4. Seguridad en ingeniera de softwareObjetivo Identificar los riesgos posibles que puede enfrentar durante el proceso de edesarrollo del software y aplicarmedidas de seguridad para minimizarlos.TEMAS4.1 seguridad de software4.2 seguridad 4.3 confiabilidad del software4.4 ingenieria de seguridad CriteriosReporte de investigacin 20%Exposicin 40%Propuesta proyecto 40%INVESTIGACION-Establecer la diferencia entre seguridad y fiabilidad-Identificar los puntos que permiten establecer la confiabilidad del software-identificar las medidas de seguridad que refiere la ingeniera de software en el proyecto de software a desarrollar.-que es algoritmo de encriptacin Que algoritmo de encriptacin se puede implementar en el proyecto? Como se hara?-Explicar cmo implementar firmas digitales y cul es la finalidad Que es una firma digitalEnviar domingo 174.1 Seguridad de softwareLa seguridad informtica es un camino no un destino Objetivo: mantener los sistemas generando resultados.Si los sistemas no se encuentran funcionando entonces su costo se convierte en perdidas financieras (en el menos grave de los casos).La seguridad NO es un problema exclusivamente de las computadoras.Las computadoras y las redes son el principal campo de batalla.Se debe de proteger aquello que tenga un valor para alguienDefiniciones de seguridadPoliticas, procedimientos y tcnicas para asegurar la integridad, disponibilidad y confiablidad de datos y sistemas.Prevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente.Proteger y Mantener los sistemas funcionando.ROLES INVOLUCRADOS EN SEGURIDAD-UsuariosUsuarios comunesLos usuarios se acostumbran a usar la tecnologa sin saber cmo funciona o de los riesgos que pueden correr.Son las principales victimasSon el punto de entrada de muchos de los problemas crnicos.El eslabn ms dbil en la cadena de seguridad.-Creadores de sistemasEl software moderno es muy complejo y tiene una alta probabilidad de contener vulnerabilidad de seguridad.Un mal proceso de desarrollo genera software de mala calidad. prefieren que salga mal a que salga tardeUsualmente no se ensea a incorporar requisitos ni protocolos de seguridad en los productos de SW.-GerentesRazones para atacar la red de una empresa$$$ ventaja econmica, ventaja competitiva, espionaje poltico, espionaje industrial, sabotaje,Empleados descontentos, fraudes, extorcionesEspacio de almacenamiento, ancho de banda, servidores de correo (SPAM), poder de cmputo.Objetivo de oportunidad.Cunto te cuesta tener un sistema de cmputo detenido por causa de un incidente de seguridad?Costos econmicosCostos de recuperacin Costos de tiempoCostos de imagenPrdidas humanas-CRACKERSe refiere a las personas que rompen algn sistema de seguridadLos crackers pueden estar motivados por una multitud de razones, incluyendo fines de lucro.-HACKERSPirata informtico es una persona que pertenece a una de estas comunidades o subculturas distintas pero no completamente independientes-ADMINISTRADORES DE LA T.I (Tecnologas de la Informacin)Son los que tienen directamente la responsabilidad de vigilar a los otros roles.Hay actividades de seguridad que deben de realizar de manera rutinaria.Obligados a capacitarse, investigar y proponer soluciones e implementarlas.Tambin tiene que ser hackers: conocer al enemigo, proponer soluciones inteligentes y creativas para problemas complejos.

CICLO DE VIDA DE DASARROLLO (SDLC,Software Development Life Cicle)Analisis de requerimientos,Diseo funcional y detallado,Codificacin,Testing/QASEGURIDAD EN EL ANALISIS DE REQUERIMIENTOEn esta etapa, se deben identificar aquellos requerimientos funcionales que tendrn impacto en los aspectos de seguridad de la aplicacin.Algunos de ellos son:Tipo de informacin que se transmitir o procesar informacin pblica o confidencialidad personal datos financieros, contraseas, datos de pago electrnico.SEGURIDAD EN EL DISEOAntes de comenzar a escribir lneas de cdigo, hay numerosos aspectos de seguridad que deben ser tenidos en cuenta durante el diseo de la aplicacin. Algunos de ellos son:Diseo de autorizacinDiseo de autenticacin Diseo de los mensajes de error y advertenciaDiseo de los mecanismos de proteccin de datos.SEGURIDAD EN LA CODIFICACINEn la etapa de codificacin, una de las reglas es verificar todos los valores de entrada y salida.Esto es asumir siempre que el valor pudo haber sido manipulado o ingresado maliciosamente antes de ser procesado.TESTING/QA DE SEGURIDADTradicionalmente, la labor del equipo te testing/QA era la de encontrar y reportar errores funcionales de la aplicacin.Para esto se desarrolla casos de test basados en la funcionalidad.IMPLEMENTACIN /PROPUESTA EN PRODUCCINTanto la aplicacin como el software de base deben configurarse de manera segura al momento de poner el software en produccin.En este punto se deben contemplar tareas tales como:Cambio de usuario y contraseas iniciales o por defectoBorrado e datos de prueba y cambio de permiso de accesoTanto la aplicacin como el software de base deben configurarse de manera segura al momento de poner el software en produccin.La seguridad en las aplicaciones de software debe abordarse desde el primer dia del proceso de desarrollo y a lo largo de todas las etapas del mismo.4.3 Confiabilidad de softwareSignifica que un programa particular debe de seguir funcionando en la presencia de errores.Los errores pueden ser relacionados al diseo, a la implementacin, a la programacin, o el uso de errores.Un atacante busca esta debilidad para atacar un sistema.-Se dice que un software es confiable si realiza lo que el usuario desea, cuando as lo requiera.-No es confiable si as no lo hiciera.-Un software no es confiable cuando falla.PROCESO DE DEPURACINIdentificacin del problemaDiagnostico del errorCorreccin del errorPrueba de la correccinDEFINICION DE ERRORESERRORES PREVIOS FIJOSERRORES GENERADOSMODELO DE ACUERDO AL CICLO DE VIDA-Fase de desarrollo-Fase de validacin -Fase operacional-Fase de mantenimiento4.3 ingeniera de la seguridadMtodos para disear y construir sistemas que permanezcan confiables a pesar de posibles actos maliciosos.-CriptografaHerramienta para proteger los sistemas, no solo es importante la fortaleza del algoritmo de encriptamiento, cuentan tambin la calidad de la clave.La ingeniera de seguridad procede secuencialmente desde los requerimientos de seguridad hasta la solucin, no desde la tecnologa ms novedosa.Esto significa que lo primero que hay que hacer es modelar el tipo de ataques al que se esta sujeto, a partir de esto crear una poltica de seguridad y luego a partir de esto escoger la tecnologa a aplicar.Riesgos que determinan la poltica1. Comprender los riesgos reales del sistema y evaluar las probabilidades.2. Describir la poltica de seguridad requerida para defenderse de esos ataques o riesgos.3. Disear las medidas de seguridad destinadas a contrarrestar esos riesgos.Una poltica de seguridad para un sistema define los objetivosLa poltica debe establecer Quien es responsable implementacin reforzamientoCules son las polticas de seguridad bsicas de la redPor qu son implementadas en la manera en que lo sonEntrega doc viernes 22.Presentacin lunes 25