TEORIA

Fonaments de Seguretat en Aplicacions Web

Establim les bases teòriques de la ciberseguretat: protegir els actius de negoci front a amenaces en sistemes interconnectats.

1.1

Què és la Ciberseguretat? (Concepte ISACA)

Segons l'estàndard ISACA, la ciberseguretat és la protecció dels actius d'informació front a les amenaces que la processen, emmagatzemen i transporten mitjançant sistemes interconnectats.

Per aplicar-la correctament, hem de conèixer dos factors clau:

🏢

Plans de negoci i entorn empresarial

Què volem protegir i per què. Exemples: el prestigi d'un banc o la base de dades d'una botiga online.

🛠️

Tecnologia disponible

Quines eines tenim a l'entitat per fer front a les amenaces i implementar les controls de seguretat necessaris.

💻

Ciberseguretat

Es limita exclusivament a la protecció d'actius digitals: informació digital, hardware i xarxes.

vs
🛡️

Seguretat de la Informació

Concepte més global que inclou els actius digitals i també els actius en paper o físics.

Diagrama concepte ciberseguretat ISACA
Diagrama: Ciberseguretat ISACA images/teoriaM03/isaca-cybersecurity.png
Llegir recurs: Cybersecurity — isaca.org
1.2

La Tríada CIA: Les 3 Dimensions Clau

La seguretat de la informació es basa en un conjunt de mesures preventives i reactives per resguardar la informació mantenint tres dimensions fonamentals:

🔒

Confidencialitat

Garantir que la informació només sigui accessible per aquells que tenen el permís corresponent.

Exemple pràctic

Que un atacant no pugui llegir els números de targeta de crèdit de la base de dades de l'e-commerce.

Integritat

Protegir l'exactitud i completitud de les dades contra alteracions no autoritzades.

Exemple pràctic

Que un usuari no pugui modificar el saldo del seu compte bancari a l'App Fintech mitjançant una injecció de codi.

🕒

Disponibilitat

Assegurar que els sistemes i la informació estiguin accessibles i operatius sempre que siguin necessaris.

Exemple pràctic

Que la web no caigui durant un atac de Denegació de Servei (DoS), permetent que els clients continuïn comprant.

Diagrama Tríada CIA
Diagrama: La Tríada CIA images/teoriaM03/cia-triad.jpg
Llegir recurs: Cybersecurity Framework — nist.gov
1.3

Dimensions Esteses (Seguretat Informàtica)

Més enllà de la tríada clàssica, per a una auditoria completa cal considerar tres dimensions addicionals:

👤

Autenticació

Verificar la identitat real dels usuaris o sistemes. La pregunta clau és: "Qui dius que ets?"

🔑

Autorització

Controlar els permisos segons la identitat. La pregunta clau és: "Què tens permès fer?" Un error aquí provoca el risc OWASP A01: Broken Access Control.

📜

Auditoria

El registre d'esdeveniments i monitoratge per detectar accessos no autoritzats i saber què ha passat després d'un incident.

⚠️
OWASP A01 – Broken Access Control: Un error en la implementació de l'autorització és la vulnerabilitat més comuna a les aplicacions web. Permet que un usuari accedeixi a recursos o funcionalitats per als quals no té permís.
1.4

El Cub de McCumber (1991) i els Estats de la Dada

La seguretat no és una foto fixa, sinó que depèn de l'estat en què es troba la informació. El Cub de McCumber ens obliga a avaluar la Tríada CIA en tres estats:

🗄️
Emmagatzematge Dades en repòs · Storage

Protecció de la base de dades on es guarden els números de compte.

Mesura: Xifrat de disc (Criptografia)
📡
Transmissió Dades en trànsit · Transmission

Protecció de la dada mentre viatja des de l'App mòbil fins al servidor del banc.

Mesura: Ús de protocols segurs com HTTPS/TLS
⚙️
Processament Dades en ús · Processing

Protecció de la dada mentre el servidor la fa servir per realitzar un càlcul o transferència.

Mesura: Memòria segura i neteja de variables temporals
El Cub de McCumber
Diagrama: El Cub de McCumber images/teoriaM03/McCumber_cube.jpg
Llegir article: McCumber Cube — wikipedia.org
1.5

Les 5 Funcions Clau per a Actius Digitals (NIST)

Per protegir els actius digitals d'una empresa, el marc del NIST proposa un cicle de 5 funcions:

01

🔍 Identificar

Conèixer quins actius tenim: servidors, APIs, dades de clients.

02

🛡️ Proteger

Implementar les salvaguardes: firewalls, xifrat, controls d'accés.

03

👁️ Detectar

Monitoritzar per trobar activitats sospitoses ràpidament.

04

⚡ Respondre

Actuar quan es confirma un atac per minimitzar l'impacte.

05

♻️ Recuperar

Restaurar les dades i serveis afectats per tornar a la normalitat.

NIST Cybersecurity Framework - 5 Funcions
Diagrama: NIST Cybersecurity Framework images/teoriaM03/nist-framework.jpg
Llegir marc: NIST Cybersecurity Framework — nist.gov

🗂️ Resum Ràpid

Ciberseguretat (ISACA) Protecció d'actius digitals front amenaces en sistemes interconnectats.
Tríada CIA 🔒 Confidencialitat · ✅ Integritat · 🕒 Disponibilitat
Dimensions Esteses 👤 Autenticació · 🔑 Autorització · 📜 Auditoria
Cub de McCumber 🗄️ Repòs · 📡 Trànsit · ⚙️ Processament
Marc NIST Identificar → Proteger → Detectar → Responder → Recuperar
OWASP A01 Broken Access Control: error en autorització, vulnerabilitat #1.