PLAN DE SEGURIDAD PARA PLATAFORMAS WEB EMPLEANDO NORMAS ISO-27001 Y CONSIDERANDO EL OWASP TOP 10-2017

Abstract

La presente investigación se realizó sobre la plataforma web de los servicios del Cuerpo de Bomberos del GAD Municipal de Santo Domingo con el objetivo de detectar vulnerabilidades e implementar un plan de seguridad empleando normas ISO 27001 considerando el listado de riesgos de seguridad de OWASP Top 10-2017, para reducirlas, mitigarlas o eliminarlas. El proceso para las pruebas de penetración y explotación de vulnerabilidades web se lo realizó en 4 fases: recopilación de información, análisis de vulnerabilidades, explotación y generación de informes. Para las pruebas se utilizó las herramientas: Nessus, Vega, BurpSuite, BeEF, Metasploit, Synflood, Hydra y Zenmap. Como resultado se determinó que la plataforma web era vulnerable a: inyección (A1:2017), pérdida de autenticación (A2:2017), exposición de datos sensibles (A3:2017), pérdida de control de acceso (A5:2017), configuración de seguridad incorrecta (A6:2017), uso de componentes con vulnerabilidades conocidas (A9:2017) y registro y monitoreo insuficientes (A10:2017). En base a esta evaluación se creó e implementó un plan de seguridad para la plataforma web. Se ejecutaron pruebas de vulnerabilidades sobre 2 prototipos (Prototipo I: sin plan de seguridad, Prototipo II: considerando el plan de seguridad) de lo que se obtuvo una mejora de la seguridad de la plataforma web en un 75%.