PLAN DE SEGURIDAD PARA PLATAFORMAS WEB EMPLEANDO NORMAS ISO-27001 Y CONSIDERANDO EL OWASP TOP 10-2017
DOI:
https://doi.org/10.29076/issn.2528-7737vol15iss40.2022pp1-15pPalabras clave:
ISO 27001, OWASP Top 10-2017, plan de seguridad, plataforma web, vulnerabilidadesResumen
La presente investigación se realizó sobre la plataforma web de los servicios del Cuerpo de Bomberos del GAD Municipal de Santo Domingo con el objetivo de detectar vulnerabilidades e implementar un plan de seguridad empleando normas ISO 27001 considerando el listado de riesgos de seguridad de OWASP Top 10-2017, para reducirlas, mitigarlas o eliminarlas. El proceso para las pruebas de penetración y explotación de vulnerabilidades web se lo realizó en 4 fases: recopilación de información, análisis de vulnerabilidades, explotación y generación de informes. Para las pruebas se utilizó las herramientas: Nessus, Vega, BurpSuite, BeEF, Metasploit, Synflood, Hydra y Zenmap. Como resultado se determinó que la plataforma web era vulnerable a: inyección (A1:2017), pérdida de autenticación (A2:2017), exposición de datos sensibles (A3:2017), pérdida de control de acceso (A5:2017), configuración de seguridad incorrecta (A6:2017), uso de componentes con vulnerabilidades conocidas (A9:2017) y registro y monitoreo insuficientes (A10:2017). En base a esta evaluación se creó e implementó un plan de seguridad para la plataforma web. Se ejecutaron pruebas de vulnerabilidades sobre 2 prototipos (Prototipo I: sin plan de seguridad, Prototipo II: considerando el plan de seguridad) de lo que se obtuvo una mejora de la seguridad de la plataforma web en un 75%.
Descargas
Referencias
Alcorn, W. (2021). Obtenido de https://tools.kali.org/exploitation-tools/beef-xss
AlGhamdi, S. K., & Vlahu, E. (2020). Information security governance challenges and critical success factors: Systematic review. Elsevier, 99. doi:https://doi.org/10.1016/j.cose.2020.102030
Ballen, A., Ayala, C., & Sierra, A. (2017). Análisis de vulnerabilidades en aplicaciones Web desarrolladas en PHP Versión 5.6.24 con base de datos MYSQL Versión 5.0.11 a partir de ataques SQL Inyección. Bucaramanga: Universidad Cooperativa de Colombia, Facultad de Ingenierías, Ingeniería de Sistemas.
Comando It. (2021). Obtenido de https://comandoit.com/ataque-syn-flooding-con-metasploit/
Cortez, D. (2017). Hydra - Kali Linux, una excelente herramienta de Auditoria. . Obtenido de https://www.seguridadyfirewall.cl/2017/03/hydra-kali-linux-una-excelente.html
Cuerpo de Bomberos Santo Domingo. (2021). Obtenido de https://bomberossantodomingo.gob.ec/
Gaba, J., & Kumar, M. (2013). Implementation of steganography using CES technique. IEEE Second International Conference on Image Information Processing (ICIIP) (págs. 395-399). Shimla: IEEE.
Google. (2021). Obtenido de https://www.google.com/intl/es-419/chrome/
INEN. (2015). TECNOLOGIAS DE LA INFORMACION — TECNICAS DE SEGURIDAD — SISTEMAS DE GESTION DE SEGURIDAD DE LA INFORMACION - REQUISITOS.
ISOTools. (2021). Obtenido de https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/
Kali linux. (2021). Kali. Obtenido de https://www.kali.org/docs/introduction/what-is-kali-linux/
Ladino, M., Villa, P., & López, A. (2011). Fundamentos de iso 27001 y su aplicación en las empresas. 47(17), 334-339.
Mozilla. (2021). Obtenido de https://www.mozilla.org/es-ES/firefox/new/
Normas ISO. (2020). Obtenido de https://www.normas-iso.com/iso-27001/
OWASP. (2017). OWASP Top 10 - 2017. Obtenido de https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
OWASP. (2021). Obtenido de https://owasp.org/
Panday, R., & Pandey, V. (2016). Cryptography & security implementation in network computing environments. 3rd Computing for Sustainable Global Development (INDIACom) (págs. 3136-3140). IEEE.
PortSwigger. (2021). Obtenido de https://portswigger.net/burp
Postor, H. (2020). Mapping the OWASP Top Ten to Blockchain. Elsevier, 177, 613-617. doi:https://doi.org/10.1016/j.procs.2020.10.087
Puime, J. (2009). El ciberespionaje y la ciberseguridad. In La violencia del siglo XXI. Nuevas dimensiones de la guerra (págs. 45-76). Instituto Español de Estudios Estratégicos.
Rapid7. (2021). Obtenido de https://www.metasploit.com/
Rojas, O., Medina, Y., & Bautista, D. (2016). Pentesting empleando técnicas de ethical hacking en redes IPv5. 11, págs. 79-96. Rev. Ingenio UFPSO.
Santiago, E., & Allende, J. (2017). RIESGOS DE CIBERSEGURIDAD EN LAS EMPRESAS. Madrid: Revista Tecnología y desarrollo.
Solarte, F., Rosero, E., & Benavides, M. (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad informática y de información bajo la norma ISO/IEC 27001. 28. Escuela Superior Politécnica del Litoral (ESPOL).
Sqlmap. (2021). Obtenido de https://sqlmap.org/
Subgraph. (2021). Obtenido de https://subgraph.com/vega/
Tenable. (2021). Obtenido de https://es-la.tenable.com/products/nessus
Toledo, A. (2014). Test de penetración Exploración de vulnerabilidades con Metasploit-framework.
Wireshark. (2021). Obtenido de https://www.wireshark.org/
Zenmap. (2021). Obtenido de https://nmap.org/zenmap/
Descargas
Publicado
Número
Sección
Licencia
Los autores pueden mantener el copyright, concediendo a la revista el derecho de primera publicación. Alternativamente, los autores pueden transferir el copyright a la revista, la cual permitirá a los autores el uso no-comercial del trabajo, incluyendo el derecho a colocarlo en un archivo de acceso libre.
