SEGURIDAD EN SISTEMAS DE INFORMACIÓN

INTRODUCCION

La seguridad de aplicaciones web es una rama de la Seguridad Informática que se encarga específicamente de la seguridad de sitios webaplicaciones web y servicios web.
A un alto nivel, la seguridad de aplicaciones web se basa en los principios de la seguridad de aplicaciones pero aplicadas específicamente a la World Wide Web. Las aplicaciones, comúnmente son desarrolladas usando lenguajes de programación tales como PHPJavaScriptPythonRubyASP.NETJSP, entre otros.


AMENAZAS

Con la aparición de la Web 2.0, el intercambio de información a través de redes sociales y el crecimiento de los negocios en la adopción de la Web como un medio para hacer negocios y ofrecer servicios, los sitios web son constantemente atacados. Los hackers buscan, ya sea comprometer la red de la corporación o a los usuarios finales, accediendo al sitio web y obligándolos a realizar drive-by downloading.​
Como resultado, la industria está prestando mayor atención a la seguridad de aplicaciones web,​ así como a la seguridad de las redes de computadoras y sistemas operativos.
La mayoría de los ataques a aplicaciones web ocurren a través del cross-site scripting (XSS) e inyección SQL el cual comúnmente resulta de una codificación deficiente y la falta de desinfección de las entradas y salidas de la aplicación web. Estos se encuentran en el ranking del 2009 CWE/SANSTop 25 Most Dangerous Programming Errors.
El Phishing es otra amenaza común de las aplicaciones Web. "RSA, la División de Seguridad del EMC, anuncio hoy lo hallado en su reporte sobre fraude de enero de 2013, estimando las pérdidas globales debido al phishing en $1.5 billones en 2012".​ Dos de los métodos de phishing más conocidos son Covert Redirect y Open Redirect.
De acuerdo con el proveedor de seguridad Cenzic, las principales vulnerabilidades durante marzo del 2012 fueron:
https://en.wikipedia.org/wiki/Web_application_security

ELEMENTOS A ASEGURAR

1. Proteja los datos, no sólo el perímetro

Nuestras ideas sobre la seguridad informática corporativa es obsoleta, muchos expertos advierten que los encargados de la seguridad informática de muchas empresas no están capacitados para resistir ciber-ataques sofisticados.
La concentración en el refuerzo de los muros del castillo es importante, pero no es lo único. El 87% de los presupuestos de seguridad se gastan en tecnología del servidor de seguridad, dice Tim Grieveson, jefe de estrategia cibernética en Hewlett-Packard.
Tener servidores dedicados que cuenten con medidas de seguridad que en verdad blinden tu información debe ser una prioridad, pero no olvides que ahora hay cientos de posibles entradas al castillo, porque las empresas están conectadas con clientes, proveedores y empleados a través de Internet. No sólo eso, sino que es como si todo el mundo que entra y sale del castillo tuviera una llave para abrir todas las puertas.
Las infracciones son inevitables, por lo que los más importante es proteger los datos que importan.
Jason Hart, especialista en seguridad informática, señaló que una de las soluciones para esta situación es un CIO (Director de Información), mismo que estará encargado de cambiar las estrategias y adaptar a la empresa en materia de seguridad.
Tom Patterson, gerente general de soluciones de seguridad global de servicios de TI empresa Unisys, llama a este nuevo enfoque micro-segmentación, es decir  la construcción de pequeños muros en torno a esas partes de su negocio que contienen los datos que no puede darse el lujo de perder.
Esto implica criptográficamente la firma de cada bit de información digital – el paquete de datos – con un código único a cada segmento de la empresa. Así que si los hackers se entran, solo obtienen acceso a los datos específicos de esa comunidad o segmento.
“Una pequeña brecha es más fácil de manejar – pueden robar un poco, o interrumpir un poco, pero no acabar con toda la sociedad”, dice Patterson.

2. Conocer sus datos

Muchas empresas ni siquiera saben qué datos se han almacenado en sus sistemas, por si fuera poco, desconocen la relevancia de cada uno de estos datos, y aun peor, no saben lidiar con la complejidad de los sistemas informáticos existentes y la reciente proliferación de datos digitales de los dispositivos móviles y la llamada “Internet de las cosas”.
internet-things-infografia
Fuente: www.altonivel.com.mx
Desconocer cual es la importancia de la información alanceada, evita establecer prioridades y en caso de un ciber-ataque, las empresas desconocen el riesgo que implica la perdida o difusión de diferentes tipos de datos.
Para mejorar este aspecto de la seguridad lo recomendable es realizar una auditoria informáticauna vez que la haya hecho, puede utilizar la mejor práctica de protección de datos, es decir, la fijación de seguridad directamente a los datos, para ello puede usar múltiples factores de identificación y cifrado de datos, así como la gestión segura de las claves de cifrado.

3.- Crear un Plan Director de Seguridad

Proteger los sistemas de información es proteger el negocio, y para ello se necesita llevar a cabo una gestión planificada de actuaciones en materia de Ciberseguridad, tal y como se realiza en cualquier otro proceso productivo de la organización.
Es fundamental para la realización de un buen Plan Director de Seguridad que recojas los objetivos estratégicos de la empresa, la definición del alcance y las obligaciones y buenas prácticas de seguridad informática que deberán cumplir los trabajadores de la organización así como terceros que colaboran con ésta.
Los proyectos que componen el Plan Director de Seguridad varían en función de diversos factores relacionados con:
  • El tamaño de la organización
  • El nivel de madurez en tecnología
  • El sector al que pertenece la empresa
  • El contexto legal que regula las actividades de la misma
  • La naturaleza de la información que manejamos
  • El alcance del proyecto
  • Otros aspectos organizativos
Estos factores determinarán la magnitud y complejidad del Plan Director de Seguridad resultante. No obstante, por norma general el proyecto para la elaboración y puesta en marcha de un Plan Director de Seguridad consta de las siguientes fases o etapas:
Plan Director de Seguridad
Fuente: www.incibe.es

4. Despertar a las amenazas internas

Es muy fácil concentrarse en los ataques procedentes del exterior y pasar por alto los riesgos que representan – consciente o inconscientemente – las personas dentro de su organización.
Los ataques internos también pueden ser más difíciles de detectar y tratar. En ocasiones recuperarse de un ciber-ataque pude llevar incluso 70 días, en gran medida porque se debe de detectar la entrada y forma de dicho ataque.
Los empleados que hacen clic en un correo electrónico con archivos adjuntos que creen que son de fuentes de confianza es “la principal amenaza para las organizaciones”, dice Gary Steele, jefe de Proofpoint, un especialista de correo electrónico seguro.
Una empresa puede gastar millones en soluciones de seguridad, pero todo lo que se necesita es un clic de uno de los empleados para que la información de la compañía se vea comprometida.
Los Piratas cibernéticos se están volviendo muy hábil en el uso de información personal obtenida de los medios sociales y otras fuentes  (ingeniería social) para convencer a los empleados que los correos electrónicos son de personas que conocen.
Educar al personal sobre esta amenaza debe ser una prioridad para todas las empresas. Las herramientas de análisis predictivo pueden tratar de detectar anomalías en el comportamiento en una red corporativa, pero este tipo de herramientas pueden ser costosas y requieren mucho tiempo para administrar.

5. Aumentar la vigilancia

Las empresas pueden lograr mucho simplemente mediante el control de sus sistemas de manera más eficaz, dice Gavin Millard, director técnico de Tenable Network Security.
Esto incluye el “parcheo” de errores fácilmente explotables, filtrado de comunicaciones entrantes y salientes, fechas de protección contra malware, el cifrado de información sensible, y una buena política de contraseñas.
Como mínimo, las empresas deben asegurarse de tener certificados y antivirus de seguridad de red seguro y que el software del servidor de seguridad este al día.
Invertir en la vigilancia para detectar cuando ocurre un ataque en lared de computadoras es probablemente mas importante desde el punto de vista tecnológico, y  si lo vemos desde un punto de vista no tecnológico, la capacitación del personal es el camino ideal, pero el mas largo de recorrer.

6. Hazte con el control móvil

Si el personal utiliza sus propios dispositivos móviles por motivos de trabajo, las empresas deberían por lo menos restringir el acceso a los datos y sistemas críticos.
Los dispositivos móviles actuales contienen demasiada información personal, mucha de esta información también suele estar reaccionada con las empresas a donde laboramos y si dicha información quedara expuesta, no solo nuestra información personal estaría en riesgo también estaríamos dando un acceso directo a los datos de la compañía.
Ejemplo: Algunos ciberdelincuentes han comenzado a diseñar aplicaciones capaces de camuflarse en juegos inofensivos que, posteriormente, descargan un componente malicioso.
Lo recomendable es que las empresas cambien a un sistema de control centralizado diseñado por los departamentos de Tecnologías de la Información, esto dará capacidad de borrar de forma remota los dispositivos si están perdidos o robados.
“Las organizaciones necesitan adoptar una filosofía de cero confianza”, dice Jason Garbis de la empresa de seguridad, Cryptzone.

7. Invertir más tiempo y dinero en la seguridad informática

Incluso en el director ejecutivo de TalkTalk, Dido Harding, admitió que “gastar más dinero y más tiempo en la seguridad informática, es prioritario ya que es el riesgo número uno en las empresas”.
Cada día son más las empresas que tienen datos de consumidores o clientes y por ello requieren mayor seguridadNo es de extrañar que a menudo en puestos de alto nivel nombren a expertos en seguridad informática, esto es un reconocimiento de que este aspecto es un factor integrado en los nuevos procesos de negocio.
La Seguridad Informática es un problema de todos, no sólo es responsabilidad de los departamentos de tecnologías de la información, pero si tu eres el responsable en de la seguridad de tu empresa no estaría mal que  apliques los puntos antes mencionados.
tomado de:
http://www.servidores-dedicados.com.mx/blog/seguridad-informatica/


Seguridad en aplicaciones de acceso a datos.

Proteger el acceso a datos

Visual Studio 2010
Actualización: noviembre 2007
La mayoría de las aplicaciones Web ASP.NET implican el acceso a datos. Muchas aplicaciones recogen datos para almacenarlos en una base de datos o en un archivo y, a menudo, se basan en información procedente de los usuarios. Puesto que los datos originales pueden proceder de orígenes que no son de confianza (ya que la información se almacena en un formato permanente) y hay que asegurarse de que los usuarios no autorizados no puedan obtener acceso al origen de datos directamente, es necesario prestar especial atención a los problemas de seguridad relacionados con el acceso a datos. La información de este tema describe los procedimientos recomendados para mejorar la seguridad del acceso a datos en las aplicaciones Web ASP.NET.
Aunque se puede mejorar la seguridad de la aplicación siguiendo las buenas prácticas en materia de codificación y configuración, también es importante mantener actualizado el servidor Web con las últimas actualizaciones de seguridad de Microsoft Windows e Internet Information Services (IIS), así como las actualizaciones de seguridad de Microsoft SQL Server o cualquier otro software de base de datos.
Puede encontrar información más detallada sobre los procedimientos recomendados para escribir código seguro y para proteger las aplicaciones en el libro "Writing Secure Code" de Michael Howard y David LeBlanc, o a través de las directrices incluidas en Microsoft Patterns and Practices.

Proteger el acceso a un origen de datos

Las secciones siguientes proporcionan información sobre cómo ayudar a proteger diferentes aspectos del acceso a datos.

Cadenas de conexión

Para conectar con una base de datos, se necesita una cadena de conexión. Puesto que las cadenas de conexión pueden contener datos confidenciales, se deben seguir estas instrucciones:
tomado de: https://msdn.microsoft.com/es-es/library/ms178375(v=vs.100).aspx



Comentarios

Publicar un comentario

Entradas populares de este blog

Características Arquitectura de Aplicaciones Web

Imagen
Características arquitectónicas de aplicaciones basadas en la web Algunas aplicaciones basadas en la web utilizan una arquitectura de dos niveles y otras utilizan una arquitectura de  n  niveles formada por tres o más niveles. Arquitectura de dos niveles En una arquitectura de dos niveles, el cliente está en el primer nivel. El servidor de bases de datos y el servidor de aplicaciones web residen en la misma máquina servidor, que es el segundo nivel. El segundo nivel proporciona los datos y ejecuta la lógica empresarial para la aplicación web. Las organizaciones partidarias de esta arquitectura normalmente prefieren consolidar las posibilidades de su aplicación y las del servidor de bases de datos en un único nivel. El segundo nivel es el responsable de proporcionar las características de disponibilidad, escalabilidad y rendimiento para el entorno web de la organización. Arquitectura de  n  niveles En una arquitectura de  n  niveles, los objetos de ...
Leer más