Qu parte del gobierno de TI trabaja con los elementos de seguridad?

En el pasado, considerar la funcin de TI de una organizacin como una Funcin meramente de

soporte una funcin separada y diferenciada del resto del negocio- era una prctica comn.
Actualmente, la mayor parte de la inversin en infraestructura y nuevas aplicaciones de TI
abarcan lneas y funciones del negocio. Algunas organizaciones incluso llegan a integrar a socios
y clientes en sus procesos internos. Por consiguiente los CEOs (directores ejecutivos) y los CIOs
(directores de TI) cada vez ms sienten la necesidad de aumentar las relaciones entre TI y el
negocio. Pero, cmo se puede afrontar este reto estratgico? Las cuestiones clave son:

Existe un marco para ayudar a los responsables del negocio y de

Tecnologa en su esfuerzo por cambiar el rol de TI y reducir la
Distancia entre TI y el negocio que sta debe soportar y apoyar?
Cules son las responsabilidades a nivel de direccin y gestin?
Es sta una cuestin de gobierno?.

Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin

efectiva de la informacin y de las

Tecnologas de la Informacin (TI) relacionadas. En esta sociedad global (donde la informacin

viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta
criticidad emerge de:

- La creciente dependencia en informacin y en los sistemas que proporcionan dicha

informacin.
- La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas
y la guerra de informacin.
-El coste de las inversiones actuales y futuras en informacin y en tecnologa de informacin.
- El potencial que tienen las tecnologas para cambiar radicalmente.

Las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos.

Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los

activos ms valiosos de la empresa. Es ms, en nuestro competitivo y rpidamente cambiante
ambiente actual, la Gerencia ha incrementado sus expectativas relacionadas con la entrega de
servicios de TI. Por lo tanto, la gerencia requiere servicios que presenten incrementos en calidad,
en funcionalidad y en facilidad de uso, as como una mejora continua y una disminucin de los
tiempos de entrega; al tiempo que demanda que esto se realice a un costo ms bajo.

Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede

proporcionar. Las organizaciones punteras, sin embargo, tambin comprenden y administran
los riesgos asociados con la implementacin de nuevas tecnologas.

LA NECESIDAD DEL CAMBIO DEL ROL DE TI

Es necesario un cambio en el rol de TI para extraer el mximo rendimiento a una inversin en TI

y usar la tecnologa como un arma competitiva. De esta forma conseguimos que la actitud de TI
frente al negocio pase de ser meramente reactiva a ser proactiva, anticipndose a las
necesidades de la organizacin.
La investigacin de las prcticas de gestin de TI en cientos de compaas en todo el mundo ha
revelado que la mayora de las organizaciones no estn optimizando su inversin en TI. El factor
diferenciador entre los que lo consiguen y los que no, radican en la participacin de gerencia en
las decisiones clave de TI. La correcta participacin de la gerencia en dichas decisiones aporta
un valor real a la inversin en TI al tiempo que sirven para evitar desastres relacionados con TI.
Se debe diferenciar entre decisiones estratgicas y operacionales, y dichas decisiones deben
estar alineadas con los planes estratgicos y operacionales del negocio.

Hay numerosos cambios en TI y en la construccin de redes que hacen nfasis en la necesidad

de manejar mejor los riesgos relacionados con TI.

La dependencia de la informacin electrnica y de los sistemas de TI es esencial para respaldar

procesos crticos de negocio.

Los negocios exitosos necesitan manejar mejor la compleja tecnologa que predomina en todas
sus organizaciones para responder rpida y seguramente a las necesidades del negocio. Adems,
el entorno regulador est exigiendo un control ms estricto sobre la informacin. Esto, a su vez,
est condicionado por el incremento de la importancia de desastres en los sistemas de
informacin y el incremento de fraude electrnico. La gestin de los riesgos relacionados con TI
est siendo entendida ahora como una parte clave del gobierno de la empresa.

3. NECESIDAD DE GOBIERNO DE TI

Si TI se va a gestionar como un negocio dentro del negocio, el concepto de gobierno (proceso

en el que se ayuda la gerencia para conseguir sus objetivos) es tambin aplicable a la gestin de
TI. En muchas organizaciones, TI es fundamental para mantener y hacer que crezca el negocio.

Como consecuencia, la gerencia necesita entender la importancia estratgica de TI y debera

tener en su agenda el gobierno de TI. El principal objetivo del gobierno de TI es entender las
cuestiones y la importancia estratgica de TI para permitir a la organizacin que mantenga sus
operaciones e implemente las estrategias necesarias para sus proyectos y actividades futuras.

El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la
informacin con las estrategias y los objetivos de la empresa. Adems, el Gobierno de TI integra
e institucionaliza buenas (o mejores) prcticas de planificacin y organizacin, adquisicin e
implementacin, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar
que la informacin de la empresa y las tecnologas relacionadas soportan sus objetivos del
negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin
logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja
competitiva.

GOBIERNO DE TI

Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de
alcanzar los objetivos de la empresa y aadir valor mientras se equilibran los riesgos y el retorno
sobre TI y sus complementos.
PROCEDIMIENTOS DE SEGURIDAD BSICOS PARA APLICACIONES WEB (VISUAL STUDIO)

VISUAL STUDIO 2005

Aunque tenga una experiencia y un conocimiento limitados sobre la seguridad de aplicaciones,

existen ciertas medidas bsicas que debera tener en cuenta para ayudar a proteger las
aplicaciones Web. Las siguientes secciones de este tema ofrecen instrucciones sobre la
seguridad mnima que aplican a todas las aplicaciones Web. Para obtener una informacin
detallada sobre los procedimientos recomendados para escribir cdigo seguro y garantizar la
seguridad de las aplicaciones, consulte el libro "Writing Secure Code", de Michael Howard y
David LeBlanc, y lea la especificacin proporcionada en el sitio Web Microsoft Patterns and
Practices.

Recomendaciones generales de seguridad para aplicaciones Web

Ejecutar las aplicaciones con el mnimo de privilegios

Conocer a los usuarios

Protegerse contra entradas malintencionadas

Tener acceso seguro a bases de datos

Crear mensajes de error seguros

Mantener segura la informacin confidencial

Usar cookies de forma segura

Protegerse contra amenazas de denegacin de servicio

Recomendaciones generales de seguridad para aplicaciones Web

Incluso los mtodos de seguridad de aplicaciones ms elaborados pueden verse comprometidos

si un usuario malintencionado logra obtener acceso a los equipos usando medios simples. Entre
las recomendaciones generales de seguridad para aplicaciones Web se encuentran:

Realice copias de seguridad de los datos con asiduidad y gurdelas en un lugar seguro.

Mantenga el servidor Web en un lugar fsico seguro, de forma que los usuarios no
autorizados no puedan tener acceso a l, apagarlo, llevrselo, etc.

Utilice el sistema de archivos NTFS de Windows, no el FAT32. NTFS ofrece mucha ms

seguridad que FAT32. Para obtener detalles, consulte la documentacin de ayuda de
Windows.

Proteja el servidor Web y todos los equipos de la misma red con contraseas seguras.

Siga los procedimientos recomendados para asegurar los servicios Internet Information
Server (IIS). Para obtener detalles, vea Windows Server TechCenter for IIS.

Cierre los puertos que no se utilicen y desactive los servicios que no se estn en uso.

Ejecute un programa antivirus que supervise el trfico.

Use un firewall. Para conocer las recomendaciones, vea el artculo en ingls Microsoft
Firewall Guidelines en el sitio Web sobre seguridad de Microsoft.
 Mantngase informado sobre las actualizaciones de seguridad ms recientes de
Microsoft y otros fabricantes, e instlelas.

Use las funciones de registro de eventos de Windows y examine los registros con
frecuencia para detectar actividades sospechosas. Esto incluye los intentos repetidos de
iniciar sesin en el sistema y un exceso de solicitudes en el servidor Web.

EJECUTAR LAS APLICACIONES CON EL MNIMO DE PRIVILEGIOS

Cuando la aplicacin se ejecuta, lo hace en un contexto que tiene privilegios especficos en el

equipo local y posiblemente en equipos remotos. Para obtener informacin sobre cmo
configurar identidad de aplicaciones.

Para ejecutar con el nmero mnimo de privilegios necesarios, siga estas pautas:

No ejecute la aplicacin con la identidad de un usuario de sistema (administrador).

Ejecute la aplicacin en el contexto de un usuario con los mnimos privilegios factibles.

Establezca permisos (Listas de control de acceso, o ACL) en todos los recursos requeridos
por la aplicacin Utilice el valor ms restrictivo. Por ejemplo, si resulta viable en la
aplicacin, establezca que los archivos sean de slo lectura. Para obtener una lista de
los permisos ACL mnimos requeridos para la identidad de su aplicacin ASP.NET.

Mantenga los archivos de la aplicacin Web en una carpeta ubicada debajo de la raz de
la aplicacin. No d a los usuarios la opcin de especificar una ruta que permita tener
acceso a ningn archivo de la aplicacin. Esto ayudar a evitar que los usuarios obtengan
acceso a la raz del servidor.

CONOCER A LOS USUARIOS

En muchas aplicaciones los usuarios pueden tener acceso al sitio sin necesidad de proporcionar
credenciales. Si es el caso, la aplicacin obtiene acceso a recursos al ejecutarse en el contexto
de un usuario predefinido. Como valor predeterminado, este contexto es el usuario ASPNET
local (Windows 2000 o Windows XP) o el usuario NETWORK SERVICE (Windows Server 2003) en
el servidor Web.

Para restringir el acceso nicamente a los usuarios que se hayan autenticado, siga estas
instrucciones:

Si la aplicacin pertenece a una intranet, configrela para usar la seguridad integrada

de Windows. De este modo, las credenciales de inicio de sesin de los usuarios se
pueden usar para obtener acceso a los recursos.

Si precisa recabar credenciales del usuario, utilice una de las estrategias de

autenticacin de ASP.NET.

PROTEGERSE CONTRA ENTRADAS MALINTENCIONADAS

Como regla general, nunca se debe dar por sentado que la entrada proveniente de los usuarios
es segura. A los usuarios malintencionados les resulta fcil enviar informacin potencialmente
peligrosa desde el cliente a la aplicacin. Para protegerse contra las entradas malintencionadas,
siga estas instrucciones:
 En los formularios, filtre la entrada de los usuarios para comprobar si existen etiquetas
HTML, que pueden contener una secuencia de comandos. Nunca repita (muestre)
entrada de los usuarios sin filtrar. Antes de mostrar informacin que no sea de
confianza, codifique los elementos HTML para convertir cualquier secuencia de
comandos potencialmente peligrosa en cadenas visibles, pero no ejecutables.

Asimismo, no almacene nunca informacin proporcionada por el usuario sin filtrar en

una base de datos.

Si desea aceptar algn elemento de cdigo HTML de un usuario, fltrelo manualmente.

En el filtro, defina explcitamente lo que aceptar. No cree un filtro que intente eliminar
cualquier entrada malintencionada, ya que es muy difcil anticipar todas las
posibilidades.

No d por sentado que la informacin que obtiene del encabezado (normalmente

mediante el objeto Request) es segura. Proteja las cadenas de consulta, cookies, etc.
Tenga en cuenta que la informacin que el explorador enva al servidor (informacin del
agente de usuario) puede ser suplantada, en caso de que resulte importante para la
aplicacin.

Si es posible, no almacene informacin confidencial en un lugar accesible desde el

explorador, como campos ocultos o cookies. Por ejemplo, no almacene una contrasea
en una cookie.

TENER ACCESO SEGURO A BASES DE DATOS

Normalmente, las bases de datos tienen sus propios sistemas de seguridad. Un aspecto
importante de la seguridad de aplicaciones Web es disear un modo de que stas
puedan tener acceso a la base de datos de forma segura. Siga estas instrucciones:

Use el sistema de seguridad inherente de la base de datos para limitar quin puede
tener acceso a los recursos de dicha base. La estrategia exacta depender de la base de
datos y de la aplicacin:

o Si resulta viable en la aplicacin, use la seguridad integrada de Windows de

forma que slo los usuarios autenticados mediante Windows puedan tener
acceso a la base de datos. La seguridad integrada es ms confiable que utilizar
la seguridad estndar de SQL.

o Si la aplicacin utiliza el acceso annimo, cree un nico usuario con permisos

muy limitados, y haga que las consultas se ejecuten conectndose como dicho
usuario.

No cree instrucciones SQL concatenando cadenas que contengan informacin aportada

por los usuarios. En su lugar, cree una consulta parametrizada y use la entrada del
usuario para establecer los valores de los parmetros.

Si debe almacenar un nombre de usuario y una contrasea en alguna parte para usarlos
como credenciales de inicio de sesin con la base de datos, almacnelos de forma
segura. Si es factible, cfrelos. Para obtener informacin detallada.

Para obtener ms informacin sobre cmo tener acceso a los datos de forma segura.

CREAR MENSAJES DE ERROR SEGUROS

 Si no se es cuidadoso, un usuario malintencionado puede deducir informacin
importante sobre la aplicacin a partir de los mensajes de error que sta muestra. Siga
estas instrucciones:

No escriba mensajes de error que presenten informacin que pudiera resultar til a los
usuarios malintencionados, como un nombre de usuario.

Configure la aplicacin para que no muestre errores detallados a los usuarios. Si desea
mostrar mensajes de error detallados para la depuracin, compruebe primero que
quien los recibir es un usuario local con respecto al servidor Web. Para obtener
informacin detallada.

Utilice el elemento de configuracin customErrors para controlar quin ve las

excepciones desde el servidor.

Cree un sistema de administracin de errores personalizado para las situaciones que

sean propensas a los errores, como el acceso a las bases de datos.

Mantener segura la informacin confidencial

Informacin confidencial es toda aquella informacin que se desea conservar privada.

Un ejemplo de informacin confidencial es una contrasea o una clave cifrada. Si un
usuario malintencionado consigue llegar a la informacin confidencial, los datos
protegidos se vern expuestos. Siga estas instrucciones:

Si la aplicacin transmite informacin confidencial entre el explorador y el servidor,

plantese utilizar el protocolo SSL (Secure Sockets Layer). Para obtener informacin
detallada sobre cmo cifrar un sitio mediante SSL, vea el artculo Q307267, "How to:
Secure XML Web Services with Secure Sockets Layer in Windows 2000" en Microsoft
Knowledge Base.

Utilice Configuracin protegida para proteger la informacin confidencial en archivos de

configuracin como los archivos Web.config o Machine.config. Para obtener ms
informacin.

Si debe almacenar informacin confidencial, no lo haga en una pgina Web, ni siquiera

en un formato que piense que la gente no podr verlo (por ejemplo, cdigo del servidor).

Utilice los algoritmos de cifrado de alta seguridad proporcionados en el espacio de

nombres System.Security.Cryptography.

Usar cookies de forma segura

Las cookies constituyen un modo fcil y til de almacenar la informacin especfica

disponible sobre los usuarios. Sin embargo, como se envan al explorador del equipo,
son vulnerables a la suplantacin u otros usos malintencionados. Siga estas
instrucciones:

No almacene informacin vital en cookies. Por ejemplo, no almacene, ni siquiera

temporalmente, la contrasea de un usuario en una cookie. Como norma, no almacene
ninguna informacin confidencial en una cookie. En lugar de eso, guarde en la cookie
una referencia a la ubicacin del servidor en la que se encuentra la informacin.
 Establezca el perodo de tiempo mnimo posible para la fecha de caducidad de las
cookies. Si es posible, evite las cookies permanentes.

Plantese cifrar la informacin que contienen las cookies.

Considere establecer las propiedades Secure y HttpOnly de sus cookies como true.

Protegerse contra amenazas de denegacin de servicio

Un modo indirecto en el que un usuario malintencionado puede comprometer una

aplicacin es haciendo que sta no est disponible. El usuario malintencionado puede
mantener la aplicacin demasiado ocupada como para que pueda servir a otros
usuarios, o puede simplemente bloquearla. Siga estas instrucciones:

Cierre o libere cualquier recurso utilizado. Por ejemplo, cierre siempre las conexiones
de datos y lectores de datos, y siempre cierre los archivos cuando haya terminado de
utilizarlos.

Use un control de errores (por ejemplo, bloques try/catch). Incluya un bloque finally en
el que se liberen los recursos si se produce un error.

Configure los servicios IIS para utilizar la regulacin de procesos, que evita que una
aplicacin use una cantidad desproporcionada de la CPU.

Compruebe los lmites de tamao de la entrada del usuario antes de usarla o

almacenarla.

Incluya lmites de tamao para las consultas a la base de datos y as proteger frente a
las consultas grandes que consumen los recursos del sistema.

Establezca un lmite de tamao para las cargas de archivos, si stas forman parte de la
aplicacin. Puede establecer un lmite en el archivo Web.config usando sintaxis como la
del siguiente ejemplo de cdigo, donde el valor maxRequestLength est en kilobytes:

Copiar

<configuration>

<system.web>

<httpRuntime maxRequestLength="4096" />

</system.web>

</configuration>

Asimismo puede utilizar la propiedad RequestLengthDiskThreshold para reducir la

sobrecarga de memoria de grandes cargas y devoluciones de formularios.

o Ahora, observe la presentacin interactiva Conceptos de

SGSI, procedimientos, aplicabilidad e inmersin de la
seguridad en ITIL y COBIT. Esta condensa conceptos
fundamentales sobre la relacin directa del negocio y los
riesgos asociados a las plataformas tecnolgicas y cmo
podran tratarse estas eventualidades.
 Conceptos de SGSI, procedimientos, aplicabilidad e
inmersin de la seguridad en ITIL y COBIT.
o Otra herramienta ideal para identificar los principales sistema
de gestin de seguridad de la informacin est detallada en la
siguiente infografa.
o La siguiente infografa le permitir identificar las
principales caractersticas y objetivos del gobierno de
TI, proceso vital para reconocer este tipo de
escenario y su importancia en la vida cotidiana y en
grandes instituciones.
o El siguiente mapa conceptual presenta la interaccin
entre riesgos, controles y el sistema de gestin de
seguridad de la informacin. Ingrese y comprenda su
correlacin.

o Los ataques por robo o dao de informacin

provenientes de la red ocurren con frecuencia debido
a que los usuarios no blindan sus cdigos ni su
informacin. Por esta razn, los usuarios activos
deben entender cmo funcionan los ataques, de qu
manera son vulnerables e identificar cmo
contrarrestarlos y evitarlos. Para ilustrar este tema, a
continuacin, observe el video Creacin de un cdigo
malicioso o virus informtico.