Seguridad de Usuarios en Desarrollo de Software

Clase 8 de 43 • Curso Profesional de Arquitectura de Software

Resumen

¿Cómo se garantiza la seguridad de los usuarios en un sistema?

En la era digital actual, la seguridad de la información se ha convertido en un aspecto primordial del desarrollo de software. La capacidad de proteger los datos de los usuarios no solo subraya el compromiso de una aplicación con la privacidad, sino que también asegura un servicio cimentado en la confianza. Esto implica un enfoque holístico hacia la seguridad, abarcando diferentes atributos de calidad como la confidencialidad, integridad, autenticidad y traza de responsabilidad.

¿Qué es la confidencialidad y por qué es importante?

La confidencialidad en software se refiere a la habilidad del sistema para restringir el acceso a la información a usuarios no autorizados. En otras palabras, garantiza que solo las personas indicadas puedan ver o modificar datos específicos.

Redes sociales: Deben garantizar que el contenido generado por los usuarios sea accesible únicamente para aquellos a quienes se ha permitido verlo.
Aplicaciones empresariales: Necesitan proteger la información sensible de la empresa de competidores y personal no autorizado.

¿Cómo se asegura la integridad de los datos?

La integridad implica que los datos almacenados en un sistema no puedan ser alterados sin autorización. Esta característica es crucial para sectores donde la precisión de la información es crítica.

Sistemas médicos: Toda modificación en el historial clínico de un paciente debe ser registrada y accesible solo a personal autorizado.
Bancos: El acceso a la información de cuentas bancarias debe ser restringido, evitando accesos no autorizados que puedan llevar a fraudes.

¿Cuál es el papel de la autenticidad en la seguridad?

La autenticidad se encarga de la verificación de la identidad del usuario, asegurando que quien accede al sistema es quien realmente dice ser.

Métodos comunes:
- Contraseña y correo electrónico: Base tradicional de verificación.
- Autenticación de dos factores: Aumenta la seguridad al requerir un componente adicional que el usuario tiene.
- Datos biométricos: Huellas digitales, reconocimiento facial para validar la identidad.

¿Por qué es crucial la traza de responsabilidad?

La traza de responsabilidad relaciona cada acción dentro del sistema con el usuario o entidad que la realizó. Esto es fundamental para auditar acciones y garantizar las responsabilidades de cada usuario.

Logs de auditoría: Registros detallados de eventos que ayudan a verificar qué sucedió y quién realizó cada acción.

¿Cómo se logra la comprobación de hechos?

En el ámbito legal, asegurar que las acciones realizadas en un sistema fueron efectivas y rastreables es crucial. Esto se puede lograr mediante:

Firmas digitales: Validan que una acción fue realizada de manera segura y auténtica.
Logs de auditoría: Documentan todos los eventos del sistema, proporcionado trazabilidad y verificación.

¿Qué son las pruebas de penetración?

Las pruebas de penetración, o "Penetration Testing", son vitales para evaluar y garantizar la seguridad de un sistema. Consisten en simular ataques controlados para identificar vulnerabilidades y comprobar la eficacia de las métricas de seguridad.

Objetivos: Descubrir y mitigar fallas de seguridad antes de que puedan ser explotadas en escenarios reales.

Recomendaciones para fortalecer la seguridad

Implementar autenticación multifactor: Añadir capas adicionales de seguridad para la verificación de usuarios.
Monitorear y actualizar constantes: Asegurar que todas las aplicaciones y sistemas estén operativos con las últimas actualizaciones de seguridad.
Capacitación continua: Educar a los usuarios y desarrolladores sobre las prácticas seguras y las amenazas emergentes.

La seguridad de la información es un viaje continuo, no un destino final. Al integrar estos conceptos de seguridad, podemos asegurar que nuestras aplicaciones no solo cumplan con los estándares actuales, sino que también estén preparadas para los futuros desafíos en el ámbito digital. ¡Sigue adelante y refuerza cada vez más la seguridad de tus desarrollos!

Carlos Eduardo Diaz Polanco

student•

Seguridad:
Es grado en que un producto o sistema protege la información y los datos para que las personas u otros productos o sistemas tengan el grado de acceso a los datos apropiado para sus tipos y niveles de autorización. Esta característica se compone de las siguientes subcaracterísticas:

• Confidencialidad, Grado en el cual un producto o sistema asegura que los datos solo sean accesibles para aquellos autorizados a tener acceso.
Ej: Redes sociales.

• Integridad, Grado en el que un sistema, producto o componente impide el acceso no autorizado o la modificación de programas o datos de computadora.
Ej: Sistemas bancarios.

• Comprobación de hecho, Grado en que se puede demostrar que las acciones o eventos tuvieron lugar, para que los eventos o acciones no puedan ser repudiados más tarde.
Ej: Firmas digitales. Logs de auditoría.

• Traza de responsabilidad, Grado en el que las acciones de una entidad se pueden rastrear de manera única a la entidad.
Ej: Logs de auditoría.

• Autenticidad, Grado en el cual se puede probar que la identidad de un sujeto o recurso es la reclamada.
Ej: Autenticación de 2 factores. Correo electrónico, número de teléfono. Datos biométricos.

Andrés Madrigal

student•

Me gustaron tus resumenes, te hare dos observaciones con la gramatica pero en general, tus resumenes estan muy completos 😃

Creo que si hablas de producto nada mas se puede entender de forma implicita que se habla de sistemas, para evitar tanta redudancia y de fijo tambien se puede hacer algo con los “Grado”.

Valentina Orejuela

student•

Gracias, buen resumen! :)

Abril Darynka Tapia Sosa

student•

Seguridad. El sistema debe: Proteger la información del usuario, identificar a sus usuarios y permitirles el acceso solo a su información.

Confidencialidad -> Como el sistema autoriza a cada usuario a acceder a ciertas partes de información
Integridad -> Las acciones que toma el sistema para proteger la información de atacantes o de usuarios sin acceso a ella.
Comprobación de Hechos -> Territorio legal, se basa en como compruebas que un hecho/acción realmente paso.
Traza de responsabilidad -> Como se debe conectar cada acción que se dio en el sistema con el usuario.
Autenticidad -> Como el sistema logra identificar al usuario

Jazziel Horacio Puente Verdugo

student•

Muchas gracias por tu aport

Wilson Erik Ramírez Franco

student•

Gracias!!

Christian Gómez

student•

Atributo: Seguridad

Cuanto el sistema puede proteger, saber identificar y conectar a sus usuarios. y al conectar usuarios con información.

Confidencialidad: El sistema debe saber, quienes tienen permiso a que información.

Integridad: Cuanto el sistema toma recaudo para proteger esa información de ++atacantes++ o ++usuarios++ que no deberían tener acceso a ella.

Comprobación de Hechos: hablamos de territorio legal, de como hacer para que el sistema garantice de que algo paso.

Traza de Responsabilidad: Esta conectada a la comprobación de hechos, pero esta mas dada a como se conecta una acción del sistema con su responsable. Sea este el usuario o el sistema mismo.

Autenticidad: Verifica que el usuario que esta tratando de ingresar al sistema o realizar una acción, sea quien dice que ser.

Luis Fernando Méndez González

student•

Seguridad
Este atributo, tal como su nombre indica habla de la capacidad del sistema de proteger la información de los usuarios y los datos que contiene el mismo, es uno de los atributos más relevantes y de los que más se habla en la industria, del mismo modo, ha derivado en ramas completas de especialización profesional para asegurarlo de manera óptima, esta característica contempla en un sentido general lo siguiente:

Confidencialidad: Trata sencillamente de cómo se interconectan los usuarios y la información, logrando que solo se puedan acceder a datos específicos por las personas oportunas.
Integridad: La integridad habla de cuanto el sistema toma recaudos para proteger la información de atacantes
Comprobación de hechos: En este caso, estamos hablando de un sentido legal, para garantizar que algo específico realizado se pueda comprobar, y de este modo generar un registro de todo lo que llevo que un usuario llegara a una situación específica.
Traza de Responsabilidad: Está muy conectada a la comprobación de hechos, pero se refiere a ese vinculo entre responsables y acciones, mientras que con la comprobación de hechos tenemos un reporte que secuencia los eventos ocurridos, con la traza obtenemos la información de los autores de dichos hechos.
Autenticidad: Finalmente, la autenticidad se encarga de garantizar que el sistema reconoce que un usuario es quien realmente dice ser.

Cabe resaltar que la técnica más utilizada para evaluar la seguridad y garantizarla se llama Penetration testing (aka. Pentesting) esto se da debido a que las métricas convencionales son muy difíciles de llevar y consiste en ataques realizados de manera artificial y controlada, para garantizar la seguridad y apreciar las aberturas del mismo (Por cierto, en la carrera de seguridad informática hay todo un curso que hace referencia a esto)

Mauricio Costanzo

student•

Atributo de calidad seguridad ¿Cuánto el sistema protege al usuario? ¿Sabe identificar al usuario?; ¿Sabe conectar la información correcta que le debe mostrar?

Hay 5 sub categorías:

Confidencialidad: cómo conecta al usuario con lo que puedo o no puede acceder.
Integridad: los recaudos que el sistema toma para evitar filtros de información por usuarios mal intencionados.
Comprobación de hechos: ¿Cómo hacer para garantizar qué algo realmente pasó?
Traza de responsabilidad: Muy conecatada con la comprobación de hechos pero hace más referencia a las acciones puntuales del usuario.Tracker cada acción y asociarla a un responsable (usuario) .
Autenticidad: ¿Cómo el sistema logra identificar al usuario?

Fer Torres

student•

Hola. La definición de integridad en tu resumen es incorrecta. Creo que el profe se confundio.

David Peñafiel Zeballos

student•

Personalmente pienso que el orden debe ser como sigue:
Autenticidad - Traza de Responsabilidad - Comprobación de hechos - Integridad - La Confidencialidad
Porque 1 el usuario se identifica 2 accede a cierto módulo del sistema registrando la hora del acceso 3 se registra la relación entre los movimientos y el objetivo de las transacciones 4 los datos pasan un proceso de encriptación o restricción de acceso de usuarios 5 se asegura que el usuario esté operando en secciones de datos que cumplen con reglas de restricción de acceso.

Martin Paez

student•

Me agrada mucho tu priopirdad de seguridad. Es como un orden mas natural del proceso

David Valecillo

student•

**Atributo Seguridad: ** Cuanto el sistema protege la información de sus usuarios, cuanto el sistema sabe identificar a los usuarios y cuanto el sistema puede conectar a cada usuario con la información a la que puede o no puede acceder.

Confidencialidad: trata de como el sistema conecta al usuario con lo que puede o no puede acceder, como autoriza a acceder a ciertas partes de información. ejm: redes sociales.
Integridad: Cuanto el sistema toma recaudos para proteger esa información de usuario o atacantes que no deberían tener acceso a esa información. Ejm sistemas médicos y bancarios.
Comprobación de hechos: es territorio legal y se basa en como hace el sistema para garantizar que algo realmente paso. Ejm firmas digitales o logs de auditorias.
Traza de responsabilidad: como podemos conectar una acción con la entidad del usuario o el sistema que lo realizo. Es decir conectar cada acción con su responsable. Ejmp. logs de auditoria con visibilidad de responsables.
Autenticidad: Como el sistema logra identificar al usuario. Ejm aplicaciones web con autenticacion, autenticacion en dos factores etc.

La técnica mas importante para medir la seguridad y para garantizarla es la de Penetration Testing.

Viberth Gonzalez

student•

muy buen post

Antonio Rafael González Ferrer

student•

Apuntes:

Seguridad

Cuánto el sistema protege la información de sus usuarios, sabe identificar a sus usuarios y cuánto el sistema puede conectar a cada usuario con qué información puede o no puede acceder.

Confidencialidad. Trata de cómo el sistema conecta a un usuario con lo que puede o no puede acceder, es decir, cómo el sistema autoriza a cada usuario acceder a cierta parte de la información.

Integridad. Cuánto el sistema toma recaudos para proteger la información de atacantes o de usuarios que no deberían de acceder a ella.

Comprobación de hechos. Cómo hacer para garantizar que algo realmente pasó. Cómo hacer para conectar el estado actual del sistema con el hecho de que cada una de las cosas que pasaron, cada acción que un usuario tomó llegó a ese estado.

Traza de responsabilidades. Habla de cómo podemos conectar cada acción que sucedió en el sistema con la entidad, el usuario o el sistema mismo que lo hizo. Cómo podemos conectar la acción con el responsable.

Autenticidad. Habla de cómo el sistema logra identificar al usuario, qué pasos toma para saber que la persona que está intentando usar el sistema es quién dice que es.

Matias Acosta

student•

Isaac Alejandro Requena Alamo

student•

Sin comentar esto... las clases son muy teoricas jajajaja pero se entiende. Aqui el utimo comentario fue hace tres meses. Eso indica que no todo el mundo lo termina.

Simón Holmquist

student•

A mi me gusta que sea teórico este tema, es muy importante y creo que es mejor tener clara la parte abstracta para poder llevar a cabo buenas practicas en distintos contextos. Es cierto que se hace un poco pesado pero sigue siendo mas entretenido que una clase en un aula creo jajaja ya vere como sigue

cesar augusto cuncanchun galeano

student•

se me dificulata diferenciar entre confidencialidad e integridad, ambas tienen como objetivos la seguridad de la informacion de usuario no autorizados. Cual es la diferencia?

Anibal Rojas

teacher•

Un ejemplo: Se realiza una operación incorrecta sobre una base de datos, y los datos son alterados de forma no intencional e inadvertida. La Confidencialidad se converva, pero la Integridad no, fue afectada y los datos ya no son útiles, o peor aún nadie se da cuenta y continua la operación con datos erróneos.

Nicolás E. Rozo Espinosa

student•

Debes tener presente, que la integridad hace referencia a la calidad y confiabilidad de los datos, pero la confidencialidad hace referencia a que la información debe se accesible a las personas que solo debe tener la información.

Jenny Karen Guzmán Pulido

student•

Para medir la seguridad se utiliza “Penetration Testing” Sistema para métricas convencionales que son muy difíciles de llevar y consiste en ataques reales de manera artificial y controlado.

Fer Torres

student•

Cuándo el profesor explica Integridad, me parece que se confundió, pues lo que menciona va más hacia confidencialidad, sobre todo en su ejemplo de información médica. La integridad más bien se refiere a la capacidad que tendrá el sistema de garantizar que los datos no han sido modificados desde su creación sin autorización. Por ejemplo, cuando decimos que un mensaje se conservó integro (no modificado) y que puede detectarse que fue modificado.

David Steve Yurivilca Yurivilca

student•

Si quiero tener una garantia minima en la comprobacion de hechos y la traza de responsabilidad, que metodos deberia implementar en mi sistema? Seria suficiente implementar un log de acciones donde se puede guardar la fecha, hora, usuario, evento (si fue un insert, update, delete) y valor ingresado en una tabla y registro especifico (indicando la PK del registro).

Alejandro Picado Brenes

student•

¿El subatributo de integridad no tiene que ver con que los datos que maneje el sistema se garanticen completos y exactos o integros? o en que subatributo se maneja eso?

Khalil Vasiliey

student•

Si.

Luis Rodolfo Altuve Cáceres

student•

En el contexto de la arquitectura de software, la seguridad mide cómo el sistema protege la información del usuario. Esto incluye:

Confidencialidad: Garantiza que solo usuarios autorizados accedan a cierta información.
Integridad: Protege los datos de modificaciones por atacantes o usuarios sin permiso.
No repudio: Asegura que las acciones puedan verificarse legalmente (en lugar de 'comprobación de hechos').
Trazabilidad: Conecta cada acción en el sistema con el usuario responsable.
Autenticación: Verifica la identidad de los usuarios para garantizar acceso legítimo.

Julian Guillermo Amado Amado

student•

La comprobación de hechos y la traza de responsabilidad son conceptos relacionados pero distintos en la seguridad del software.

Comprobación de hechos se refiere a la verificación de que una acción realmente ocurrió, a menudo utilizando herramientas como registros de auditoría y firmas digitales para validar eventos.
Traza de responsabilidad se centra en identificar quién realizó una acción en el sistema, conectando a un usuario específico con sus interacciones, utilizando registros que documentan esas acciones.

Ambos son esenciales para garantizar la integridad y seguridad de los sistemas, pero cumplen roles diferentes.

Frandel Corporan Rodríguez

student•

Seguridad

Hablamos de que tanto el sistema protege la información del usuario, lo autentifica, y le gestiona los accesos.

Confidencialidad: Como el sistema relaciona a cada usuario con lo que puede o no puede acceder.
Integridad: Que tan seguro es el sistema.
Comprobación de hechos: Como el sistema puede demostrar de manera veraz cada acción o decisión del usuario.
Traza de responsabilidad: Relacionar cada acción realizada en el sistema el usuario que la ejecuto.
Autenticidad: Como el sistema identifica al usuario o como comprueba que el usuario es quien dice ser.

ANDRES ALFONSO MIRA MEJIA

student•

✅

Donny Daniel Vásquez Ramos

student•

Genial esta clase. Muy buen capítulo!