Diseño de un modelo centralizado de autorizaciones para mejorar la seguridad en aplicaciones desarrolladas a la medida.
QRCode
Share this
Date
2021Author
Citation
Metadata
Show full item recordPDF Documents
Title
Design of a centralized authorization model to improve security in custom-developed applications
Abstract
La mayoría de las aplicaciones desarrolladas a la medida disponen de su propio mecanismo de autorización, lo que genera problemas para la gestión de los accesos de los usuarios. Tales como la asignación o retiro de los permisos en todas las aplicaciones oportunamente, la falta de auditoría y monitoreo en la gestión de los permisos y la dificultad para identificar los accesos que tiene un usuario, entre otros. Esta dificultad en la gestión de los accesos posibilita exponencialmente la consulta de información no autorizada. Algunas veces estas falencias mencionadas ocurren porque durante la implementación de una aplicación, no se especifican ni se desarrollan los requisitos de autorización facilitando al atacante a explorar vulnerabilidades que afectan la confidencialidad de la información e incluso la organización puede llegar a incumplir la Ley 1581 de 2012 que corresponde a la protección de datos personales. De acuerdo con lo descrito anteriormente, este proyecto de grado definió un modelo de autorización centralizado para ayudar a disminuir los problemas mencionados y realmente otorgarle beneficios a la organización. Para lograrlo, este proyecto se dividió en cuatro fases: 1) Se conoció como estaba implementado el control de acceso de las aplicaciones desarrolladas a la medida en algunas organizaciones; 2) se identificaron algunos modelos de seguridad para el control de acceso más reconocidos en la industria, buscando en bases de datos científicas, en empresas como Gartner, NIST, ACIS, IEEE, y en proveedores de tecnología, entre otros; 3) se definieron los requisitos y el diseño del modelo centralizado de autorización en las aplicaciones a la medida; 4) se realizó un desarrollo donde se implementó parte del modelo centralizado de autorización, posteriormente se presentó a varias personas de TI con el fin de validar si ayudaba a reducir los problemas mencionados previamente y mitigar el riesgo de consultar información por personas no autorizadas.
Abstract
Most of the applications developed to measure have their own authorization mechanism, which generates problems for the management of user access. Such as the assignment or withdrawal of permissions in all applications in a timely manner, the lack of auditing and monitoring in the management of permissions and the difficulty in identifying the accesses that a user has, among others. This difficulty in access management exponentially makes it possible to consult unauthorized information. Sometimes these shortcomings occur because during the implementation of an application, authorization requirements are not specified or developed, making it easier for the attacker to explore vulnerabilities that affect the confidentiality of the information and even the organization may breach Law 1581 of 2012 which corresponds to the protection of personal data. In accordance with the above, this degree project defined a centralized authorization model to help reduce the aforementioned problems and really provide benefits to the organization. To achieve this, this project was divided into four phases: 1) It became known how access control was implemented for custom-developed applications in some organizations; 2) some of the most recognized security models for access control in the industry were identified, searching scientific databases, companies such as Gartner, NIST, ACIS, IEEE, and technology providers, among others; 3) the requirements and the design of the centralized authorization model in custom applications were defined; 4) A development was carried out where part of the centralized authorization model was implemented, subsequently it was presented to several IT people in order to validate if it helped reduce the problems raised and mitigate the risk of consulting information by unauthorized persons.