Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

empresa creadora de software.docx

Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
EMPRESACREADORAS DE
SOFTWARE
CLARME
UNIVERSIDAD AUTONOMA DE CHIRIQUI
CENTRO REGIONAL DE TIERRAS ALTAS
FACULTAD: ECONOMIA
ESCUELA: INFORMATICA
PROYECTO FINAL
T...
1. Procedimientos De Seguridad Informática.
2. Análisis y evaluación del riesgo.
3. Levantamiento de la Información posibl...
Publicité
Publicité
Chargement dans…3
×

Consultez-les par la suite

1 sur 14 Publicité

Plus De Contenu Connexe

Plus récents (20)

Publicité

empresa creadora de software.docx

  1. 1. EMPRESACREADORAS DE SOFTWARE CLARME
  2. 2. UNIVERSIDAD AUTONOMA DE CHIRIQUI CENTRO REGIONAL DE TIERRAS ALTAS FACULTAD: ECONOMIA ESCUELA: INFORMATICA PROYECTO FINAL TEMA: EMPRESA CREADORES DE SOFTWARE CLARME INTEGRANTES: CLARIBEL VILLARREAL MELANI LOPEZ PROFESORA IRIS MORENO FECHA DE ENTREGA 24 DE NOVIEMBRE DE 2022 II SEMESTRE 2022 INDICE
  3. 3. 1. Procedimientos De Seguridad Informática. 2. Análisis y evaluación del riesgo. 3. Levantamiento de la Información posibles riesgos crear una tabla. 4. Diseño de Políticas de Seguridad. 5. medidas y procedimientos.
  4. 4. INTRODUCCIÓN El objetivo de esta empresa CLARME es crear software y estudiar la necesidad de sistemas inteligentes que permitan un mejor control, mediante opciones económicas, y que ayuden a una mejor administración de la información en diferentes dispositivos. La importancia de este plan de negocio consiste en la exposición de los beneficios que puede traer en tres aspectos como son: La inversión, dado que es un negocio que busca rentabilidad, eficiencia, y una alta penetración en el amplio campo de mercado que hay, la poca oferta que existe del mismo y la factibilidad de desarrollar una empresa que ofrezca este sistema.
  5. 5. 1. Procedimientos De Seguridad Informática. 1.1 Vulnerabilidades. 1.2 Técnicas de codificación segura 1.3 Pruebas de intrusión 1.4 Seguridad en Infraestructura de TI 1.5 Concientización y capacitación al personal 1.1 Vulnerabilidades. Confiabilidad de los datos del lado del cliente: Esta consta de modificar los datos que se le proporcionan al software con la finalidad de obtener diferentes respuestas por parte del servidor. Manipulación de entradas: Dentro del contexto de un ataque a una aplicación Web, un atacante primero tratará de probar y manipular los campos de entrada para ganar acceso al software.
  6. 6. 1.2 Técnicas de codificación segura La más importante medida de defensa que los desarrolladores pueden tomar, es validar la entrada que su software recibe debido a que las entradas no revisadas o mal revisadas es la fuente de las peores vulnerabilidades existentes incluyendo buffer overflow, inyección de SQL, y una gran variedad de otras. Las situaciones siempre llegarán a un nivel en que tienes que depender de entradas correctas para producir resultados correctos. No se puede ser responsable de conocer donde todas las entradas que recibes son correctas, sin embargo, si se puede ser responsables de que las entradas aceptadas no sean obviamente equivocadas. 1.3 Pruebas de intrusión En la empresa de creadores de Software existen programas para verificar la seguridad de sitios WEB como son el WGET, WEBSCARAB. WGET es una herramienta de línea de comandos para Unix y Windows que permite bajar el contenido de un sitio Web, trabaja en forma no interactiva, en el “background”, trabaja particularmente bien con conexiones no estables y lentas. WEBSCARAB es un marco de trabajo para analizar aplicaciones web que se comunica usando los protocolos HTTP y HTTPS. Está escrito en Java, por lo que es portable a muchas plataformas. WEBSCARAB tiene muchos modos de operación, implementados por varios plugins. Su uso más común es operar WEBSCARAB como un proxy de intercepción, que permite al operador revisar y modificar las peticiones creadas por el navegador antes de que sean enviados al servidor, y para revisar y modificar respuestas enviadas por el servidor antes de que sean recibidas por el navegador.
  7. 7. WEBSCARAB es capaz de interceptar comunicación en HTTP y HTTPS. 1.4 Seguridad en Infraestructura de TI Implementación de: SOC (Security Operation Center): Administrar, monitorear, controlar, manejar incidentes de seguridad y brindar soporte centralizado. Zonas Seguras: Definir los lineamientos y controles de los sistemas y redes para reforzar la seguridad con diferentes tecnologías como firewalls, IPS y VPN. Endurecimiento: Desarrollar y aplicar guías de configuración segura a una muestra de equipos para prevenir ataques o amenazas de seguridad. 1.5 Concientización y capacitación al personal Es importante concientizar al personal interno de la importancia de la Seguridad Informática en las empresas, a través de políticas de difusión y/o de capacitación. • Programa de concientización y entrenamiento. • Modificar hábitos inseguros en la operación diaria. • Capacitar a un grupo de entrenadores líderes en la cultura de la seguridad, quienes a su vez concientizarán al personal sobre los riesgos de no utilizar prácticas de seguridad. • Diseñar e implantar un programa de comunicación a través de medios de comunicación como: carteles correo electrónico,
  8. 8. protectores de pantalla y trípticos, para fomentar la cultura a toda la empresa. • Controlar la navegación de los usuarios • Establecer políticas que regulen el uso de aplicaciones y el acceso a estas. • Controlar la fuga de información a través de correos electrónicos, control de dispositivos de almacenamiento (pen drive, discos duros, etc) • Políticas de uso de contraseñas fuertes • Capacitación. Análisis y evaluación del riesgo. Analisis. El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas. Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir). Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma, se pueden priorizar los problemas y su costo potencial desarrollando un plan de acción adecuado. Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto. Evaluación.
  9. 9. Una vez conocidos los riesgos, los recursos que se deben proteger y cómo su daño o falta pueden influir en la organización, es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco. Se suele dividir las amenazas existentes según su ámbito de acción: 1 Desastre del entorno (Seguridad Física). 2 Amenazas del sistema (Seguridad Lógica). 3 Amenazas en la red (Comunicaciones). 4 Amenazas de personas (Insiders-Outsiders). Levantamiento de la Información posibles riesgos
  10. 10. Los riesgos se clasifican por su nivel de importancia y por la severidad de su pérdida. Tipo de riesgo Factor Complejidad tecnológica alto Robo de informacion Alto Planificación y control Medio Entorno organizacional Medio Fallas en los equipos Medio Virus informaticos Medio Equivocaciones Medio Equipo de trabajo Medio
  11. 11. 4. Diseño de Políticas de Seguridad. POLÍTICAS PARA NUESTRA ENPRESA CLARME DE DESARROLLADORES DE SOFTWARE 1. Ambientes separados de producción y desarrollo. Todo sistema o aplicativo debe contar con ambiente de desarrollo y ambiente de producción. Así mismo para la realización de pruebas no se deben utilizar datos de producción. 2. Cumplimiento del procedimiento para cambios y/o actualizaciones. Todo cambio y/o actualización en los sistemas de información que se encuentren en producción, serán evaluados en ambientes de prueba cuya función es determinar el correcto funcionamiento y compatibilidad con las herramientas base. Una vez determinado el correcto funcionamiento y compatibilidad con las herramientas base se debe crear un plan de trabajo para la migración del ambiente de producción a la nueva versión. 3. Documentación de cambios y/o actualizaciones. Todo cambio y/o actualización en los sistemas de información que se encuentren en producción, debe tener la dcumentación respectiva. 4. Catalogación de programas. Debe cumplirse con el procedimiento establecido para pasar programas del ambiente de desarrollo al ambiente de producción previa prueba por parte del área encargada. 5. Medidas de seguridad deben ser implantadas y probadas antes de entrar en operación. Todos los controles de seguridad para los sistemas de información deben ser implantados y probados sobre ambiente de pruebas o desarrollo y antes que dicho sistema entre en operación. 6. Dependencia de la autenticación de usuario en el sistema operativo.
  12. 12. Los desarrolladores de aplicaciones no deberán crear su propio sistema de control de acceso a la aplicación en dsarrollo, esta labor deberá recaer en el sistema operativo o en un sistema de control de acceso que mejora las capacidades del sistema operativo. Esta política debe empezar a cumplirse desde la liberación de este documento. 7. Corporación de contraseñas en el software. Ninguna contraseña deberá ser incorporada en el código de un software desarrollado o modificado por la empresa o sus proveedores, para permitir que las contraseñas sean cambiadas con regularidad. 8. Acceso del usuario a los comandos del sistema operativo. Después de haber iniciado una sesión, el usuario debe mantenerse en menús que muestren solo lregularidad habilitadas para dicho usuario y de esta manera impedir la ejecución de comandos del sistema operativo y la divulgación de las capacidades del sistema. 6. Medidas y procedimientos. Plantear las medidas y procedimientos necesarios que permitan EL CUMPLIMIENTO de las políticas de seguridad informática en el sistema de INFORMACIÓN. Para la implementación de la estrategia de seguridad de la información, la la empresa de creación de software debe regirse por lo Dispuesto en el marco jurídico y normativo aplicable a la creación de software o entidades que las regulan y Aglutinan. DEFINICIONES Para los propósitos de este documento se aplican los siguientes términos y definiciones:
  13. 13. Acuerdo de Confidencialidad: Documento que debe suscribir todo usuario con el objeto de lograr el acceso a recursos informáticos de la empresa de creación de software. Administradores: Usuarios a quienes se les ha dado la tarea de administrar los recursos informáticos y poseen un identificador que le permite tener privilegios administrativos sobre los recursos informáticos de la entidad, quienes estarán bajo el control del Coordinador de Sistemas. Amenaza: Causa potencial de un incidente no deseado, que puede ocasionar daño a un sistema u organización. Backup: Copia de la información en un determinado momento, que puede ser recuperada con posterioridad. Contraseña: Clave de acceso a un recurso informático. Control: Medios para gestionar el riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras de la Organización que pueden ser de naturaleza administrativa, técnica, de gestión o legal. Directrices: Descripción que aclara lo que se debería hacer y cómo hacerlo, para alcanzar los objetivos establecidos en Las políticas.
  14. 14. Servicios de procesamiento de la información: Cualquier servicio, infraestructura o sistema de procesamiento de información o los sitios físicos que los albergan. Seguridad de la Información: Preservación de la confidencialidad, integridad y disponibilidad de la información, además, otras propiedades Tales como autenticidad, responsabilidad, no repudio y confiabilidad pueden estar involucradas

×