PLAN DE SEGURIDAD PARA PLATAFORMAS WEB EMPLEANDO NORMAS ISO-27001 Y CONSIDERANDO EL OWASP TOP 10-2017
Resumen
La presente investigación se realizó sobre la plataforma web de los servicios del Cuerpo de Bomberos del GAD Municipal de Santo Domingo con el objetivo de detectar vulnerabilidades e implementar un plan de seguridad empleando normas ISO 27001 considerando el listado de riesgos de seguridad de OWASP Top 10-2017, para reducirlas, mitigarlas o eliminarlas. El proceso para las pruebas de penetración y explotación de vulnerabilidades web se lo realizó en 4 fases: recopilación de información, análisis de vulnerabilidades, explotación y generación de informes. Para las pruebas se utilizó las herramientas: Nessus, Vega, BurpSuite, BeEF, Metasploit, Synflood, Hydra y Zenmap. Como resultado se determinó que la plataforma web era vulnerable a: inyección (A1:2017), pérdida de autenticación (A2:2017), exposición de datos sensibles (A3:2017), pérdida de control de acceso (A5:2017), configuración de seguridad incorrecta (A6:2017), uso de componentes con vulnerabilidades conocidas (A9:2017) y registro y monitoreo insuficientes (A10:2017). En base a esta evaluación se creó e implementó un plan de seguridad para la plataforma web. Se ejecutaron pruebas de vulnerabilidades sobre 2 prototipos (Prototipo I: sin plan de seguridad, Prototipo II: considerando el plan de seguridad) de lo que se obtuvo una mejora de la seguridad de la plataforma web en un 75%.Descargas
Citas
Alcorn, W. (2021). Obtenido de https://tools.kali.org/exploitation-tools/beef-xss
AlGhamdi, S. K., & Vlahu, E. (2020). Information security governance challenges and critical success factors: Systematic review. Elsevier, 99. doi:https://doi.org/10.1016/j.cose.2020.102030
Ballen, A., Ayala, C., & Sierra, A. (2017). Análisis de vulnerabilidades en aplicaciones Web desarrolladas en PHP Versión 5.6.24 con base de datos MYSQL Versión 5.0.11 a partir de ataques SQL Inyección. Bucaramanga: Universidad Cooperativa de Colombia, Facultad de Ingenierías, Ingeniería de Sistemas.
Comando It. (2021). Obtenido de https://comandoit.com/ataque-syn-flooding-con-metasploit/
Cortez, D. (2017). Hydra - Kali Linux, una excelente herramienta de Auditoria. . Obtenido de https://www.seguridadyfirewall.cl/2017/03/hydra-kali-linux-una-excelente.html
Cuerpo de Bomberos Santo Domingo. (2021). Obtenido de https://bomberossantodomingo.gob.ec/
Gaba, J., & Kumar, M. (2013). Implementation of steganography using CES technique. IEEE Second International Conference on Image Information Processing (ICIIP) (págs. 395-399). Shimla: IEEE.
Google. (2021). Obtenido de https://www.google.com/intl/es-419/chrome/
INEN. (2015). TECNOLOGIAS DE LA INFORMACION — TECNICAS DE SEGURIDAD — SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION - REQUISITOS.
ISOTools. (2021). Obtenido de https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/
Kali linux. (2021). Kali. Obtenido de https://www.kali.org/docs/introduction/what-is-kali-linux/
Ladino, M., Villa, P., & López, A. (2011). Fundamentos de iso 27001 y su aplicación en las empresas. 47(17), 334-339.
Mozilla. (2021). Obtenido de https://www.mozilla.org/es-ES/firefox/new/
Normas ISO. (2020). Obtenido de https://www.normas-iso.com/iso-27001/
OWASP. (2017). OWASP Top 10 - 2017. Obtenido de https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
OWASP. (2021). Obtenido de https://owasp.org/
Panday, R., & Pandey, V. (2016). Cryptography & security implementation in network computing environments. 3rd Computing for Sustainable Global Development (INDIACom) (págs. 3136-3140). IEEE.
PortSwigger. (2021). Obtenido de https://portswigger.net/burp
Postor, H. (2020). Mapping the OWASP Top Ten to Blockchain. Elsevier, 177, 613-617. doi:https://doi.org/10.1016/j.procs.2020.10.087
Puime, J. (2009). El ciberespionaje y la ciberseguridad. In La violencia del siglo XXI. Nuevas dimensiones de la guerra (págs. 45-76). Instituto Español de Estudios Estratégicos.
Rapid7. (2021). Obtenido de https://www.metasploit.com/
Rojas, O., Medina, Y., & Bautista, D. (2016). Pentesting empleando técnicas de ethical hacking en redes IPv5. 11, págs. 79-96. Rev. Ingenio UFPSO.
Santiago, E., & Allende, J. (2017). RIESGOS DE CIBERSEGURIDAD EN LAS EMPRESAS. Madrid: Revista Tecnología y desarrollo.
Solarte, F., Rosero, E., & Benavides, M. (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad informática y de información bajo la norma ISO/IEC 27001. 28. Escuela Superior Politécnica del Litoral (ESPOL).
Sqlmap. (2021). Obtenido de https://sqlmap.org/
Subgraph. (2021). Obtenido de https://subgraph.com/vega/
Tenable. (2021). Obtenido de https://es-la.tenable.com/products/nessus
Toledo, A. (2014). Test de penetración Exploración de vulnerabilidades con Metasploit-framework.
Wireshark. (2021). Obtenido de https://www.wireshark.org/
Zenmap. (2021). Obtenido de https://nmap.org/zenmap/
Derechos de autor 2022 CIENCIA UNEMI
Esta obra está bajo licencia internacional Creative Commons Reconocimiento-NoComercial-SinObrasDerivadas 4.0.
Los autores pueden mantener el copyright, concediendo a la revista el derecho de primera publicación. Alternativamente, los autores pueden transferir el copyright a la revista, la cual permitirá a los autores el uso no-comercial del trabajo, incluyendo el derecho a colocarlo en un archivo de acceso libre.
