Modelo para la reducción de riesgos de seguridad informática en servicios web

Autores/as

  • Jessica Nataly Castillo Fiallos Universidad Técnica de Cotopaxi
  • Andrés Santiago Cisneros Barahona Universidad Nacional de Chimborazo
  • Pablo Martí Méndez Naranjo Universidad Nacional de Chimborazo http://orcid.org/0000-0002-3967-3718
  • Diego Fernando Jácome Segovia Universidad Técnica de Cotopaxi

DOI:

https://doi.org/10.48190/cumbres.v4n2a2

Palabras clave:

vulnerabilidad, riesgo, servicios web, seguridad en sitios web, MAGERIT, VEGA

Resumen

Para el estudio de la presente investigación se consideró la problemática y falencia interna que generan las vulnerabilidades en los servicios web que brinda la ESPOCH. Debido a defectos del software, al recurso humano puesto que no cumple los procesos adecuados al momento de modificar los servicios web. La falta de capacitaciones constantes y acorde con las funciones que desempeñan estos factores provocan que sea de fácil acceso a la información con la que cuentan los servicios web por parte de los atacantes y podría ocasionar fallas en la seguridad accidental o intencionalmente. Por lo expuesto anteriormente fue necesario contar con una herramienta que permita mitigar y proteger la información contra este tipo de ataques. Por esta razón se desarrolló la propuesta que ayudó a reducir el riesgo de seguridad informática en los servicios web de la Institución que se encuentran alojados en el Departamento de Tecnologías de Información y Comunicación. Se utilizó la metodología MAGERIT y se realizó el análisis utilizando la herramienta VEGA de Linux, con los resultados se identificaron alternativas que mitigaron las vulnerabilidades encontradas en el análisis preliminar de la investigación: vulnerabilidades altas 416, vulnerabilidades medias 175 y vulnerabilidades bajas 1475, las vulnerabilidades más frecuentes son: SQL Injection, PHP Error Detected y Directory Listing Detected, entre otras. La aplicación de la propuesta permitió reducir las vulnerabilidades altas encontradas.

Biografía del autor/a

Jessica Nataly Castillo Fiallos, Universidad Técnica de Cotopaxi

Docente de la Universidad Técnica de Cotopaxi

Andrés Santiago Cisneros Barahona, Universidad Nacional de Chimborazo

Director de Evaluación y Acreditación de la Universidad Nacional de Chimborazo

Pablo Martí Méndez Naranjo, Universidad Nacional de Chimborazo

Docente de la Facultad de Ciencias Políticas y Administrativas de la Universidad Nacional de Chimborazo. Riobamba. Ecuador

Diego Fernando Jácome Segovia, Universidad Técnica de Cotopaxi

Docente de la Universidad Técnica de Cotopaxi

Citas

Aguilera, P. (2010). Informática y comunicaciones. Madrid: Editex S.A.

Alohali, M., Clarke, N., Furnell, S., & Albakri, S. (2017). Information security behavior: Recognizing the influencers . Computing Conference. London: IEEE.

Desogles, J. (2005). Ayudantes técnicos de Informatica. Madrid: Editorial Mad S.L.

Erb, M. (2014). Amenazas y vulnerabilidades. Obtenido de https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

Erb, M. (2014). Gestión de Riesgo en la Seguridad Informática. Obtenido de https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

Faircloth, J. (2017). Chapter 5 – Web applications and services. Michael Rogers, Technical Editor.

Fernáncez, A., & Garcia, D. (2016). Complex vs. simple asset modeling approaches for information security risk assessment: Evaluation with MAGERIT methodology. Innovative Computing Technology (INTECH). Dublin: IEEE.

Khari, M., & Singh, N. (2014). Web Services Vulnerability Testing Using Open Source. International Journal of Advanced Engineering and Global Technology, 790-799.

Kwan, T., & Leung, H. (2010). A Risk Management Methodology for Project Risk Dependencies. IEEE Transactions on Software Engineering (págs. 635-648). IEEE.

Kyushu, F., Hori, Y., & Sakurai, K. (2009). Comparison of Risk Analysis Methods: Mehari, Magerit, NIST800-30 and Microsoft's Security Management Guide. Availability, Reliability and Security, 2009. ARES '09. (págs. 726-731). IEEE.

Makino, Y., & Klyuev, V. (2015). Evaluation of web vulnerability scanners . Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS). Warsaw, Poland: IEEE.

Monteverde, W. A., & Campiolo, R. (2014). Estudo e Analise de Vulnerabilidades Web. Obtenido de http://es.slideshare.net/wamverde/estudo-e-anlise-de-vulnerabilidades-web

Reyes, J. (2015). MAGERIT. Obtenido de https://seguridadinformaticaufps.wikispaces.com/MAGERIT

Ruiz, J., & Rubira, C. (2016). Quality of Service Conflict During Web Service Monitoring: A Case Study. Science Direct, 321, 113-127.

Shirey, R. (2000). Internet Security Glossary. RFC 2828 (Informational). Obsoleted by RFC 4949.

Vicente, E., & Jimenez, A. (2014). Risk analysis in information systems: A fuzzification of the MAGERIT methodology. Elsevier, 1-12.

Descargas

Publicado

2019-02-28