PLAN DE SEGURIDAD PARA PLATAFORMAS WEB EMPLEANDO NORMAS ISO-27001 Y CONSIDERANDO EL OWASP TOP 10-2017

Palabras clave: ISO 27001, OWASP Top 10-2017, plan de seguridad, plataforma web, vulnerabilidades

Resumen

La presente investigación se realizó sobre la plataforma web de los servicios del Cuerpo de Bomberos del GAD Municipal de Santo Domingo con el objetivo de detectar vulnerabilidades e implementar un plan de seguridad empleando normas ISO 27001 considerando el listado de riesgos de seguridad de OWASP Top 10-2017, para reducirlas, mitigarlas o eliminarlas. El proceso para las pruebas de penetración y explotación de vulnerabilidades web se lo realizó en 4 fases: recopilación de información, análisis de vulnerabilidades, explotación y generación de informes. Para las pruebas se utilizó las herramientas: Nessus, Vega, BurpSuite, BeEF, Metasploit, Synflood, Hydra y Zenmap. Como resultado se determinó que la plataforma web era vulnerable a: inyección (A1:2017), pérdida de autenticación (A2:2017), exposición de datos sensibles (A3:2017), pérdida de control de acceso (A5:2017), configuración de seguridad incorrecta (A6:2017), uso de componentes con vulnerabilidades conocidas (A9:2017) y registro y monitoreo insuficientes (A10:2017). En base a esta evaluación se creó e implementó un plan de seguridad para la plataforma web. Se ejecutaron pruebas de vulnerabilidades sobre 2 prototipos (Prototipo I: sin plan de seguridad, Prototipo II: considerando el plan de seguridad) de lo que se obtuvo una mejora de la seguridad de la plataforma web en un 75%.

Descargas

La descarga de datos todavía no está disponible.

Biografía del autor/a

Pablo Martí Méndez Naranjo, Universidad Nacional de Chimborazo
Ingeniero en Sistemas Informáticos. Magíster en Seguridad Telemática. Docente de la Facultad de Ciencias Políticas y Administrativas de la Universidad Nacional de Chimborazo. Riobamba.

Citas

Alcorn, W. (2021). Obtenido de https://tools.kali.org/exploitation-tools/beef-xss

AlGhamdi, S. K., & Vlahu, E. (2020). Information security governance challenges and critical success factors: Systematic review. Elsevier, 99. doi:https://doi.org/10.1016/j.cose.2020.102030

Ballen, A., Ayala, C., & Sierra, A. (2017). Análisis de vulnerabilidades en aplicaciones Web desarrolladas en PHP Versión 5.6.24 con base de datos MYSQL Versión 5.0.11 a partir de ataques SQL Inyección. Bucaramanga: Universidad Cooperativa de Colombia, Facultad de Ingenierías, Ingeniería de Sistemas.

Comando It. (2021). Obtenido de https://comandoit.com/ataque-syn-flooding-con-metasploit/

Cortez, D. (2017). Hydra - Kali Linux, una excelente herramienta de Auditoria. . Obtenido de https://www.seguridadyfirewall.cl/2017/03/hydra-kali-linux-una-excelente.html

Cuerpo de Bomberos Santo Domingo. (2021). Obtenido de https://bomberossantodomingo.gob.ec/

Gaba, J., & Kumar, M. (2013). Implementation of steganography using CES technique. IEEE Second International Conference on Image Information Processing (ICIIP) (págs. 395-399). Shimla: IEEE.

Google. (2021). Obtenido de https://www.google.com/intl/es-419/chrome/

INEN. (2015). TECNOLOGIAS DE LA INFORMACION — TECNICAS DE SEGURIDAD — SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION - REQUISITOS.

ISOTools. (2021). Obtenido de https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/

Kali linux. (2021). Kali. Obtenido de https://www.kali.org/docs/introduction/what-is-kali-linux/

Ladino, M., Villa, P., & López, A. (2011). Fundamentos de iso 27001 y su aplicación en las empresas. 47(17), 334-339.

Mozilla. (2021). Obtenido de https://www.mozilla.org/es-ES/firefox/new/

Normas ISO. (2020). Obtenido de https://www.normas-iso.com/iso-27001/

OWASP. (2017). OWASP Top 10 - 2017. Obtenido de https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf

OWASP. (2021). Obtenido de https://owasp.org/

Panday, R., & Pandey, V. (2016). Cryptography & security implementation in network computing environments. 3rd Computing for Sustainable Global Development (INDIACom) (págs. 3136-3140). IEEE.

PortSwigger. (2021). Obtenido de https://portswigger.net/burp

Postor, H. (2020). Mapping the OWASP Top Ten to Blockchain. Elsevier, 177, 613-617. doi:https://doi.org/10.1016/j.procs.2020.10.087

Puime, J. (2009). El ciberespionaje y la ciberseguridad. In La violencia del siglo XXI. Nuevas dimensiones de la guerra (págs. 45-76). Instituto Español de Estudios Estratégicos.

Rapid7. (2021). Obtenido de https://www.metasploit.com/

Rojas, O., Medina, Y., & Bautista, D. (2016). Pentesting empleando técnicas de ethical hacking en redes IPv5. 11, págs. 79-96. Rev. Ingenio UFPSO.

Santiago, E., & Allende, J. (2017). RIESGOS DE CIBERSEGURIDAD EN LAS EMPRESAS. Madrid: Revista Tecnología y desarrollo.

Solarte, F., Rosero, E., & Benavides, M. (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad informática y de información bajo la norma ISO/IEC 27001. 28. Escuela Superior Politécnica del Litoral (ESPOL).

Sqlmap. (2021). Obtenido de https://sqlmap.org/

Subgraph. (2021). Obtenido de https://subgraph.com/vega/

Tenable. (2021). Obtenido de https://es-la.tenable.com/products/nessus

Toledo, A. (2014). Test de penetración Exploración de vulnerabilidades con Metasploit-framework.

Wireshark. (2021). Obtenido de https://www.wireshark.org/

Zenmap. (2021). Obtenido de https://nmap.org/zenmap/

Publicado
2022-09-15
Cómo citar
Pinango Bayas, Álvaro H., Méndez Naranjo, P. M., Caiza Méndez, D. G., & Barreno Naranjo, D. G. (2022). PLAN DE SEGURIDAD PARA PLATAFORMAS WEB EMPLEANDO NORMAS ISO-27001 Y CONSIDERANDO EL OWASP TOP 10-2017. CIENCIA UNEMI, 15(40), 1-15. https://doi.org/10.29076/issn.2528-7737vol15iss40.2022pp1-15p