4.

Seguridad en ingeniera de software

Objetivo
Identificar los riesgos posibles que puede enfrentar durante el proceso de
edesarrollo del software y aplicarmedidas de seguridad para minimizarlos.
TEMAS
4.1 seguridad de software
4.2 seguridad
4.3 confiabilidad del software
4.4 ingenieria de seguridad
Criterios
Reporte de investigacin 20%
Exposicin 40%
Propuesta proyecto 40%
INVESTIGACION
-Establecer la diferencia entre seguridad y fiabilidad
-Identificar los puntos que permiten establecer la confiabilidad del software
-identificar las medidas de seguridad que refiere la ingeniera de software en
el proyecto de software a desarrollar.
-que es algoritmo de encriptacin

Que algoritmo de encriptacin se puede implementar en el proyecto?

Como se hara?

-Explicar cmo implementar firmas digitales y cul es la finalidad

Que es una firma digital

Enviar domingo 17
4.1 Seguridad de software
La seguridad informtica es un camino no un destino
Objetivo: mantener los sistemas generando resultados.
Si los sistemas no se encuentran funcionando entonces su costo se
convierte en perdidas financieras (en el menos grave de los casos).
La seguridad NO es un problema exclusivamente de las computadoras.

Las computadoras y las redes son el principal campo de batalla.

Se debe de proteger aquello que tenga un valor para alguien
Definiciones de seguridad
Politicas, procedimientos y tcnicas para asegurar la integridad,
disponibilidad y confiablidad de datos y sistemas.
Prevenir y detectar amenazas. Responder de una forma adecuada y con
prontitud ante un incidente.
Proteger y Mantener los sistemas funcionando.
ROLES INVOLUCRADOS EN SEGURIDAD
-Usuarios
Usuarios comunes
Los usuarios se acostumbran a usar la tecnologa sin saber cmo funciona o
de los riesgos que pueden correr.
Son las principales victimas
Son el punto de entrada de muchos de los problemas crnicos.
El eslabn ms dbil en la cadena de seguridad.
-Creadores de sistemas
El software moderno es muy complejo y tiene una alta probabilidad de
contener vulnerabilidad de seguridad.
Un mal proceso de desarrollo genera software de mala calidad. prefieren
que salga mal a que salga tarde
Usualmente no se ensea a incorporar requisitos ni protocolos de seguridad
en los productos de SW.
-Gerentes
Razones para atacar la red de una empresa
$$$ ventaja econmica, ventaja competitiva, espionaje poltico, espionaje
industrial, sabotaje,
Empleados descontentos, fraudes, extorciones
Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM),
poder de cmputo.
Objetivo de oportunidad.

Cunto te cuesta tener un sistema de cmputo detenido por causa de un

incidente de seguridad?
Costos econmicos
Costos de recuperacin
Costos de tiempo
Costos de imagen
Prdidas humanas
-CRACKER
Se refiere a las personas que rompen algn sistema de seguridad
Los crackers pueden estar motivados por una multitud de razones,
incluyendo fines de lucro.
-HACKERS
Pirata informtico es una persona que pertenece a una de estas
comunidades o subculturas distintas pero no completamente
independientes
-ADMINISTRADORES DE LA T.I (Tecnologas de la Informacin)
Son los que tienen directamente la responsabilidad de vigilar a los otros
roles.
Hay actividades de seguridad que deben de realizar de manera rutinaria.
Obligados a capacitarse, investigar y proponer soluciones e implementarlas.
Tambin tiene que ser hackers: conocer al enemigo, proponer soluciones
inteligentes y creativas para problemas complejos.

CICLO DE VIDA DE DASARROLLO

(SDLC,Software Development Life Cicle)
Analisis de requerimientos,
Diseo funcional y detallado,
Codificacin,
Testing/QA
SEGURIDAD EN EL ANALISIS DE REQUERIMIENTO

En esta etapa, se deben identificar aquellos requerimientos funcionales que

tendrn impacto en los aspectos de seguridad de la aplicacin.
Algunos de ellos son:
Tipo de informacin que se transmitir o procesar informacin pblica o
confidencialidad personal datos financieros, contraseas, datos de pago
electrnico.
SEGURIDAD EN EL DISEO
Antes de comenzar a escribir lneas de cdigo, hay numerosos aspectos de
seguridad que deben ser tenidos en cuenta durante el diseo de la
aplicacin.
Algunos de ellos son:
Diseo de autorizacin
Diseo de autenticacin
Diseo de los mensajes de error y advertencia
Diseo de los mecanismos de proteccin de datos.
SEGURIDAD EN LA CODIFICACIN
En la etapa de codificacin, una de las reglas es verificar todos los valores
de entrada y salida.
Esto es asumir siempre que el valor pudo haber sido manipulado o
ingresado maliciosamente antes de ser procesado.
TESTING/QA DE SEGURIDAD
Tradicionalmente, la labor del equipo te testing/QA era la de encontrar y
reportar errores funcionales de la aplicacin.
Para esto se desarrolla casos de test basados en la funcionalidad.
IMPLEMENTACIN /PROPUESTA EN PRODUCCIN
Tanto la aplicacin como el software de base deben configurarse de manera
segura al momento de poner el software en produccin.
En este punto se deben contemplar tareas tales como:
Cambio de usuario y contraseas iniciales o por defecto
Borrado e datos de prueba y cambio de permiso de acceso
Tanto la aplicacin como el software de base deben configurarse de manera
segura al momento de poner el software en produccin.

La seguridad en las aplicaciones de software debe abordarse desde el

primer dia del proceso de desarrollo y a lo largo de todas las etapas del
mismo.
4.3
Confiabilidad de software
Significa que un programa particular debe de seguir funcionando en la
presencia de errores.
Los errores pueden ser relacionados al diseo, a la implementacin, a la
programacin, o el uso de errores.
Un atacante busca esta debilidad para atacar un sistema.
-Se dice que un software es confiable si realiza lo que el usuario desea,
cuando as lo requiera.
-No es confiable si as no lo hiciera.
-Un software no es confiable cuando falla.
PROCESO DE DEPURACIN
Identificacin del problema
Diagnostico del error
Correccin del error
Prueba de la correccin
DEFINICION DE ERRORES
ERRORES PREVIOS FIJOS
ERRORES GENERADOS
MODELO DE ACUERDO AL CICLO DE VIDA
-Fase de desarrollo
-Fase de validacin
-Fase operacional
-Fase de mantenimiento
4.3 ingeniera de la seguridad
Mtodos para disear y construir sistemas que permanezcan confiables a
pesar de posibles actos maliciosos.
-Criptografa

Herramienta para proteger los sistemas, no solo es importante la fortaleza

del algoritmo de encriptamiento, cuentan tambin la calidad de la clave.
La ingeniera de seguridad procede secuencialmente desde los
requerimientos de seguridad hasta la solucin, no desde la tecnologa ms
novedosa.
Esto significa que lo primero que hay que hacer es modelar el tipo de
ataques al que se esta sujeto, a partir de esto crear una poltica de
seguridad y luego a partir de esto escoger la tecnologa a aplicar.
Riesgos que determinan la poltica
1. Comprender los riesgos reales del sistema y evaluar las
probabilidades.
2. Describir la poltica de seguridad requerida para defenderse de esos
ataques o riesgos.
3. Disear las medidas de seguridad destinadas a contrarrestar esos
riesgos.
Una poltica de seguridad para un sistema define los objetivos
La poltica debe establecer
Quien es responsable implementacin reforzamiento
Cules son las polticas de seguridad bsicas de la red
Por qu son implementadas en la manera en que lo son
Entrega doc viernes 22.
Presentacin lunes 25