Análisis de estrategias de gestión de seguridad informática con base en la metodología Open Source Security Testing Methodology Manual (OSSTMM) para la intranet de una Institución de Educación Superior - Analysis of Strategies of Computer Security Management Based on the Open Source Security Testing Manual Methodology (OSSTMM) for the Intranet of a Higher Education Institution
DOI:
https://doi.org/10.32870/recibe.v7i1.90Palabras clave:
OSSTMM, seguridad informática, estrategias de seguridad.Resumen
El presente estudio se enfocó en tomar como referencia la metodología OSSTMM para aplicar una auditoría de seguridad informática e identificar brechas de seguridad en una Institución de Educación Superior, utilizando como tipo de prueba el Hacking ético. Mediante una investigación de campo, se estableció la situación actual de políticas de la gestión de seguridad informática de la Institución de Educación Superior objeto de estudio, en donde los principales activos de información analizados fueron: el servidor con el sistema de gestión financiera y académica, los laboratorios de informática, salas de docentes y el área administrativa. Con base en la auditoría realizada, se encontró que la institución de educación superior no lleva un control adecuado de políticas de seguridad informática y aplicación de las mismas, obteniéndose como principal hallazgo los valores de evaluación de riesgo (Rav) equivalente al 72,15% de seguridad. En el análisis de seguridad informática llevado a cabo, se concluye que la porosidad y las limitaciones permiten evaluar el nivel de impacto y criticidad de las vulnerabilidades encontradas, las cuales pueden ser mitigadas aplicando estrategias de gestión de seguridad informática y conjuntamente con el aumento de controles de seguridad se puede mejorar la valoración del Rav a una ponderación del 77,00%; de esta manera, se garantiza la confiabilidad, integridad y disponibilidad de la información. Abstract: The present study focused on taking as reference the OSSTMM methodology to apply an auditory of a computer security, and to identify security breaches in a Higher Education Institution, using as a type of test the ethical Hacking. Through a field investigation, it was established the current situation of policies of the computer security management of the Higher Education Institution which is the object of the study, where the main information assets analyzed were: the server with the financial and academic management system, computer labs, teaching rooms and the administrative area. Based on the audit that was done, it was found that the institution of higher superior doesn’t carry an adequate control of information security, policies and their application, obtaining as main finding the values of risk assessment (Rav) equivalent to 72.15% of security. In the computer security analysis carried out, it is concluded that the porosity and limitations allow to evaluate the level of impact and criticality of the vulnerabilities found, which can be mitigated by applying computer security management strategies and in conjunction with increased controls the Rav's valuation can be improved to a weighting of 77.00%; in this way, the reliability, integrity and availability of the information is guaranteed. Keywords: OSSTMM, Informatic security, Security strategies.Citas
Benchimol. D. (2010). Redes Cisco. Banfield. Argentina: Gradi.
Baldeón, M. & Coronel, C. (2012). Plan maestro de Seguridad Informática para la UTIC de la ESPE con lineamiento en la norma ISO 27002.
Balcerek, B., Frankowski, G., Kwiecién, A. Smutnicki, A., & Teodorczyk, M. (2012). Security best practices: applying defense-in-depth strategy to protect the NGI_PL. Springer Berlin Heidelberg.128-141.
Costas Santos, J. (2010). Seguridad Informática. España: Service Ponit S.A.
Coronel, I. (2016). Aplicar Hackeo Ético para Detección de Vulnerabilidades Mediante Herramientas Open Sourse en las Aplicaciones Web de una Institución de Educación Superior. Disponible en:
https://www.dspace.espol.edu.ec/retrieve/97627/D-103391.pdf. (Consultado 05/05/2017).
CISCO. (2016). Informe anual de seguridad de Cisco 2016. San José.
Emiliani, R. Sierra, Y. (2015). Manual Metodológico para pruebas de seguridad OSSTMM 3 y Guía de Pruebas OWASP 4. Disponible en:
https://es.scribd.com/document/265102425/Resumen-de-Guias-OSSTMM-OTGv4. (Consultado 25-04-2017).
Enrique, J, & Sánchez, J. (2017). Riesgos de Ciberseguridad en las Empresas. Madrid
ESET Security Report. (2015). ESET Security Report, Latinoamérica 2015.
ESET Security Report. (2017). ESET Security Report, Latinoamérica 2017.
Fuertes, A. (2014). Elaboración de una Metodología de test de intrusión dentro de la Auditoría de Seguridad. Disponible en:
http://reunir.unir.net/bitstream/handle/123456789/2331/AntonioFuertesMaestroTFM.pdf?sequence=3&isAllowed=y. (Consultado 25-06-2017).
Guillinta, O. Merino, J (2016). Modelo de Prevención y Defensa contra Ataques Cibernéticos basado en estándares de seguridad internacionales para IT-Expert. Disponible en:
repositorioacademico.upc.edu.pe/upc/bitstream/10757/620848/1/MERINO_R_J.pdf. (Consultado 25-05-2017)
Hernández Sampieri, R., Fernández, C., & Baptista, M. (2010). Metodología de la Investigación. Quinta edición. México: McGraw-Hill.
Herzog P, et al. (2001). Open Source Security Testing Methodology. Manual v2.1. Agregar País: Editorial
Herzog P, et al. (2010). Open Source Security Testing Methodology. Manual v3. United Estates: Creative Commons
ISACA. (2015). State of Cybersecurity: Implications for 2015. Usa: Creative Commons
ISECOM. (2012). Hacker Highschool Security Awareness for teens, lección 1. United Estates: Creative Commons.
ISO/IEC 27001. (2013). ISO 27001:2013 Information technology – Security.
Instituto español de estudios estratégicos. (2011) Ciberseguridad, restos y amenazas a la seguridad nacional en el ciberespacio. Barcelona: Ministerio de Defensa.
Jara. H. (2012). Ethical Hacking 2.0. Buenos Aires. Argentina: Fox Andina.
López Santoyo, R. (2015). Propuesta de Implementación de metodología de auditoría de seguridad informática. Madrid: Universidad Autónoma de Madrid.
Maya, E. Jaramillo, D. (2015). Auditoría de Seguridad Informática para el Gobierno Autónomo Descentralizado de Santa Ana de Cotacachi, basada en la norma NTP-ISO/IEC 17799:2007 y la metodología OSSTMM V2. Disponible en: http://repositorio.utn.edu.ec/bitstream/123456789/3774/2/04%20RED%20034%20Art%C3%ADculo%20Cient%C3%ADfico%20Espa%C3%B1ol.pdf. (Consultado 05-04-2017).
Morlanes, G. (2012). Seguridad informática, Matanzas. CU. Revista de arquitectura e ingeniería. Vol 6. N° 2. P 1-14.
OWASP. (2013). Owasp Top 10 – 2013. Los 10 Riesgos más Críticos en Aplicaciones Web. Disponible en https://www.owasp.org
Piattini, M. Peso Navarro, E. y Peso Ruiz. M. (2008). Auditoría de tecnologías y sistemas de información. Madrid: RA-MA Editorial.
Portantier, F. (2013). Gestión de la Seguridad Informática. Buenos Aires. Argentina: Fox Andina.
Toth, G. Sznek, J. (2014). Implementación de la guía NIST SP 800-30 mediante la utilización de OSSTMM. Disponible en:
https://es.scribd.com/document/323455632/Tesis-Toth-pdf. (Consultado 30-06-2016).
UNESCO. (2004). Las Tecnologías de la Información y la Comunicación en la Formación Docente. Montevideo. Uruguay: Gráfica Futura.
Uniandes. (2013). Manual de Políticas de Seguridad Informática. Ambato.
Yánez, E. (2015). Análisis de las Herramientas para el Proceso de Auditoría de Seguridad Informática Utilizando Kali Linux. Disponible en:
http://www.dit.upm.es/~posgrado/doc/TFM/TFMs2014-2015/TFM_Ericka_Yanez_Cedeno_2015.pdf. (Consultado 04-27-2017).
