SlideShare una empresa de Scribd logo

empresa creadora de software.docx

Descargar como DOCX, PDF
C
CLARIBELVILLARREAL

creada por Melani y Claribel

Presentaciones y charlas públicas
1 de 14
EMPRESACREADORAS DE SOFTWARE CLARME
UNIVERSIDAD AUTONOMA DE CHIRIQUI CENTRO REGIONAL DE TIERRAS ALTAS FACULTAD: ECONOMIA ESCUELA: INFORMATICA PROYECTO FINAL TEMA: EMPRESA CREADORES DE SOFTWARE CLARME INTEGRANTES: CLARIBEL VILLARREAL MELANI LOPEZ PROFESORA IRIS MORENO FECHA DE ENTREGA 24 DE NOVIEMBRE DE 2022 II SEMESTRE 2022 INDICE
1. Procedimientos De Seguridad Informática. 2. Análisis y evaluación del riesgo. 3. Levantamiento de la Información posibles riesgos crear una tabla. 4. Diseño de Políticas de Seguridad. 5. medidas y procedimientos.
INTRODUCCIÓN El objetivo de esta empresa CLARME es crear software y estudiar la necesidad de sistemas inteligentes que permitan un mejor control, mediante opciones económicas, y que ayuden a una mejor administración de la información en diferentes dispositivos. La importancia de este plan de negocio consiste en la exposición de los beneficios que puede traer en tres aspectos como son: La inversión, dado que es un negocio que busca rentabilidad, eficiencia, y una alta penetración en el amplio campo de mercado que hay, la poca oferta que existe del mismo y la factibilidad de desarrollar una empresa que ofrezca este sistema.
1. Procedimientos De Seguridad Informática. 1.1 Vulnerabilidades. 1.2 Técnicas de codificación segura 1.3 Pruebas de intrusión 1.4 Seguridad en Infraestructura de TI 1.5 Concientización y capacitación al personal 1.1 Vulnerabilidades. Confiabilidad de los datos del lado del cliente: Esta consta de modificar los datos que se le proporcionan al software con la finalidad de obtener diferentes respuestas por parte del servidor. Manipulación de entradas: Dentro del contexto de un ataque a una aplicación Web, un atacante primero tratará de probar y manipular los campos de entrada para ganar acceso al software.
1.2 Técnicas de codificación segura La más importante medida de defensa que los desarrolladores pueden tomar, es validar la entrada que su software recibe debido a que las entradas no revisadas o mal revisadas es la fuente de las peores vulnerabilidades existentes incluyendo buffer overflow, inyección de SQL, y una gran variedad de otras. Las situaciones siempre llegarán a un nivel en que tienes que depender de entradas correctas para producir resultados correctos. No se puede ser responsable de conocer donde todas las entradas que recibes son correctas, sin embargo, si se puede ser responsables de que las entradas aceptadas no sean obviamente equivocadas. 1.3 Pruebas de intrusión En la empresa de creadores de Software existen programas para verificar la seguridad de sitios WEB como son el WGET, WEBSCARAB. WGET es una herramienta de línea de comandos para Unix y Windows que permite bajar el contenido de un sitio Web, trabaja en forma no interactiva, en el “background”, trabaja particularmente bien con conexiones no estables y lentas. WEBSCARAB es un marco de trabajo para analizar aplicaciones web que se comunica usando los protocolos HTTP y HTTPS. Está escrito en Java, por lo que es portable a muchas plataformas. WEBSCARAB tiene muchos modos de operación, implementados por varios plugins. Su uso más común es operar WEBSCARAB como un proxy de intercepción, que permite al operador revisar y modificar las peticiones creadas por el navegador antes de que sean enviados al servidor, y para revisar y modificar respuestas enviadas por el servidor antes de que sean recibidas por el navegador.
WEBSCARAB es capaz de interceptar comunicación en HTTP y HTTPS. 1.4 Seguridad en Infraestructura de TI Implementación de: SOC (Security Operation Center): Administrar, monitorear, controlar, manejar incidentes de seguridad y brindar soporte centralizado. Zonas Seguras: Definir los lineamientos y controles de los sistemas y redes para reforzar la seguridad con diferentes tecnologías como firewalls, IPS y VPN. Endurecimiento: Desarrollar y aplicar guías de configuración segura a una muestra de equipos para prevenir ataques o amenazas de seguridad. 1.5 Concientización y capacitación al personal Es importante concientizar al personal interno de la importancia de la Seguridad Informática en las empresas, a través de políticas de difusión y/o de capacitación. • Programa de concientización y entrenamiento. • Modificar hábitos inseguros en la operación diaria. • Capacitar a un grupo de entrenadores líderes en la cultura de la seguridad, quienes a su vez concientizarán al personal sobre los riesgos de no utilizar prácticas de seguridad. • Diseñar e implantar un programa de comunicación a través de medios de comunicación como: carteles correo electrónico,
protectores de pantalla y trípticos, para fomentar la cultura a toda la empresa. • Controlar la navegación de los usuarios • Establecer políticas que regulen el uso de aplicaciones y el acceso a estas. • Controlar la fuga de información a través de correos electrónicos, control de dispositivos de almacenamiento (pen drive, discos duros, etc) • Políticas de uso de contraseñas fuertes • Capacitación. Análisis y evaluación del riesgo. Analisis. El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas. Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir). Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma, se pueden priorizar los problemas y su costo potencial desarrollando un plan de acción adecuado. Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto. Evaluación.
Una vez conocidos los riesgos, los recursos que se deben proteger y cómo su daño o falta pueden influir en la organización, es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco. Se suele dividir las amenazas existentes según su ámbito de acción: 1 Desastre del entorno (Seguridad Física). 2 Amenazas del sistema (Seguridad Lógica). 3 Amenazas en la red (Comunicaciones). 4 Amenazas de personas (Insiders-Outsiders). Levantamiento de la Información posibles riesgos
Los riesgos se clasifican por su nivel de importancia y por la severidad de su pérdida. Tipo de riesgo Factor Complejidad tecnológica alto Robo de informacion Alto Planificación y control Medio Entorno organizacional Medio Fallas en los equipos Medio Virus informaticos Medio Equivocaciones Medio Equipo de trabajo Medio
4. Diseño de Políticas de Seguridad. POLÍTICAS PARA NUESTRA ENPRESA CLARME DE DESARROLLADORES DE SOFTWARE 1. Ambientes separados de producción y desarrollo. Todo sistema o aplicativo debe contar con ambiente de desarrollo y ambiente de producción. Así mismo para la realización de pruebas no se deben utilizar datos de producción. 2. Cumplimiento del procedimiento para cambios y/o actualizaciones. Todo cambio y/o actualización en los sistemas de información que se encuentren en producción, serán evaluados en ambientes de prueba cuya función es determinar el correcto funcionamiento y compatibilidad con las herramientas base. Una vez determinado el correcto funcionamiento y compatibilidad con las herramientas base se debe crear un plan de trabajo para la migración del ambiente de producción a la nueva versión. 3. Documentación de cambios y/o actualizaciones. Todo cambio y/o actualización en los sistemas de información que se encuentren en producción, debe tener la dcumentación respectiva. 4. Catalogación de programas. Debe cumplirse con el procedimiento establecido para pasar programas del ambiente de desarrollo al ambiente de producción previa prueba por parte del área encargada. 5. Medidas de seguridad deben ser implantadas y probadas antes de entrar en operación. Todos los controles de seguridad para los sistemas de información deben ser implantados y probados sobre ambiente de pruebas o desarrollo y antes que dicho sistema entre en operación. 6. Dependencia de la autenticación de usuario en el sistema operativo.
Los desarrolladores de aplicaciones no deberán crear su propio sistema de control de acceso a la aplicación en dsarrollo, esta labor deberá recaer en el sistema operativo o en un sistema de control de acceso que mejora las capacidades del sistema operativo. Esta política debe empezar a cumplirse desde la liberación de este documento. 7. Corporación de contraseñas en el software. Ninguna contraseña deberá ser incorporada en el código de un software desarrollado o modificado por la empresa o sus proveedores, para permitir que las contraseñas sean cambiadas con regularidad. 8. Acceso del usuario a los comandos del sistema operativo. Después de haber iniciado una sesión, el usuario debe mantenerse en menús que muestren solo lregularidad habilitadas para dicho usuario y de esta manera impedir la ejecución de comandos del sistema operativo y la divulgación de las capacidades del sistema. 6. Medidas y procedimientos. Plantear las medidas y procedimientos necesarios que permitan EL CUMPLIMIENTO de las políticas de seguridad informática en el sistema de INFORMACIÓN. Para la implementación de la estrategia de seguridad de la información, la la empresa de creación de software debe regirse por lo Dispuesto en el marco jurídico y normativo aplicable a la creación de software o entidades que las regulan y Aglutinan. DEFINICIONES Para los propósitos de este documento se aplican los siguientes términos y definiciones:
Acuerdo de Confidencialidad: Documento que debe suscribir todo usuario con el objeto de lograr el acceso a recursos informáticos de la empresa de creación de software. Administradores: Usuarios a quienes se les ha dado la tarea de administrar los recursos informáticos y poseen un identificador que le permite tener privilegios administrativos sobre los recursos informáticos de la entidad, quienes estarán bajo el control del Coordinador de Sistemas. Amenaza: Causa potencial de un incidente no deseado, que puede ocasionar daño a un sistema u organización. Backup: Copia de la información en un determinado momento, que puede ser recuperada con posterioridad. Contraseña: Clave de acceso a un recurso informático. Control: Medios para gestionar el riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras de la Organización que pueden ser de naturaleza administrativa, técnica, de gestión o legal. Directrices: Descripción que aclara lo que se debería hacer y cómo hacerlo, para alcanzar los objetivos establecidos en Las políticas.
Servicios de procesamiento de la información: Cualquier servicio, infraestructura o sistema de procesamiento de información o los sitios físicos que los albergan. Seguridad de la Información: Preservación de la confidencialidad, integridad y disponibilidad de la información, además, otras propiedades Tales como autenticidad, responsabilidad, no repudio y confiabilidad pueden estar involucradas

Recomendados

A3APSeguridad_soft_vision
A3APSeguridad_soft_visionA3APSeguridad_soft_vision
A3APSeguridad_soft_visionUTZAC Unidad Académica de Pinos
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redesJerich Chavarry
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativaCristiam Gomez Quijano
 
1er nivel 5ta clase
1er nivel 5ta clase1er nivel 5ta clase
1er nivel 5ta clasewilliamjmc10
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutableBella Loor
 

Recomendados

A3APSeguridad_soft_vision
A3APSeguridad_soft_visionA3APSeguridad_soft_vision
A3APSeguridad_soft_visionUTZAC Unidad Académica de Pinos
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redesJerich Chavarry
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativaCristiam Gomez Quijano
 
1er nivel 5ta clase
1er nivel 5ta clase1er nivel 5ta clase
1er nivel 5ta clasewilliamjmc10
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutableBella Loor
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAmbar Lopez
 
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..UNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.UNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
Prueba dominioc1karla
Prueba dominioc1karlaPrueba dominioc1karla
Prueba dominioc1karlaCsarUrielHernandezMa
 
Modulo ii sig
Modulo ii sigModulo ii sig
Modulo ii sigElianaE Corona
 
ISO 12207 presentacion ppt.pptx
ISO 12207 presentacion ppt.pptxISO 12207 presentacion ppt.pptx
ISO 12207 presentacion ppt.pptxCRISTIANJAVIERMARTIN7
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticani13
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgosJorge Pariasca
 
Auditoria danper
Auditoria danperAuditoria danper
Auditoria danperManuel Tapia Cruz
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11Alexander Velasque Rimac
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Paso6 201014 25_colaborativo
Paso6 201014 25_colaborativoPaso6 201014 25_colaborativo
Paso6 201014 25_colaborativoCristiam Gomez Quijano
 
Antivirus
AntivirusAntivirus
Antivirusfray medina
 
Iswi t01 - ing sofware
Iswi t01 - ing sofwareIswi t01 - ing sofware
Iswi t01 - ing sofwareGyno Romero Prado
 
Iswi t01 - romero prado , gyno (2)
Iswi t01 - romero prado , gyno (2)Iswi t01 - romero prado , gyno (2)
Iswi t01 - romero prado , gyno (2)Gyno Romero Prado
 
Auditoria
AuditoriaAuditoria
AuditoriaArnulfo Gomez
 
Charla de auditoria de sistema
Charla de auditoria de sistemaCharla de auditoria de sistema
Charla de auditoria de sistemaDayalia Portugal
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasKendyPea
 
Evidencias 2 yesid manzur
Evidencias 2 yesid manzurEvidencias 2 yesid manzur
Evidencias 2 yesid manzuryessidmanzur
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personassandruitus
 
Jesucristo, Salvador del Mundo. Su misión y valor en la Historia
Jesucristo, Salvador del Mundo. Su misión y valor en la HistoriaJesucristo, Salvador del Mundo. Su misión y valor en la Historia
Jesucristo, Salvador del Mundo. Su misión y valor en la HistoriaDiffusor Fidei
 
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENES
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENESAMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENES
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENESvictormutombo20
 

Más contenido relacionado

Similar a empresa creadora de software.docx

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAmbar Lopez
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticani13
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Iswi t01 - romero prado , gyno (2)
Iswi t01 - romero prado , gyno (2)Iswi t01 - romero prado , gyno (2)
Iswi t01 - romero prado , gyno (2)Gyno Romero Prado
 
Charla de auditoria de sistema
Charla de auditoria de sistemaCharla de auditoria de sistema
Charla de auditoria de sistemaDayalia Portugal
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasKendyPea
 
Evidencias 2 yesid manzur
Evidencias 2 yesid manzurEvidencias 2 yesid manzur
Evidencias 2 yesid manzuryessidmanzur
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personassandruitus
 

Similar a empresa creadora de software.docx (20)

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
 
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
 
Prueba dominioc1karla
Prueba dominioc1karlaPrueba dominioc1karla
Prueba dominioc1karla
 
Modulo ii sig
Modulo ii sigModulo ii sig
Modulo ii sig
 
ISO 12207 presentacion ppt.pptx
ISO 12207 presentacion ppt.pptxISO 12207 presentacion ppt.pptx
ISO 12207 presentacion ppt.pptx
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
 
Auditoria danper
Auditoria danperAuditoria danper
Auditoria danper
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Paso6 201014 25_colaborativo
Paso6 201014 25_colaborativoPaso6 201014 25_colaborativo
Paso6 201014 25_colaborativo
 
Antivirus
AntivirusAntivirus
Antivirus
 
Iswi t01 - ing sofware
Iswi t01 - ing sofwareIswi t01 - ing sofware
Iswi t01 - ing sofware
 
Iswi t01 - romero prado , gyno (2)
Iswi t01 - romero prado , gyno (2)Iswi t01 - romero prado , gyno (2)
Iswi t01 - romero prado , gyno (2)
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Charla de auditoria de sistema
Charla de auditoria de sistemaCharla de auditoria de sistema
Charla de auditoria de sistema
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemas
 
Evidencias 2 yesid manzur
Evidencias 2 yesid manzurEvidencias 2 yesid manzur
Evidencias 2 yesid manzur
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
 

Último

Jesucristo, Salvador del Mundo. Su misión y valor en la Historia
Jesucristo, Salvador del Mundo. Su misión y valor en la HistoriaJesucristo, Salvador del Mundo. Su misión y valor en la Historia
Jesucristo, Salvador del Mundo. Su misión y valor en la HistoriaDiffusor Fidei
 
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENES
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENESAMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENES
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENESvictormutombo20
 
Bienaventuranzas, LOS MANSOS, LOS PACIFICADORESII.pptx
Bienaventuranzas, LOS MANSOS, LOS PACIFICADORESII.pptxBienaventuranzas, LOS MANSOS, LOS PACIFICADORESII.pptx
Bienaventuranzas, LOS MANSOS, LOS PACIFICADORESII.pptxLpezOrlandoRal
 
La leyenda negra historia del odio-a-espana Emerson Eduardo Rodrigues
La leyenda negra historia del odio-a-espana Emerson Eduardo RodriguesLa leyenda negra historia del odio-a-espana Emerson Eduardo Rodrigues
La leyenda negra historia del odio-a-espana Emerson Eduardo RodriguesEMERSON EDUARDO RODRIGUES
 
Presentación de Métodos generales E4.pptx
Presentación de Métodos generales E4.pptxPresentación de Métodos generales E4.pptx
Presentación de Métodos generales E4.pptxTepTziuMiriamAurora
 
MANUAL NIVEL 2. escuderos y centinelas . por juliodocx
MANUAL NIVEL 2. escuderos y centinelas . por juliodocxMANUAL NIVEL 2. escuderos y centinelas . por juliodocx
MANUAL NIVEL 2. escuderos y centinelas . por juliodocxjulio315057
 
Técnicas e instrumentos de la investigación documental.pdf
Técnicas e instrumentos de la investigación documental.pdfTécnicas e instrumentos de la investigación documental.pdf
Técnicas e instrumentos de la investigación documental.pdfJoseBatres12
 
Presentación STOP Lideres en Formación.pptx
Presentación STOP Lideres en Formación.pptxPresentación STOP Lideres en Formación.pptx
Presentación STOP Lideres en Formación.pptxProduvisaCursos
 

Último (8)

Jesucristo, Salvador del Mundo. Su misión y valor en la Historia
Jesucristo, Salvador del Mundo. Su misión y valor en la HistoriaJesucristo, Salvador del Mundo. Su misión y valor en la Historia
Jesucristo, Salvador del Mundo. Su misión y valor en la Historia
 
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENES
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENESAMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENES
AMOR AL PRÓJIMO, A DIOS Y A SÍ MISMO EXPLICADO A LOS JÓVENES
 
Bienaventuranzas, LOS MANSOS, LOS PACIFICADORESII.pptx
Bienaventuranzas, LOS MANSOS, LOS PACIFICADORESII.pptxBienaventuranzas, LOS MANSOS, LOS PACIFICADORESII.pptx
Bienaventuranzas, LOS MANSOS, LOS PACIFICADORESII.pptx
 
La leyenda negra historia del odio-a-espana Emerson Eduardo Rodrigues
La leyenda negra historia del odio-a-espana Emerson Eduardo RodriguesLa leyenda negra historia del odio-a-espana Emerson Eduardo Rodrigues
La leyenda negra historia del odio-a-espana Emerson Eduardo Rodrigues
 
Presentación de Métodos generales E4.pptx
Presentación de Métodos generales E4.pptxPresentación de Métodos generales E4.pptx
Presentación de Métodos generales E4.pptx
 
MANUAL NIVEL 2. escuderos y centinelas . por juliodocx
MANUAL NIVEL 2. escuderos y centinelas . por juliodocxMANUAL NIVEL 2. escuderos y centinelas . por juliodocx
MANUAL NIVEL 2. escuderos y centinelas . por juliodocx
 
Técnicas e instrumentos de la investigación documental.pdf
Técnicas e instrumentos de la investigación documental.pdfTécnicas e instrumentos de la investigación documental.pdf
Técnicas e instrumentos de la investigación documental.pdf
 
Presentación STOP Lideres en Formación.pptx
Presentación STOP Lideres en Formación.pptxPresentación STOP Lideres en Formación.pptx
Presentación STOP Lideres en Formación.pptx
 

empresa creadora de software.docx

  • 2. UNIVERSIDAD AUTONOMA DE CHIRIQUI CENTRO REGIONAL DE TIERRAS ALTAS FACULTAD: ECONOMIA ESCUELA: INFORMATICA PROYECTO FINAL TEMA: EMPRESA CREADORES DE SOFTWARE CLARME INTEGRANTES: CLARIBEL VILLARREAL MELANI LOPEZ PROFESORA IRIS MORENO FECHA DE ENTREGA 24 DE NOVIEMBRE DE 2022 II SEMESTRE 2022 INDICE
  • 3. 1. Procedimientos De Seguridad Informática. 2. Análisis y evaluación del riesgo. 3. Levantamiento de la Información posibles riesgos crear una tabla. 4. Diseño de Políticas de Seguridad. 5. medidas y procedimientos.
  • 4. INTRODUCCIÓN El objetivo de esta empresa CLARME es crear software y estudiar la necesidad de sistemas inteligentes que permitan un mejor control, mediante opciones económicas, y que ayuden a una mejor administración de la información en diferentes dispositivos. La importancia de este plan de negocio consiste en la exposición de los beneficios que puede traer en tres aspectos como son: La inversión, dado que es un negocio que busca rentabilidad, eficiencia, y una alta penetración en el amplio campo de mercado que hay, la poca oferta que existe del mismo y la factibilidad de desarrollar una empresa que ofrezca este sistema.
  • 5. 1. Procedimientos De Seguridad Informática. 1.1 Vulnerabilidades. 1.2 Técnicas de codificación segura 1.3 Pruebas de intrusión 1.4 Seguridad en Infraestructura de TI 1.5 Concientización y capacitación al personal 1.1 Vulnerabilidades. Confiabilidad de los datos del lado del cliente: Esta consta de modificar los datos que se le proporcionan al software con la finalidad de obtener diferentes respuestas por parte del servidor. Manipulación de entradas: Dentro del contexto de un ataque a una aplicación Web, un atacante primero tratará de probar y manipular los campos de entrada para ganar acceso al software.
  • 6. 1.2 Técnicas de codificación segura La más importante medida de defensa que los desarrolladores pueden tomar, es validar la entrada que su software recibe debido a que las entradas no revisadas o mal revisadas es la fuente de las peores vulnerabilidades existentes incluyendo buffer overflow, inyección de SQL, y una gran variedad de otras. Las situaciones siempre llegarán a un nivel en que tienes que depender de entradas correctas para producir resultados correctos. No se puede ser responsable de conocer donde todas las entradas que recibes son correctas, sin embargo, si se puede ser responsables de que las entradas aceptadas no sean obviamente equivocadas. 1.3 Pruebas de intrusión En la empresa de creadores de Software existen programas para verificar la seguridad de sitios WEB como son el WGET, WEBSCARAB. WGET es una herramienta de línea de comandos para Unix y Windows que permite bajar el contenido de un sitio Web, trabaja en forma no interactiva, en el “background”, trabaja particularmente bien con conexiones no estables y lentas. WEBSCARAB es un marco de trabajo para analizar aplicaciones web que se comunica usando los protocolos HTTP y HTTPS. Está escrito en Java, por lo que es portable a muchas plataformas. WEBSCARAB tiene muchos modos de operación, implementados por varios plugins. Su uso más común es operar WEBSCARAB como un proxy de intercepción, que permite al operador revisar y modificar las peticiones creadas por el navegador antes de que sean enviados al servidor, y para revisar y modificar respuestas enviadas por el servidor antes de que sean recibidas por el navegador.
  • 7. WEBSCARAB es capaz de interceptar comunicación en HTTP y HTTPS. 1.4 Seguridad en Infraestructura de TI Implementación de: SOC (Security Operation Center): Administrar, monitorear, controlar, manejar incidentes de seguridad y brindar soporte centralizado. Zonas Seguras: Definir los lineamientos y controles de los sistemas y redes para reforzar la seguridad con diferentes tecnologías como firewalls, IPS y VPN. Endurecimiento: Desarrollar y aplicar guías de configuración segura a una muestra de equipos para prevenir ataques o amenazas de seguridad. 1.5 Concientización y capacitación al personal Es importante concientizar al personal interno de la importancia de la Seguridad Informática en las empresas, a través de políticas de difusión y/o de capacitación. • Programa de concientización y entrenamiento. • Modificar hábitos inseguros en la operación diaria. • Capacitar a un grupo de entrenadores líderes en la cultura de la seguridad, quienes a su vez concientizarán al personal sobre los riesgos de no utilizar prácticas de seguridad. • Diseñar e implantar un programa de comunicación a través de medios de comunicación como: carteles correo electrónico,
  • 8. protectores de pantalla y trípticos, para fomentar la cultura a toda la empresa. • Controlar la navegación de los usuarios • Establecer políticas que regulen el uso de aplicaciones y el acceso a estas. • Controlar la fuga de información a través de correos electrónicos, control de dispositivos de almacenamiento (pen drive, discos duros, etc) • Políticas de uso de contraseñas fuertes • Capacitación. Análisis y evaluación del riesgo. Analisis. El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas. Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir). Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma, se pueden priorizar los problemas y su costo potencial desarrollando un plan de acción adecuado. Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto. Evaluación.
  • 9. Una vez conocidos los riesgos, los recursos que se deben proteger y cómo su daño o falta pueden influir en la organización, es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco. Se suele dividir las amenazas existentes según su ámbito de acción: 1 Desastre del entorno (Seguridad Física). 2 Amenazas del sistema (Seguridad Lógica). 3 Amenazas en la red (Comunicaciones). 4 Amenazas de personas (Insiders-Outsiders). Levantamiento de la Información posibles riesgos
  • 10. Los riesgos se clasifican por su nivel de importancia y por la severidad de su pérdida. Tipo de riesgo Factor Complejidad tecnológica alto Robo de informacion Alto Planificación y control Medio Entorno organizacional Medio Fallas en los equipos Medio Virus informaticos Medio Equivocaciones Medio Equipo de trabajo Medio
  • 11. 4. Diseño de Políticas de Seguridad. POLÍTICAS PARA NUESTRA ENPRESA CLARME DE DESARROLLADORES DE SOFTWARE 1. Ambientes separados de producción y desarrollo. Todo sistema o aplicativo debe contar con ambiente de desarrollo y ambiente de producción. Así mismo para la realización de pruebas no se deben utilizar datos de producción. 2. Cumplimiento del procedimiento para cambios y/o actualizaciones. Todo cambio y/o actualización en los sistemas de información que se encuentren en producción, serán evaluados en ambientes de prueba cuya función es determinar el correcto funcionamiento y compatibilidad con las herramientas base. Una vez determinado el correcto funcionamiento y compatibilidad con las herramientas base se debe crear un plan de trabajo para la migración del ambiente de producción a la nueva versión. 3. Documentación de cambios y/o actualizaciones. Todo cambio y/o actualización en los sistemas de información que se encuentren en producción, debe tener la dcumentación respectiva. 4. Catalogación de programas. Debe cumplirse con el procedimiento establecido para pasar programas del ambiente de desarrollo al ambiente de producción previa prueba por parte del área encargada. 5. Medidas de seguridad deben ser implantadas y probadas antes de entrar en operación. Todos los controles de seguridad para los sistemas de información deben ser implantados y probados sobre ambiente de pruebas o desarrollo y antes que dicho sistema entre en operación. 6. Dependencia de la autenticación de usuario en el sistema operativo.
  • 12. Los desarrolladores de aplicaciones no deberán crear su propio sistema de control de acceso a la aplicación en dsarrollo, esta labor deberá recaer en el sistema operativo o en un sistema de control de acceso que mejora las capacidades del sistema operativo. Esta política debe empezar a cumplirse desde la liberación de este documento. 7. Corporación de contraseñas en el software. Ninguna contraseña deberá ser incorporada en el código de un software desarrollado o modificado por la empresa o sus proveedores, para permitir que las contraseñas sean cambiadas con regularidad. 8. Acceso del usuario a los comandos del sistema operativo. Después de haber iniciado una sesión, el usuario debe mantenerse en menús que muestren solo lregularidad habilitadas para dicho usuario y de esta manera impedir la ejecución de comandos del sistema operativo y la divulgación de las capacidades del sistema. 6. Medidas y procedimientos. Plantear las medidas y procedimientos necesarios que permitan EL CUMPLIMIENTO de las políticas de seguridad informática en el sistema de INFORMACIÓN. Para la implementación de la estrategia de seguridad de la información, la la empresa de creación de software debe regirse por lo Dispuesto en el marco jurídico y normativo aplicable a la creación de software o entidades que las regulan y Aglutinan. DEFINICIONES Para los propósitos de este documento se aplican los siguientes términos y definiciones:
  • 13. Acuerdo de Confidencialidad: Documento que debe suscribir todo usuario con el objeto de lograr el acceso a recursos informáticos de la empresa de creación de software. Administradores: Usuarios a quienes se les ha dado la tarea de administrar los recursos informáticos y poseen un identificador que le permite tener privilegios administrativos sobre los recursos informáticos de la entidad, quienes estarán bajo el control del Coordinador de Sistemas. Amenaza: Causa potencial de un incidente no deseado, que puede ocasionar daño a un sistema u organización. Backup: Copia de la información en un determinado momento, que puede ser recuperada con posterioridad. Contraseña: Clave de acceso a un recurso informático. Control: Medios para gestionar el riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras de la Organización que pueden ser de naturaleza administrativa, técnica, de gestión o legal. Directrices: Descripción que aclara lo que se debería hacer y cómo hacerlo, para alcanzar los objetivos establecidos en Las políticas.
  • 14. Servicios de procesamiento de la información: Cualquier servicio, infraestructura o sistema de procesamiento de información o los sitios físicos que los albergan. Seguridad de la Información: Preservación de la confidencialidad, integridad y disponibilidad de la información, además, otras propiedades Tales como autenticidad, responsabilidad, no repudio y confiabilidad pueden estar involucradas