Seguridad informática, metodologías, estándares y marco de gestión en un enfoque hacia las aplicaciones web
Resumen
Existen diferentes métodos para evaluar la seguridad de las aplicaciones Web, principalmente basados en algún técnico automatizado de escaneo El objetivo de la presente investigación refiere de los conceptos básicos necesarios para entender temas de seguridad informática en sistemas de información y servicios, con el propósito de enfocarlos en pruebas de penetración en las aplicaciones web, se abordan metodologías que pueden aplicarse y marcos de referencia que deben ser tomados en cuenta en el ciclo de vida de desarrollo de aplicaciones, así mismo, se aporta con tablas descriptivas de las metodologías utilizadas en pruebas de Pentesting llegando finalmente a abarcar la familia de ISO/IEC 27000 dejando plasmado en la discusión una breve descripción de las mismas y el uso que da en las implantaciones de SGSI, evaluaciones y auditorias de seguridad de la información.
Descargas
Citas
BOHADA, John; DELGADO, Iván y BARINAS, Alexander. Criterios y métricas para evaluar la seguridad en aplicaciones Web:Metodología MESW. En: Investigación e Innovación en Ingeniería de Software. Tunja-Colombia 2019, págs. 43-53. isbn 978-958-52397-5-3. Disponible en: https://www.researchgate.net/publication/343166986_Criterios_y_metricas_para_evaluar_la_seguridad_en_aplicaciones_Web
VELOZ SEGURA, Elizabeth Alexandra (2022). Componentes de calidad software y su utilización en aplicaciones web. Ciencia Latina Revista Científica Multidisciplinar [En línea]. 6(3), 3193-3204. Disponible en: https://doi.org/10.37811/cl_rcm.v6i3.2456
KOZINA, Mario; GOLUB, Marin y GROS, Stjepan (2009). A method for identifying Web applications. International Journal of Information Security [En línea]. 8(6), 455-467. Disponible en: https://doi.org/10.1007/s10207-009-0092-3
NIÑO BENITEZ, Yisel y SILEGA MARTÍNEZ, Nemury (2018). Requisitos de Seguridad para aplicaciones web. Revista Cubana de Ciencias Informáticas [En línea]. 12(1), 205-221. ISSN 2227-1899 Disponible en: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2227-18992018000500015&lng=es&nrm=iso
ESCRIVÁ GASCÓ, Gema; ROMERO SERRANO, Rosa; RAMADA, David y ONRUBIA, Ramón. Seguridad Informátic. España: MACMILLAN, 2013. isbn 978-84-15656-64-7. Disponible en: https://www.machadolibros.com/libro/seguridad-informatica_528475
SOLARTE-SOLARTE, Francisco; ENRIQUEZ-ROSERO, Edgar y BENAVIDES-RUANO, Mirían del Carmen (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad informática y de información bajo la norma ISO/IEC 27001. Revista Tecnológica - ESPOL [En línea]. 28(5), 497-498.Disponible en: http://www.rte.espol.edu.ec/index.php/tecnologica/article/view/456/321
RODRÍGUEZ LLERENA, Alain (2020). Herramientas fundamentales para el hacking ético. Revista Cubana de Informática Médica [En línea]. 12(1), 116-131. ISSN 1684-1859 [consulta: 01-Jun-2020] Disponible en: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S1684-18592020000100116&lng=es
VILLÉN HIGUERAS, Sergio y RUIZ DEL OLMO, Francisco (2022). La cultura hacker en las estrategias transmediade las series de televisión:el caso de Mr. Robot (2015-2019). Zer: Revista de estudios de comunicación [En línea]. 27(52), 35-56. ISSN 1137-1102 Disponible en: https://doi.org/10.1387/zer.22991
BURGOS RIVERA, Daniel (2004). La importancia del hacking ético en el sector financiero [En línea]. 122(4401), 77380. Disponible en: http://polux.unipiloto.edu.co:8080/00003049.pdf
GONZÁLEZ BRITO, Henry y MONTESINO PERURENA, Raydel (2018). Capacidades de las metodologías de pruebas de penetración para detectar vulnerabilidades frecuentes en aplicaciones web. Revista Cubana de Ciencias Informáticas [En línea]. 12(4), 52-65. ISSN 2227-1899 Disponible en: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2227-18992018000400005〈=es
VELOZ, Jorge; ALCIVAR, Andrea y SILVA, Carlos (2017). Ethical hacking, una metodolog´ıa para descubrir fallas de seguridad en sistemas inform´aticos mediante la herramienta KALI-LINUX. Informática y Sistemas: Revista de Tecnologías de la Informática y las Comunicaciones [En línea]. 1(1), 1-12. Disponible en: https://doi.org/10.33936/isrtic.v1i1.194
MENDEZ, Florentino; AQUINO, Adrian; RONQUILLO, Armando y VALDEZ, José (2014). Técnicas de Hacking Ético en un Laboratorio de Pentesting Virtualizado. Springer-Verlag [En línea]. 1-9. Disponible en: https://www.researchgate.net/publication/308312418_Tecnicas_de_Hacking_Etico_en_un_Laboratorio_de_Pentesting_Virtualizado
HERNÁNDEZ YEJA, Adrian y PORVEN RUBIER, Joelsy (2016). Procedimiento para la seguridad del proceso de despliegue de aplicaciones web. Revista Cubana de Ciencias Informáticas [En línea]. 10(2), 1-12. ISSN 2227-1899 Disponible en: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2227-18992016000200004
AMARU, Tupac; LOPEZ, Henry y PAREDES, Oscar (2015). Mitigación de Ataques DDoS en Base de Datos Mediante un Balanceador de Carga. Revista” GEEKS”-DECC-Report [En línea]. 6(1), 7-13. ISSN 1390-5236 Disponible en: https://www.semanticscholar.org/paper/Mitigaci%C3%B3n-de-Ataques-DDoS-en-Base-de-Datos-un-de-Cartuche-L%C3%B3pez/a5445d31556ba781bc00ceaa834003692d65dfb6
ISO - Organización Internacional de Normalización. Serie ”27000”. ISO 2018. Disponible en: https://www.iso27000.es/iso27000.html
BLÁZQUEZ-OCHANDO, Manuel. Sistemas de recuperación e internet: metadescripción, procesamiento, webcrawling, técnicas de consulta avanzada, hacking documental y posicionamiento web. Madrid: mblazquez.es, 2013. isbn 978-84-695-7019-7. Disponible en: http://mblazquez.es/wp-content/uploads/ebook-mbo-sistemas-recuperacion-internet1.pdf
FORD, Richard y RAY, Helayne (2004). Googling for gold: Web crawlers, hacking and defense explained. Network Security [En línea]. 2004(1), 10-13. ISSN 1353-4858 Disponible en: https://doi.org/10.1016/S1353-4858(04)00023-6
MALIZA MARTINEZ, Carlos; LÓPEZ MENDIZÁBAL, Verónica y MACKLIFF PEÑAFIEL, Verónica (2016). Framework for software architecture for Web and Mobile applications. Revistas Científicas de la Universidad Técnica de Babahoyo [En línea]. 1(1), 72-75. Disponible en: https://doi.org/10.26910/issn.2528-8083vol1issCITT2016.2016pp72-75
CASTRO VASQUEZ, Carlos Arturo (2019). Pruebas de penetración e intrusión. Universidad Piloto de Colombia [En línea]. Disponible en: http://repository.unipiloto.edu. co/handle/20.500.12277/6273. 20. NAVARRO, Michel (2017). Guía del PMBOK para la gestión de pruebas de intrusión a aplicaciones web. PMBOK guide for web application penetration testing management [En línea]. 1(1), 26-34. Disponible en: https://www.researchgate.net/publication/342545006_Guia_del_PMBOK_para_la_gestion_de_pruebas_de_intrusion_a_aplicaciones_web_PMBOK_guide_for_web_application_penetration_testing_management
MONAR, Joffre; PÁSTOR, Danilo; ARCOS, Gloria y OÑATE, Alejandra (2018). Técnicas de programación segura para mitigar vulnerabilidades en aplicaciones web. Congreso de Ciencia y Tecnología ESPE [En línea]. 13(1). Disponible en: https://doi.org/10.24133/cctespe.v13i1.753
VALENCIA-DUQUE, Francisco y OROZCO-ALZATE, Mauricio (2017). Metodología para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000. RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação [En línea]. n°22, 73-88. ISSN: 1646-9895. Disponible en: https://doi.org/10.17013/risti.22.73-88
PEÑA-CASANOVA, Mónica y ANIAS-CALDERÓN, Caridad (2020). Integración de marcos de referencia para gestión de Tecnologías de la Información Integration of frames of reference for information technology. Ingeniería Industrial, [En línea]. 41(1). 1-12. ISSN: 1815-5936 Disponible en: https://www.redalyc.org/articulo.oa?id=360464918003
TOVAR, Edmundo; CARILLO, Jóse; VEGA, Vianca y GASCA, Gloria (2006). Desarrollo de productos de software seguros en sintonía con los modelos SSE-CMM, COBIT E ITIL. Revista de Procesos y Metricas - AEMES [En línea]. 3(1). 62-69. Disponible en: https://www.researchgate.net/publication/309566968_Desarrollo_de_productos_de_software_seguros_en_sintonia_con_los_modelos_SSE-CMM_COBIT_E_ITIL
PÉREZ VILLAMAR, MIGUEL (2017). Aplicación de la metodología ITIL para impulsar la gestión de TI en empresas del Norte de Santander (Colombia): revisión del estado del arte. Revista Espacios [En línea]. 39(9). 17. ISSN 0798 1015 Disponible en: https://www.revistaespacios.com/a18v39n09/a18v39n09p17.pdf
Derechos de autor 2022 Ivan Coronel Suárez; Daniel Quirumbay Yagual
Esta obra está bajo licencia internacional Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0.
El titular de los derechos de autor de la obra, otorga derechos de uso a los lectores mediante la licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional. Esto permite el acceso gratuito inmediato a la obra y permite a cualquier usuario leer, descargar, copiar, distribuir, imprimir, buscar o vincular a los textos completos de los artículos, rastrearlos para su indexación, pasarlos como datos al software o usarlos para cualquier otro propósito legal.
Cuando la obra es aprobada y aceptada para su publicación, los autores conservan los derechos de autor sin restricciones, cediendo únicamente los derechos de reproducción, distribución para su explotación en formato de papel, así como en cualquier otro soporte magnético, óptico y digital.
