Segunda entrega de proyecto
En esta entrega expandes el informe que comenzaste en la primera entrega incorporando los conceptos del Bloque 2. Entregas una nueva versión del mismo documento PDF, ahora con cuatro capítulos adicionales que cubren cómo protegerás técnicamente tu sistema.
Qué entregas
Un documento PDF actualizado que contiene:
- Los capítulos de la primera entrega, revisados si recibiste retroalimentación
- Cuatro capítulos nuevos correspondientes al Bloque 2
No es un documento nuevo ni un resumen de lo anterior: es el mismo informe, ampliado.
Estructura del documento
Capítulos que ya existen (de la primera entrega)
Revísalos e incorpora la retroalimentación recibida. Si algo cambió en tu comprensión del proyecto, actualízalo.
- Capítulo 1: Descripción del proyecto
- Capítulo 2: Contexto de ciberseguridad (activos, amenazas, actores, principios CIAAN)
- Capítulo 3: Riesgos identificados y consecuencias
Capítulos nuevos (Bloque 2)
Capítulo 4: Criptografía y protección de datos
Aplica los conceptos de la clase 08.
- ¿Qué datos de tu sistema son sensibles y requieren protección?
- ¿Qué se cifra en tránsito (TLS/HTTPS), qué en reposo (AES) y qué mediante hash (contraseñas)?
- ¿Cómo se almacenarán las contraseñas de los usuarios? Especifica el algoritmo.
- ¿Qué otros mecanismos criptográficos aplican a tu sistema (firmas, tokens, certificados)?
Capítulo 5: Seguridad en la aplicación
Aplica los conceptos de la clase 05.
- ¿Qué vulnerabilidades del OWASP Top 10 son relevantes para tu proyecto? Justifica cuáles y por qué.
- ¿Cómo aplicas validación de entradas, autenticación segura y autorización correcta?
- ¿Cómo integras la seguridad en el ciclo de desarrollo (DevSecOps)?
- ¿Qué tipo de pruebas de seguridad realizarías antes de lanzar el sistema?
Capítulo 6: Control de acceso
Aplica los conceptos de la clase 06.
- ¿Qué roles existen en tu sistema y qué puede hacer cada uno?
- ¿Qué modelo de control de acceso elegiste (DAC, MAC, RBAC)? Justifica la elección.
- Presenta la matriz de permisos completa (roles × recursos con operaciones CRUD).
- ¿Cómo aplicas el principio de privilegio mínimo? Da ejemplos concretos.
- ¿Qué riesgos introduce una configuración incorrecta de permisos en tu caso específico?
Capítulo 7: Arquitectura e infraestructura
Aplica los conceptos de la clase 07.
- Incluye un diagrama de arquitectura de tu sistema con todos los componentes y capas.
- Identifica las superficies de ataque: ¿dónde puede intentar entrar un atacante?
- ¿Qué controles de seguridad aplican a cada capa (cliente, red, servidor, base de datos)?
- Si tu sistema usa servicios en la nube, ¿qué responsabilidades de seguridad son tuyas y cuáles del proveedor?
Criterios de evaluación
1. Revisión y evolución desde la primera entrega (10 puntos)
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Los capítulos anteriores fueron revisados incorporando retroalimentación con evidencia de mejora | 9–10 |
| Bueno | Se incorporaron algunos ajustes; la evolución es visible | 7–8 |
| Suficiente | Los capítulos anteriores no cambiaron, sin justificación | 5–6 |
| Insuficiente | Se ignoran los capítulos anteriores o el documento parece empezar de cero | 0–4 |
2. Criptografía y protección de datos (20 puntos)
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Identifica todos los datos sensibles, especifica mecanismo concreto para cada caso (algoritmo, dónde aplica) y justifica las decisiones | 18–20 |
| Bueno | Cubre la mayoría de los datos sensibles con mecanismos apropiados; alguna decisión podría estar más justificada | 14–17 |
| Suficiente | Menciona cifrado o hashing de forma genérica sin especificar cómo ni dónde | 9–13 |
| Insuficiente | No considera protección criptográfica o propone mecanismos incorrectos para el contexto | 0–8 |
3. Seguridad en la aplicación (25 puntos)
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Identifica vulnerabilidades OWASP relevantes al proyecto, propone controles técnicos específicos y muestra comprensión del ciclo DevSecOps | 23–25 |
| Bueno | Cubre las principales vulnerabilidades con controles pertinentes; profundidad mejorable en algunos puntos | 18–22 |
| Suficiente | Vulnerabilidades mencionadas de forma genérica; controles vagos o no aplicados al contexto | 12–17 |
| Insuficiente | Análisis superficial o vulnerabilidades irrelevantes para el sistema | 0–11 |
4. Control de acceso (25 puntos)
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Modelo justificado, roles completos, matriz de permisos detallada, privilegio mínimo aplicado consistentemente, riesgos de mala configuración analizados | 23–25 |
| Bueno | Modelo aplicado, roles definidos, matriz presente, privilegio mínimo en la mayoría de casos | 18–22 |
| Suficiente | Roles básicos, matriz incompleta, aplicación inconsistente del privilegio mínimo | 12–17 |
| Insuficiente | Sin modelo coherente o sin matriz | 0–11 |
5. Arquitectura e infraestructura (20 puntos)
| Nivel | Descripción | Puntos |
|---|---|---|
| Excelente | Diagrama claro con todos los componentes, superficies de ataque identificadas, controles por capa especificados | 18–20 |
| Bueno | Diagrama presente, la mayoría de superficies de ataque cubiertas, controles pertinentes | 14–17 |
| Suficiente | Descripción textual de la arquitectura, superficies de ataque generales, pocos controles | 9–13 |
| Insuficiente | Sin diagrama o sin análisis de superficies de ataque | 0–8 |
Formato sugerido para la matriz de permisos
| Recurso / Rol | Administrador | Usuario registrado | Usuario invitado | Sistema externo |
|---|---|---|---|---|
| Base de datos de usuarios | CRUD | R (solo sus datos) | — | — |
| API principal | CRUD | CR | R | R |
| Panel de administración | CRUD | — | — | — |
| Logs del sistema | R | — | — | — |
C = Crear, R = Leer, U = Actualizar, D = Eliminar
Checklist antes de entregar
- Los capítulos 1–3 de la primera entrega están revisados e incorporan retroalimentación
- El capítulo 4 especifica qué datos se cifran, con qué algoritmo y en qué momento (tránsito, reposo)
- Las contraseñas de usuarios se almacenan con bcrypt o Argon2 (no SHA-256 directo)
- El capítulo 5 menciona al menos 3 vulnerabilidades OWASP relevantes con controles concretos
- El capítulo 6 incluye una matriz de permisos completa con todos los roles y recursos del sistema
- El capítulo 6 justifica el modelo de control de acceso elegido
- El capítulo 7 incluye un diagrama de arquitectura real (no genérico)
- El capítulo 7 identifica al menos 3 superficies de ataque con sus controles
- Todos los capítulos nuevos hacen referencia al proyecto específico, no a sistemas genéricos
Errores comunes a evitar
-
Proponer cifrado sin especificarlo: “Cifraremos los datos sensibles” no es suficiente. ¿Cuáles datos? ¿Con qué algoritmo? ¿Dónde se guarda la clave?
-
Copiar la matriz de permisos del ejemplo: La matriz debe reflejar los roles reales de tu proyecto. Un sistema de salud tiene roles distintos a un e-commerce.
-
Diagrama de arquitectura genérico: “Cliente → Servidor → BD” describe cualquier sistema web. El tuyo debe mostrar sus componentes específicos, integraciones externas y capas de seguridad.
-
Ignorar la primera entrega: Esta entrega la incluye y mejora. Si los capítulos 1–3 tienen los mismos errores que antes, ese criterio se evaluará negativamente.
-
Tratar los capítulos como secciones independientes: El análisis de riesgos del capítulo 3 debe conectarse con los controles del capítulo 5. La arquitectura del capítulo 7 debe verse reflejada en la matriz de acceso del capítulo 6.
Extensión recomendada
10–14 páginas en total (sin contar portada y referencias). Los capítulos nuevos deberían sumar aproximadamente 6–8 páginas.
Recursos útiles
- 05-seguridad-en-aplicaciones — Vulnerabilidades y ciclo DevSecOps
- 06-control-de-acceso — Modelos DAC, MAC, RBAC y matrices de permisos
- 07-panorama-tecnologico — Arquitectura de sistemas y superficies de ataque
- 08-criptografia-aplicada — Qué cifrar, cómo y con qué
- 01-primera-entrega-de-proyecto — Revisa los criterios de la primera entrega
Navegación: ← Anterior | Inicio | Siguiente: Ética y legislación →