Descripción de servicios en Cloud Computing y principales factores referidos a la seguridad a tener en cuenta cuando se considera la migración de servicios hacia la nube
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?Symantec LATAM
Si los passwords son débiles… ¿porqué no mejor matarlos?
22. october 28th 2015
Desafíos en la empresa cuando los password son débiles
¿Y si mejor matamos el password?
¿Cómo lo hacemos?
Este documento presenta una introducción a los presentadores y resume las principales tendencias en seguridad empresarial, como el resurgimiento de los puntos finales, la desaparición del perímetro tradicional y la rápida adopción de la nube. Luego, se enfoca en proteger Office 365 mediante la detección de amenazas avanzadas en correos electrónicos, la protección de identidades y la protección de información confidencial. Finalmente, presenta demostraciones de las capacidades de Symantec para proteger Office 365.
Círculo de Crédito: Del modelo de negocio a la arquitectura, retos y experien...Software Guru
El documento presenta los desafíos y experiencias de una empresa al lanzar un API Developer Portal. La empresa buscaba monetizar sus activos TI, reducir costos, mejorar agilidad y construir un ecosistema de nuevos modelos de negocio mediante el uso de APIs. Al planear el portal, consideró criterios como impacto al negocio, complejidad técnica, preparación del negocio y alineación estratégica para priorizar las APIs a publicar.
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
Se presenta un marco de actividades para llevar a cabo iniciativas de mejora de la seguridad en el desarrollo de aplicaciones de software, donde es fundamental identificar a los roles adecuados para liderar la iniciativa, establecer las métricas de seguridad para el buen gobierno, desarrollar la inteligencia para detectar modelos de ciberataques y sus requisitos asociados de seguridad, realizar el análisis de riesgos de las arquitecturas del software, las inspecciones de código, las pruebas de seguridad y finalmente, gestionar las entregas de software asociadas a las vulnerabilidades identificadas en los entornos de producción sobre los que se hayan realizado pruebas de penetración.
Este documento presenta soluciones de Symantec para eliminar el uso de contraseñas y mejorar la seguridad y conveniencia del acceso. Symantec ofrece autenticación multifactor mediante huella digital u otros métodos biométricos, certificados digitales y acceso único con autenticación fuerte para aplicaciones en la nube. Estas soluciones simplifican el acceso para usuarios mientras brindan mayores controles y visibilidad para los equipos de TI.
Divide y Vencerás: introducción a los MicroserviciosThoughtworks
Actualmente está muy de moda los términos SOA, descentralización de servicios, microservicios... pero, ¿qué significan realmente?
En esta charla intentaremos aclarar estas dudas además de explicar como podemos utilizar los nuevos paradigmas y diseños arquitectónicos para crear aplicaciones sencillas de construir, escalables y que sigan cumpliendo los requerimientos del negocio.
Esta charla se presentó por primera vez en el evento ComparTI/Tech Stage en las oficinas de Thoughtworks Quito en Enero de 2015. http://info.thoughtworks.com/ComparTI-Quito-Enero_Registration-Page.html
El documento habla sobre la transformación digital y los factores que las empresas deben considerar para llevarla a cabo de manera exitosa, como conocer y reconocer la necesidad de transformación digital, desarrollar un plan para integrar nuevas tecnologías, considerar la tecnología y la gente, la seguridad, la experiencia del cliente, el análisis de costo-beneficio, y la cultura interna. También discute cómo diferentes industrias como el retail, el transporte y el entretenimiento están experimentando la transformación digital.
Descripción de servicios en Cloud Computing y principales factores referidos a la seguridad a tener en cuenta cuando se considera la migración de servicios hacia la nube
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?Symantec LATAM
Si los passwords son débiles… ¿porqué no mejor matarlos?
22. october 28th 2015
Desafíos en la empresa cuando los password son débiles
¿Y si mejor matamos el password?
¿Cómo lo hacemos?
Este documento presenta una introducción a los presentadores y resume las principales tendencias en seguridad empresarial, como el resurgimiento de los puntos finales, la desaparición del perímetro tradicional y la rápida adopción de la nube. Luego, se enfoca en proteger Office 365 mediante la detección de amenazas avanzadas en correos electrónicos, la protección de identidades y la protección de información confidencial. Finalmente, presenta demostraciones de las capacidades de Symantec para proteger Office 365.
Círculo de Crédito: Del modelo de negocio a la arquitectura, retos y experien...Software Guru
El documento presenta los desafíos y experiencias de una empresa al lanzar un API Developer Portal. La empresa buscaba monetizar sus activos TI, reducir costos, mejorar agilidad y construir un ecosistema de nuevos modelos de negocio mediante el uso de APIs. Al planear el portal, consideró criterios como impacto al negocio, complejidad técnica, preparación del negocio y alineación estratégica para priorizar las APIs a publicar.
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
Se presenta un marco de actividades para llevar a cabo iniciativas de mejora de la seguridad en el desarrollo de aplicaciones de software, donde es fundamental identificar a los roles adecuados para liderar la iniciativa, establecer las métricas de seguridad para el buen gobierno, desarrollar la inteligencia para detectar modelos de ciberataques y sus requisitos asociados de seguridad, realizar el análisis de riesgos de las arquitecturas del software, las inspecciones de código, las pruebas de seguridad y finalmente, gestionar las entregas de software asociadas a las vulnerabilidades identificadas en los entornos de producción sobre los que se hayan realizado pruebas de penetración.
Este documento presenta soluciones de Symantec para eliminar el uso de contraseñas y mejorar la seguridad y conveniencia del acceso. Symantec ofrece autenticación multifactor mediante huella digital u otros métodos biométricos, certificados digitales y acceso único con autenticación fuerte para aplicaciones en la nube. Estas soluciones simplifican el acceso para usuarios mientras brindan mayores controles y visibilidad para los equipos de TI.
Divide y Vencerás: introducción a los MicroserviciosThoughtworks
Actualmente está muy de moda los términos SOA, descentralización de servicios, microservicios... pero, ¿qué significan realmente?
En esta charla intentaremos aclarar estas dudas además de explicar como podemos utilizar los nuevos paradigmas y diseños arquitectónicos para crear aplicaciones sencillas de construir, escalables y que sigan cumpliendo los requerimientos del negocio.
Esta charla se presentó por primera vez en el evento ComparTI/Tech Stage en las oficinas de Thoughtworks Quito en Enero de 2015. http://info.thoughtworks.com/ComparTI-Quito-Enero_Registration-Page.html
El documento habla sobre la transformación digital y los factores que las empresas deben considerar para llevarla a cabo de manera exitosa, como conocer y reconocer la necesidad de transformación digital, desarrollar un plan para integrar nuevas tecnologías, considerar la tecnología y la gente, la seguridad, la experiencia del cliente, el análisis de costo-beneficio, y la cultura interna. También discute cómo diferentes industrias como el retail, el transporte y el entretenimiento están experimentando la transformación digital.
El documento describe la arquitectura orientada a servicios (SOA) y cómo Windows Communication Foundation (WCF) y la Web Service Software Factory facilitan su implementación. WCF unifica las tecnologías de comunicación distribuida de Microsoft para permitir el desarrollo de servicios interoperables de forma productiva. La fábrica de software guía la construcción automatizada de aplicaciones SOA siguiendo prácticas probadas para mejorar la calidad, predictibilidad y productividad.
La seguridad en la nube depende de la estrategia de seguridad establecida entre el proveedor y el cliente. El cliente debe establecer claramente sus necesidades de seguridad y conocer las políticas de seguridad del proveedor. Algunos factores clave incluyen el tipo de nube (pública, privada o híbrida), el control y la localización de los datos, y la integridad y confidencialidad de la información.
Este documento presenta información sobre el diseño arquitectónico de software. Explica que la arquitectura de software define cómo se organiza y estructura un sistema en componentes y sus relaciones. También describe que la arquitectura se diseña en dos niveles de abstracción, para programas individuales y sistemas empresariales complejos. Finalmente, destaca la importancia de considerar los requerimientos no funcionales y atributos de calidad al diseñar la arquitectura de un sistema.
La seguridad sigue siendo hoy en día una de las principales preocupaciones a la hora de dar el salto a la nube. Los clientes sienten una preocupación razonable a la hora de pensar en poner su activo más crítico -los datos- en manos de terceros. Entre las principales amenazas de seguridad en el cloud se encuentra la fuga de datos críticos, sobre todo debido a deficiencias en la configuración y gestión.
Oracle Cloud Infrastructure (OCI) es un referente en el mercado gracias, entre otros aspectos, a su estrategia de seguridad y disponibilidad de activos críticos. En este webinar conoceremos las medidas de seguridad que Oracle pone a disposición de las empresas y cómo desde avanttic podemos facilitar una transición y permanencia en la nube sin fisuras, garantizando la seguridad, disponibilidad y aislamiento.
El término Microservicios se pone de moda en 2014 y desde entonces está calando mucho en la industria de desarrollo de software. Con la salida al mercado de NET Core 2.0 y su facilidad de despliegue a diferentes sistemas operativos como Linux y Windows; se está popularizando su adopción en diferentes plataformas Cloud.
En esta presentación mostramos aspectos puntuales de Microservicios con NET Core y cuán sencillo es crear microservicios con Azure Service Fabric.
Presentación realizada en el Congreso Web 2017, sobre el diseño de Servicio en entornos digitales. Realicé una pequeña introducción al diseño de servicios, y hablé y explique tres de las principales claves: el tiempo, el viaje "seamless" del usuario y poner al usuario en el centro.
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...Roger CARHUATOCTO
Este documento presenta WSO2 Identity Server y su capacidad para gestionar identidades y control de acceso en servicios. Explica los requisitos de seguridad como autenticación, autorización, confidencialidad, integridad, no repudio, anonimato, disponibilidad y auditoría. También describe cómo WSO2 Identity Server y WSO2 ESB pueden aplicar seguridad a través de la autenticación, autorización, firma digital y administración de identidades. Finalmente, incluye demostraciones de aprovisionamiento de usuarios y autenticación
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...WSO2
http://wso2.com/library/webinars/2015/06/gestion-de-identidades-y-control-de-acceso-en-los-servicios-usando-wso2-identity-server/
En esta sesión exploraremos las diferentes estrategias para aplicar seguridad (Autenticación, Autorización y SSO) sobre las Aplicaciones de Negocio, Servicios y/o API, conoceremos las funcionalidades de WSO2 IS para resolver todos y cada uno de estos desafíos, conoceremos cómo desde WSO2 ESB y WSO2 API Manager aplicar aspectos de QoS y Poíticas Seguridad.
Se muestra cómo desplegar mecanismos de seguridad (Gestión de Identidades, Autenticación, Autorización, SSO) en toda la Organización.
Se emplea:
WSO2 ESB, BAM, IS, BRS
Bonita BPM, Liferay, Openbravo ERP, Apache DS, Penrose Virtual LDAP
El documento presenta una sesión sobre cómo conectar aplicaciones de escritorio a Microsoft Graph. Explica cómo registrar una aplicación, usar el SDK de Graph y acceder a datos de usuario y de la organización a través de Graph. También incluye demostraciones de Graph Explorer, el portal de registro de aplicaciones y el flujo completo desde el inicio de sesión hasta el acceso a datos en Graph.
Este documento presenta un proyecto de analítica web. Resume los principales puntos sobre por qué estar en Internet, cómo hacerlo de manera efectiva mediante el análisis competitivo, la definición de productos y contenidos, y el desarrollo técnico. También cubre temas como la elección de herramientas de analítica web, el desarrollo de una estrategia SEO y las diferentes fuentes de tráfico como campañas, emailing, SEO y redes sociales que se deben analizar.
Be Aware Webinar - Uniendo fuerzas: administre y proteja al punto finalSymantec LATAM
Este documento presenta las soluciones de Symantec para la administración y protección de endpoints. Describe los desafíos de controlar endpoints móviles y la necesidad de visibilidad y políticas coherentes. Luego introduce las suites IT Management Suite (ITMS) y Symantec Endpoint Protection (SEP) que brindan administración unificada, seguridad en capas y análisis para proteger y gestionar endpoints de forma centralizada. Finalmente, se discuten los servicios de educación de Symantec para capacitar a los clientes.
Este documento trata sobre cloud computing y SEO (posicionamiento en motores de búsqueda). Explica brevemente la historia y características de ambos temas, así como sus ventajas y desventajas. Cloud computing ofrece servicios a través de Internet y tiene ventajas como reducción de costos y flexibilidad, aunque plantea riesgos de seguridad y privacidad. El SEO busca posicionar sitios web en los resultados de búsqueda mediante técnicas como el contenido relevante, aunque los resultados son lentos e impredec
Este documento presenta conceptos sobre modelado y diseño de arquitectura de software. Explica que la arquitectura es una abstracción del sistema que permite alcanzar atributos de calidad como modificabilidad e interoperabilidad. También describe que los requisitos funcionales y no funcionales determinan el modelo de arquitectura, el cual debe ser validado para asegurar que cumple con dichos requisitos.
ADTI es una empresa líder en automatización que ofrece soluciones de ingeniería en áreas como control de procesos, control discreto, control eléctrico e ingeniería mecánica. Su misión es ser la mejor opción en el mercado de automatización mediante la excelencia, confianza en los clientes y mejora continua. ADTI sigue una metodología de proyectos que incluye planificación, diseño, implementación y calidad para entregar soluciones de alta calidad.
Introduction to ThousandEyes and Meraki MX for Partners in SpanishThousandEyes
Este documento presenta ThousandEyes y cómo puede integrarse con los dispositivos Meraki MX para proporcionar visibilidad de extremo a extremo. La presentación incluye una demostración de cómo ThousandEyes puede monitorear el estado de las aplicaciones web y las caídas de Internet desde Meraki MX, así como opciones de licencia para ThousandEyes.
Plataforma de Interoperabilidad - PIDE para Servicios Públicos en Línea - PerúCésar Vilchez Inga
Descripción técnica resumida de la Plataforma de Interoperabilidad - PIDE del Estado Peruano, que permite la implementación ordenada y orquestada de servicios públicos en línea, basada en SOA. Reunes los niveles organizacional, semántico y técnico. Es un proyectos de Gobierno Electrónico.
Este documento refuta 5 mitos comunes sobre el desarrollo de aplicaciones móviles. Brevemente discute que las aplicaciones móviles no solo son para clientes internos, el proceso de desarrollo no cambia sustancialmente, la infraestructura existente puede usarse para soportar aplicaciones móviles, no es necesario usar la última versión de GeneXus para crearlas, y que el tiempo de desarrollo no es mucho mayor que para otras aplicaciones.
El documento describe las cinco etapas clave del diseño de software: 1) Análisis de requerimientos, 2) Diseño del software que incluye cinco modelos, 3) Revisión técnica, 4) Aprobación, y 5) Construcción. Explica que un buen diseño es fundamental para generar software de calidad con requerimientos claros y funcionalidad completa.
El documento describe la arquitectura orientada a servicios (SOA) y cómo Windows Communication Foundation (WCF) y la Web Service Software Factory facilitan su implementación. WCF unifica las tecnologías de comunicación distribuida de Microsoft para permitir el desarrollo de servicios interoperables de forma productiva. La fábrica de software guía la construcción automatizada de aplicaciones SOA siguiendo prácticas probadas para mejorar la calidad, predictibilidad y productividad.
La seguridad en la nube depende de la estrategia de seguridad establecida entre el proveedor y el cliente. El cliente debe establecer claramente sus necesidades de seguridad y conocer las políticas de seguridad del proveedor. Algunos factores clave incluyen el tipo de nube (pública, privada o híbrida), el control y la localización de los datos, y la integridad y confidencialidad de la información.
Este documento presenta información sobre el diseño arquitectónico de software. Explica que la arquitectura de software define cómo se organiza y estructura un sistema en componentes y sus relaciones. También describe que la arquitectura se diseña en dos niveles de abstracción, para programas individuales y sistemas empresariales complejos. Finalmente, destaca la importancia de considerar los requerimientos no funcionales y atributos de calidad al diseñar la arquitectura de un sistema.
La seguridad sigue siendo hoy en día una de las principales preocupaciones a la hora de dar el salto a la nube. Los clientes sienten una preocupación razonable a la hora de pensar en poner su activo más crítico -los datos- en manos de terceros. Entre las principales amenazas de seguridad en el cloud se encuentra la fuga de datos críticos, sobre todo debido a deficiencias en la configuración y gestión.
Oracle Cloud Infrastructure (OCI) es un referente en el mercado gracias, entre otros aspectos, a su estrategia de seguridad y disponibilidad de activos críticos. En este webinar conoceremos las medidas de seguridad que Oracle pone a disposición de las empresas y cómo desde avanttic podemos facilitar una transición y permanencia en la nube sin fisuras, garantizando la seguridad, disponibilidad y aislamiento.
El término Microservicios se pone de moda en 2014 y desde entonces está calando mucho en la industria de desarrollo de software. Con la salida al mercado de NET Core 2.0 y su facilidad de despliegue a diferentes sistemas operativos como Linux y Windows; se está popularizando su adopción en diferentes plataformas Cloud.
En esta presentación mostramos aspectos puntuales de Microservicios con NET Core y cuán sencillo es crear microservicios con Azure Service Fabric.
Presentación realizada en el Congreso Web 2017, sobre el diseño de Servicio en entornos digitales. Realicé una pequeña introducción al diseño de servicios, y hablé y explique tres de las principales claves: el tiempo, el viaje "seamless" del usuario y poner al usuario en el centro.
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...Roger CARHUATOCTO
Este documento presenta WSO2 Identity Server y su capacidad para gestionar identidades y control de acceso en servicios. Explica los requisitos de seguridad como autenticación, autorización, confidencialidad, integridad, no repudio, anonimato, disponibilidad y auditoría. También describe cómo WSO2 Identity Server y WSO2 ESB pueden aplicar seguridad a través de la autenticación, autorización, firma digital y administración de identidades. Finalmente, incluye demostraciones de aprovisionamiento de usuarios y autenticación
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...WSO2
http://wso2.com/library/webinars/2015/06/gestion-de-identidades-y-control-de-acceso-en-los-servicios-usando-wso2-identity-server/
En esta sesión exploraremos las diferentes estrategias para aplicar seguridad (Autenticación, Autorización y SSO) sobre las Aplicaciones de Negocio, Servicios y/o API, conoceremos las funcionalidades de WSO2 IS para resolver todos y cada uno de estos desafíos, conoceremos cómo desde WSO2 ESB y WSO2 API Manager aplicar aspectos de QoS y Poíticas Seguridad.
Se muestra cómo desplegar mecanismos de seguridad (Gestión de Identidades, Autenticación, Autorización, SSO) en toda la Organización.
Se emplea:
WSO2 ESB, BAM, IS, BRS
Bonita BPM, Liferay, Openbravo ERP, Apache DS, Penrose Virtual LDAP
El documento presenta una sesión sobre cómo conectar aplicaciones de escritorio a Microsoft Graph. Explica cómo registrar una aplicación, usar el SDK de Graph y acceder a datos de usuario y de la organización a través de Graph. También incluye demostraciones de Graph Explorer, el portal de registro de aplicaciones y el flujo completo desde el inicio de sesión hasta el acceso a datos en Graph.
Este documento presenta un proyecto de analítica web. Resume los principales puntos sobre por qué estar en Internet, cómo hacerlo de manera efectiva mediante el análisis competitivo, la definición de productos y contenidos, y el desarrollo técnico. También cubre temas como la elección de herramientas de analítica web, el desarrollo de una estrategia SEO y las diferentes fuentes de tráfico como campañas, emailing, SEO y redes sociales que se deben analizar.
Be Aware Webinar - Uniendo fuerzas: administre y proteja al punto finalSymantec LATAM
Este documento presenta las soluciones de Symantec para la administración y protección de endpoints. Describe los desafíos de controlar endpoints móviles y la necesidad de visibilidad y políticas coherentes. Luego introduce las suites IT Management Suite (ITMS) y Symantec Endpoint Protection (SEP) que brindan administración unificada, seguridad en capas y análisis para proteger y gestionar endpoints de forma centralizada. Finalmente, se discuten los servicios de educación de Symantec para capacitar a los clientes.
Este documento trata sobre cloud computing y SEO (posicionamiento en motores de búsqueda). Explica brevemente la historia y características de ambos temas, así como sus ventajas y desventajas. Cloud computing ofrece servicios a través de Internet y tiene ventajas como reducción de costos y flexibilidad, aunque plantea riesgos de seguridad y privacidad. El SEO busca posicionar sitios web en los resultados de búsqueda mediante técnicas como el contenido relevante, aunque los resultados son lentos e impredec
Este documento presenta conceptos sobre modelado y diseño de arquitectura de software. Explica que la arquitectura es una abstracción del sistema que permite alcanzar atributos de calidad como modificabilidad e interoperabilidad. También describe que los requisitos funcionales y no funcionales determinan el modelo de arquitectura, el cual debe ser validado para asegurar que cumple con dichos requisitos.
ADTI es una empresa líder en automatización que ofrece soluciones de ingeniería en áreas como control de procesos, control discreto, control eléctrico e ingeniería mecánica. Su misión es ser la mejor opción en el mercado de automatización mediante la excelencia, confianza en los clientes y mejora continua. ADTI sigue una metodología de proyectos que incluye planificación, diseño, implementación y calidad para entregar soluciones de alta calidad.
Introduction to ThousandEyes and Meraki MX for Partners in SpanishThousandEyes
Este documento presenta ThousandEyes y cómo puede integrarse con los dispositivos Meraki MX para proporcionar visibilidad de extremo a extremo. La presentación incluye una demostración de cómo ThousandEyes puede monitorear el estado de las aplicaciones web y las caídas de Internet desde Meraki MX, así como opciones de licencia para ThousandEyes.
Plataforma de Interoperabilidad - PIDE para Servicios Públicos en Línea - PerúCésar Vilchez Inga
Descripción técnica resumida de la Plataforma de Interoperabilidad - PIDE del Estado Peruano, que permite la implementación ordenada y orquestada de servicios públicos en línea, basada en SOA. Reunes los niveles organizacional, semántico y técnico. Es un proyectos de Gobierno Electrónico.
Este documento refuta 5 mitos comunes sobre el desarrollo de aplicaciones móviles. Brevemente discute que las aplicaciones móviles no solo son para clientes internos, el proceso de desarrollo no cambia sustancialmente, la infraestructura existente puede usarse para soportar aplicaciones móviles, no es necesario usar la última versión de GeneXus para crearlas, y que el tiempo de desarrollo no es mucho mayor que para otras aplicaciones.
El documento describe las cinco etapas clave del diseño de software: 1) Análisis de requerimientos, 2) Diseño del software que incluye cinco modelos, 3) Revisión técnica, 4) Aprobación, y 5) Construcción. Explica que un buen diseño es fundamental para generar software de calidad con requerimientos claros y funcionalidad completa.
1. • ¿Las decisiones de diseño impactan en CID?
• Toda decisión que se efectúe en el diseño se ve reflejada en la triada CID porque en
todo diseño, la confidencialidad, integridad y disponibilidad del servicio están
estrechamente relacionadas con la triada CID.
• El impacto que se ve reflejado en el presente diseño muestra que hay una clave privada
que debe mantenerse en secreto y se comparte entre 2 partes, puesto que la misma clave
se utiliza tanto para generar la firma como para validarla. Y se observa que tanto el que
emite como el que recibe la clave no resguarda la llave en un solo lugar de forma segura y
se comparte de forma independiente, lo cual afecta a la seguridad de dicha llave.
2. • ¿Las decisiones de diseño impactan en CID?
• Tienen un impacto y se puede ver en la negociación entre el CUSTOM API y el MAIN
API que se relaciona con la integridad y la confiabilidad porque los datos
Transmitidos en la negociación pueden ser interceptados y alterados para ser
nuevamente enviados, en la información enviada por el CUSTOM API hacia el MAIN
API a través del WEB APP se relaciona con la confiabilidad.
• El impacto que se ve reflejado en el presente diseño muestra que hay una negociación
entre el CUSTOM API y el MAIN API, la llave se genera en el MAIN API cuando por una
autenticación básica el CUSTOM API solicita el acceso, y la validación de la autenticación
básica puede darse una referencia, esto permite validar el acceso en la WEB APP y la
información es enviada para de codificarse en el MAIN API.
3. • ¿Las decisiones de diseño impactan en CID?
• Toda decisión que se efectué en el diseño se ve reflejada en la triada CID por que no
se plasma en todo diseño, la confidencialidad, integridad y disponibilidad del
servicio.
• El impacto que se ve reflejado en el presente diseño muestra que hay una redirección, la
WEB APP ya no consulta de forma directa al CUSTOM API si no con el MAIN API, puede
aplicarse a un modelo de microservicio. Si la consulta del WEB APP con el MAIN API no se
puede realizar ya no se cumple con la disponibilidad, debiendo proteger el userToken de
posible intercepción para evitar incumplir con la integridad y confiabilidad.
4. • ¿Cual es la mejor opción?
• Como la opción 1 usa un algoritmo simétrico se encuentra expuesto a que su clave sea filtrada. Los
algoritmos simétricos se usan en conjunto con algoritmos asimétricos mejorar la seguridad de la clave.
• Las opciones 2 y 3 al estar usando algoritmos de clave asimétrica tienen sus claves públicas expuestas
debiendo proteger los mecanismos que usan para publicar la clave pública resguardar la clave privada.
• La mejor opción puede ser la tercera por tener menos elementos expuestos debiendo proteger
adecuadamente la WEB APP.
• ¿Alternativas?
• Una alternativa es la autenticación basada en algo que el usuario es, por ejemplo: las huellas digitales o el
escaneo de retina, secuencia de ADN, el patrón de voz, o alguna otra característica biométrica del usuario.
• Otra alternativa es la autenticación basada en algo que el usuario hace, por ejemplo: el reconocimiento de
firma.
Notas del editor
Cuando una aplicación web quiere acceder a un recurso seguro, esta enviando un custom user token. Todos los APIS deben tener la llave privada
La regla es que el usertoken deben estar encriptado. Esto es un tipo de autentificación
Por que se ha tomado esa decisión, como esta decisiones afectar y por que?
HS256 (HMAC con SHA-256): un algoritmo simétrico, lo que significa que solo hay una clave privada que debe mantenerse en secreto, y se comparte entre las dos partes. Puesto que la misma clave se utiliza tanto para generar la firma como para validarla, se debe tener cuidado para asegurarse de que la clave no se vea comprometida. Esta clave privada (o secreta) se crea al registrar la aplicación (Client Secret) o la API (Signing Secret) y elegir el algoritmo de firma HS256.
Json web token (JWT), pronunciado "jot", es un estándar abierto (RFC 7519) que define una forma compacta y autónoma de transmitir información de forma segura entre las partes como un objeto JSON. De nuevo, JWT es un estándar, lo que significa que todos los JWT son tokens, pero no todos los tokens son JWT.
Debido a su tamaño relativamente pequeño, un JWT se puede enviar a través de una URL, a través de un parámetro POST o dentro de un encabezado HTTP, y se transmite rápidamente. Un JWT contiene toda la información necesaria sobre una entidad para evitar consultar una base de datos más de una vez. El destinatario de un JWT tampoco necesita llamar a un servidor para validar el token.
La idea de la criptografía es cifrar la información de forma que incluso si se filtrara la misma, se dificulte o incluso imposibilite el descifrado de la misma volviendo inútil la información adquirida por lo que se busca usar algoritmos robustos o algoritmos que sean conocidos por ser difíciles de romper ya que para romper un algoritmo se requiere de recursos computacionales elevados.