Auditoría de seguridad de una plataforma web

20 05 2008

Desde hace un par de meses TATAKI está trabajando en la auditoría de seguridad de una importante plataforma Web . La plataforma está diseñada para el despliegue de servicios telemáticos que incluyen trámites legales y transacciones económicas con diversas entidades.

La auditoría sigue los pincipios de normas estándar como ITIL o la ISO 27002, donde se contempla el proceso de gestión de la seguridad de la información desde tres vertientes diferenciadas:

  • Disponibilidad, mediante auditorías de rendimiento, capacidad, disponibilidad, escalabilidad, etc.
  • Integridad, mediante auditorías de seguridad Web, autenticación, filtrado, code injection, revisión de código, etc.
  • Confidencialidad, mediante auditoría de protección de datos (LOPD y LSSI/CE).

Algunos de los estudios realizados en el proyecto son:

Benchmarking y Tiempo de respuesta: Obtención de indicadores y métricas, para poder evaluar el rendimiento de los diversos componentes del sistema, cuellos de botella, etc.

Análisis de carga y capacidad: Permite definir los parámetros de calidad de acceso a la plataforma según la percepción de los usuarios. Se intenta modelar el comportamiento de los usuarios creando un usuario tipo artificial. El modelo resultante se emplea para generar carga contra un servidor (o cluster) específico o la arquitectura en su conjunto.

Análisis de mecanismos de autenticación y gestión de la sesión: Incluye todos los aspectos relacionados con el control del acceso de los usuarios al sistema y los mecanismos de gestión de las sesiones activas. Para diagnosticar los mecanismos de autenticación y gestión de la sesión se pueden emplear tanto revisiones de código como pruebas de penetración.

Análisis de visibilidad externa de la plataforma: Controlar correctamente el acceso al contenido de un sitio Web es algo crucial para mantener la disponibilidad de la aplicación. Para ello deben evaluarse las posibilidades de sufrir ataques por técnicas como Directory Traversal, Cross Site Scripting, etc.

Revisión de código: Consiste en inspeccionar el código de la aplicación para identificar vulnerabilidades en él. Las vulnerabilidades en el código existen debido a un diseño o implementación inadecuados (desconocimiento, descuidos, código provisional, etc.) durante el ciclo de vida de desarrollo de la aplicación. Algunas vulnerabilidades importantes a localizar en esta revisión son: filtrado incorrecto de las entradas de datos, inyección de código, Cross Site Scripting, tratamiento de errores y excepciones, control de acceso a los componentes de la aplicación (e.g. EJBs), denegación de servicio, etc.

 


Comentarios : 1 comentario
Etiquetas: , , ,
Categorías : Proyectos

TATAKI con el CEE Fundació Xamfrà Sant Miquel

12 01 2008

Desde principios de enero, TATAKI está trabajando para el Centro Especial de Empleo (CEE) de la Fundació Xamfrà Sant Miquel. El CEE está orientado a la inserción laboral de personas con disminución psíquica y realiza trabajos en diversos ámbitos como jardinería, confección, manipulados, etc.

Manipulados CEE

En una primera fase que concluirá a finales de enero, TATAKI trabajará con el CEE en la consolidación de su proceso de informatización, ya iniciado hace varios años, dotando a su personal de instrumentos y formación para lograr el mayor grado posible de autonomía en la gestión de su infraestructura TIC. En una segunda fase, ya en marcha, se plantea la digitalización de los procesos asociados a la gestión de pedidos, órdenes de trabajo, facturación, etc. El objetivo es el desarrollo de una solución informática a medida de las capacidades y recursos del CEE, que permita la digitalización de la mayoría de procesos manuales de la gestión del día a día, reforzando la trazabilidad de dichos procesos para el cumplimiento de la norma ISO 9001, ya certificada, y para el control periódico de las actividades del CEE.


Comentarios : Deja un Comentario »
Etiquetas: ,
Categorías : Proyectos

Proyecto KIS para Intuitiva

15 10 2007

Desde mediados del mes de julio TATAKI ha trabajado junto a Intuitiva en la redefinición de sus procesos e infraestructura de TI, dentro del proyecto Keep IT (Information Technology) Simple.

Intuitiva es una empresa dedicada al diseño gráfico y la comunicación, que ha afrontado recientemente la redefinición de su modelo de negocio. Actualmente la filosofía global de la empresa se puede resumir en una sola palabra: sencillez. Con estas premisas TATAKI debía encontrar una solución tecnológica integral que diese respuesta a todas las necesidades de Intuitiva y se adecuase a la nueva visión.

Así pues, el objetivo fundamental del proyecto era ajustar la infraestructura técnica y los procesos a las necesidades reales del momento, sin comprometer el futuro a medio plazo. Se buscaba la simplicidad de los sistemas pero sin comprometer el rendimiento, con una inversión razonable, y que el reajuste de las infraestructuras se hiciese sin afectar a la actividad diaria. Si esto se lograba, Intuitiva esperaba poder asumir internamente parte de los procesos de TI y reducir necesidades de mantenimiento.

El proyecto ha concluido con éxito al conseguirse los objetivos dentro de los plazos previstos. Al margen de los resultados derivados de la propia implantación de nuevos servicios TI, la simplificación de procesos, etc. cabe destacar que Intuitiva ha conseguido reducir sus gastos de mantenimiento de la infraestructura informática en un 30%.


Comentarios : Deja un Comentario »
Etiquetas:
Categorías : Proyectos