Cargue del proyecto en servidores nube

Se debe cargar el proyecto en la nube de aws y dejarlo expuesto en internet, para ello se recomienda realizar los cursos introductorios de AWS en https://skillbuilder.aws/learn.

Aseguramiento de la calidad del proyecto

Se deben realizar las pruebas de seguridad del proyecto, garantizando que no se tengan ninguna vulnerabilidad en las revisiones de:

• SonarQube
• Bearer
• Zap

Se debe entregar la evidencia del commit u commits que realizan el ajuste en el codigo del proyecto, respecto a los cambios en los servidores en la nube se debe dejar un documento donde se evidencien estos cambios.

Realización de Pirámide documental

Se debe ralizar el documento maestro del anterior taller donde se desarrollara:

1. Politica del sistema que ustedes realizaron
2. Normas/Guias
3. Procedimeintos
4. Manual o instructivo de la plataforma
5. En los anteriores documentos debe de estar la trazabilidad de modificaciones que se realicen.

Vale resaltar que no es solamente de la codificación, sino tambien de la seguridad en los servidores donde estan realizando la instalación y la configuración de las redes internas en la nube.

Continuidad del negocio (BCP) y Recuperación de desastres (DRP)

Se debe de plantear el BCP del proyecto, garantizando que funcionalidades no deben de fallar y como se debe mitigar dicha situación, de igual manera en caso de caidas se planteará el BIA, dejando claramente los roles y responsabilidades de la opreación del sistema.

Se debe plantear el sistema de DRP, donde se tienen que dejar claras los RTO/RPO donde se dejan claras los timpos y datos maximos a perder en caso de un desastre y los tiempos en que se va a garantizar la opreación.

Entregables

1. Accesos como usuairo de la plataforma en la nube.
2. Acceso al github donde tengan el proyecto.
3. Los reportes generados por las herramientas SonarQube, Bearer y Zap evidenciando que se han subsando cada una de las fallas.
4. Documento maestro que debe tener:
   • Portada, contexto y alcance
   • Riegos y tratamiento de los mismos
   • Politicas
   • Normas
   • Procedimientos
   • BCP
   • DRP
   • Arquitectura de software final utilizada (seguramente este capitulo se actualiza con la primera entrega que realizaron)
5. Presentación del documento maestro en un video de no más de 10 minutos. Importante se debe presentar con camaras prendidas.

En este taller vamos a buscar contar con las certificaciones de AWS en seguridad y en herramientas para videojuegos y publicaciones. Para ello:

Crear cuenta

Se debe crear la cuenta en https://skillbuilder.aws/

Cursos obligatorios

Se deben realizar de manera obligatoria los siguientes cursos:

1. AWS Security Fundamentals -> https://skillbuilder.aws/learn/S2N5PM41ZK/aws-security-fundamentals-second-edition-espaol-de-espaa/CRBKK1J6V1
2. AWS Security Encryption Fundamentals -> https://skillbuilder.aws/learn/F3VJ5VSAK6/aws-security–encryption-fundamentals/CZREZ5H8QM

Cursos opcionales en administración multimedia

• Location Services -> https://skillbuilder.aws/learn/9MRYCTPYV6/amazon-location-service-getting-started/AMVHRKTMH7
• AWS for Media & Entertainment Content -> https://skillbuilder.aws/learn/MPP2DB551J/aws-for-media–entertainment-content-production-learning-plan-assessment/YY3KUJJKRK

Cursos opcionales en Videojuegos

• Getting started with AWS for games 1 -> https://skillbuilder.aws/learn/SHS7S514EG/getting-started-with-aws-for-games–part-i-espaol-latam/6EBAQTVDAZ
• Getting started with AWS for games 2 -> https://skillbuilder.aws/learn/ZBDKEWE2FY/getting-started-with-aws-for-games–part-ii-espaol-latam/6X1K7WYVT6
• Game server hosting on AWS -> https://skillbuilder.aws/learn/C5G653NPXR/game-server-hosting-on-aws/QPHRSD9SZQ
• AWS for Games – Databases -> https://skillbuilder.aws/learn/C6ZWJD5E38/aws-for-games–databases/BT373NQQQM

Cursos en platzi (Gratis hasta mañana 9 de noviembre)

• Ciberseguridad en empresas -> https://platzi.com/cursos/ciberseguridad-en-empresas/ Este curso es clave para poder realizar gran parte del trabajo final.
• Seguridad Web con Owasp -> https://platzi.com/cursos/nextjs-owasp/
• Testing en videojuegos -> https://platzi.com/cursos/testing-videojuegos/
• Curso de Ciberseguridad para Desarrollo Web -> https://platzi.com/cursos/software-seguro/
• Curso de Inglés para Ciberseguridad -> https://platzi.com/cursos/ingles-ciberseguridad/

Rubrica

Se debe realizar un minimo de 5 cursos de manera individual, y se deven enviar los certificados entregados por la plataforma al correo electronico.

• 3.0 -> 5 cursos incluyendo los 2 obligatorios.
• 4.0 -> 7 cursos incluyendo los 2 obligatorios
• 5.0 -> 9 cursos incluyendo los 2 obligatorios.

Temas:

• SGSI e ISO 27001/27002
• Pirámide documental
• Seguridad en Sistemas operativos
• Seguridad en Redes y Comunicaciones
• Seguridad física y del entorno
• Continuidad del Negocio (BCP) y Recuperación (DRP)

Objetivos de aprendizaje:

• Ejecutar análisis estático con SonarQube y Bearer sobre el código del taller anterior.
• Ejecutar análisis dinámico con ZAP Baseline contra el servidor (staging/dev).
• Priorizar hallazgos y mapearlos a riesgos (C-I-A) y controles ISO 27001/27002.
• Dejar evidencia y métricas (Quality Gate, top issues, checklist de cabeceras/TLS).

Requisitos previos

• Código del taller anterior
• Docker instalado
• Servidor de pruebas

Instalación de SonarQube

docker run -d --name sonarqube -p 9000:9000 sonarqube:community

Usuario admin
Contraseña admin

Instalación de jdk

Bearer (SAST de flujos de datos sensibles)

docker run --rm -v "$PWD":/code bearer/bearer:latest \
scan /code --format html --output bearer-report.html

Bloque DAST – OWASP ZAP Baseline

docker run --rm -u zap -v "$PWD":/zap/wrk \
ghcr.io/zaproxy/zaproxy:stable \
zap-baseline.py -t https://TU-SERVIDOR -r zap-report.html -m 5 -d

Entregables (por equipo)

1. sonar-screenshot.png (Quality Gate).
2. bearer-report.html.
3. zap-report.html.
4. matriz_hallazgos.(xlsx|md) con 5 ítems priorizados.
5. PR con remediaciones (enlace o evidencia).

En el siguiente repositorio de github podrán encontrar un ejemplo de un backend que será explicado en clase el 4 de octubre de 2025

https://github.com/andressalamancaumng/taller2_seguridad_informatica_2025_ii