Universidad Nacional Abierta y a Distancia

Vicerrectora Acadmica y de Investigacin

Gua para el desarrollo del componente prctico
1. Descripcin general del curso

Escuela o Unidad Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

Acadmica
Nivel de formacin Especializacin
Campo de Formacin Formacin disciplinar
Nombre del curso Riesgos y Control Informtico
Cdigo del curso 233004
Tipo de curso Terico Habilitable Si No X
Nmero de crditos 2

2. Descripcin de la actividad

Laboratorio Laboratorio remoto Simulador

fsico
Tipo de Experiencias
Trabajos de Software
prctica X profesionales
campo especializado
dirigidas
Otro Cul
Nmero de
Tipo de actividad: Individual X Colaborativa 4
semanas
Momento de la Intermedia,
Inicial X Final
evaluacin: unidad:
Entorno donde se realiza:
Peso evaluativo de la actividad
Aprendizaje Prctico
(si lo tiene): 100
Seguimiento y Evaluacin
Fecha de inicio de la actividad: Fecha de cierre de la actividad:
01/11/2017 28/11/2017
Temticas que aborda componente prctico:
Modelado de Amenazas haciendo uso de la matriz STRIDE

Actividades a desarrollar

A partir de los conocimientos adquiridos en las actividades anteriores y haciendo uso

de la herramienta de Threat Analysis and Modeling Tool 2016, realizar el modelado
de amenazas teniendo en cuenta el siguiente ejercicio:
Una aplicacin web desarrollada a tres capas para un proceso de facturacin cuenta
con la siguiente estructura lgica:

El sistema se basa en arquitectura de una aplicacin web de tres capas, donde el

cliente es un navegador que acceder a los servicios proporcionados por el sitio web
del centro de facturacin, esta contiene una base de datos de clientes y procesos de
facturacin, alojada en un servidor uno de bases de datos y un servidor web que
implementa toda la lgica de negocio.

La aplicacin Threat Analysis and Modeling Tool genera un anlisis automtico por
cada elemento de la lista de componentes definidos en el diseo, mediante el mtodo
STRIDE, tomando como base la siguiente matriz:
 Relacin entre las amenazas del mtodo STRIDE y los elementos del diagrama.
Tomado de: http://seguridadenlanube.blogspot.com.co/2011/02/el-modelado-de-
amenazas-de-seguridad-es.html
S - Suplantacin (Spoofing) Un ataque de suplantacin se produce cuando un atacante
se hace pasar por alguien que no es.
T - Manipulacin (Tampering)La manipulacin ataques se producen cuando el atacante
modifica los datos en trnsito.
R - Repudio (Repudiation)
Negar la autora de una accin o evento en los sistemas de informacin.
I - Revelacin de informacin (Information Disclosure)
Cuando la aplicacin revela informacin sensible de forma no controlada debido a un
error en la programacin o un fallo en la configuracin del servicio o aplicacin.
D - Denegacin de servicio (Denial of Service)
Introduccin de informacin maliciosa que logre la saturacin o el bloqueo de la
aplicacin y de los servicios que esta proporciona generando como consecuencia la
cada de la aplicacin o el sistema informtico.
E - Elevacin de privilegios (Elevation of Privilege) Una elevacin de privilegios se
produce cuando un atacante tiene la capacidad para obtener privilegios que
normalmente no tendran. Esto se logra mediante la alteracin o ataque a la aplicacin
obteniendo unos niveles de acceso mayores de los inicialmente otorgados, saltndose
as la poltica de control de acceso predefinida.
Tomado de http://blog.segu-info.com.ar/2010/03/que-es-stride.html

Una vez realizado el anlisis automtico de las amenazas realizar la siguiente

actividad:
Identificar las amenazas teniendo en cuenta su categora, proponer salvaguardas que
ayuden a mitigarlas los riesgos encontrados.
Tenga en cuanta:
El ttulo hace referencia a la posible tcnica de ataque
La categora hace referencia a el tipo de ataque segn la matriz STRIDE
La descripcin hace referencia a lo que podra generar la amenaza
En la justificacin se hace la evaluacin a partir del mtodo DREAD del impacto
del ataque
o Bajo equivale a 1
o Medio equivale a 2
o Alto equivale a 3
o Para evaluar el riesgo se tiene en cuenta la siguiente puntuacin:
1-7 Riesgo Bajo
8-11 Riesgo Medio
12-15 Riesgo Alto
 En la prioridad se determina el resultado del riesgo (bajo, medio o alto) teniendo
en cuenta la suma de la probabilidad de impacto la cual va de 1 a 3

o Damage potential (potencial de dao)

o Reproducibility (grado de reproduccin)
o Exploitability (grado de explotacin)
o Affected users (usuarios afectado)
o Discoverability (grado de descubrimiento)

Por ltimo, se determinan tres posibles salvaguardas

Como ayudas de salvaguardas a incluir en la aplicacin, para mitigar las amenazas se
incluye el siguiente grfico:
 Salvaguardas Aplicacin WEB
Descargar la aplicacin

Entorno para su Aprendizaje Prctico

desarrollo: Seguimiento y Evaluacin
A partir del diagrama propuesto realizar la entrega de:

Modelado de amenazas desarrollado en el software libre Microsfot

Threat Modeling

Nombre de las amenazas identificadas

Categora
Productos a
Descripcin
entregar por el
Justificacin (Uso matriz DREAD)
estudiante:
Interaccin
Prioridad
Evaluacin
Salvaguardas (3)

Informe generado por la aplicacin

Tipo de No se entrega ningn

Individual x Colaborativo
producto: producto
Individual:
Documento en Word aplicando normas APA versin 6 que contenga imagen del
diagrama objeto a estudiar, evaluacin de las amenazas y propuesta de tres
salvaguardas para cada una de las amenazas
Informe generado por la herramienta
Colaborativo
No aplica
4. Formato de Rubrica de evaluacin

Formato rbrica de evaluacin

Actividad Actividad
Tipo de actividad: x
individual colaborativa
Momento de la
Inicial Intermedia, unidad x Final
evaluacin
Aspectos Niveles de desempeo de la actividad individual
evaluado Puntaje
s Valoracin alta Valoracin media Valoracin baja
Diagram El estudiante realiza El estudiante
El estudiante no
a de adecuadamente el realiza de forma
realiza diagrama de
Modelad diagrama de parcial el diagrama
modelado de 20
o de modelado de de modelado de
amenazas
Amenaza amenazas amenazas
s (Hasta 20 puntos) (Hasta 10 puntos) (Hasta 0 puntos)
El estudiante
El estudiante no
El estudiante realiza realiza de forma
Evaluaci realiza la
de forma adecuada la parcial la
n de las evaluacin de las
evaluacin de las evaluacin de las 20
amenaza amenazas
amenazas generadas amenazas
s generadas
generadas
(Hasta 20 puntos) (Hasta 10 puntos) (Hasta 0 puntos)
El estudiante aplica El estudiante aplica
de forma acertada 3 menos de 3 El estudiante no
Aplicaci
salvaguardas por salvaguardas por aplica salvaguardas
n de
cada una de las cada una de las en las amenazas 40
salvagua
amenazas amenazas encontradas
rdas
encontradas encontradas
(Hasta 40 puntos) (Hasta 10 puntos) (Hasta 0 puntos)
El estudiante entrega
el archivo del
Entrega El estudiante El estudiante no
informe, el informe
de entrega 2 de los entrega los
generado por la 20
documen archivos solicitados archivos solicitados
aplicacin y el archivo
tos
del diagrama *.tm7
(Hasta 20 puntos) (Hasta 10 puntos) (Hasta 0 puntos)
Calificacin final 100