Professional Documents
Culture Documents
Las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos.
Los negocios exitosos necesitan manejar mejor la compleja tecnologa que predomina en todas
sus organizaciones para responder rpida y seguramente a las necesidades del negocio. Adems,
el entorno regulador est exigiendo un control ms estricto sobre la informacin. Esto, a su vez,
est condicionado por el incremento de la importancia de desastres en los sistemas de
informacin y el incremento de fraude electrnico. La gestin de los riesgos relacionados con TI
est siendo entendida ahora como una parte clave del gobierno de la empresa.
3. NECESIDAD DE GOBIERNO DE TI
El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la
informacin con las estrategias y los objetivos de la empresa. Adems, el Gobierno de TI integra
e institucionaliza buenas (o mejores) prcticas de planificacin y organizacin, adquisicin e
implementacin, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar
que la informacin de la empresa y las tecnologas relacionadas soportan sus objetivos del
negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin
logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja
competitiva.
GOBIERNO DE TI
Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de
alcanzar los objetivos de la empresa y aadir valor mientras se equilibran los riesgos y el retorno
sobre TI y sus complementos.
PROCEDIMIENTOS DE SEGURIDAD BSICOS PARA APLICACIONES WEB (VISUAL STUDIO)
Realice copias de seguridad de los datos con asiduidad y gurdelas en un lugar seguro.
Mantenga el servidor Web en un lugar fsico seguro, de forma que los usuarios no
autorizados no puedan tener acceso a l, apagarlo, llevrselo, etc.
Proteja el servidor Web y todos los equipos de la misma red con contraseas seguras.
Siga los procedimientos recomendados para asegurar los servicios Internet Information
Server (IIS). Para obtener detalles, vea Windows Server TechCenter for IIS.
Cierre los puertos que no se utilicen y desactive los servicios que no se estn en uso.
Use un firewall. Para conocer las recomendaciones, vea el artculo en ingls Microsoft
Firewall Guidelines en el sitio Web sobre seguridad de Microsoft.
Mantngase informado sobre las actualizaciones de seguridad ms recientes de
Microsoft y otros fabricantes, e instlelas.
Use las funciones de registro de eventos de Windows y examine los registros con
frecuencia para detectar actividades sospechosas. Esto incluye los intentos repetidos de
iniciar sesin en el sistema y un exceso de solicitudes en el servidor Web.
Para ejecutar con el nmero mnimo de privilegios necesarios, siga estas pautas:
Establezca permisos (Listas de control de acceso, o ACL) en todos los recursos requeridos
por la aplicacin Utilice el valor ms restrictivo. Por ejemplo, si resulta viable en la
aplicacin, establezca que los archivos sean de slo lectura. Para obtener una lista de
los permisos ACL mnimos requeridos para la identidad de su aplicacin ASP.NET.
Mantenga los archivos de la aplicacin Web en una carpeta ubicada debajo de la raz de
la aplicacin. No d a los usuarios la opcin de especificar una ruta que permita tener
acceso a ningn archivo de la aplicacin. Esto ayudar a evitar que los usuarios obtengan
acceso a la raz del servidor.
En muchas aplicaciones los usuarios pueden tener acceso al sitio sin necesidad de proporcionar
credenciales. Si es el caso, la aplicacin obtiene acceso a recursos al ejecutarse en el contexto
de un usuario predefinido. Como valor predeterminado, este contexto es el usuario ASPNET
local (Windows 2000 o Windows XP) o el usuario NETWORK SERVICE (Windows Server 2003) en
el servidor Web.
Para restringir el acceso nicamente a los usuarios que se hayan autenticado, siga estas
instrucciones:
Como regla general, nunca se debe dar por sentado que la entrada proveniente de los usuarios
es segura. A los usuarios malintencionados les resulta fcil enviar informacin potencialmente
peligrosa desde el cliente a la aplicacin. Para protegerse contra las entradas malintencionadas,
siga estas instrucciones:
En los formularios, filtre la entrada de los usuarios para comprobar si existen etiquetas
HTML, que pueden contener una secuencia de comandos. Nunca repita (muestre)
entrada de los usuarios sin filtrar. Antes de mostrar informacin que no sea de
confianza, codifique los elementos HTML para convertir cualquier secuencia de
comandos potencialmente peligrosa en cadenas visibles, pero no ejecutables.
Normalmente, las bases de datos tienen sus propios sistemas de seguridad. Un aspecto
importante de la seguridad de aplicaciones Web es disear un modo de que stas
puedan tener acceso a la base de datos de forma segura. Siga estas instrucciones:
Use el sistema de seguridad inherente de la base de datos para limitar quin puede
tener acceso a los recursos de dicha base. La estrategia exacta depender de la base de
datos y de la aplicacin:
Si debe almacenar un nombre de usuario y una contrasea en alguna parte para usarlos
como credenciales de inicio de sesin con la base de datos, almacnelos de forma
segura. Si es factible, cfrelos. Para obtener informacin detallada.
Para obtener ms informacin sobre cmo tener acceso a los datos de forma segura.
No escriba mensajes de error que presenten informacin que pudiera resultar til a los
usuarios malintencionados, como un nombre de usuario.
Configure la aplicacin para que no muestre errores detallados a los usuarios. Si desea
mostrar mensajes de error detallados para la depuracin, compruebe primero que
quien los recibir es un usuario local con respecto al servidor Web. Para obtener
informacin detallada.
Considere establecer las propiedades Secure y HttpOnly de sus cookies como true.
Cierre o libere cualquier recurso utilizado. Por ejemplo, cierre siempre las conexiones
de datos y lectores de datos, y siempre cierre los archivos cuando haya terminado de
utilizarlos.
Use un control de errores (por ejemplo, bloques try/catch). Incluya un bloque finally en
el que se liberen los recursos si se produce un error.
Configure los servicios IIS para utilizar la regulacin de procesos, que evita que una
aplicacin use una cantidad desproporcionada de la CPU.
Incluya lmites de tamao para las consultas a la base de datos y as proteger frente a
las consultas grandes que consumen los recursos del sistema.
Establezca un lmite de tamao para las cargas de archivos, si stas forman parte de la
aplicacin. Puede establecer un lmite en el archivo Web.config usando sintaxis como la
del siguiente ejemplo de cdigo, donde el valor maxRequestLength est en kilobytes:
Copiar
<configuration>
<system.web>
</system.web>
</configuration>