Actividades
describe a continuación (incluir los ficheros generados por la herramienta junto con
el del trabajo en un fichero a subir en la plataforma).
Caso práctico
» La tienda web deberá diseñarse con una arquitectura distribuida por razones de
escalabilidad.
» El cliente necesitará autenticarse en la tienda web con las credenciales de la cuenta
de usuario, que a su vez se comprobarán contra la base de datos implementada en el
backend de la compañía, a través de una interfaz de servicios web.
» La información de la cuenta del usuario y la información del producto deberán
mantenerse en una base de datos relacional.
» El procesamiento de tarjetas de crédito será subcontratado a un procesador de
terceros.
» Las interacciones de los usuarios con la tienda web se almacenan en un servidor de
log interno de la organización.
» La base de datos deberá copiarse periódicamente en una ubicación de un proveedor
de servicios TI de terceros, para propósitos de recuperación ante desastres.
» El sitio web se diseñará lógicamente como una aplicación cliente/servidor
distribuida conforme a un modelo de tres capas: presentación, proceso y datos.
» Los clientes accederán a la aplicación utilizando navegadores web de escritorio, y
dispositivos móviles.
» El sitio web se desplegará en Internet protegido por una DMZ de dos capas con
acceso tanto para usuarios internos como externos.
» Físicamente, la aplicación estará completamente alojada en un servidor de
aplicaciones (Frontend) alojado en la DMZ, con acceso a un servidor de base de
datos que estará en la red interna de la compañía (Backend).
» Las tecnología utilizada en el desarrollo de la aplicación web es ASP.Net utilizando C
# y la base de datos del backend de la compañía está implementada en base al
producto Microsoft SQL Server.
Los objetivos de seguridad establecidos para la tienda web de Librería On-Line SA son
los siguientes objetivos:
El sistema estará basado en una típica arquitectura de una aplicación web de tres capas,
donde el cliente es un navegador que accede a los servicios proporcionados por el sitio
web de la librería, que contiene una base de datos de los clientes, cuentas y
publicaciones disponibles, alojada en un servidor de bases de datos y un servidor web
que implementa toda la lógica de negocio.
Tener en cuenta que nos encontramos en la fase análisis de requisitos del SDLC,
identificando requisitos funcionales y de seguridad.
Para la realización del DFD se utilizara la herramienta Threat Analysis and Modeling
Tool 2016 de la compañía Microsoft, descargable en el siguiente enlace:
Accede a más información a través del aula virtual o desde la siguiente dirección web:
https://www.microsoft.com/en-us/download/details.aspx?id=49168
Como ayuda a su manejo, aparte de los manuales que se pueden descargar con
esta herramienta, se aconseja visionar estos dos videos:
La aplicación permite analizar las amenazas de una aplicación web típica de negocio de
pago electrónico de una librería (textos, libros, revistas, etc.), en formato digital con
opciones de impresión. El sistema está basado en una típica arquitectura de una
aplicación web de tres capas, donde el cliente es un navegador que acceder a los
servicios proporcionados por el sitio web de la librería, que contiene una base de datos
de los clientes, cuentas y publicaciones disponibles, alojada en un servidor uno de bases
de datos (que replica a un hosting externo para tener un backup), un servidor web que
implementa toda la lógica de negocio, una servidor de logs interno como podrían ser un
SIEM y por último un acceso a una pasarela de pagos externa
Tener en cuenta que nos encontramos en la fase análisis de requisitos del SDLC,
identificando requisitos funcionales y de seguridad.
Selección de vitas
Relación entre las amenazas del método STRIDE y los elementos de un diagrama DFD.
ellas nos permite introducir las salvaguardas que consideremos y el análisis DREAD del
paso de la metodología.
Accede al enlace a través del aula virtual o desde la siguiente dirección web:
ftp://descargasescueladeingenieria@ftp01.unir.net/uploads/05%20Seguridad_del_Sof
tware/caso1.tb7
Aplicación de Plantilla
Aplicación de plantilla.
Valorar las amenazas
Una vez que tenemos identificada la lista de amenazas, el siguiente paso consiste en
puntuarlas de acuerdo al riesgo que suponen. Esto nos permitirá priorizar las
actuaciones a efectuar para mitigar el riesgo.
Calculo el riesgo.
El alumno deberá incluir en la memoria esta tabla rellena con al menos 15 de las
amenazas obtenidas de la de la herramienta Threat Analysis and Modeling Tool 2016.
Se valorará que se implemente en idioma español. En la herramienta deberán estar
analizadas todas.
Salvaguardas
Una vez calculado el riesgo con el método DREAD, hay que incluir en la herramienta
manualmente para cada una las salvaguardas que ayuden a mitigarlas. Si se quiere un
catálogo más completo de salvaguardas consultar el Libro II de la Metodología
MAGERIT.
Disponible en:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metod
olog/pae_Magerit.html#.U2_oe2CKB2E
Entrega
Incluir el fichero con extensión .tm7 que genera la herramienta y el informe que se
puede generar con la misma.