Modelo para la reducción de riesgos de seguridad informática en servicios web
##plugins.themes.bootstrap3.article.main##
Keywords
vulnerabilidad, riesgo, servicios web, seguridad en sitios web, MAGERIT, VEGA
Resumen
Para el estudio de la presente investigación se consideró la problemática y falencia interna que generan las vulnerabilidades en los servicios web que brinda la ESPOCH. Debido a defectos del software, al recurso humano puesto que no cumple los procesos adecuados al momento de modificar los servicios web. La falta de capacitaciones constantes y acorde con las funciones que desempeñan estos factores provocan que sea de fácil acceso a la información con la que cuentan los servicios web por parte de los atacantes y podría ocasionar fallas en la seguridad accidental o intencionalmente. Por lo expuesto anteriormente fue necesario contar con una herramienta que permita mitigar y proteger la información contra este tipo de ataques. Por esta razón se desarrolló la propuesta que ayudó a reducir el riesgo de seguridad informática en los servicios web de la Institución que se encuentran alojados en el Departamento de Tecnologías de Información y Comunicación. Se utilizó la metodología MAGERIT y se realizó el análisis utilizando la herramienta VEGA de Linux, con los resultados se identificaron alternativas que mitigaron las vulnerabilidades encontradas en el análisis preliminar de la investigación: vulnerabilidades altas 416, vulnerabilidades medias 175 y vulnerabilidades bajas 1475, las vulnerabilidades más frecuentes son: SQL Injection, PHP Error Detected y Directory Listing Detected, entre otras. La aplicación de la propuesta permitió reducir las vulnerabilidades altas encontradas.
Descargas
Citas
Alohali, M., Clarke, N., Furnell, S., & Albakri, S. (2017). Information security behavior: Recognizing the influencers . Computing Conference. London: IEEE.
Desogles, J. (2005). Ayudantes técnicos de Informatica. Madrid: Editorial Mad S.L.
Erb, M. (2014). Amenazas y vulnerabilidades. Obtenido de https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Erb, M. (2014). Gestión de Riesgo en la Seguridad Informática. Obtenido de https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
Faircloth, J. (2017). Chapter 5 – Web applications and services. Michael Rogers, Technical Editor.
Fernáncez, A., & Garcia, D. (2016). Complex vs. simple asset modeling approaches for information security risk assessment: Evaluation with MAGERIT methodology. Innovative Computing Technology (INTECH). Dublin: IEEE.
Khari, M., & Singh, N. (2014). Web Services Vulnerability Testing Using Open Source. International Journal of Advanced Engineering and Global Technology, 790-799.
Kwan, T., & Leung, H. (2010). A Risk Management Methodology for Project Risk Dependencies. IEEE Transactions on Software Engineering (págs. 635-648). IEEE.
Kyushu, F., Hori, Y., & Sakurai, K. (2009). Comparison of Risk Analysis Methods: Mehari, Magerit, NIST800-30 and Microsoft's Security Management Guide. Availability, Reliability and Security, 2009. ARES '09. (págs. 726-731). IEEE.
Makino, Y., & Klyuev, V. (2015). Evaluation of web vulnerability scanners . Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS). Warsaw, Poland: IEEE.
Monteverde, W. A., & Campiolo, R. (2014). Estudo e Analise de Vulnerabilidades Web. Obtenido de http://es.slideshare.net/wamverde/estudo-e-anlise-de-vulnerabilidades-web
Reyes, J. (2015). MAGERIT. Obtenido de https://seguridadinformaticaufps.wikispaces.com/MAGERIT
Ruiz, J., & Rubira, C. (2016). Quality of Service Conflict During Web Service Monitoring: A Case Study. Science Direct, 321, 113-127.
Shirey, R. (2000). Internet Security Glossary. RFC 2828 (Informational). Obsoleted by RFC 4949.
Vicente, E., & Jimenez, A. (2014). Risk analysis in information systems: A fuzzification of the MAGERIT methodology. Elsevier, 1-12.