Diseño de un modelo centralizado de autorizaciones para mejorar la seguridad en aplicaciones desarrolladas a la medida
Fecha
2021Autor
Cardona Ochoa, Paula Andrea
Resumen
La mayoría de las aplicaciones desarrolladas a la medida disponen de su propio mecanismo de autorización, lo que genera problemas para la gestión de los accesos de los usuarios. Tales como la asignación o retiro de los permisos en todas las aplicaciones oportunamente, la falta de auditoría y monitoreo en la gestión de los permisos y la dificultad para identificar los accesos que tiene un usuario, entre otros. Esta dificultad en la gestión de los accesos posibilita exponencialmente la consulta de información no autorizada. Algunas veces estas falencias mencionadas ocurren porque durante la implementación de una aplicación, no se especifican ni se desarrollan los requisitos de autorización facilitando al atacante a explorar vulnerabilidades que afectan la confidencialidad de la información e incluso la organización puede llegar a incumplir la Ley 1581 de 2012 que corresponde a la protección de datos personales. De acuerdo con lo descrito anteriormente, este proyecto de grado definió un modelo de autorización centralizado para ayudar a disminuir los problemas mencionados y realmente otorgarle beneficios a la organización.
Para lograrlo, este proyecto se dividió en cuatro fases: 1) Se conoció como estaba implementado el control de acceso de las aplicaciones desarrolladas a la medida en algunas organizaciones; 2) se identificaron algunos modelos de seguridad para el control de acceso más reconocidos en la industria, buscando en bases de datos científicas, en empresas como Gartner, NIST, ACIS, IEEE, y en proveedores de tecnología, entre otros; 3) se definieron los requisitos y el diseño del modelo centralizado de autorización en las aplicaciones a la medida; 4) se realizó un desarrollo donde se implementó parte del modelo centralizado de autorización, posteriormente se presentó a varias personas de TI con el fin de validar si ayudaba a reducir los problemas mencionados previamente y mitigar el riesgo de consultar información por personas no autorizadas.