SlideShare una empresa de Scribd logo

14 ingenieria de seguridad

Edelma Rodriguez
Edelma Rodriguez
Tecnología
1 de 31
Descargar para leer sin conexión
Ingeniería de Software Ingeniería de Protección Edelma Rodríguez Pérez Noviembre 2012 1
Contenidos • 14.1 Gestión del riesgo de Protección • 14.2 Diseño para la Protección • 14.3 Supervivencia del Sistema 2
Ataques • Las vulnerabilidades de infraestructura pueden conducir a que los atacantes obtengan sin autorización acceso a un sistema de aplicación y a los datos. 3
Diferencias Protección de Aplicación Protección de Infraestructura • Problema de Ingeniería de Software • Problema de Gestión Los ingenieros de sistemas deben Los administradores de sistemas de asegurarse que el sistema se deben de configurar la diseño para soportar ataques. infraestructura para resistir ataques. 4
Gestión • La gestión de la protección del sistema no es una tarea sencilla, si no que debe incluir un rango de actividades como: • Gestión de usuarios y permisos • Implementación y mantenimiento del software de sistema • Monitorización, detención y recuperación de ataque. 5
Gestión del riesgo de Protección • Se encarga de evaluar las posibles pérdidas que se derivan de ataques a los activos en el sistema, y de equilibrar dichas pérdidas frente a los costos de los procedimientos de seguridad encaminados a reducir las pérdidas. 6
Valoración del Riesgo Valoración preliminar del Riesgo • ¿Puede lograrse un nivel adecuado de seguridad a un costo razonable? Valoración del riesgo del ciclo de vida • Informe de las decisiones técnicas de diseño e implementación del sistema. Valoración del riesgo operativo • Debe implementarse a medida que evoluciona el sistema. 7
Clasificación de las Amenazas •De intercepción Amenazas •De interrupción •De modificación •De fabricación 8
Análisis del riesgo del ciclo de Vida 9
Lineamientos de Diseño • Los lineamientos generales de diseño para protección, tienen dos usos principales: 1. Ayudan a crear conciencia acerca de los temas de seguridad en un equipo de ingeniería de software. 2. Pueden usarse como una lista de verificación que será útil en el proceso de validación del sistema. 10
Lineamientos de seguridad Lineamientos 1. Decisiones de seguridad con base en una política. 2. Evite solo un punto de falla. 3. Seguridad en caso de falla. 4. Equilibrio entre seguridad y usabilidad. 5. Registe las acciones del usuario. 6. Use redundancia y diversidad para reducir el riesgo. 7. Valide todas las entradas. 8. Compartimente sus activos. 9. Diseñe para implementar. 10. Diseñe para facilitar la recuperabilidad. 11
Lineamiento 1 • Decisiones de Protección con base en una política explicita de seguridad. • Una política de seguridad es un enunciado de alto nivel que establece las condiciones fundamentales de seguridad para una organización. • Define el “que” de la seguridad en lugar del “como”. • Los diseñadores deben consultar la política de seguridad, ya que está constituye un marco para tomar y evaluar decisiones de diseño. 12
Lineamiento 2 • Evite solo un punto de falla. • En cualquier sistema crítico, una buena práctica de diseño es tratar de evitar un solo punto de falla. • No se debe de apoyar en un solo mecanismo para garantizar la seguridad en vez de ello, se deben de emplear muchas técnicas diferentes. A esto se le conoce “defensa en profundidad”. • Para proteger la integridad de los datos en un sistema hay que mantener una bitácora ejecutable de los cambios realizados a los datos. 13
Lineamiento 3 • Seguridad en Caso de Falla. • Las fallas son inevitables en todos los sistemas. • La protección siempre debe ser a prueba de fallas. • Cuando falle el sistema, no se deben de usar procedimientos de estado de emergencia que sean menos seguros que el sistema en sí. • La falla tampoco debe significar que el atacante acceda a datos a los que normalmente no tendrían acceso. 14
Lineamiento 4 • Equilibrio entre seguridad y usabilidad. • Las demandas de seguridad y usabilidad a menudo son contradictorias. • Para hacer seguro un sistema, se debe de introducir comprobaciones de que los usuarios estén autorizados para utilizar el sistema. • Esto significa que los usuarios tardan mas tiempo para iniciar el sistema y usarlo de manera efectiva. • Conforme se agregan características de seguridad a un sistema, es inevitable que este se vuelva menos usable. 15
Lineamiento 5 • Equilibrio entre seguridad y usabilidad. • Si es prácticamente posible hacerlo, mantenga una bitácora de las acciones del usuario. • En esta bitácora se debe de registrar quien hizo qué, los activos que utilizo, hora y fecha de acción. • Si se mantiene esto como lista de comandos ejecutables, tendrá la opción de reproducir la bitácora para recuperarse de las fallas. • La bitácora ayuda a detectar los ataques internos. Es decir, que los usuarios del sistema intenten actuar de formas no autorizadas. 16
Lineamiento 6 • Use redundancia y diversidad para reducir el riesgo. • Redundancia significa conservar más de una versión del software o de los datos de un sistema. • Diversidad, significa que las diferentes versiones no deben apoyarse sobre la misma plataforma, o implementarse usando las mismas tecnologías. 17
Lineamiento 7 • Valide todas las entradas. • Un ataque común al sistema implica proporcionar al sistema entradas inesperadas que hacen que se comporte en forma no anticipada. • Otro ataque bastante común es el llamado “envenenamiento SQL”, en el que el usuario malicioso ingresa un fragmento de SQL que interpreta un servidor. 18
Lineamiento 8 • Compartimente sus activos. • Compartimentar significa que no debe permitir el acceso a la información del sistema con el criterio de todo o nada. • En vez de ello debe de organizar en compartimentos la información del sistema. • Los usuarios deben de tener acceso solo a la información que necesitan, y no a toda la información de un sistema. • Tambien se debe de tener mecanismos en el sistema para garantizar un acceso inesperado. 19
Lineamiento 9 • Diseñe para implementar. • Muchos problemas de seguridad surgen porque el sistema no esta configurado correctamente al implementarse en su entorno operacional. • Siempre se debe de diseñar un sistema de forma que se incluyan instalaciones para simplificar la implementación en el entorno del cliente, comprobar errores y omisiones potenciales de configuración en el sistema implementado. 20
Lineamiento 10 • Diseñe para facilitar la recuperabilidad. • Sin importar cuanto esfuerzo se use en mantener la seguridad de los sistemas, siempre se debe diseñar su sistema con la idea de que podría ocurrir una falla de seguridad. • De ahí que deba de pensar en cómo recuperarse de posibles fallas y restaurar el sistema a un estado operativo seguro. 21
Diseño para implementar • La implementación de un sistema implica configurar el software para funcionar en un entorno operacional, instalar el sistema en las computadoras en ese entorno, y configurar el sistema instalado para dichas computadoras. Fig. 14.7 Implementación del Software 22
• La configuración puede ser un proceso simple que implique establecer algunos parámetros internos en el software para reflejar las preferencias del usuario. • Configuración e implementación se ven a menudo como temas de administración del sistema y por consiguiente, se consideran fuera del ámbito de los procesos de ingeniería de software. • Desde luego, la buena practica administrativa ayuda a evitar muchos problemas de seguridad que surgen de errores de configuración e implementación. • Sin embargo, los diseñadores tienen la responsabilidad de “diseñar para implementación”. 23
Soporte de implementación: • Se recomiendan cuatro formas de incorporar soporte de implementación en un sistema: 1. Incluir soporte para ver y analizar las configuraciones. 2. Minimizar los privilegios por defecto. 3. Localizar parámetros de configuración. 4. Proporcionar formas sencillas de corregir vulnerabilidades de seguridad. 24
Supervivencia del sistema • La seguridad de los sistemas no depende solo de las decisiones de diseño locales, si no también de la seguridad de aplicaciones externas, servicios web y la infraestructura de la red. • Esto significa que, sin importar cuánta atención se ponga a la seguridad, no es posible garantizar un sistema que podrá resistir a ataques externos. • La supervivencia o resiliencia es una propiedad emergente de un sistema como su totalidad, y no una propiedad de componentes individuales, que en sí mismos podrían ser no supervivientes. 25
• La supervivencia de un sistema refleja su capacidad para continuar la entrega de servicios empresariales esenciales o críticos para la misión y para legitimar a los usuarios mientras está bajo ataque o después de que se daño parte del sistema. • El daño podrá ser causado por un ataque o una falla del sistema. • El trabajo en la supervivencia del sistema apunta al hecho de que las vidas económica y social dependen de una infraestructura crítica controlada por computadora. 26
Supervivencia • Conservar la disponibilidad de los servicios críticos es la escancia de la supervivencia. Esto significa que se debe conocer: • Los servicios del sistema más críticos para una empresa. • La calidad mínima del servicio a preservar. • Cómo pueden comprometerse dichos servicios. • Cómo pueden protegerse tales servicios. • Cómo recuperarse rápidamente si los servicios dejan de estar disponibles. 27
Estrategias complementarias 1. Resistencia • Evitar los problemas mediante la construcción de capacidades en el sistema para repeler ataques. 2. Reconocimiento • Detectar los problemas mediante la construcción de capacidades del sistema para descubrir ataques y fallas. 3. Recuperación • Tolerar los problemas por medio de la construcción de capacidades en el sistema para entregar servicios esenciales 28 mientras está bajo ataque.
Etapas en el análisis de la supervivencia 1.Revisar los requerimientos y la arquitectura del sistema 4. Identificar los 2. Identificar los puntos débiles y servicios y estrategias de componentes supervivencia. críticos 3. Identificar ataques y componentes 29 comprometidos
Actividades en Etapas • Las actividades clave en cada una de las etapas en el análisis de supervivencia son las siguientes: 1. Comprensión del sistema. 2. Identificación de servicios críticos. 3. Simulación de ataque. 4. Análisis de supervivencia. 30
Posibilidades de ataque Ataque Un usuario malicioso siente rencor contra un usuario acreditado del sistema. Consigue acceso al sistema usando sus credenciales. Coloca pedidos maliciosos y compra y vende acciones, con la intención de causar problemas al usuario autorizado. Un usuario no autorizado corrompe la base de datos 31

Recomendados

Strowger Switching System
Strowger Switching SystemStrowger Switching System
Strowger Switching SystemGourab Ghosh
 
Chapter 4 plc
Chapter 4 plcChapter 4 plc
Chapter 4 plcHattori Sidek
 
PROTEUS SIMULATION FOR LED AND BULB
PROTEUS SIMULATION FOR LED AND BULBPROTEUS SIMULATION FOR LED AND BULB
PROTEUS SIMULATION FOR LED AND BULBAkshay Tripathi
 
Modern Control - Lec 04 - Analysis and Design of Control Systems using Root L...
Modern Control - Lec 04 - Analysis and Design of Control Systems using Root L...Modern Control - Lec 04 - Analysis and Design of Control Systems using Root L...
Modern Control - Lec 04 - Analysis and Design of Control Systems using Root L...Amr E. Mohamed
 
Rotabit
RotabitRotabit
Rotabitsystemgil
 
311 angle modulation
311 angle modulation311 angle modulation
311 angle modulationMohammad Bappy
 
ME-314- Control Engineering - Week 01
ME-314- Control Engineering - Week 01ME-314- Control Engineering - Week 01
ME-314- Control Engineering - Week 01Dr. Bilal Siddiqui, C.Eng., MIMechE, FRAeS
 
More on DFT
More on DFTMore on DFT
More on DFTop205
 

Recomendados

Strowger Switching System
Strowger Switching SystemStrowger Switching System
Strowger Switching SystemGourab Ghosh
 
Chapter 4 plc
Chapter 4 plcChapter 4 plc
Chapter 4 plcHattori Sidek
 
PROTEUS SIMULATION FOR LED AND BULB
PROTEUS SIMULATION FOR LED AND BULBPROTEUS SIMULATION FOR LED AND BULB
PROTEUS SIMULATION FOR LED AND BULBAkshay Tripathi
 
Modern Control - Lec 04 - Analysis and Design of Control Systems using Root L...
Modern Control - Lec 04 - Analysis and Design of Control Systems using Root L...Modern Control - Lec 04 - Analysis and Design of Control Systems using Root L...
Modern Control - Lec 04 - Analysis and Design of Control Systems using Root L...Amr E. Mohamed
 
Rotabit
RotabitRotabit
Rotabitsystemgil
 
311 angle modulation
311 angle modulation311 angle modulation
311 angle modulationMohammad Bappy
 
ME-314- Control Engineering - Week 01
ME-314- Control Engineering - Week 01ME-314- Control Engineering - Week 01
ME-314- Control Engineering - Week 01Dr. Bilal Siddiqui, C.Eng., MIMechE, FRAeS
 
More on DFT
More on DFTMore on DFT
More on DFTop205
 
Speech Enhancement Based on Spectral Subtraction Involving Magnitude and Phas...
Speech Enhancement Based on Spectral Subtraction Involving Magnitude and Phas...Speech Enhancement Based on Spectral Subtraction Involving Magnitude and Phas...
Speech Enhancement Based on Spectral Subtraction Involving Magnitude and Phas...IRJET Journal
 
Representation of discrete time signals
Representation of discrete time signalsRepresentation of discrete time signals
Representation of discrete time signalsNational Engineering College
 
Sesion 7 S Dbos
Sesion 7 S DbosSesion 7 S Dbos
Sesion 7 S Dbosgueste3970c1
 
5.4 transformada inversa z
5.4 transformada inversa z5.4 transformada inversa z
5.4 transformada inversa zsam2379
 
Digitalización de las señales de abonado
Digitalización de las señales de abonadoDigitalización de las señales de abonado
Digitalización de las señales de abonadoEng. Fernando Mendioroz, MSc.
 
PLC: Diseño e implementación de un modulo para la simulación practica de un p...
PLC: Diseño e implementación de un modulo para la simulación practica de un p...PLC: Diseño e implementación de un modulo para la simulación practica de un p...
PLC: Diseño e implementación de un modulo para la simulación practica de un p...SANTIAGO PABLO ALBERTO
 
Familias de diferentes tipos de integrados.
Familias de diferentes tipos de integrados.Familias de diferentes tipos de integrados.
Familias de diferentes tipos de integrados.shanidtorres
 
Pic retardos por software
Pic retardos por softwarePic retardos por software
Pic retardos por softwareRaul Marihuan Gonzalez
 
Si3 fibra optica
Si3 fibra opticaSi3 fibra optica
Si3 fibra opticamagssrl
 
Chapter 8 Root Locus Techniques
Chapter 8 Root Locus TechniquesChapter 8 Root Locus Techniques
Chapter 8 Root Locus Techniquesguesta0c38c3
 
Traffic light Controller Design
Traffic light Controller DesignTraffic light Controller Design
Traffic light Controller DesignIvan Tim Oloya
 
Control chap4
Control chap4Control chap4
Control chap4Mohd Ashraf Shabarshah
 
Calculos electricos
Calculos electricosCalculos electricos
Calculos electricosDeyvi Pol Rutti Cochachi
 
Schelkunoff Polynomial Method for Antenna Synthesis
Schelkunoff Polynomial Method for Antenna SynthesisSchelkunoff Polynomial Method for Antenna Synthesis
Schelkunoff Polynomial Method for Antenna SynthesisSwapnil Bangera
 
Introducción arduino
Introducción arduinoIntroducción arduino
Introducción arduinotoni
 
Impulse response and step response.ppt
Impulse response and step response.pptImpulse response and step response.ppt
Impulse response and step response.pptSameerParmar14
 
Opsitel y los servicios de telecomunicaciones
Opsitel y los servicios de telecomunicacionesOpsitel y los servicios de telecomunicaciones
Opsitel y los servicios de telecomunicacionesLuis Yallerco
 
QUE ES PT100
QUE ES PT100QUE ES PT100
QUE ES PT100angelicarinconc
 
Convolution
ConvolutionConvolution
Convolutionvandanamalode1
 
Digital Signal Processing[ECEG-3171]-Ch1_L05
Digital Signal Processing[ECEG-3171]-Ch1_L05Digital Signal Processing[ECEG-3171]-Ch1_L05
Digital Signal Processing[ECEG-3171]-Ch1_L05Rediet Moges
 
Los 10 Mandamientos De La Calidad
Los 10 Mandamientos De La CalidadLos 10 Mandamientos De La Calidad
Los 10 Mandamientos De La CalidadCramberry
 
Posibles inconvenientes implementación
Posibles inconvenientes implementaciónPosibles inconvenientes implementación
Posibles inconvenientes implementaciónAna Milena Gualdrón Díaz
 

Más contenido relacionado

La actualidad más candente

Speech Enhancement Based on Spectral Subtraction Involving Magnitude and Phas...
Speech Enhancement Based on Spectral Subtraction Involving Magnitude and Phas...Speech Enhancement Based on Spectral Subtraction Involving Magnitude and Phas...
Speech Enhancement Based on Spectral Subtraction Involving Magnitude and Phas...IRJET Journal
 
5.4 transformada inversa z
5.4 transformada inversa z5.4 transformada inversa z
5.4 transformada inversa zsam2379
 
PLC: Diseño e implementación de un modulo para la simulación practica de un p...
PLC: Diseño e implementación de un modulo para la simulación practica de un p...PLC: Diseño e implementación de un modulo para la simulación practica de un p...
PLC: Diseño e implementación de un modulo para la simulación practica de un p...SANTIAGO PABLO ALBERTO
 
Familias de diferentes tipos de integrados.
Familias de diferentes tipos de integrados.Familias de diferentes tipos de integrados.
Familias de diferentes tipos de integrados.shanidtorres
 
Si3 fibra optica
Si3 fibra opticaSi3 fibra optica
Si3 fibra opticamagssrl
 
Chapter 8 Root Locus Techniques
Chapter 8 Root Locus TechniquesChapter 8 Root Locus Techniques
Chapter 8 Root Locus Techniquesguesta0c38c3
 
Traffic light Controller Design
Traffic light Controller DesignTraffic light Controller Design
Traffic light Controller DesignIvan Tim Oloya
 
Schelkunoff Polynomial Method for Antenna Synthesis
Schelkunoff Polynomial Method for Antenna SynthesisSchelkunoff Polynomial Method for Antenna Synthesis
Schelkunoff Polynomial Method for Antenna SynthesisSwapnil Bangera
 
Introducción arduino
Introducción arduinoIntroducción arduino
Introducción arduinotoni
 
Impulse response and step response.ppt
Impulse response and step response.pptImpulse response and step response.ppt
Impulse response and step response.pptSameerParmar14
 
Opsitel y los servicios de telecomunicaciones
Opsitel y los servicios de telecomunicacionesOpsitel y los servicios de telecomunicaciones
Opsitel y los servicios de telecomunicacionesLuis Yallerco
 
Digital Signal Processing[ECEG-3171]-Ch1_L05
Digital Signal Processing[ECEG-3171]-Ch1_L05Digital Signal Processing[ECEG-3171]-Ch1_L05
Digital Signal Processing[ECEG-3171]-Ch1_L05Rediet Moges
 

La actualidad más candente (20)

Speech Enhancement Based on Spectral Subtraction Involving Magnitude and Phas...
Speech Enhancement Based on Spectral Subtraction Involving Magnitude and Phas...Speech Enhancement Based on Spectral Subtraction Involving Magnitude and Phas...
Speech Enhancement Based on Spectral Subtraction Involving Magnitude and Phas...
 
Representation of discrete time signals
Representation of discrete time signalsRepresentation of discrete time signals
Representation of discrete time signals
 
Sesion 7 S Dbos
Sesion 7 S DbosSesion 7 S Dbos
Sesion 7 S Dbos
 
5.4 transformada inversa z
5.4 transformada inversa z5.4 transformada inversa z
5.4 transformada inversa z
 
Digitalización de las señales de abonado
Digitalización de las señales de abonadoDigitalización de las señales de abonado
Digitalización de las señales de abonado
 
PLC: Diseño e implementación de un modulo para la simulación practica de un p...
PLC: Diseño e implementación de un modulo para la simulación practica de un p...PLC: Diseño e implementación de un modulo para la simulación practica de un p...
PLC: Diseño e implementación de un modulo para la simulación practica de un p...
 
Familias de diferentes tipos de integrados.
Familias de diferentes tipos de integrados.Familias de diferentes tipos de integrados.
Familias de diferentes tipos de integrados.
 
Pic retardos por software
Pic retardos por softwarePic retardos por software
Pic retardos por software
 
Si3 fibra optica
Si3 fibra opticaSi3 fibra optica
Si3 fibra optica
 
Chapter 8 Root Locus Techniques
Chapter 8 Root Locus TechniquesChapter 8 Root Locus Techniques
Chapter 8 Root Locus Techniques
 
Traffic light Controller Design
Traffic light Controller DesignTraffic light Controller Design
Traffic light Controller Design
 
Control chap4
Control chap4Control chap4
Control chap4
 
Calculos electricos
Calculos electricosCalculos electricos
Calculos electricos
 
Schelkunoff Polynomial Method for Antenna Synthesis
Schelkunoff Polynomial Method for Antenna SynthesisSchelkunoff Polynomial Method for Antenna Synthesis
Schelkunoff Polynomial Method for Antenna Synthesis
 
Introducción arduino
Introducción arduinoIntroducción arduino
Introducción arduino
 
Impulse response and step response.ppt
Impulse response and step response.pptImpulse response and step response.ppt
Impulse response and step response.ppt
 
Opsitel y los servicios de telecomunicaciones
Opsitel y los servicios de telecomunicacionesOpsitel y los servicios de telecomunicaciones
Opsitel y los servicios de telecomunicaciones
 
QUE ES PT100
QUE ES PT100QUE ES PT100
QUE ES PT100
 
Convolution
ConvolutionConvolution
Convolution
 
Digital Signal Processing[ECEG-3171]-Ch1_L05
Digital Signal Processing[ECEG-3171]-Ch1_L05Digital Signal Processing[ECEG-3171]-Ch1_L05
Digital Signal Processing[ECEG-3171]-Ch1_L05
 

Destacado

Los 10 Mandamientos De La Calidad
Los 10 Mandamientos De La CalidadLos 10 Mandamientos De La Calidad
Los 10 Mandamientos De La CalidadCramberry
 
Clase De Fds22
Clase De Fds22Clase De Fds22
Clase De Fds22masa832
 
Exposicion diseño el diseño modular y
Exposicion diseño el diseño modular yExposicion diseño el diseño modular y
Exposicion diseño el diseño modular yClaritaGB
 
Patrones de Diseño de Software: Proxy
Patrones de Diseño de Software: ProxyPatrones de Diseño de Software: Proxy
Patrones de Diseño de Software: ProxyNacho Bongiovanni
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Optimyth Software
 
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de SoftwareBuenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Softwarejcezon
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareConferencias FIST
 
Seguridad en la ingeniería de software
Seguridad en la ingeniería de software Seguridad en la ingeniería de software
Seguridad en la ingeniería de software kratosVA
 
Arquitectura de referencia para sistemas en tiempo real
Arquitectura de referencia para sistemas en tiempo realArquitectura de referencia para sistemas en tiempo real
Arquitectura de referencia para sistemas en tiempo realPablo Navarrete
 
Arquitectura Multiprocesadores
Arquitectura Multiprocesadores Arquitectura Multiprocesadores
Arquitectura Multiprocesadores JUANR1022
 
Diapositivas sobre patrones de diseño
Diapositivas sobre patrones de diseñoDiapositivas sobre patrones de diseño
Diapositivas sobre patrones de diseñodeyanireth
 
Comparativa Arquitectura Cliente/Servidor y Distribuida
Comparativa Arquitectura Cliente/Servidor y DistribuidaComparativa Arquitectura Cliente/Servidor y Distribuida
Comparativa Arquitectura Cliente/Servidor y DistribuidaSergio Olivares
 
Artesanos de software: El uso e implementación de patrones de diseño en siste...
Artesanos de software: El uso e implementación de patrones de diseño en siste...Artesanos de software: El uso e implementación de patrones de diseño en siste...
Artesanos de software: El uso e implementación de patrones de diseño en siste...Software Guru
 
Programación Modular y Estructyrada
Programación Modular y EstructyradaProgramación Modular y Estructyrada
Programación Modular y Estructyradaguestefc95b
 

Destacado (20)

Los 10 Mandamientos De La Calidad
Los 10 Mandamientos De La CalidadLos 10 Mandamientos De La Calidad
Los 10 Mandamientos De La Calidad
 
Posibles inconvenientes implementación
Posibles inconvenientes implementaciónPosibles inconvenientes implementación
Posibles inconvenientes implementación
 
Aplicaciones
AplicacionesAplicaciones
Aplicaciones
 
Clase De Fds22
Clase De Fds22Clase De Fds22
Clase De Fds22
 
Exposicion diseño el diseño modular y
Exposicion diseño el diseño modular yExposicion diseño el diseño modular y
Exposicion diseño el diseño modular y
 
Patrones de Diseño de Software: Proxy
Patrones de Diseño de Software: ProxyPatrones de Diseño de Software: Proxy
Patrones de Diseño de Software: Proxy
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
 
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de SoftwareBuenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
Buenas Prácticas de Seguridad en el Proceso de Desarrollo de Software
 
Ingenieria de dominio
Ingenieria de dominioIngenieria de dominio
Ingenieria de dominio
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguro
 
Diseño de patrones
Diseño de patronesDiseño de patrones
Diseño de patrones
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de Software
 
Seguridad en la ingeniería de software
Seguridad en la ingeniería de software Seguridad en la ingeniería de software
Seguridad en la ingeniería de software
 
Prueba de Confiabilidad del Software
Prueba de Confiabilidad del SoftwarePrueba de Confiabilidad del Software
Prueba de Confiabilidad del Software
 
Arquitectura de referencia para sistemas en tiempo real
Arquitectura de referencia para sistemas en tiempo realArquitectura de referencia para sistemas en tiempo real
Arquitectura de referencia para sistemas en tiempo real
 
Arquitectura Multiprocesadores
Arquitectura Multiprocesadores Arquitectura Multiprocesadores
Arquitectura Multiprocesadores
 
Diapositivas sobre patrones de diseño
Diapositivas sobre patrones de diseñoDiapositivas sobre patrones de diseño
Diapositivas sobre patrones de diseño
 
Comparativa Arquitectura Cliente/Servidor y Distribuida
Comparativa Arquitectura Cliente/Servidor y DistribuidaComparativa Arquitectura Cliente/Servidor y Distribuida
Comparativa Arquitectura Cliente/Servidor y Distribuida
 
Artesanos de software: El uso e implementación de patrones de diseño en siste...
Artesanos de software: El uso e implementación de patrones de diseño en siste...Artesanos de software: El uso e implementación de patrones de diseño en siste...
Artesanos de software: El uso e implementación de patrones de diseño en siste...
 
Programación Modular y Estructyrada
Programación Modular y EstructyradaProgramación Modular y Estructyrada
Programación Modular y Estructyrada
 

Similar a 14 ingenieria de seguridad

Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...eccutpl
 
Seguridad base de datos
Seguridad base de datosSeguridad base de datos
Seguridad base de datosJuandTs
 
Seguridad Base Datos
Seguridad Base DatosSeguridad Base Datos
Seguridad Base DatosJuandTs
 
La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013 La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013 Diego Martín Arcos
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Riesgos de Seguridad
Riesgos de SeguridadRiesgos de Seguridad
Riesgos de Seguridadmaheza3613
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6pacvslideshare
 
Configuracion de la Directiva de Grupo
Configuracion de la Directiva de GrupoConfiguracion de la Directiva de Grupo
Configuracion de la Directiva de GrupoEduardo Moron
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informáticoelperrojaime
 
Seguridad de los sistemas operativos..pptx
Seguridad de los sistemas operativos..pptxSeguridad de los sistemas operativos..pptx
Seguridad de los sistemas operativos..pptxdayanelismarquez
 
Protección y seguridad en SO
Protección y seguridad en SOProtección y seguridad en SO
Protección y seguridad en SORayzeraus
 

Similar a 14 ingenieria de seguridad (20)

Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccion
 
Seguridad base de datos
Seguridad base de datosSeguridad base de datos
Seguridad base de datos
 
Help desk ch08-esp
Help desk ch08-espHelp desk ch08-esp
Help desk ch08-esp
 
Seguridad Base Datos
Seguridad Base DatosSeguridad Base Datos
Seguridad Base Datos
 
Expo
ExpoExpo
Expo
 
La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013 La (in)seguridad de los sistemas de control de procesos publicado en 2013
La (in)seguridad de los sistemas de control de procesos publicado en 2013
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Riesgos de Seguridad
Riesgos de SeguridadRiesgos de Seguridad
Riesgos de Seguridad
 
Help desk ch08-esp
Help desk ch08-espHelp desk ch08-esp
Help desk ch08-esp
 
Trabajo 2
Trabajo 2Trabajo 2
Trabajo 2
 
Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6Servidores web de altas prestaciones. Tema 6
Servidores web de altas prestaciones. Tema 6
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridad
 
Configuracion de la Directiva de Grupo
Configuracion de la Directiva de GrupoConfiguracion de la Directiva de Grupo
Configuracion de la Directiva de Grupo
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informático
 
Unidad7
Unidad7Unidad7
Unidad7
 
Seguridad de los sistemas operativos..pptx
Seguridad de los sistemas operativos..pptxSeguridad de los sistemas operativos..pptx
Seguridad de los sistemas operativos..pptx
 
Protección y seguridad en SO
Protección y seguridad en SOProtección y seguridad en SO
Protección y seguridad en SO
 

Último

Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..RobertoGumucio2
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 

Último (20)

Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 

14 ingenieria de seguridad

  • 1. Ingeniería de Software Ingeniería de Protección Edelma Rodríguez Pérez Noviembre 2012 1
  • 2. Contenidos • 14.1 Gestión del riesgo de Protección • 14.2 Diseño para la Protección • 14.3 Supervivencia del Sistema 2
  • 3. Ataques • Las vulnerabilidades de infraestructura pueden conducir a que los atacantes obtengan sin autorización acceso a un sistema de aplicación y a los datos. 3
  • 4. Diferencias Protección de Aplicación Protección de Infraestructura • Problema de Ingeniería de Software • Problema de Gestión Los ingenieros de sistemas deben Los administradores de sistemas de asegurarse que el sistema se deben de configurar la diseño para soportar ataques. infraestructura para resistir ataques. 4
  • 5. Gestión • La gestión de la protección del sistema no es una tarea sencilla, si no que debe incluir un rango de actividades como: • Gestión de usuarios y permisos • Implementación y mantenimiento del software de sistema • Monitorización, detención y recuperación de ataque. 5
  • 6. Gestión del riesgo de Protección • Se encarga de evaluar las posibles pérdidas que se derivan de ataques a los activos en el sistema, y de equilibrar dichas pérdidas frente a los costos de los procedimientos de seguridad encaminados a reducir las pérdidas. 6
  • 7. Valoración del Riesgo Valoración preliminar del Riesgo • ¿Puede lograrse un nivel adecuado de seguridad a un costo razonable? Valoración del riesgo del ciclo de vida • Informe de las decisiones técnicas de diseño e implementación del sistema. Valoración del riesgo operativo • Debe implementarse a medida que evoluciona el sistema. 7
  • 8. Clasificación de las Amenazas •De intercepción Amenazas •De interrupción •De modificación •De fabricación 8
  • 9. Análisis del riesgo del ciclo de Vida 9
  • 10. Lineamientos de Diseño • Los lineamientos generales de diseño para protección, tienen dos usos principales: 1. Ayudan a crear conciencia acerca de los temas de seguridad en un equipo de ingeniería de software. 2. Pueden usarse como una lista de verificación que será útil en el proceso de validación del sistema. 10
  • 11. Lineamientos de seguridad Lineamientos 1. Decisiones de seguridad con base en una política. 2. Evite solo un punto de falla. 3. Seguridad en caso de falla. 4. Equilibrio entre seguridad y usabilidad. 5. Registe las acciones del usuario. 6. Use redundancia y diversidad para reducir el riesgo. 7. Valide todas las entradas. 8. Compartimente sus activos. 9. Diseñe para implementar. 10. Diseñe para facilitar la recuperabilidad. 11
  • 12. Lineamiento 1 • Decisiones de Protección con base en una política explicita de seguridad. • Una política de seguridad es un enunciado de alto nivel que establece las condiciones fundamentales de seguridad para una organización. • Define el “que” de la seguridad en lugar del “como”. • Los diseñadores deben consultar la política de seguridad, ya que está constituye un marco para tomar y evaluar decisiones de diseño. 12
  • 13. Lineamiento 2 • Evite solo un punto de falla. • En cualquier sistema crítico, una buena práctica de diseño es tratar de evitar un solo punto de falla. • No se debe de apoyar en un solo mecanismo para garantizar la seguridad en vez de ello, se deben de emplear muchas técnicas diferentes. A esto se le conoce “defensa en profundidad”. • Para proteger la integridad de los datos en un sistema hay que mantener una bitácora ejecutable de los cambios realizados a los datos. 13
  • 14. Lineamiento 3 • Seguridad en Caso de Falla. • Las fallas son inevitables en todos los sistemas. • La protección siempre debe ser a prueba de fallas. • Cuando falle el sistema, no se deben de usar procedimientos de estado de emergencia que sean menos seguros que el sistema en sí. • La falla tampoco debe significar que el atacante acceda a datos a los que normalmente no tendrían acceso. 14
  • 15. Lineamiento 4 • Equilibrio entre seguridad y usabilidad. • Las demandas de seguridad y usabilidad a menudo son contradictorias. • Para hacer seguro un sistema, se debe de introducir comprobaciones de que los usuarios estén autorizados para utilizar el sistema. • Esto significa que los usuarios tardan mas tiempo para iniciar el sistema y usarlo de manera efectiva. • Conforme se agregan características de seguridad a un sistema, es inevitable que este se vuelva menos usable. 15
  • 16. Lineamiento 5 • Equilibrio entre seguridad y usabilidad. • Si es prácticamente posible hacerlo, mantenga una bitácora de las acciones del usuario. • En esta bitácora se debe de registrar quien hizo qué, los activos que utilizo, hora y fecha de acción. • Si se mantiene esto como lista de comandos ejecutables, tendrá la opción de reproducir la bitácora para recuperarse de las fallas. • La bitácora ayuda a detectar los ataques internos. Es decir, que los usuarios del sistema intenten actuar de formas no autorizadas. 16
  • 17. Lineamiento 6 • Use redundancia y diversidad para reducir el riesgo. • Redundancia significa conservar más de una versión del software o de los datos de un sistema. • Diversidad, significa que las diferentes versiones no deben apoyarse sobre la misma plataforma, o implementarse usando las mismas tecnologías. 17
  • 18. Lineamiento 7 • Valide todas las entradas. • Un ataque común al sistema implica proporcionar al sistema entradas inesperadas que hacen que se comporte en forma no anticipada. • Otro ataque bastante común es el llamado “envenenamiento SQL”, en el que el usuario malicioso ingresa un fragmento de SQL que interpreta un servidor. 18
  • 19. Lineamiento 8 • Compartimente sus activos. • Compartimentar significa que no debe permitir el acceso a la información del sistema con el criterio de todo o nada. • En vez de ello debe de organizar en compartimentos la información del sistema. • Los usuarios deben de tener acceso solo a la información que necesitan, y no a toda la información de un sistema. • Tambien se debe de tener mecanismos en el sistema para garantizar un acceso inesperado. 19
  • 20. Lineamiento 9 • Diseñe para implementar. • Muchos problemas de seguridad surgen porque el sistema no esta configurado correctamente al implementarse en su entorno operacional. • Siempre se debe de diseñar un sistema de forma que se incluyan instalaciones para simplificar la implementación en el entorno del cliente, comprobar errores y omisiones potenciales de configuración en el sistema implementado. 20
  • 21. Lineamiento 10 • Diseñe para facilitar la recuperabilidad. • Sin importar cuanto esfuerzo se use en mantener la seguridad de los sistemas, siempre se debe diseñar su sistema con la idea de que podría ocurrir una falla de seguridad. • De ahí que deba de pensar en cómo recuperarse de posibles fallas y restaurar el sistema a un estado operativo seguro. 21
  • 22. Diseño para implementar • La implementación de un sistema implica configurar el software para funcionar en un entorno operacional, instalar el sistema en las computadoras en ese entorno, y configurar el sistema instalado para dichas computadoras. Fig. 14.7 Implementación del Software 22
  • 23. • La configuración puede ser un proceso simple que implique establecer algunos parámetros internos en el software para reflejar las preferencias del usuario. • Configuración e implementación se ven a menudo como temas de administración del sistema y por consiguiente, se consideran fuera del ámbito de los procesos de ingeniería de software. • Desde luego, la buena practica administrativa ayuda a evitar muchos problemas de seguridad que surgen de errores de configuración e implementación. • Sin embargo, los diseñadores tienen la responsabilidad de “diseñar para implementación”. 23
  • 24. Soporte de implementación: • Se recomiendan cuatro formas de incorporar soporte de implementación en un sistema: 1. Incluir soporte para ver y analizar las configuraciones. 2. Minimizar los privilegios por defecto. 3. Localizar parámetros de configuración. 4. Proporcionar formas sencillas de corregir vulnerabilidades de seguridad. 24
  • 25. Supervivencia del sistema • La seguridad de los sistemas no depende solo de las decisiones de diseño locales, si no también de la seguridad de aplicaciones externas, servicios web y la infraestructura de la red. • Esto significa que, sin importar cuánta atención se ponga a la seguridad, no es posible garantizar un sistema que podrá resistir a ataques externos. • La supervivencia o resiliencia es una propiedad emergente de un sistema como su totalidad, y no una propiedad de componentes individuales, que en sí mismos podrían ser no supervivientes. 25
  • 26. • La supervivencia de un sistema refleja su capacidad para continuar la entrega de servicios empresariales esenciales o críticos para la misión y para legitimar a los usuarios mientras está bajo ataque o después de que se daño parte del sistema. • El daño podrá ser causado por un ataque o una falla del sistema. • El trabajo en la supervivencia del sistema apunta al hecho de que las vidas económica y social dependen de una infraestructura crítica controlada por computadora. 26
  • 27. Supervivencia • Conservar la disponibilidad de los servicios críticos es la escancia de la supervivencia. Esto significa que se debe conocer: • Los servicios del sistema más críticos para una empresa. • La calidad mínima del servicio a preservar. • Cómo pueden comprometerse dichos servicios. • Cómo pueden protegerse tales servicios. • Cómo recuperarse rápidamente si los servicios dejan de estar disponibles. 27
  • 28. Estrategias complementarias 1. Resistencia • Evitar los problemas mediante la construcción de capacidades en el sistema para repeler ataques. 2. Reconocimiento • Detectar los problemas mediante la construcción de capacidades del sistema para descubrir ataques y fallas. 3. Recuperación • Tolerar los problemas por medio de la construcción de capacidades en el sistema para entregar servicios esenciales 28 mientras está bajo ataque.
  • 29. Etapas en el análisis de la supervivencia 1.Revisar los requerimientos y la arquitectura del sistema 4. Identificar los 2. Identificar los puntos débiles y servicios y estrategias de componentes supervivencia. críticos 3. Identificar ataques y componentes 29 comprometidos
  • 30. Actividades en Etapas • Las actividades clave en cada una de las etapas en el análisis de supervivencia son las siguientes: 1. Comprensión del sistema. 2. Identificación de servicios críticos. 3. Simulación de ataque. 4. Análisis de supervivencia. 30
  • 31. Posibilidades de ataque Ataque Un usuario malicioso siente rencor contra un usuario acreditado del sistema. Consigue acceso al sistema usando sus credenciales. Coloca pedidos maliciosos y compra y vende acciones, con la intención de causar problemas al usuario autorizado. Un usuario no autorizado corrompe la base de datos 31