Definición de requisitos de seguridad del software

-

 




TIA: DEFINICIÓN DE REQUISITOS DE SEGURIDAD DEL SOFTWARE SIAG

 

 

Deicy Johana Berrío Galvis 

Santiago Ramírez Valencia

 

 


Software para la Universidad Global

Luego de haber ordenado un análisis de riesgos al software del Sistema de Información Académico y Gestión (SIAG), el decano está solicitando la definición de requisitos de seguridad para la siguiente mejora al sistema:

 

El sistema de Información Académico y Gestión SIAG, actualmente solo permite interactuar con estudiantes, docentes y proveedores desde computadores locales en la red interna de la Universidad, sin embargo con el avance de Internet, la Universidad considera que se debe facilitar la interacción con el SIAG a través de la Web y dispositivos móviles (celulares y tabletas) pero preocupa la seguridad contemplada en los siguientes puntos.

 

 

 

 

 

 

 

 

2


La interacción a través de la Web y dispositivos móviles contempla:

Los profesores podrán digitar las notas

Los profesores podrán consultar sus pagos laborales

Los estudiantes podrán matricular y cancelar asignaturas

Los estudiantes podrán consultar la notas

Los estudiantes podrán consultar su balance académico

La universidad entregará información financiera o cobro de servicios a los estudiantes

 

 


3


  

1.   Se debe realizar un análisis de requisitos de seguridad mediante la metodología de árboles de ataque a los componentes de software que resulten de las interacciones desde la Web o dispositivos móviles.


Árbol de ataque

Vulnerabilidades a tener en cuenta

Justificación a las vulnerabilidades

DDOS

 

Ya que inunda nuestra red de información y puede hacer colapsar el sistema.

XSS

 

Ya que puede incrustar código en nuestro sistema y capturar información importante

SQL INJECTIION

Ya que podrá realizar operaciones en nuestras bases de datos y corromper nuestra información

 

BUFFER OVER FLOW

Ya que si tenemos un desbordamiento de datos se puede incurrir a un ataque de sobreescritura de memoria que puede exponer datos del aplicativo

BRUTE FORCE

Ya que podrá tener acceso a toda la aplicación rompiendo la seguridad mediante intentos masivos

 

EXPLOITS

 

Ya que permitirá un aprovechamiento de una debilidad de nuestro sistema ya sea en la seguridad como en el código fuente.

INGENIERIA SOCIAL

 

La promulgación de información confidencial por parte de nuestro personal

DUMPSTER DIVING

 

Probabilidad de dejar información importante en nuestras papeleras o archivos basura su utilización de forma inadecuada

FILE INCLUSION

 

Ya que si se presentan vulnerabilidades de archivos el atacante podría vulnerar nuestro sistema y tomar el control de nuestros archivos y ejecutarlos.

PERDIDA DE INFORMACIÓN

Ya sea por error humano o un ataque es de vital importancia tener copias de seguridad o back up’s

MALAS PRÁCTICAS EN LA PROGRAMACIÓN

Estas practicas pueden volver lento el sistema por presentar anidaciones excesivas, también puede afectar el entendimiento del código y retrasar las posibles correcciones de este, estas malas prácticas también pueden provocar vulnerabilidades en nuestro código y lo pueden dejar expuesto a ataques

ALTERACIÓN DE DATOS

Se presenta por intereses personales cuando uno de los usuarios del sistema con accesibilidad al programa modifica datos para el veneficio propio o de terceros.

SOFTWARE DESACTUALIZADO

Se presentan vulnerabilidades por el mismo avance tecnológico continuo, lo que va volviendo obsoleto el software por falta de mantenimiento y dejándolo vulnerable

CARENCIA DE AUTENTICACIÓN

Se debe evitar que los usuarios ingresen directamente al aplicativo sin autenticación ya que lo dejará vulnerable a hackers y otros tipos de ataques


1.   Definir los requisitos de seguridad para la interacción con las interfases solicitadas.

 

 

RIESGOS ALTOS Y MEDIOS

CONTROL

NORMA 27002

DDOS  --  ENTORNO OPERATIVO

Se debe de establecer y documentar la política de control de acceso con base a los requisitos del negocio y de la seguridad para el acceso

Política de control de acceso

 

SQL INJECTIION  -- SQL

 

SQL INJECTIION  --  JAVA

 

SQL INJECTIION  --  PHP

 

XSS  --  HTML

 

XSS  --  PHP

 

FILE INCLUSION  --  PHP

 

EXPLOITS  --  DOCUMENTACION

 

Crear interfases apropiadas entre la red de la organización y las redes que pertenecen a otras organizaciones y las redes publicas

 

Se deben tener mecanismos adecuados para la autenticación para los usuarios y equipos

 

Se debe exigir un control de acceso de los usuarios a los servicios de información

Control de acceso a las redes

 

Identificación de los equipos en las redes

 

Autenticación de usuarios para conexiones externas

BUFFER OVER FLOW  --  ENTORNO OPERATIVO

 

BUFFER OVER FLOW  --  HARDWARE

Autenticar usuarios, de acuerdo con una política definida de control de acceso

 

Registrar intentos exitosos y fallido de autenticación del sistema

 

Registrar el uso de privilegios especiales del sistema

 

Emitir alarmas cuando se violan las políticas de seguridad del sistema

 

Restringir el tiempo de conexión de los usuarios

 

Control de acceso al sistema operativo

BRUTE FORCE  --  DOCUMENTACION

Se debe de establecer un procedimiento para el registro y cancelación de usuarios para poder conceder y revocar el acceso a todos los sistemas y servicios de información

 

Registro de usuarios

BRUTE FORCE  --  ENTORNO OPERATIVO

 

Se debe tener un control en la asignación de contraseñas atreves de un proceso formal de gestión

 

Gestión de contraseñas para usuarios

INGENIERIA SOCIAL – Personas

 

EXPLOITS  --  DOCUMENTACION

Se deberá concientizar a los usuarios sobre sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular con relación al uso de contraseñas y a la seguridad del equipo del usuario

 

Responsabilidades de los usuarios

DUMPSTER DIVING (REVISAR BASURA)  --  Personas

 

DUMPSTER DIVING (REVISAR BASURA)  --  DOCUMENTACION

 

PERDIDA DE INFORMACIÓN – HARDWARE

 

PERDIDA DE INFORMACIÓN – DOCUMENTACION

 

PERDIDA DE INFORMACIÓN -- ENTORNO OPERATIVO

Se deberá evitar el uso de base de datos ya que pueden contener información personal o sensible

 

 

Los accesos a los archivos y al código fuente del sistema deben de estar protegidos (back up) y los proyectos de tecnología dela información y actividades de soporte se deben efectuar de forma segura, teniendo cuidado con la exposición de datos sensibles

 

Protección de los datos del sistema

 

Seguridad de los archivos del sistema

 

 

 

 

 

2.   Mediante diagramas UML, se deben presentar los casos de Abuso para cada uno de los componentes.

 

 


 

 



 

 

 

 


 

 



 

 


 

 

 



Comentarios

Publicar un comentario

Entradas populares de este blog

Práctica sobre funciones

-
Imagen
  Funciones recursivas   Una función recursiva es una función que se llama a sí misma. Esto es, dentro del cuerpo de la función se incluyen llamadas a la propia función.       Tipos de recursión   Pueden distinguirse distintos tipos de llamada recursivas dependiendo del número de funciones involucradas y de cómo se genera el valor final.   Recursión mutua: Implica más de una función que se llaman mutuamente. Un ejemplo es el determinar si un número es par o impar mediante dos funciones:     Recursión múltiple : Alguna llamada recursiva puede generar más de una llamada a la función. Uno de los centros más típicos son los números de Fibonacci, números que reciben el nombre del matemático italiano que los descubrió. Estos números se calculan mediante la fórmula:   Recursión lineal : En la recursión lineal cada llamada recursiva genera, como mucho, otra llamada recursiva. Se pueden distinguir dos tip...
Leer más

Diagramas para la documentación de las vistas propuestas en el modelo 4+1

-
Imagen
  Diagramas para la documentación de las vistas propuestas en el modelo 4+1 El modelo “4+1” de Kruchten, es un modelo de vistas diseñado por el profesor Philippe Kruchten y que encaja con el estándar “IEEE 1471-2000” (Recommended Practice for Architecture Description of Software-Intensive Systems) que se utiliza para describir la arquitectura de un sistema software intensivo basado en el uso de múltiples puntos de vista. Cada una de estas vistas ha de mostrar toda la arquitectura del sistema software que se esté documentando, pero cada una de ellas ha de documentarse de forma diferente y ha de mostrar aspectos diferentes del sistema software. A continuación, pasamos a explicar que información ha de haber en la documentación de cada una de estas vistas. Imagen tomada de la web https://jarroba.com/modelo-41-vistas-de-kruchten-para-dummies/ Vista Lógica : En esta vista se representa la funcionalidad que el sistema proporcionara a los usuarios finales. Es decir, se ha de representar lo...
Leer más