Author: Gloria Riascos Delgado - Diana Rivadeneira
FUNCIONALIDAD
Fuente: Guía Técnica para la evaluación del software.
De acuerdo a la ISO/IEC 9126. La Funcionalidad es la capacidad del software de cumplir y proveer las funciones para satisfacer las necesidades explícitas e implícitas cuando es utilizado en condiciones específicas.
Ej. lo que hace el software para satisfacer las necesidades sin tener en cuenta de cómo lo hace y cuando.
La funcionalidad se divide en 5 criterios:
Idoniedad: Habilidad del software para proveer un adecuado conjunto de funciones que cumplan las tareas y objetivos especificados por el usuario.
Exactitud o Precisión: Habilidad del software para hacer procesos y entregar los resultados solicitados con precisión o de forma esperada.
Interoperabilidad: La capacidad del software de interactuar con uno o más sistemas específicos.
Seguridad: La capacidad del software para proteger la información y los datos de manera que los usuarios o los sistemas no autorizados no puedan acceder a ellos para realizar operaciones, y la capacidad de aceptar el acceso a los datos de los usuarios o sistemas autorizados
Se puede caracterizar de la siguiente manera: No Repudio: elementos de afirmación a que quienes hicieron algo no puedan negarlo. Confidencialidad: Protección de datos o servicios de accesos no autorizados Integridad: Se ofrecen datos y servicios como fue acordado. Disponibilidad: Medio en el cual el sistema está disponible para su aplicación. Auditoria: Seguimiento de tareas realizadas (Ingeniería de Software II, s.f.)Conformidad de la funcionalidad: La capacidad del software de cumplir los estándares referentes a la funcionalidad.
(Largo Garcia & Marin Mazo, 2005)
TACTICAS DE SEGURIDAD:
Las tácticas existentes para mejorar a seguridad de la arquitectura propuesta se pueden dividir en tres tipos diferentes:
Resistencia al ataque
Se dedican a intentar impedir que un elemento no autorizado pueda entrar en el sistema. Las tácticas pertenecientes a este tipo son las siguientes:
Autenticación de usuario: Asegura que un usuario es quien dice ser. un ejemplo de esto son las contraseñas, firmas digitales, DNI electrónico...
Autorización de usuario: Derechos de acceso y modificación de un usuario autenticado. Para ello existen patrones de acceso.
Confidencialidad de datos: Protección de accesos no autorizados. La criptografía es una herramienta muy utilizada ya que cifrar datos es muy útil para acceder a ellos sólo por personal autorizado y con restricciones.
Mantenimiento de la integridad: Los datos no deben ser modificados y se deben poder recuperar cuando se quiera por parte del propietario.
Limitación de recursos disponibles: Así se evita que un ataque pueda tener acceso a todo el sistema.
Limitación de acceso: Los corta fuegos realizan esta operación. Se limita el acceso a ciertos recursos. Hay mensajes que es posible limitarlos.
Detección de ataques
Se basa en el estudio y comparación de patrones de tráfico por las líneas de comunicaciones. Así se puede reconocer si se está produciendo un ataque o no, y si es así, poder combatirlo. Los patrones están basados en ataques ya conocidos. Se filtran todos los paquetes de comunicaciones que llegan al sistema y se estudian los flags, direcciones del remitente y estinatario junto con el número de puerto. Cuando se detecta un ataque se actúa y se reporta al analista para que éste adopte las medidas necesarias si fuese requerido.
Recuperación tras un ataque
Básicamente se centra en devolver al sistema al estado anterior de sufrir el ataque.
Recuperar el estado correcto del sistema: Relacionado con las tácticas aplicables a la disponibilidad. Referido al buen funcionamiento del sistema después de un estado inconsistente, que lo más seguro es que no diese correctamente un servicio, que no estuviera disponible.
Identificar el atacante: Realizado gracias a un registro de auditoría que consiste en grabar una copia de cada transacción realizada en el sistema y por quién. Esto debe permitir devolver al sistema a un estado consistente, identificando al atacante.
Gráfica Resumen de Tácticas de Seguridad
Fuente: (eTutorials.org, 2008-2017)
Resistir a los ataques:
- Autenticar a los usuarios. La autenticación es asegurar que un usuario o un equipo remoto es realmente quien dice ser. Contraseñas, contraseñas de una sola vez, certificados digitales, y las identificaciones biométricas proporcionan autenticación.
Autorizar a los usuarios. La autorización es garantizar que un usuario autenticado tiene los derechos para acceder y modificar datos o servicios. Esto es generalmente administrado ofreciendo algunas pautas de control de acceso dentro de un sistema. Control de acceso puede ser por usuario o por clase de usuario. Clases de usuarios pueden ser definidos por grupos de usuarios, por los roles de usuario, o por listas de las personas.
Mantener la confidencialidad de los datos. Los datos deben estar protegidos contra el acceso no autorizado. La confidencialidad se logra generalmente mediante la aplicación de algún tipo de encriptación de datos y enlaces de comunicación.
El cifrado es la única protección para pasar datos a través de enlaces de comunicación de acceso público. El enlace puede ser implementado por una red privada virtual (VPN) o por una capa de sockets seguros (SSL) para un enlace basado en la Web. Cifrado puede ser simétrico (ambas partes utilizan la misma clave) o asimétrico (claves públicas y privadas).
Mantener la integridad. Los datos deben ser entregados según lo previsto. Puede tener información redundante codificada en ella, como sumas o los resultados de hash, que pueden ser encriptados con o independientemente de los datos originales.
Límite de exposición. Los ataques suelen depender de la explotación de una sola debilidad para atacar a todos los datos y servicios en un host. El arquitecto puede diseñar la asignación de servicios a los servidores para que los servicios disponibles estén limitados en cada host.
Limitar el acceso. Los firewalls restringen el acceso basado en la fuente del mensaje o puerto de destino. Los mensajes de fuentes desconocidas puede ser una forma de ataque pero no se pueden limitar siempre. Un sitio web público, por ejemplo, puede obtener las solicitudes desde fuentes desconocidas. Una configuración que se utilizan en este caso es la llamada zona desmilitarizada (DMZ) cuando se debe proporcionar acceso a los servicios de Internet, pero no a una red privada. Se encuentra entre Internet y un firewall delante de la red interna. La DMZ contiene dispositivos de espera para recibir mensajes de fuentes arbitrarias tales como servicios Web, correo electrónico y los servicios de nombres de dominio (DNS).