Seguridad informática, metodologías, estándares y marco de gestión en un enfoque hacia las aplicaciones web

Autores/as

DOI:

https://doi.org/10.26423/rctu.v9i2.672

Palabras clave:

aplicaciones Web, ciberseguridad, OWASP, OSSTMM, ISSAF, seguridad informática

Resumen

Existen diferentes métodos para evaluar la seguridad de las aplicaciones Web, principalmente basados en algún técnico automatizado de escaneo  El objetivo de la presente investigación refiere de los conceptos básicos necesarios para entender temas de seguridad informática en sistemas de información y servicios, con el propósito  de enfocarlos en pruebas de penetración en las aplicaciones web, se abordan metodologías que pueden aplicarse y marcos de referencia que deben ser tomados en cuenta en el ciclo de vida de desarrollo de aplicaciones, así mismo, se aporta con tablas descriptivas de las metodologías utilizadas en pruebas de Pentesting llegando finalmente a abarcar la familia de ISO/IEC 27000 dejando plasmado en la discusión una breve descripción de las mismas y el uso que da en las implantaciones de SGSI, evaluaciones y auditorias de seguridad de la información.

Descargas

Los datos de descarga aún no están disponibles.

Biografía del autor/a

  • Ivan Coronel Suárez, Universidad Estatal Península de Santa Elena, Ecuador - CP 240204

    Magister en Seguridad Informática Aplicada - Escuela Superior Politécnica del Litoral

     

  • Daniel Quirumbay Yagual, Universidad Estatal Península de Santa Elena, Ecuador - CP 240204

    Máster en Seguridad Informática Aplicada - Escuela Superior Politécnica del Litoral

Referencias

BOHADA, John; DELGADO, Iván y BARINAS, Alexander. Criterios y métricas para evaluar la seguridad en aplicaciones Web:Metodología MESW. En: Investigación e Innovación en Ingeniería de Software. Tunja-Colombia 2019, págs. 43-53. isbn 978-958-52397-5-3. Disponible en: https://www.researchgate.net/publication/343166986_Criterios_y_metricas_para_evaluar_la_seguridad_en_aplicaciones_Web.

VELOZ SEGURA, Elizabeth Alexandra (2022). Componentes de calidad software y su utilización en aplicaciones web. Ciencia Latina Revista Científica Multidisciplinar [En línea]. 6(3), 3193-3204. Disponible en: Crossref.

KOZINA, Mario; GOLUB, Marin y GROS, Stjepan (2009). A method for identifying Web applications. International Journal of Information Security [En línea]. 8(6), 455-467. Disponible en: Crossref.

NIÑO BENITEZ, Yisel y SILEGA MARTÍNEZ, Nemury (2018). Requisitos de Seguridad para aplicaciones web. Revista Cubana de Ciencias Informáticas [En línea]. 12(1), 205-221. ISSN 2227-1899 Disponible en: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2227-18992018000500015&lng=es&nrm=iso.

ESCRIVÁ GASCÓ, Gema; ROMERO SERRANO, Rosa; RAMADA, David y ONRUBIA, Ramón. Seguridad Informátic España: MACMILLAN, 2013. isbn 978-84-15656-64-7. Disponible en: https://www.machadolibros.com/libro/seguridad-informatica_528475

SOLARTE-SOLARTE, Francisco; ENRIQUEZ-ROSERO, Edgar y BENAVIDES-RUANO, Mirían del Carmen (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad informática y de información bajo la norma ISO/IEC 27001. Revista Tecnológica - ESPOL [En línea]. 28(5), 497-498. Disponible en: http://www.rte.espol.edu.ec/index.php/tecnologica/article/view/456/321.

RODRÍGUEZ LLERENA, Alain (2020). Herramientas fundamentales para el hacking ético. Revista Cubana de Informática Médica [En línea]. 12(1), 116-131. ISSN 1684-1859 [consulta: 01-Jun-2020] Disponible en: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S1684-18592020000100116&lng=es.

VILLÉN HIGUERAS, Sergio y RUIZ DEL OLMO, Francisco (2022). La cultura hacker en las estrategias transmediade las series de televisión:el caso de Mr. Robot (2015-2019). Zer: Revista de estudios de comunicación [En línea]. 27(52), 35-56. ISSN 1137-1102 Disponible en: Crossref.

BURGOS RIVERA, Daniel (2004). La importancia del hacking ético en el sector financiero [En línea]. 122(4401), 77380. Disponible en: http://polux.unipiloto.edu.co:8080/00003049.pdf.

GONZÁLEZ BRITO, Henry y MONTESINO PERURENA, Raydel (2018). Capacidades de las metodologías de pruebas de penetración para detectar vulnerabilidades frecuentes en aplicaciones web. Revista Cubana de Ciencias Informáticas [En línea]. 12(4), 52-65. ISSN 2227-1899 Disponible en: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2227-18992018000400005&lang=es.

VELOZ, Jorge; ALCIVAR, Andrea y SILVA, Carlos (2017). Ethical hacking, una metodolog´ıa para descubrir fallas de seguridad en sistemas inform´aticos mediante la herramienta KALI-LINUX. Informática y Sistemas: Revista de Tecnologías de la Informática y las Comunicaciones [En línea]. 1(1), 1-12. Disponible en: Crossref.

MENDEZ, Florentino; AQUINO, Adrian; RONQUILLO, Armando y VALDEZ, José (2014). Técnicas de Hacking Ético en un Laboratorio de Pentesting Virtualizado. Springer-Verlag [En línea]. 1-9. Disponible en: http://www.researchgate.net/publication/.

HERNÁNDEZ YEJA, Adrian y PORVEN RUBIER, Joelsy (2016). Procedimiento para la seguridad del proceso de despliegue de aplicaciones web. Revista Cubana de Ciencias Informáticas [En línea]. 10(2), 1-12. ISSN 2227-1899 Disponible en: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2227-18992016000200004.

AMARU, Tupac; LOPEZ, Henry y PAREDES, Oscar (2015). Mitigación de Ataques DDoS en Base de Datos Mediante un Balanceador de Carga. Revista” GEEKS”-DECC-Report [En línea]. 6(1), 7-13. ISSN 1390-5236 Disponible en: https://www.semanticscholar.org/paper/Mitigaci%C3%B3n-de-Ataques-DDoS-en-Base-de-Datos-un-de-Cartuche-L%C3%B3pez/a5445d31556ba781bc00ceaa834003692d65dfb6.

ISO - Organización Internacional de Normalización. Serie ”27000” ISO 2018. Disponible en: https://www.iso27000.es/iso27000.html.

BLÁZQUEZ-OCHANDO, Manuel. Sistemas de recuperación e internet: metadescripción, procesamiento, webcrawling, técnicas de consulta avanzada, hacking documental y posicionamiento web. Madrid: mblazquez.es, 2013. isbn 978-84-695-7019-7. Disponible en: http://mblazquez.es/wp-content/uploads/ebook-mbo-sistemas-recuperacion-internet1.pdf.

FORD, Richard y RAY, Helayne (2004). Googling for gold: Web crawlers, hacking and defense explained. Network Security [En línea]. 2004(1), 10-13. ISSN 1353-4858 Disponible en: Crossref.

MALIZA MARTINEZ, Carlos; LÓPEZ MENDIZÁBAL, Verónica y MACKLIFF PEÑAFIEL, Verónica (2016). Framework for software architecture for Web and Mobile applications. Revistas Científicas de la Universidad Técnica de Babahoyo [En línea]. 1(1), 72-75. Disponible en: Crossref

CASTRO VASQUEZ, Carlos Arturo (2019). Pruebas de penetración e intrusión. Universidad Piloto de Colombia [En línea]. Disponible en: http://repository.unipiloto.edu.co/handle/20.500.12277/6273.

NAVARRO, Michel (2017). Guía del PMBOK para la gestión de pruebas de intrusión a aplicaciones web. PMBOK guide for web application penetration testing management [En línea]. 1(1), 26-34. Disponible en: https://www.researchgate.net/publication/342545006_Guia_del_PMBOK_para_la_gestion_de_pruebas_de_intrusion_a_aplicaciones_web_PMBOK_guide_for_web_application_penetration_testing_management.

MONAR, Joffre; PÁSTOR, Danilo; ARCOS, Gloria y OÑATE, Alejandra (2018). Técnicas de programación segura para mitigar vulnerabilidades en aplicaciones web. Congreso de Ciencia y Tecnología ESPE [En línea]. 13(1). Disponible en: Crossref.

VALENCIA-DUQUE, Francisco y OROZCO-ALZATE, Mauricio (2017). Metodología para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000. RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação [En línea]. n°22, 73-88. ISSN: 1646-9895. Disponible en: Crossref.

PEÑA-CASANOVA, Mónica y ANIAS-CALDERÓN, Caridad (2020). Integración de marcos de referencia para gestión de Tecnologías de la Información Integration of frames of reference for information technology. Ingeniería Industrial [En línea]. 41(1). 1-12. ISSN: 1815-5936 Disponible en: https://www.redalyc.org/articulo.oa?id=360464918003.

TOVAR, Edmundo; CARILLO, Jóse; VEGA, Vianca y GASCA, Gloria (2006). Desarrollo de productos de software seguros en sintonía con los modelos SSE-CMM, COBIT E ITIL. Revista de Procesos y Metricas - AEMES [En línea]. 3(1). 62-69. Disponible en: https://www.researchgate.net/publication/309566968_Desarrollo_de_productos_de_software_seguros_en_sintonia_con_los_modelos_SSE-CMM_COBIT_E_ITIL.

PÉREZ VILLAMAR, MIGUEL (2017). Aplicación de la metodología ITIL para impulsar la gestión de TI en empresas del Norte de Santander (Colombia): revisión del estado del arte. Revista Espacios [En línea]. 39(9). 17. ISSN 0798 1015 Disponible en: https://www.revistaespacios.com/a18v39n09/a18v39n09p17.pdf.

RCTU_vol9_no2_2022

Descargas

Publicado

2022-12-23

Número

Vol. 9 Núm. 2 (2022): Edición Diciembre 2022

Sección

Artículos de revisión

Licencia

Derechos de autor 2022 Ivan Coronel Suárez; Daniel Quirumbay Yagual

Creative Commons License

Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-CompartirIgual 4.0.

El titular de los derechos de autor de la obra, otorga derechos de uso a los lectores mediante la licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional. Esto permite el acceso gratuito inmediato a la obra y permite a cualquier usuario leer, descargar, copiar, distribuir, imprimir, buscar o vincular a los textos completos de los artículos, rastrearlos para su indexación, pasarlos como datos al software o usarlos para cualquier otro propósito legal.

Cuando la obra es aprobada y aceptada para su publicación, los autores conservan los derechos de autor sin restricciones, cediendo únicamente los derechos de reproducción, distribución para su explotación en formato de papel, así como en cualquier otro soporte magnético, óptico y digital.

Cómo citar

Coronel Suárez, I. (2022). Seguridad informática, metodologías, estándares y marco de gestión en un enfoque hacia las aplicaciones web. Revista Científica Y Tecnológica UPSE, 9(2), 97-108. https://doi.org/10.26423/rctu.v9i2.672

Artículos más leídos del mismo autor/a