento de las políticas por encima de las decisiones de los sujetos, además de permitir una granularidad y control mayores. <br />Desde el punto de vista de la seguridad, MAC es más completo que DAC<br />ESTÁNDAR MAC<br />
  38. 38. Es una forma de acceso a recursos basada en los propietarios y grupos a los que pertenece un objeto. Se dice que es discrecional en el sentido de que un sujeto puede transmitir sus permisos a otro sujeto. <br />La mayoría de sistemas Linux ahora mismo usan este tipo de acceso, estando los permisos orquestados por grupos y usuarios, pudiendo un usuario normal cambiar los permisos de los archivos que posee con el comando chmod.<br />ESTÁNDAR DAC<br />
  39. 39. Trata de definir los permisos basándose en los roles establecidos en la organización, para luego asociar adecuadamente a los usuarios con los roles que tengan derecho a ejercer.<br />Se dice que RBAC es neutral con respecto a la política, ya que permite modelar otros modelos previos, que han demostrado limitaciones, como son DAC y MAC. <br />ESTÁNDAR RBAC<br />
  40. 40. Este estándar fue aceptado por ANSI y publicado en febrero de 2004 bajo el código ANSI INCITS 359-2004.<br />Tiene dos grandes bloques:<br />El modelo de referencia RBAC: describe sus elementos y sus relaciones. <br />Especificaciones funcionales administrativas y del sistema RBAC: define las características requeridas para un sistema RBAC<br />ESTÁNDAR RBAC<br />
  41. 41. El modelo de referencia RBAC se define en términos de tres componentes:<br />Núcleo de RBAC: recoge los elementos mínimos, roles, usuarios, permisos, sesiones.<br />RBAC Jerárquico: añade relaciones para soportar jerarquía de errores.<br />RBAC con restricciones: ofrece un mecanismo que da soporte al principio de separación de privilegio, la cual pude ser estática o dinámica.<br />ESTÁNDAR RBAC<br />
  42. 42. <ul><li>ISO 9126-1
  43. 43. Calidad de uso
  44. 44. Seguridad</li></ul>Formas de diagnostico de seguridad.<br /><ul><li>Evaluación de Vulnerabilidades.
  45. 45. Pruebas de Penetración.
  46. 46. Auditoria de Seguridad.</li></ul>ISO 9126<br />
  47. 47. Busca determinar las fallas de seguridad de un sistema.<br />Produce reportes de tipo, cantidad y grado de dichas fallas.<br />Permite establecer es status de seguridad en un momento determinado, aunque sin referirse a estándares específicos.<br />Permite tomar medidas preventivas para evita que las fallas sean aprovechadas por un hacker.<br />Evaluación de Vulnerabilidades <br />
  48. 48. Google libera  herramienta de uso interno.<br /><ul><li>Permite detectar vulnerabilidades en las aplicaciones web.
  49. 49. Es compatible con Linux, Mac y Windows y puede ser descargada desde el sitio de Google.
  50. 50. Su finalidad es detectar agujeros de seguridad en aplicaciones web. </li></ul>SOFTWARE DE VERIFICACIÓN DE SEGURIDAD<br />
  51. 51. Nikto2:<br /><ul><li>Es de código abierto.
  52. 52. Permite llevar a cabo pruebas exhaustivas de los servidores web para varios artículos.
  53. 53. Los plugins se actualizan con frecuencia y se puede actualizar de forma automática. </li></ul>SOFTWARE DE VERIFICACIÓN DE SEGURIDAD<br />
  54. 54. Líder mundial en escáneres activos de vulnerabilidad.<br />Con alta velocidad de descubrimiento, la auditoría de configuración, el perfil activo, el descubrimiento de los datos sensibles y análisis de la vulnerabilidad de su seguridad.<br />Se pueden distribuir a lo largo de toda una empresa, dentro y a través de redes separadas físicamente.<br />SOFTWARE DE VERIFICACIÓN DE SEGURIDAD<br />
  55. 55. Checklist<br />Para determinar si el Sitio Web, cumple con las características de Seguridad<br />
  56. 56. <ul><li>La información  condiciones operativas.
  57. 57. Sin problemas.
  58. 58. Sin encontrar fallas.
  59. 59. Faltas.
  60. 60. Responsabilidad del prestador del servicio </li></ul> deberá tener un plan de soluciones y un mantenimiento preventivo. <br /><ul><li>Si es una pagina para realizar transacciones</li></ul> deberán tomar medidas para proteger a los datos.<br />CONCLUSIONES<br />
  61. 61. <ul><li>La prevención es la mejor medicina.
  62. 62. Se debe mantener la seguridad de los archivos de datos de tal forma que solo las personas correctas puedan verlos.
  63. 63. El protocolo SSL permite la transmitir información de forma segura.
  64. 64. La W3C1 y organizaciones como OASIS, entre otras, han propuesto estándares de políticas de seguridad y control de acceso que garanticen una infraestructura, en lo posible segura para Web Services y Web Semántica.</li></ul>CONCLUSIONES<br />
  65. 65. Preguntas?<br />

×