2. UNIVERSIDAD AUTONOMA DE CHIRIQUI
CENTRO REGIONAL DE TIERRAS ALTAS
FACULTAD: ECONOMIA
ESCUELA: INFORMATICA
PROYECTO FINAL
TEMA: EMPRESA CREADORES DE SOFTWARE
CLARME
INTEGRANTES:
CLARIBEL VILLARREAL
MELANI LOPEZ
PROFESORA
IRIS MORENO
FECHA DE ENTREGA
24 DE NOVIEMBRE DE 2022
II SEMESTRE
2022
INDICE
3. 1. Procedimientos De Seguridad Informática.
2. Análisis y evaluación del riesgo.
3. Levantamiento de la Información posibles riesgos crear una
tabla.
4. Diseño de Políticas de Seguridad.
5. medidas y procedimientos.
4. INTRODUCCIÓN
El objetivo de esta empresa CLARME es crear software y estudiar
la necesidad de sistemas inteligentes que permitan un mejor
control, mediante opciones económicas, y que ayuden a una
mejor administración de la información en diferentes
dispositivos.
La importancia de este plan de negocio consiste en la exposición
de los beneficios que puede traer en tres aspectos como son: La
inversión, dado que es un negocio que busca rentabilidad,
eficiencia, y una alta penetración en el amplio campo de mercado
que hay, la poca oferta que existe del mismo y la factibilidad de
desarrollar una empresa que ofrezca este sistema.
5. 1. Procedimientos De Seguridad Informática.
1.1 Vulnerabilidades.
1.2 Técnicas de codificación segura
1.3 Pruebas de intrusión
1.4 Seguridad en Infraestructura de TI
1.5 Concientización y capacitación al personal
1.1 Vulnerabilidades.
Confiabilidad de los datos del lado del cliente:
Esta consta de modificar los datos que se le proporcionan al
software con la finalidad de obtener diferentes respuestas por
parte del servidor.
Manipulación de entradas:
Dentro del contexto de un ataque a una aplicación Web, un
atacante primero tratará de probar y manipular los campos de
entrada para ganar acceso al software.
6. 1.2
Técnicas de codificación segura
La más importante medida de defensa que los desarrolladores
pueden tomar, es validar la entrada que su software recibe
debido a que las entradas no revisadas o mal revisadas es la
fuente de las peores vulnerabilidades existentes incluyendo
buffer overflow, inyección de SQL, y una gran variedad de otras.
Las situaciones siempre llegarán a un nivel en que tienes que
depender de entradas correctas para producir resultados
correctos. No se puede ser responsable de conocer donde todas
las entradas que recibes son correctas, sin embargo, si se puede
ser responsables de que las entradas aceptadas no sean
obviamente equivocadas.
1.3 Pruebas de intrusión
En la empresa de creadores de Software existen programas para
verificar la seguridad de sitios WEB como son el WGET, WEBSCARAB.
WGET es una herramienta de línea de comandos para Unix y Windows
que permite bajar el contenido de un sitio Web, trabaja en forma no
interactiva, en el “background”, trabaja particularmente bien con
conexiones no estables y lentas.
WEBSCARAB es un marco de trabajo para analizar aplicaciones web
que se comunica usando los protocolos HTTP y HTTPS.
Está escrito en Java, por lo que es portable a muchas plataformas.
WEBSCARAB tiene muchos modos de operación, implementados por
varios plugins.
Su uso más común es operar WEBSCARAB como un proxy de
intercepción, que permite al operador revisar y modificar las peticiones
creadas por el navegador antes de que sean enviados al servidor, y
para revisar y modificar respuestas enviadas por el servidor antes de
que sean recibidas por el navegador.
7. WEBSCARAB es capaz de interceptar comunicación en HTTP y HTTPS.
1.4 Seguridad en Infraestructura de TI
Implementación de:
SOC (Security Operation Center):
Administrar, monitorear, controlar, manejar incidentes de
seguridad y brindar soporte centralizado.
Zonas Seguras:
Definir los lineamientos y controles de los sistemas y redes para
reforzar la seguridad con diferentes tecnologías como firewalls,
IPS y VPN.
Endurecimiento:
Desarrollar y aplicar guías de configuración segura a una
muestra de equipos para prevenir ataques o amenazas de
seguridad.
1.5 Concientización y capacitación al personal
Es importante concientizar al personal interno de la importancia de la
Seguridad Informática en las empresas, a través de políticas de
difusión y/o de capacitación.
• Programa de concientización y entrenamiento.
• Modificar hábitos inseguros en la operación diaria.
• Capacitar a un grupo de entrenadores líderes en la cultura de la
seguridad, quienes a su vez concientizarán al personal sobre los
riesgos de no utilizar prácticas de seguridad.
• Diseñar e implantar un programa de comunicación a través de
medios de comunicación como: carteles correo electrónico,
8. protectores de pantalla y trípticos, para fomentar la cultura a
toda la empresa.
• Controlar la navegación de los usuarios
• Establecer políticas que regulen el uso de aplicaciones y el
acceso a estas.
• Controlar la fuga de información a través de correos
electrónicos, control de dispositivos de almacenamiento (pen
drive, discos duros, etc)
• Políticas de uso de contraseñas fuertes • Capacitación.
Análisis y evaluación del riesgo.
Analisis.
El análisis de riesgos supone más que el hecho de calcular la
posibilidad de que ocurran cosas negativas.
Se debe poder obtener una evaluación económica del impacto de
estos sucesos. Este valor se podrá utilizar para contrastar el
costo de la protección de la información en análisis, versus el
costo de volverla a producir (reproducir).
Se debe tener en cuenta la probabilidad que sucedan cada uno de
los problemas posibles. De esta forma, se pueden priorizar los
problemas y su costo potencial desarrollando un plan de acción
adecuado.
Se debe conocer qué se quiere proteger, dónde y cómo,
asegurando que con los costos en los que se incurren se
obtengan beneficios efectivos. Para esto se deberá identificar los
recursos (hardware, software, información, personal, accesorios,
etc.) con que se cuenta y las amenazas a las que se está
expuesto.
Evaluación.
9. Una vez conocidos los riesgos, los recursos que se deben
proteger y cómo su daño o falta pueden influir en la organización,
es necesario identificar cada una de las amenazas y
vulnerabilidades que pueden causar estas bajas en los recursos.
Existe una relación directa entre amenaza y vulnerabilidad a tal
punto que si una no existe la otra tampoco.
Se suele dividir las amenazas existentes según su ámbito de
acción:
1 Desastre del entorno (Seguridad Física).
2 Amenazas del sistema (Seguridad Lógica).
3 Amenazas en la red (Comunicaciones).
4 Amenazas de personas (Insiders-Outsiders).
Levantamiento de la Información posibles riesgos
10. Los riesgos se clasifican por su nivel de importancia y por la
severidad de su pérdida.
Tipo de riesgo Factor
Complejidad tecnológica alto
Robo de informacion Alto
Planificación y control Medio
Entorno organizacional Medio
Fallas en los equipos Medio
Virus informaticos Medio
Equivocaciones Medio
Equipo de trabajo Medio
11. 4. Diseño de Políticas de Seguridad.
POLÍTICAS PARA NUESTRA ENPRESA CLARME DE DESARROLLADORES DE
SOFTWARE
1. Ambientes separados de producción y desarrollo.
Todo sistema o aplicativo debe contar con ambiente de desarrollo y
ambiente de producción. Así mismo para la realización de pruebas no se
deben utilizar datos de producción.
2. Cumplimiento del procedimiento para cambios y/o actualizaciones.
Todo cambio y/o actualización en los sistemas de información que se
encuentren en producción, serán evaluados en ambientes de prueba cuya
función es determinar el correcto funcionamiento y compatibilidad con las
herramientas base. Una vez determinado el correcto funcionamiento y
compatibilidad con las herramientas base se debe crear un plan de trabajo
para la migración del ambiente de producción a la nueva versión.
3. Documentación de cambios y/o actualizaciones.
Todo cambio y/o actualización en los sistemas de información que se
encuentren en producción, debe tener la dcumentación respectiva.
4. Catalogación de programas.
Debe cumplirse con el procedimiento establecido para pasar programas del
ambiente de desarrollo al ambiente de producción previa prueba por parte
del área encargada.
5. Medidas de seguridad deben ser implantadas y probadas antes de
entrar en operación.
Todos los controles de seguridad para los sistemas de información deben ser
implantados y probados sobre ambiente de pruebas o desarrollo y antes que
dicho sistema entre en operación.
6. Dependencia de la autenticación de usuario en el sistema operativo.
12. Los desarrolladores de aplicaciones no deberán crear su propio sistema de
control de acceso a la aplicación en dsarrollo, esta labor deberá recaer en el
sistema operativo o en un sistema de control de acceso que mejora las
capacidades del sistema operativo. Esta política debe empezar a cumplirse
desde la liberación de este documento.
7. Corporación de contraseñas en el software.
Ninguna contraseña deberá ser incorporada en el código de un software
desarrollado o modificado por la empresa o sus proveedores, para permitir
que las contraseñas sean cambiadas con regularidad.
8. Acceso del usuario a los comandos del sistema operativo.
Después de haber iniciado una sesión, el usuario debe mantenerse en menús
que muestren solo lregularidad habilitadas para dicho usuario y de esta
manera impedir la ejecución de comandos del sistema operativo y la
divulgación de las capacidades del sistema.
6. Medidas y procedimientos. Plantear las medidas y procedimientos
necesarios que permitan EL CUMPLIMIENTO de las políticas de seguridad
informática en el sistema de INFORMACIÓN.
Para la implementación de la estrategia de seguridad de la información, la
la empresa de creación de software debe regirse por lo Dispuesto en el
marco jurídico y normativo aplicable a la creación de software o entidades
que las regulan y Aglutinan.
DEFINICIONES
Para los propósitos de este documento se aplican los siguientes términos y
definiciones:
13. Acuerdo de Confidencialidad:
Documento que debe suscribir todo usuario con el objeto de lograr el
acceso a recursos informáticos de la empresa de creación de software.
Administradores:
Usuarios a quienes se les ha dado la tarea de administrar los recursos
informáticos y poseen un identificador que le permite tener privilegios
administrativos sobre los recursos informáticos de la entidad, quienes
estarán bajo el control del Coordinador de Sistemas.
Amenaza:
Causa potencial de un incidente no deseado, que puede ocasionar daño a
un sistema u organización.
Backup:
Copia de la información en un determinado momento, que puede ser
recuperada con posterioridad.
Contraseña:
Clave de acceso a un recurso informático.
Control:
Medios para gestionar el riesgo, incluyendo políticas, procedimientos,
directrices, prácticas o estructuras de la Organización que pueden ser de
naturaleza administrativa, técnica, de gestión o legal.
Directrices: Descripción que aclara lo que se debería hacer y cómo
hacerlo, para alcanzar los objetivos establecidos en Las políticas.
14. Servicios de procesamiento de la información:
Cualquier servicio, infraestructura o sistema de procesamiento de
información o los sitios físicos que los albergan.
Seguridad de la Información:
Preservación de la confidencialidad, integridad y disponibilidad de la
información, además, otras propiedades
Tales como autenticidad, responsabilidad, no repudio y confiabilidad
pueden estar involucradas