SEGURIDAD EN DESARROLLO DE APLICACIONES

SEGURIDAD EN EL DESARROLLO DE APLICACIONES

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas.

Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet.

Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la compañía.

• Amenaza: Representa el tipo de acción que tiende a ser dañina

• Vulnerabilidad: Conocida como falencias (flaws) o brechas (breaches)) representa el grado de exposición a las amenazas en un contexto particular

• Contramedida: Representa todas las acciones que se implementan para prevenir la amenaza.

Las contramedidas que deben implementarse no sólo son soluciones técnicas, sino también reflejan la capacitación y la toma de conciencia por parte del usuario, además de reglas claramente definidas.

Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y prever el curso de acción del enemigo. Por tanto, el objetivo de este informe es brindar una perspectiva general de las posibles motivaciones de los hackers, categorizarlas, y dar una idea de cómo funciona para conocer la mejor forma de reducir el riesgo de intrusiones.

La seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta incluyendo la información contenida.

Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información.

La seguridad informática comprende:

• Software

• Bases de datos

• Metadatos

• Archivos

• Y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial.

OBJETIVOS DE LA SEGURIDAD INFORMÁTICA

La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran:

• La información contenida: Se ha convertido en uno de los elementos más importantes dentro de una organización. La seguridad informática debe ser administrada según los criterios establecidos por los administradores y supervisores, evitando que usuarios externos y no autorizados puedan acceder a ella sin autorización. De lo contrario la organización corre el riesgo de que la información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. Otra función de la seguridad informática en esta área es la de asegurar el acceso a la información en el momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra daños o pérdida producto de accidentes, atentados o desastres.

• La infraestructura computacional: Una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

• Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los funcionarios y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.

TÉCNICAS PARA ASEGURAR EL SISTEMA

• Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo.

• Vigilancia de red: Zona desmilitarizada

• Tecnologías repelentes o protectoras: Cortafuegos, sistema de detección de intrusos, antispyware, antivirus, llaves para protección de software, etc.

• Mantener los sistemas de información: con las actualizaciones que más impacten en la seguridad.

• Sistema de Respaldo Remoto: Servicio de backup remoto

OBJETIVOS DE LA SEGURIDAD DESARROLLO DE APLICACIONES

Generalmente, los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos.

Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto.

La seguridad informática se resume, en cinco objetivos principales:

• Integridad

• Confidencialidad

• Disponibilidad

• Evitar el rechazo

• Autenticación

Integridad

La verificación de la integridad de los datos consiste en determinar si se han alterado los datos durante la transmisión accidental o intencionalmente, es decir, garantiza que los datos sean lo que se supone que son.

Disponibilidad

Asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian, garantizar el correcto funcionamiento de los sistemas de información

Confidencialidad

Consiste en hacer que la información sea incoherente para aquellos individuos que no estén involucrados en la operación. Su objetivo es garantizar el acceso a un servicio o a los recursos.

Evitar el rechazo: Constituye la garantía de que ninguna de las partes involucradas pueda negar en el futuro una operación realizada, garantizar de que no pueda negar una operación realizada.

Autenticación

Consiste en la confirmación de la identidad de un usuario; es decir, la garantía para cada una de las partes de que su interlocutor es realmente quien dice ser. Un control de acceso permite (por ejemplo gracias a una contraseña codificada) garantizar el acceso a recursos únicamente a las personas autorizadas, asegurar que sólo los individuos autorizados tengan acceso a los recursos.

LAS AMENAZAS

Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia en el caso de los datos y la descentralización, por ejemplo mediante estructura de redes en el caso de las comunicaciones.

Estos fenómenos pueden ser causados por:

• El usuario: Causa del mayor problema ligado a la seguridad de un sistema informático, porque no le importa, no se da cuenta o a propósito.

• Programas maliciosos: Programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado por desatención o maldad en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware.

• Un intruso: Persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido cracker, defacer, script kiddie o Script boy, viruxer, etc.

• Un siniestro: como puede ser robo, incendio, inundación una mala manipulación o una mal intención derivan a la pérdida del material o de los archivos.

• El personal interno de Sistemas: Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.

TIPOS DE AMENAZA

El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella, con esto, se puede hacer robo de información o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la seguridad de la

...