<a href="https://colab.research.google.com/github/William-Burbano-Lima/Ciberseguridad-integrador/blob/main/3_dia_semana_4_continuacion.ipynb" target="_parent"><img src="https://colab.research.google.com/assets/colab-badge.svg" alt="Open In Colab"/></a>

*Talento Tech  Ciberseguridad*
___
## **Aplicación de la Autorización y Estrategias de Seguridad en la Elaboración de un SGSI Basado en ISO 27001**  

### **📌 Introducción**  
La **autorización** y el **control de acceso** son componentes esenciales en un **Sistema de Gestión de Seguridad de la Información (SGSI)** basado en la norma **ISO 27001**. Implementar estrategias adecuadas de autorización permite gestionar **quién puede acceder a qué información y con qué privilegios**, reduciendo los riesgos de accesos no autorizados y filtraciones de datos.  

En esta clase, aplicaremos los conceptos de autorización al diseño y gestión de un **SGSI conforme a la ISO 27001**, integrando herramientas como **Python y SQL** para reforzar la seguridad.  

---

## **🔹 1. Objetivos de la Clase**  
Al finalizar esta sesión, los estudiantes podrán:  

✅ **Comprender la relación** entre autorización, control de acceso y la ISO 27001.  
✅ **Implementar modelos de control de acceso** dentro de un SGSI.  
✅ **Configurar una base de datos de roles y permisos** en un sistema de seguridad.  
✅ **Aplicar herramientas como Python y SQL** para gestionar controles de acceso.  

---

## **🔹 2. Relación entre Autorización y la ISO 27001**  

### **📌 Control de Acceso en ISO 27001**  
Dentro de un SGSI, la norma **ISO 27001** establece la necesidad de gestionar accesos de forma segura a través de políticas, procedimientos y tecnologías.  

Algunos de los controles específicos en la norma incluyen:  

🔹 **A.9.1 Control de acceso a los sistemas y redes**  
🔹 **A.9.2 Control de acceso a los usuarios**  
🔹 **A.9.3 Control de acceso a aplicaciones y sistemas**  
🔹 **A.9.4 Restricción de acceso basado en roles y necesidades**  

La implementación efectiva de estos controles se basa en modelos como **RBAC (Role-Based Access Control)** y **ABAC (Attribute-Based Access Control)**.  

---

## **🔹 3. Implementación en un SGSI usando Python y SQL**  

📌 **Caso de estudio:** Implementar un sistema de control de acceso basado en roles (RBAC) dentro de un SGSI.  

### **🛠️ 3.1 Creación de una Base de Datos de Seguridad en SQLite**  
Definiremos una base de datos que gestione usuarios, roles y permisos.  

```sql
CREATE TABLE usuarios (
    id INTEGER PRIMARY KEY AUTOINCREMENT,
    nombre TEXT UNIQUE NOT NULL,
    rol_id INTEGER,
    FOREIGN KEY (rol_id) REFERENCES roles(id)
);

CREATE TABLE roles (
    id INTEGER PRIMARY KEY AUTOINCREMENT,
    nombre TEXT UNIQUE NOT NULL
);

CREATE TABLE permisos (
    id INTEGER PRIMARY KEY AUTOINCREMENT,
    nombre TEXT UNIQUE NOT NULL
);

CREATE TABLE rol_permiso (
    rol_id INTEGER,
    permiso_id INTEGER,
    FOREIGN KEY (rol_id) REFERENCES roles(id),
    FOREIGN KEY (permiso_id) REFERENCES permisos(id),
    PRIMARY KEY (rol_id, permiso_id)
);
```

📌 **Objetivo:**  
✔️ Definir roles dentro del SGSI.  
✔️ Asignar permisos a cada rol.  

---

### **🛠️ 3.2 Insertar Datos en la Base de Datos**  
```sql
INSERT INTO roles (nombre) VALUES ('Administrador'), ('Analista'), ('Auditor');

INSERT INTO permisos (nombre) VALUES ('Acceder a Reportes'), ('Modificar Políticas'), ('Realizar Auditoría');

-- Asignar permisos a los roles
INSERT INTO rol_permiso (rol_id, permiso_id) VALUES
(1, 1), (1, 2), (1, 3), -- Administrador tiene todos los permisos
(2, 1), (2, 2), -- Analista puede acceder a reportes y modificar políticas
(3, 1), (3, 3); -- Auditor solo accede a reportes y realiza auditorías
```

---

### **🛠️ 3.3 Verificar Permisos con SQL**  
```sql
SELECT u.nombre AS Usuario, r.nombre AS Rol, p.nombre AS Permiso
FROM usuarios u
JOIN roles r ON u.rol_id = r.id
JOIN rol_permiso rp ON r.id = rp.rol_id
JOIN permisos p ON rp.permiso_id = p.id;
```
📌 **Objetivo:** Obtener los permisos asignados a cada usuario dentro del SGSI.  

---

### **🛠️ 3.4 Implementación en Python**  

📌 **Ejercicio:** Crear un sistema de autenticación y autorización.  

```python
import sqlite3

def obtener_permisos(usuario):
    conn = sqlite3.connect('sgsi.db')
    cursor = conn.cursor()

    query = """
    SELECT p.nombre FROM usuarios u
    JOIN roles r ON u.rol_id = r.id
    JOIN rol_permiso rp ON r.id = rp.rol_id
    JOIN permisos p ON rp.permiso_id = p.id
    WHERE u.nombre = ?
    """

    cursor.execute(query, (usuario,))
    permisos = cursor.fetchall()

    conn.close()
    return [permiso[0] for permiso in permisos]

def verificar_acceso(usuario, accion):
    permisos = obtener_permisos(usuario)
    if accion in permisos:
        print(f"✅ Acceso concedido a {accion} para {usuario}")
    else:
        print(f"❌ Acceso denegado a {accion} para {usuario}")

if __name__ == "__main__":
    usuario = input("Introduce tu nombre de usuario: ").strip()
    accion = input("Introduce la acción que deseas realizar: ").strip()

    verificar_acceso(usuario, accion)
```

📌 **Objetivo:** Verificar si un usuario tiene permisos en el SGSI.  

---

## **🔹 4. Implementación de Controles de Seguridad en un SGSI**  

📌 **Para cumplir con ISO 27001**, se deben considerar las siguientes estrategias:  

🔹 **Principio de Privilegio Mínimo:** Cada usuario solo tiene los permisos necesarios.  
🔹 **Registro de Actividades (Logging):** Registrar accesos en logs.  
🔹 **Autenticación Multifactor (MFA):** Agregar autenticación en dos pasos.  
🔹 **Políticas de Acceso Basadas en Horario y Ubicación:** Aplicar controles en ABAC.  
🔹 **Auditorías Regulares:** Revisar y actualizar los permisos periódicamente.  

---

## **🔹 5. Cierre y Reflexión**  

✅ **Preguntas para la discusión:**  
1. ¿Qué diferencias existen entre RBAC y ABAC?  
2. ¿Cómo integrar autenticación multifactor en este sistema?  
3. ¿Cómo mejorar la seguridad en el acceso a la base de datos?  

✅ **Desafío:**  
✔️ Agregar logs de acceso en la base de datos para auditoría.  
✔️ Integrar autenticación con **bcrypt** para proteger contraseñas.  

---

## **📌 Conclusión**  

- La **ISO 27001** establece la necesidad de controles de acceso estrictos en un SGSI.  
- **RBAC y ABAC** son modelos efectivos para gestionar autorización.  
- **Python y SQL** pueden utilizarse para implementar controles de seguridad.  
- La aplicación de estas estrategias reduce riesgos de accesos no autorizados y fortalece la seguridad del SGSI.  

🚀 **¡Talento Tech 2025 William Burbano!** 🚀