2013

Plan de seguridad
SEGURIDAD INFORMATICA
LUIS TRUJILLO DELMIRA SANTANDER

Contenido
Primera Etapa Plan de seguridad. ....................................................................................................... 3 Amenazas ........................................................................................................................................ 3 Consecuencias: ................................................................................................................................ 4 Ambiente: ........................................................................................................................................ 6 Base de Datos .............................................................................................................................. 6 Plataforma de desarrollo............................................................................................................. 6 Mecanismo: ..................................................................................................................................... 6 Factor humano: ............................................................................................................................... 6 Segunda etapa de plan de Seguridad. ................................................................................................. 7 Programa de seguridad. .................................................................................................................. 7 Plan de accin ................................................................................................................................. 8 Procedimientos y Normativas. ........................................................................................................ 9 Normativa o procedimiento 1 ..................................................................................................... 9 Normativa o procedimiento 2 ................................................................................................... 10 Normativa o procedimiento 3 .................................................................................................. 10 Normativa o procedimiento 4 ................................................................................................... 10 Normativa o procedimiento 5 ................................................................................................... 10 Normativa o procedimiento 6 ................................................................................................... 10 Normativa o procedimiento 7 ................................................................................................... 10 Normativa o procedimiento 8 ................................................................................................... 10 Normativa o procedimiento 9 ................................................................................................... 10

Introduccin
Este documento contempla el plan de seguridad a abordar para un desarrollo realizado como parte de una asignatura de comercio electrnico, dentro de ella abordaremos las amenazas, consecuencias, ambiente, mecanismos y los factores humanos que influyen en la aplicacin. Y para ellos ser implementado un programa de seguridad, un plan de accin en caso alguna de las amenazas planteadas afecte a la aplicacin y una normativa a fin de poder normar que acciones deben realizar.

Primera Etapa Plan de seguridad.

Amenazas
1. Eliminacin de Informacin. Este tem se refiere a eliminacin de informacin de la aplicacin borrando definitivamente el dato de la base de datos sin dejar algn registro de que este existi. 2. Mala seguridad en contraseas en base de datos. Que alguna persona sin acceso pueda ingresar a la base de datos y pueda ver las contraseas personales de los clientes o del personal de administracin de la pgina web 3. Mala seguridad en contraseas en la aplicacin Que las contraseas puedan ser de un largo inferior a 4 caracteres, que sean visibles desde la aplicacin al momento de realizar login, crearla o cambiarla. 4. Ingreso de Informacin errnea que afecte a la empresa Que se ingresen productos con informacin errnea tanto en precios como los datos propios del producto. 5. Mal uso de usuarios y contraseas Puede ser que las contraseas y usuario sean entregadas de una persona a otra y al no expirar nunca esta pueden volverse de uso masivo. 6. Servicios web sin seguridad Se refiere al consumo de informacin o consultas a la pgina web sin lmite. 7. No tener copia de seguridad de la base de datos Se refiere a perder la informacin de la base de datos en su totalidad sin tener ningn sistema que la respalde. 8. Cada de la aplicacin. Puede ser que la aplicacin se caiga por algn motivo y esta no pueda volver a ser levantada en un tiempo determinado. 9. No expiracin de sesiones abiertas por tiempo prolongado Puede suceder que alguna persona tanto usuario de la pgina como administrador de esta deje su equipo con la aplicacin abierta.

Consecuencias:
1. Eliminacin de Informacin. Puede traer como consecuencia la no recuperacin de informacin y una prdida de relacin en los datos que se encuentran en la base de datos. Ej. La eliminacin de un producto luego de que este fue vendido puede acarrear que en la base de datos se encuentren registros de que el producto fue vendido pero este producto no existe. 2. Mala seguridad en contraseas en base de datos. Acceso a informacion confidencial de los clientes. Ej: Acceso a las contraseas de los clientes almacenadas en la base de datos o del registro de sus compras las cuales son confidenciales. Acceso a informacion confidencial de los administradores de la pgina web Ej: Acceso a las contraseas de los Administradores las cuales estn almacenadas en la base de datos. Cambio de informacion en la base de datos Ej: Cambiar el precio de productos para luego ser comprados. Eliminacin de informacion de la base de datos Ej: Eliminacin de registro o de cualquier dato en general. Robo de informacion confidencial Ej: Robo de datos personales de los clientes u otro tipo de informacion con la cual puedan venderla a la competencia. Gastos econmicos en solucionar los problemas causados por esta infiltracin 3. Mala seguridad en contraseas en la aplicacin Acceso a informacion confidencial de los clientes. Ej: Acceso a las contraseas de los clientes almacenadas en la base de datos o del registro de sus compras las cuales son confidenciales. Acceso a informacion confidencial de los administradores de la pgina web Ej: Acceso a las contraseas de los Administradores las cuales estn almacenadas en la base de datos. Cambio de informacion en la base de datos Ej: Cambiar el precio de productos para luego ser comprados. Eliminacin de informacion de la base de datos Ej: Eliminacin de registro o de cualquier dato en general. Robo de informacion confidencial Ej: Robo de datos personales de los clientes u otro tipo de informacion con la cual puedan venderla a la competencia. Gastos econmicos en solucionar los problemas causados por esta infiltracin.

4. Ingreso de Informacin errnea que afecte a la empresa Que la informacion ingresada de valores de productos sea errnea Ej: que se ingrese valores de productos que no corresponden como ingresar valor de 1 peso a un producto Que la informacion de las caractersticas de los productos no sea la que corresponde afectando el proceso de venta y teniendo problemas con el cliente. Ej: Indicar que un producto es de un color cuando en realidad es de otro color. Gastos econmicos en solucionar los problemas causados por la informacin mal ingresada Prdida de clientes por entregar un mal servicio. 5. Mal uso de usuarios y contraseas La consecuencia seria el ingreso de informacin por personas que no corresponde a la que lo est ingresando Mal uso de los perfiles de usuario No controlar el ingreso de informacin errnea al sistema. Problemas de la confidencialidad de informacin lo que puede acarrear problemas legales. 6. Servicios web sin seguridad El ingreso a la informacin sin control Cada de la pgina web. Ej: Pueden darse ataques informticos de consulta de informacin reiterada a fin de que la pgina web se caiga. Prdida de clientes al tener la pgina web abajo. 7. No tener copia de seguridad de la base de datos. Posible prdida definitiva de la informacin almacenada en la base de datos Problemas para levantar la aplicacin al no tener una base de datos. Perdida de informacin de ventas valiosa para le empresa. Prdida de clientes al tener la pgina web abajo. 8. Cada de la aplicacin. Prdida de clientes Gastos econmicos para poder volver a poner en marcha la aplicacin. 9. No expiracin de sesiones abiertas por tiempo prolongado Suplantacin de usuarios

Ingreso de informacin errnea Uso de informacin confidencial del usuario

Ambiente:
Base de Datos
Para el desarrollo de este proyecto ser SQL SERVER 2008 express, se trabajara creando procedimientos almacenados para diferentes consultas inserciones modificaciones o eliminaciones de la base de datos.

Plataforma de desarrollo
La aplicacin para desarrolla el proyecto ser Microsoft visual estudio 2012 con MVC4. En la vistas se agregara Jquery para trabajar con algunas funciones y HTML5 tambin a esto se le aadir CSS en caso de ser necesario.

Mecanismo:
Se utilizara la metodologa en cascada Metodologa en cascada.

Factor humano:
Entorno de desarrollo no adecuado para ejecutar el proyecto.

Segunda etapa de plan de Seguridad.

En esta etapa se abordara el plan de seguridad exponiendo para cada una de las amenazas y su programa de seguridad para poder evitar que estas amenazas se vuelvan una realidad.

Programa de seguridad.
1. Eliminacin de Informacin. Incluir una normativa o procedimiento de lgica de anlisis y programacin que impida borrar datos de la base de datos. 2. Mala seguridad en contraseas en base de datos. Incluir normativa o procedimiento de lgica de anlisis y programacin que al guardar informacin de contraseas en la base de datos la cual no este encriptada. 3. Mala seguridad en contraseas en la aplicacin Incluir normativa o procedimiento de lgica de anlisis y programacin que indique que al tratar con cualquier contrasea mediante la vista esta tenga que manejar esta informacin mediante asteriscos no permitiendo visualizar la contrasea. 4. Ingreso de Informacin errnea que afecte a la empresa Agregar a los documentos de diseo tcnico y funcional una validacin de la informacin por un perfil de usuario especfico para los productos nuevos o modificaciones de estos para que sean publicados. 5. Mal uso de usuarios y contraseas Incluir normativa o procedimiento de lgica de anlisis y programacin que indique que las contraseas de los usuarios deben ser expiradas cada cierta cantidad de tiempo parametrizable. 6. Servicios web sin seguridad Incluir normativa o procedimiento de lgica de anlisis y programacin que indique que todos los servicios web deben tener una contrasea para poder acceder a sus datos 7. No tener copia de seguridad de la base de datos Incluir un procedimiento que indique que los datos de la base de datos deben ser copiados a una base de datos espejo.

8. Cada de la aplicacin. Ingresar un procedimiento que exija tener una pgina web se respald en caso de cada de la principal y poder re direccionar a esta en caso de emergencia. 9. No expiracin de sesiones abiertas por tiempo prolongado Ingresar una normativa que indique que debe existir un tiempo parametrizable donde la sesin expire en caso de quedar abierta indicando que la sesin expiro redireccionando al login

Plan de accin
1. En caso de encontrarse con una falla del sistema donde se elimine informacin. Revisar en conjunto con el equipo QA que las normativas estn bien planteadas y que en el sistema las normas de eliminacin de Informacin sean correctamente implementadas y sean cumplidas completamente. Adems de revisar los logs para visualizar donde pueden estar fallando las normativas 2. En caso de encontrarse con problemas de seguridad en la base de datos donde estn puedan ser visualizadas. Revisar todos los datos de la base de datos correspondientes a contraseas a fin de buscar e identificar falencias reportando a la brevedad cualquien error para que este sea solucionado y poder acatarse a las normas adems de expirar las contraseas que puedan verse afectadas. Tambin debe darse aviso a las personas afectadas. 3. En caso de encontrar un problema en la aplicacin donde las contraseas puedan ser visualizadas y no se remplacen por asteriscos. Revisar en conjunto con el equipo QA que las normativas estn cumplindose a cabalidad y de no ser as solucionar el problema a la brevedad con el equipo de desarrollo, apegndose a las normativas vigentes, las contraseas que puedan verse afectadas por este error tras su visualizacin mediante el log deben ser expiradas a la brevedad. Tambin debe darse aviso a las personas afectadas. 4. Es caso no se pida una confirmacin antes de publicar un producto o alguna modificacin de las planteadas en las normas. Revisar en conjunto con el equipo QA que las normativas estn bien planteadas y que en el sistema las normas de Ingreso de informacin este correctamente implementado y sean cumplidas completamente. Adems de revisar los logs para visualizar donde pueden estar fallando el sistema y corregirlo a la brevedad posible. Tambin debe de darse aviso a las personas afectadas. 5. En caso se identifique que las normas de expiracin de contraseas no estn siendo cumplidas.

Revisar en conjunto con el equipo QA que las normativas estn bien planteadas y que en el sistema las normas de mal uso de usuario y contraseas este correctamente implementado y sean cumplidas completamente. Adems de revisar los logs para visualizar donde pueden estar fallando el sistema y corregirlo a la brevedad posible. Tambin debe de darse aviso a las personas afectadas. 6. En caso se identifique que los servicios web se estn accesando sin ingresar una contrasea de validacin. Revisar en conjunto con el equipo QA que las normativas estn bien planteadas y que en el sistema las normas de servicios web este correctamente implementado y sean cumplidas completamente. Adems de revisar los logs para visualizar donde pueden estar fallando el sistema y corregirlo a la brevedad posible. Tambin debe de darse aviso a las personas afectadas. 7. El caso la copia de seguridad de la base de datos no se est realizando en forma normal. Revisar en conjunto con el equipo QA que las normativas estn bien planteadas y que en el sistema las normas de copia de seguridad de la base de datos este correctamente implementado y sean cumplidas completamente. Adems de revisar los logs para visualizar donde pueden estar fallando el sistema y corregirlo a la brevedad posible. Tambin debe de darse aviso a las personas afectadas. 8. En caso de cada de la aplicacin Revisar en conjunto con el equipo QA que las normativas estn bien planteadas y que en el sistema las normas de Cada de la aplicacin. este correctamente implementado y sean cumplidas completamente. Adems de revisar los logs para visualizar donde pueden estar fallando el sistema y corregirlo a la brevedad posible. Tambin debe de darse aviso a las personas afectadas. Y levantar la nueva aplicacin tal como la normativa lo exige. 9. Si las expiraciones no expiran luego de estar abiertas por un tiempo prolongado. Revisar en conjunto con el equipo QA que las normativas estn bien planteadas y que en el sistema las normas de Cada de la aplicacin. este correctamente implementado y sean cumplidas completamente. Adems de revisar los logs para visualizar donde pueden estar fallando el sistema y corregirlo a la brevedad posible. Tambin debe de darse aviso a las personas afectadas.

Procedimientos y Normativas.
Normativa o procedimiento 1
Los datos de la base de datos no se eliminan del sistema, solo se deshabilitar actualizndoles el estado a dicho registro para que este no sea mostrado en el sistema pero este queda almacenado en la base de datos. Es para la amenaza 1

Normativa o procedimiento 2
Las contraseas almacenadas en la base de datos no pueden ser guardadas si esta no est encriptadas y no pueden ser visualizadas directamente en la base de datos. Es para la amenaza 2

Normativa o procedimiento 3
Cualquier accin con una contrasea que para ser realizada tenga que mostrar una contrasea por la vista ya sea al ingresarla para modificacin, login o cualquier otro procedimiento con esta. La contrasea no puede ser visualizada y en su lugar sern usados asteriscos. Es para la amenaza 3

Normativa o procedimiento 4
Las acciones tanto de publicacin como de modificacin de informacin previa a su publicacin deben tener una validacin por un usuario especfico para que luego esta pueda ser visualizada por los clientes. Es para la amenaza 4

Normativa o procedimiento 5
Todas las contraseas usadas por el sistema deben de expirar cada cierto tiempo, el cual debe ser parametrizable segn cada perfil de usuario y para los clientes para todos igual. Al expirar esta contrasea esta deber de ser modificada por el usuario ingresando una nueva la cual se validara que no sea igual a la que ya existe. Es para la amenaza 5

Normativa o procedimiento 6
Todos los servicios web deben tener para poder acceder a su informacin una contrasea de seguridad que restringir a los usuarios su uso. Esta contrasea no expirara pero si podr ser modificada. Es para la amenaza 6

Normativa o procedimiento 7
El sistema deber tener 2 base de datos una principal y una de respaldo y cada una de sus modificaciones o ingresos de informacin se realizaran en las dos bases de datos paralelamente, pero las consultas de informacin se realizaran solamente en la origina. Tambin sirve como alternativa de respaldo el Backup que ofrecen los hosting. Es para la amenaza 7

Normativa o procedimiento 8
Debe haber una pgina web de emergencia en caso cada de la aplicacin la cual deber estar disponible en caso de emergencia y deber ser una copia de la original. Es para la amenaza 8

Normativa o procedimiento 9
Debe existir un tiempo parametrizable por perfil de usuario donde la sesin de este expire en caso de quedar abierta indicando que la sesin expiro y luego redireccionando al login,

donde este debe volver a ingresar su usuario y contrasea, impidiendo el ingreso de cualquier usuario al sistema. Es para la amenaza 9