Sistemas de Informacin

en entorno Web
ndice
Qu es un Sistema de Informacin en
entorno Web?
Ventajas y desventajas
Control de acceso
Autenticacin y Autorizacin
Seguridad
Amenazas deliberadas a la seguridad de la
informacin
Ejemplos de Sistemas de Informacin
Diseo de Sistemas de Informacin
Qu es un S.I. en entorno Web?
Mquina Servidor
SERVIDOR
DE
SERVLETS
BD
externa
BD
Otros
procesos
HTTP
HTTP
SERVIDOR
WEB
Ventajas y desventajas
Ventajas
No es necesaria ninguna instalacin en el cliente
(aplicaciones, drivers, ...)
Accesible desde cualquier lugar
Slo es necesario un navegador
Desventajas
Lentitud de Internet
Calidad de las interfaces de usuario
Menos posibilidades que las ofrecidas por las
aplicaciones cliente tradicionales
Vulnerabilidad de la informacin
Importancia de la Seguridad: Encriptacin,
protocolo seguro HTTPS
Control de acceso
Protege la entrada a un Sistema de
Informacin completo o a funcionalidades
concretas de ste
Consta generalmente de dos pasos
Autenticacin: que identifica al usuario o a la
mquina que trata de acceder a los recursos,
protegidos o no
Autorizacin: que dota al usuario de privilegios
para poder efectuar ciertas operaciones con los
datos protegidos, tales como crearlos, leerlos,
modificarlos, etc.
Establecimiento de Roles
Control de acceso
Tres tipos bsicos de control de acceso:
Por direccin IP, nombre de host o dominio
Se puede configurar el servidor web de manera
que ciertos recursos sean accesibles slo por
ordenadores que posean determinada direccin IP,
cierto nombre de host o pertenezcan a un dominio
dado
Por nombre de usuario y contrasea
Se requiere al usuario que introduzcan un nombre
y una contrasea como medio de asegurar su
identidad
Por certificados
El usuario simplemente instala el certificado en su
navegador y posteriormente, cuando se conecte al
servidor, slo tiene que presentarlo para que se
produzca la autenticacin
Seguridad
Se entiende por amenaza
Una condicin del entorno del sistema de
informacin (persona, mquina, suceso o idea)
que, dada una oportunidad, podra dar lugar a que
se produjese una violacin de la seguridad
Violacin de la seguridad
Confidencialidad, integridad, disponibilidad o uso
legtimo
Categorias generales de amenazas o ataques
Interrupcin, intercepcin, modificacin y
fabricacin
Los ataques pueden clasificarse a su vez
Pasivos y activos
Ataques pasivos
El atacante no altera la comunicacin, sino
que nicamente la escucha o monitoriza
Muy difciles de detectar
Objetivos
Obtencin del origen y destinatario de la
comunicacin
Leyendo las cabeceras de los paquetes
monitorizados.
Control del volumen de trfico intercambiado
entre las entidades monitorizadas
Obteniendo as informacin acerca de actividad o
inactividad inusuales.
Control de las horas habituales de intercambio de
datos entre las entidades de la comunicacin
Para extraer informacin acerca de los perodos de
actividad
Ataques activos
Implican algn tipo de modificacin del flujo de
datos transmitido o la creacin de un falso flujo
Tipos
Suplantacin de identidad
el intruso se hace pasar por una entidad diferente
Reactuacin
uno o varios mensajes legtimos son capturados y
repetidos para producir un efecto no deseado
Modificacin de mensajes
una porcin del mensaje legtimo es alterada, o los
mensajes son retardados o reordenados, para producir
un efecto no autorizado
Degradacin fraudulenta del servicio
impide o inhibe el uso normal o la gestin de recursos
informticos y de comunicaciones
Entre estos ataques se encuentran los de denegacin de
servicio, consistentes en paralizar temporalmente el
servicio de un servidor de correo, Web, FTP, etc.
Ejemplos de Sistemas de Informacin
Automatrcula de la Escuela
Gestin Acadmica
Profesores
Introduccin de calificaciones, consulta de datos
Alumnos
Consulta de expediente acadmico
Gestin de Programas de Intercambio
Gestores: Administracin
Alumnos: Consulta de situacin
Comercio Electrnico
Amazon
Sistemas de Informacin Empresarial
Diseo de Sistemas de Informacin
Transparencia
La organizacin debe ser fcil de entender para
los usuarios
Informacin accesible fcilmente
Disear una estructura de ficheros que permita a
los usuarios obtener la informacin con el menor
nmero de clicks
Uso de estndares
Que todas las pginas de una web compartan un
formato visual similar
El uso de un formato estndar mejora en gran
manera el aspecto y feeling de una web
Una vez que el usuario entiende el formato
comn, encuentra ms fcil el uso de la web
Diseo de Sistemas de Informacin
Mantenimiento
Disear el sitio web con el objetivo claro de que
su mantenimiento sea fcil
Prestaciones
Cada da ms, la gente demanda de los sitios web
un valor aadido ms all del puro anuncio
Motores de bsqueda
Cuando los sitios web son muy grandes hay que
poner a disposicin un motor de bsqueda
Usuarios
Conocer quines son, que sistemas usan y
desarrollar una estrategia para servir
eficientemente a los diferentes grupos de usuarios
Diseo de Sistemas de Informacin
Seguridad
Tener presente la seguridad desde el diseo
Web logs
Permiten obtener informacin sobre usuarios
Tipo de organizacin de la que provienen
Tipo de sistema operativo y navegador que usan
Cmo llegaron a tu pgina web
Qu les result de utilidad
Diseo visual
Disear la pgina principal para que cuadre en un
monitor de 15 con el menor scrolling posible
No usar archivos de figuras grandes
incrementan el tiempo de carga
Usar fondos lisos con fuentes de texto que tengan
suficiente contraste con el fondo
Cul es la clave del xito?