Análisis e implementación de la seguridad en una aplicación de comercio electrónico

Abstract

Este proyecto trata sobre el análisis de la seguridad con respecto a las aplicaciones de comercio electrónico de una manera descendente y organizada, de forma que describe el contexto en materia de seguridad en lo que al comercio electrónico se refiere, fija pautas para la definición de políticas de seguridad aplicables a la aplicación y desarrolla un ejemplo concreto de implementación para su posterior despliegue y pruebas realizadas, para que pueda ser utilizado como guía de diseño de políticas y planes de seguridad relacionada con el contexto del uso y desarrollo de aplicaciones de comercio electrónico seguras. De manera proactiva proporciona la información sobre cómo diseñar el plan de seguridad aplicado al contexto de la aplicación, de manera que enseña cómo introducirse en el contexto de las aplicaciones Web, muestra pautas de comportamiento de la zonas más inseguras, las detecta y analiza e intenta mostrar los tipos de vulneraciones que atacantes puedan perpetrar contra ellas. En un segundo paso seremos capaces de extraer conclusiones relevantes sobre el contexto para poder analizar los consiguientes riesgos que tiene una aplicación insegura y poder relacionarlos con la manera que tienen de explotarlos cualquier atacante malintencionado, para diseñar un plan de aplicación de políticas de seguridad que pueda cubrir estas necesidades en lo que a aplicaciones Web se refiere, y posteriormente y a modo práctico poder implementarlo en un caso de aplicación Web de comercio electrónico real, de manera que se puedan aplicar los análisis dispuestos y las políticas en un contexto más funcional y no pasen a ser completamente teóricas. Para complementar estas tareas y una vez tengamos analizadas y diseñadas las políticas de seguridad nuestro tercer paso se basará en especificar las tareas a realizar para poder visualizar la convergencia entre análisis y diseño e implementación en caso real, lo que nos servirá para tener cierta experiencia en lo que a situaciones reales se refiere, ya que se diseñará e implementará un sistema Web seguro desde cero, con al condición de que la aplicación ya está programada, pero al ser creada con fines didácticos en su momento no dispone de ningún elemento de seguridad sea capaz de darnos la más mínima garantía de que se puede utilizar en el mundo real, un mundo que estará lleno de atacantes que utilizarán las técnicas más avanzadas para vulnerar nuestro sitio Web de comercio electrónico. Las tareas se han dividido en tres áreas de una manera jerárquica, distinguiendo siempre entre las áreas de sistemas, caso en el que se centrarán las tareas sobre sistema operativo y software de servicio, área de red dispondrá los objetivos a cumplir para que las comunicaciones se realicen de manera segura, y área de aplicación, que se encargará de aplicar técnicas de programación segura y protección de datos al código ya programado para intentar en la medida de lo posible implementar un sistema Web