miércoles, 24 de febrero de 2010

Sistema de Seguridad para Desarrolladores Web

Las aplicaciones Web estan mas expuestas a ataques. Se pueden tener tres niveles de ataque:
1. A la computadora del usuario.
2. Al servidor.
3. A la informacion en transito.

La seguridad Web tiene tres etapas primarias:
I. Seguridad de la computadora del usuario.
II. Seguridad del servidor Web y de los datos almacenados ahi.
III. Seguridad de la informacion que viaja entre el servidor Web y el usuario.



SEGURIDAD DE LA COMPUTADORA DEL USUARIO.
Los usuarios deben de utilizar sus navegadores y plataformas seguras, libres de virus y vulnerabilidades. Tambien debe garantizarse la privacidad de los datos del usuario.

SEGURIDAD DEL SERVIDOR WEB Y DE LOS DATOS ALMACENADOS AHI.
Se debe garantizar la operacion continua del servidor, que los datos no sean modificados sin autorizacion (integridad) y que la informacion solo sea distribuida a las personas autorizadas (control de acceso).

SEGURIDAD DE LA INFORMAION QUE VIAJA ENTRE EL SERVIDOR WEB Y EL USUARIO.
Garantizar que la informacion en transito no sea leida (confidencialidad), modificarla o destruida por terceros, tambien es importante asegurar que el enlace entre el cliente y servidor no pueda interrunpir facilmente (Disponibilidad).





RECOMENDACIONES DE SEGURIDAD.

ASEGURAR EL SERVIDOR.
Se deben considerar los siguientes puntos:
- Asegurar el servidor en una forma fundamental el sistema operativo, ya sea por medio de partes o actualizaciones.
- Garantizar la seguridad propia del servidor (IIS, Apache, etc.).
- Auditar las aplicaciones que interactuan en las 2 capas anteriores (modulos, bibliotecas).

ASEGURAR LA INFORMACION EN TRANSITO.
Esto se puede lograr mediante diversos medios:
- Asegurando la red fisicamente (switches en lugar de hubs).
- Esconder la informacion (esteganografía).
- Cifrar la informacion (criptografia) por medio de algoritmos diversos (SSL, VPN's).

ASEGURAR EL EQUIPO DEL USUARIO.
Vulnerar el equipo del usuario quiza no tenga el impacto de vulnerar el servidor, sin embargo es un problema mas dificil de erradicar (1 servidor, 5000 clientes).
- Aplicar actualizaciones (parches) al sistema operativo.
- Uso de antivirus, firewalls personales.
- Educacion de los usuarios.
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)