Evaluación: Sustentación parcial de proyecto
Objetivo: Entender cómo se evaluará tu sustentación parcial de proyecto y qué se espera de ti.
¿Qué se evalúa?
En esta sustentación demostrarás la evolución de tu proyecto incorporando los conceptos del Bloque 2: seguridad en aplicaciones, control de acceso y arquitectura de sistemas.
Criterios de evaluación
1. Resumen y evolución desde la primera entrega (10 puntos)
Lo que debes demostrar:
- Resumir claramente los hallazgos de la primera entrega
- Mostrar cómo ha evolucionado tu análisis
- Indicar qué ajustes hiciste basándote en la retroalimentación
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Resumen claro, evidencia de evolución y ajustes basados en retroalimentación | 9-10 |
| Bueno | Resume puntos principales, menciona algunos ajustes | 7-8 |
| Suficiente | Resumen básico sin mucha profundidad, poca evidencia de mejora | 5-6 |
| Insuficiente | No presenta resumen adecuado o ignora la entrega anterior | 0-4 |
2. Análisis de seguridad en aplicaciones (25 puntos)
Lo que debes demostrar:
- Identificar vulnerabilidades específicas de tu proyecto
- Aplicar las técnicas vistas: validación de entradas, cifrado, autenticación/autorización, gestión de permisos, pruebas de seguridad
- Proponer implementaciones concretas y viables
- Mostrar comprensión del ciclo DevSecOps
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Análisis exhaustivo con todas las técnicas aplicadas, propuestas específicas y viables | 23-25 |
| Bueno | Mayoría de técnicas identificadas, propuestas adecuadas pero podrían ser más específicas | 18-22 |
| Suficiente | Algunas técnicas mencionadas de forma general, sin profundizar en aplicación | 13-17 |
| Insuficiente | Análisis superficial o técnicas no apropiadas para el contexto | 0-12 |
3. Diseño de control de acceso (25 puntos)
Lo que debes demostrar:
- Definir roles y permisos claros para tu proyecto
- Aplicar al menos uno de los modelos (DAC, MAC, RBAC)
- Aplicar consistentemente el principio de privilegio mínimo
- Identificar recursos críticos y asignar controles apropiados
- Analizar riesgos de configuraciones incorrectas
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Sistema completo con modelo claro, matriz de permisos, privilegio mínimo aplicado, análisis de riesgos | 23-25 |
| Bueno | Roles y permisos definidos, modelo aplicado, privilegio mínimo en mayoría de casos | 18-22 |
| Suficiente | Roles básicos, modelo difuso, aplicación inconsistente de privilegio mínimo | 13-17 |
| Insuficiente | No define sistema coherente o ignora principios fundamentales | 0-12 |
4. Análisis de arquitectura e infraestructura (20 puntos)
Lo que debes demostrar:
- Mapear la arquitectura del sistema identificando componentes y capas
- Identificar superficies de ataque en la infraestructura del proyecto
- Proponer controles apropiados para cada capa (red, servidor, aplicación)
- Considerar aspectos de seguridad en la nube si aplica
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Arquitectura mapeada con superficies de ataque claras, controles específicos por capa | 18-20 |
| Bueno | Arquitectura identificada, mayoría de superficies de ataque cubiertas, controles pertinentes | 14-17 |
| Suficiente | Descripción básica de la arquitectura, superficies de ataque generales | 10-13 |
| Insuficiente | No identifica la arquitectura o ignora las superficies de ataque | 0-9 |
5. Integración y coherencia técnica (10 puntos)
Lo que debes demostrar:
- Las medidas de seguridad en aplicaciones, control de acceso y arquitectura se integran entre sí
- Las propuestas son realistas y técnicamente viables
- Hay coherencia entre todos los componentes
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Integración coherente, propuestas realistas y bien articuladas | 9-10 |
| Bueno | Cierta integración, propuestas mayormente viables | 7-8 |
| Suficiente | Elementos presentados de forma separada, viabilidad cuestionable | 5-6 |
| Insuficiente | Sin integración, propuestas técnicamente inviables | 0-4 |
6. Sustentación oral (10 puntos)
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Explicación clara, respuestas fundamentadas, vocabulario técnico correcto | 9-10 |
| Bueno | Explicación adecuada, mayoría de preguntas respondidas correctamente | 7-8 |
| Suficiente | Explicación básica con imprecisiones, vocabulario técnico limitado | 5-6 |
| Insuficiente | Explicación confusa, errores conceptuales significativos | 0-4 |
Entregables
Documento escrito (PDF)
- Portada con información del equipo
- Sección 0: Resumen ejecutivo de la primera entrega (máximo 1 página)
- Síntesis de amenazas, actores y principios CIAAN identificados
- Cambios realizados desde la primera entrega
- Sección 1: Seguridad en aplicaciones web/móviles
- Vulnerabilidades identificadas en el proyecto
- Técnicas propuestas (validación, cifrado, autenticación, permisos, pruebas)
- Justificación técnica de cada propuesta
- Sección 2: Control de acceso
- Definición de roles y recursos del sistema
- Modelo seleccionado (DAC/MAC/RBAC) y justificación
- Matriz de permisos (roles × recursos)
- Aplicación del principio de privilegio mínimo
- Análisis de riesgos por configuración incorrecta
- Sección 3: Arquitectura e infraestructura
- Diagrama de arquitectura del sistema con componentes y capas
- Superficies de ataque identificadas
- Controles propuestos por capa (red, servidor, aplicación)
- Consideraciones de seguridad en la nube (si aplica)
- Sección 4: Integración y coherencia
- Diagrama o descripción de cómo se integran todas las medidas
- Viabilidad técnica y consideraciones de implementación
- Referencias
Extensión recomendada: 8-12 páginas (sin contar portada y referencias)
Presentación oral
- Duración: 12-15 minutos + 5 minutos de preguntas
- Apoyo visual: Diapositivas, diagramas de arquitectura, matriz de permisos
- Participación: Todos los integrantes deben participar
Formato sugerido para la matriz de permisos
| Recurso / Rol | Administrador | Usuario registrado | Usuario invitado | Sistema externo |
|---|---|---|---|---|
| Base de datos | L, E, Eliminar | L (solo sus datos) | Sin acceso | Sin acceso |
| API de pagos | Configuración | Uso limitado | Sin acceso | L (webhook) |
| Panel de control | Acceso total | Solo su perfil | Sin acceso | Sin acceso |
L = Lectura, E = Escritura
Checklist de preparación
Antes de tu sustentación, verifica que puedes:
- Resumir en 2 minutos los hallazgos de la primera entrega
- Explicar qué cambió desde entonces
- Identificar al menos 3 vulnerabilidades específicas de tu proyecto
- Proponer al menos 4 de las 5 técnicas de seguridad en aplicaciones
- Presentar una matriz de permisos completa
- Justificar por qué elegiste el modelo de control de acceso
- Dar ejemplos de cómo aplicas el principio de privilegio mínimo
- Presentar un diagrama de arquitectura con componentes y capas
- Identificar al menos 3 superficies de ataque en la infraestructura
- Responder: “¿Qué pasa si un usuario tiene más permisos de los necesarios?”
Errores comunes a evitar
-
Ignorar la primera entrega: Esta es una evolución, no un reinicio
-
Técnicas sin aplicación: No basta con mencionar “usaremos cifrado”. Especifica qué se cifra, cuándo, con qué algoritmo
-
Roles mal definidos: “Usuario” no es suficiente. ¿Qué tipos de usuarios? ¿Qué puede hacer cada uno?
-
Matriz incompleta: Asegúrate de cubrir todos los roles y recursos importantes
-
Olvidar el privilegio mínimo: Si un rol tiene “acceso a todo”, probablemente está mal diseñado
Recursos útiles
- 06-seguridad-en-aplicaciones — Técnicas de seguridad
- 07-control-de-acceso — Modelos DAC, MAC, RBAC
- 08-panorama-tecnologico — Arquitectura de sistemas e infraestructura
- 04-modelado-de-amenazas — Revisa los criterios de la primera entrega
- glosario — Definiciones de términos técnicos
Navegación: ← Anterior | Inicio | Siguiente: Ética y legislación →