<a href="https://colab.research.google.com/github/William-Burbano-Lima/Ciberseguridad-integrador/blob/main/3_dia_semana_4_continuacion.ipynb" target="_parent"><img src="https://colab.research.google.com/assets/colab-badge.svg" alt="Open In Colab"/></a>

*Talento Tech  Ciberseguridad*
___
## **Aplicaci√≥n de la Autorizaci√≥n y Estrategias de Seguridad en la Elaboraci√≥n de un SGSI Basado en ISO 27001**  

### **üìå Introducci√≥n**  
La **autorizaci√≥n** y el **control de acceso** son componentes esenciales en un **Sistema de Gesti√≥n de Seguridad de la Informaci√≥n (SGSI)** basado en la norma **ISO 27001**. Implementar estrategias adecuadas de autorizaci√≥n permite gestionar **qui√©n puede acceder a qu√© informaci√≥n y con qu√© privilegios**, reduciendo los riesgos de accesos no autorizados y filtraciones de datos.  

En esta clase, aplicaremos los conceptos de autorizaci√≥n al dise√±o y gesti√≥n de un **SGSI conforme a la ISO 27001**, integrando herramientas como **Python y SQL** para reforzar la seguridad.  

---

## **üîπ 1. Objetivos de la Clase**  
Al finalizar esta sesi√≥n, los estudiantes podr√°n:  

‚úÖ **Comprender la relaci√≥n** entre autorizaci√≥n, control de acceso y la ISO 27001.  
‚úÖ **Implementar modelos de control de acceso** dentro de un SGSI.  
‚úÖ **Configurar una base de datos de roles y permisos** en un sistema de seguridad.  
‚úÖ **Aplicar herramientas como Python y SQL** para gestionar controles de acceso.  

---

## **üîπ 2. Relaci√≥n entre Autorizaci√≥n y la ISO 27001**  

### **üìå Control de Acceso en ISO 27001**  
Dentro de un SGSI, la norma **ISO 27001** establece la necesidad de gestionar accesos de forma segura a trav√©s de pol√≠ticas, procedimientos y tecnolog√≠as.  

Algunos de los controles espec√≠ficos en la norma incluyen:  

üîπ **A.9.1 Control de acceso a los sistemas y redes**  
üîπ **A.9.2 Control de acceso a los usuarios**  
üîπ **A.9.3 Control de acceso a aplicaciones y sistemas**  
üîπ **A.9.4 Restricci√≥n de acceso basado en roles y necesidades**  

La implementaci√≥n efectiva de estos controles se basa en modelos como **RBAC (Role-Based Access Control)** y **ABAC (Attribute-Based Access Control)**.  

---

## **üîπ 3. Implementaci√≥n en un SGSI usando Python y SQL**  

üìå **Caso de estudio:** Implementar un sistema de control de acceso basado en roles (RBAC) dentro de un SGSI.  

### **üõ†Ô∏è 3.1 Creaci√≥n de una Base de Datos de Seguridad en SQLite**  
Definiremos una base de datos que gestione usuarios, roles y permisos.  

```sql
CREATE TABLE usuarios (
    id INTEGER PRIMARY KEY AUTOINCREMENT,
    nombre TEXT UNIQUE NOT NULL,
    rol_id INTEGER,
    FOREIGN KEY (rol_id) REFERENCES roles(id)
);

CREATE TABLE roles (
    id INTEGER PRIMARY KEY AUTOINCREMENT,
    nombre TEXT UNIQUE NOT NULL
);

CREATE TABLE permisos (
    id INTEGER PRIMARY KEY AUTOINCREMENT,
    nombre TEXT UNIQUE NOT NULL
);

CREATE TABLE rol_permiso (
    rol_id INTEGER,
    permiso_id INTEGER,
    FOREIGN KEY (rol_id) REFERENCES roles(id),
    FOREIGN KEY (permiso_id) REFERENCES permisos(id),
    PRIMARY KEY (rol_id, permiso_id)
);
```

üìå **Objetivo:**  
‚úîÔ∏è Definir roles dentro del SGSI.  
‚úîÔ∏è Asignar permisos a cada rol.  

---

### **üõ†Ô∏è 3.2 Insertar Datos en la Base de Datos**  
```sql
INSERT INTO roles (nombre) VALUES ('Administrador'), ('Analista'), ('Auditor');

INSERT INTO permisos (nombre) VALUES ('Acceder a Reportes'), ('Modificar Pol√≠ticas'), ('Realizar Auditor√≠a');

-- Asignar permisos a los roles
INSERT INTO rol_permiso (rol_id, permiso_id) VALUES
(1, 1), (1, 2), (1, 3), -- Administrador tiene todos los permisos
(2, 1), (2, 2), -- Analista puede acceder a reportes y modificar pol√≠ticas
(3, 1), (3, 3); -- Auditor solo accede a reportes y realiza auditor√≠as
```

---

### **üõ†Ô∏è 3.3 Verificar Permisos con SQL**  
```sql
SELECT u.nombre AS Usuario, r.nombre AS Rol, p.nombre AS Permiso
FROM usuarios u
JOIN roles r ON u.rol_id = r.id
JOIN rol_permiso rp ON r.id = rp.rol_id
JOIN permisos p ON rp.permiso_id = p.id;
```
üìå **Objetivo:** Obtener los permisos asignados a cada usuario dentro del SGSI.  

---

### **üõ†Ô∏è 3.4 Implementaci√≥n en Python**  

üìå **Ejercicio:** Crear un sistema de autenticaci√≥n y autorizaci√≥n.  

```python
import sqlite3

def obtener_permisos(usuario):
    conn = sqlite3.connect('sgsi.db')
    cursor = conn.cursor()

    query = """
    SELECT p.nombre FROM usuarios u
    JOIN roles r ON u.rol_id = r.id
    JOIN rol_permiso rp ON r.id = rp.rol_id
    JOIN permisos p ON rp.permiso_id = p.id
    WHERE u.nombre = ?
    """

    cursor.execute(query, (usuario,))
    permisos = cursor.fetchall()

    conn.close()
    return [permiso[0] for permiso in permisos]

def verificar_acceso(usuario, accion):
    permisos = obtener_permisos(usuario)
    if accion in permisos:
        print(f"‚úÖ Acceso concedido a {accion} para {usuario}")
    else:
        print(f"‚ùå Acceso denegado a {accion} para {usuario}")

if __name__ == "__main__":
    usuario = input("Introduce tu nombre de usuario: ").strip()
    accion = input("Introduce la acci√≥n que deseas realizar: ").strip()

    verificar_acceso(usuario, accion)
```

üìå **Objetivo:** Verificar si un usuario tiene permisos en el SGSI.  

---

## **üîπ 4. Implementaci√≥n de Controles de Seguridad en un SGSI**  

üìå **Para cumplir con ISO 27001**, se deben considerar las siguientes estrategias:  

üîπ **Principio de Privilegio M√≠nimo:** Cada usuario solo tiene los permisos necesarios.  
üîπ **Registro de Actividades (Logging):** Registrar accesos en logs.  
üîπ **Autenticaci√≥n Multifactor (MFA):** Agregar autenticaci√≥n en dos pasos.  
üîπ **Pol√≠ticas de Acceso Basadas en Horario y Ubicaci√≥n:** Aplicar controles en ABAC.  
üîπ **Auditor√≠as Regulares:** Revisar y actualizar los permisos peri√≥dicamente.  

---

## **üîπ 5. Cierre y Reflexi√≥n**  

‚úÖ **Preguntas para la discusi√≥n:**  
1. ¬øQu√© diferencias existen entre RBAC y ABAC?  
2. ¬øC√≥mo integrar autenticaci√≥n multifactor en este sistema?  
3. ¬øC√≥mo mejorar la seguridad en el acceso a la base de datos?  

‚úÖ **Desaf√≠o:**  
‚úîÔ∏è Agregar logs de acceso en la base de datos para auditor√≠a.  
‚úîÔ∏è Integrar autenticaci√≥n con **bcrypt** para proteger contrase√±as.  

---

## **üìå Conclusi√≥n**  

- La **ISO 27001** establece la necesidad de controles de acceso estrictos en un SGSI.  
- **RBAC y ABAC** son modelos efectivos para gestionar autorizaci√≥n.  
- **Python y SQL** pueden utilizarse para implementar controles de seguridad.  
- La aplicaci√≥n de estas estrategias reduce riesgos de accesos no autorizados y fortalece la seguridad del SGSI.  

üöÄ **¬°Talento Tech 2025 William Burbano!** üöÄ