2015-information security in implementing web applications for small businesses based on cobit5-si
TRANSCRIPT
-
7/25/2019 2015-Information Security in Implementing Web Applications for Small Businesses Based on COBIT5-SI
1/7
See discussions, stats, and author profiles for this publication at: http://www.researchgate.net/publication/282329850
Information Security in implementing webapplications for small businesses based on
COBIT5-SI
CONFERENCE PAPER JUNE 2015
DOI: 10.1109/CISTI.2015.7170390
READS
18
3 AUTHORS, INCLUDING:
Danilo Rubn Jaramillo
Universidad Tcnica Particular de Loja
10PUBLICATIONS 1CITATION
SEE PROFILE
All in-text references underlined in blueare linked to publications on ResearchGate,
letting you access and read them immediately.
Available from: Danilo Rubn Jaramillo
Retrieved on: 01 December 2015
http://www.researchgate.net/?enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg%3D%3D&el=1_x_1http://www.researchgate.net/profile/Danilo_Jaramillo?enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg%3D%3D&el=1_x_7http://www.researchgate.net/institution/Universidad_Tecnica_Particular_de_Loja?enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg%3D%3D&el=1_x_6http://www.researchgate.net/profile/Danilo_Jaramillo?enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg%3D%3D&el=1_x_5http://www.researchgate.net/profile/Danilo_Jaramillo?enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg%3D%3D&el=1_x_4http://www.researchgate.net/?enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg%3D%3D&el=1_x_1http://www.researchgate.net/publication/282329850_Information_Security_in_implementing_web_applications_for_small_businesses_based_on_COBIT5-SI?enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg%3D%3D&el=1_x_3http://www.researchgate.net/publication/282329850_Information_Security_in_implementing_web_applications_for_small_businesses_based_on_COBIT5-SI?enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg%3D%3D&el=1_x_2 -
7/25/2019 2015-Information Security in Implementing Web Applications for Small Businesses Based on COBIT5-SI
2/7
Seguridad de la Informacin en laimplementacin de aplicaciones web parapequeas empresas en base a COBIT5-SI
Information Security in implementing web applicationsfor small businesses based on COBIT5-SI
ResumoLa Seguridad de la Informacin es una de las medidaspreventivas a tomar en consideracin para el adecuado
funcionamiento de aplicaciones en pequeas y medianasempresas de Ecuador, garantizando de esta forma laconfiabilidad, disponibilidad e integridad de los activos,principalmente dentro de sus aplicaciones web. Este trabajo sefundamenta en la integracin del marco de gobierno para laseguridad Cobit5-SI, la metodologa de modelado UWE y elproyecto abierto de seguridad OWASP, obteniendo las prcticasadecuadas que permitan valorar la Seguridad de la Informacinen la implementacin de aplicaciones web para estas empresas.De igual manera la seleccin de estas prcticas se realiz con laintegracin de las normas ISF, ISO/IEC 27001, ISO/IEC 27002,ITIL y NIST.
Palabras Clave seguridad de la informacin, cobit5,
prcticas,activos, aplicaciones web.
Abstract The Information Security is one of the preventivemeasures to take account for the proper functioning ofapplications in small and medium enterprises in Ecuador, thusensuring reliability, availability and integrity of assets, primarilywithin their web applications measures. This work is based onthe integration of the governance framework for Cobit5-SIsafety, UWE modeling methodology and open security OWASPproject, obtaining the best practices for evaluating theInformation Security in implementing web applications thesecompanies. Similarly, the selection of these practices wasconducted with the integration of the ISF, ISO / IEC 27001, ISO /IEC 27002, ITIL and NIST.
Keywords -Information security; cobit5; web applications.
I. INTRODUCCIN
Con la tendencia creciente de amenazas relacionadas a lainformacin relevante que manejan las empresas hoy en da, seve la necesidad de garantizar un sistema de informacin quecontenga las prcticas adecuadas para mitigar riesgos de
prdida de informacin dentro de las PYMES, los que podrangenerarse de diferentes fuentes como: personas, procesos otecnologa [1].
Al referirnos a personas, se puede notar que es un aspectomenos protegido dentro de la seguridad de la informacin (SI),
y como tal requieren medidas adecuadas para mitigar el riesgode prdida de informacin dentro de una empresa en estecontexto. Muchas veces sin embargo, las empresas noimplementan medidas para asegurar el acceso del usuario a losrecursos (privilegios mnimos), un punto destacado porRuppert [1]. Por lo tanto, esto puede conducir a una granvariedad de situaciones, entre ellas, la asignacin de losusuarios con poco o demasiado acceso a recursos o
procedimientos de terminacin ineficaces para hacer frente acuentas de usuario de empleados inactivos.
Es por esta razn que es necesario contar con prcticas quepermitan integrar la seguridad en la implementacin desistemas de informacin, ya sean desarrollados internamente o
adquiridos de manera comercial. El presente estudio estbasado en la revisin de normas, metodologas y proyectos quebrindan buenas prcticas orientadas a garantizar la aplicacinde Seguridad de la Informacin y permitir valorar su nivel decumplimiento al momento de implementar aplicaciones weben pequeas empresas.
II. MARCO TERICO
A. Gestin del Software en pequeas empresas
Toda pequea empresa requiere contar con un sitio web,debido al avance de la tecnologa y a la nueva propuesta denegocio como lo es el comercio electrnico; segn el estudioen Ekos [2], las Pymes deben dirigir sus operaciones hacia
actividades que les permita capitalizarse a travs del cambiotecnolgico y la asociatividad , esto hace referencia a laimportancia de manejar sus operaciones va aplicaciones web eir innovando sus negocios acorde al avance tecnolgico que sevaya presentando.
En el Censo Nacional Econmico Ecuatoriano [3], solo un5% de las pequeas empresas registradas invierten eninvestigacin y desarrollo incorporando nuevas tecnologas.Generalmente las empresas adquieren su software dependiendode los procesos que requieran aplicar sobre l, de esta manerala empresa puede construir su propio software (in-house),
Danilo Jaramillo H, Franco Guamn B, Kruskaya Salazar EDepartamento de Ciencias de la Computacin y Electrnica
Loja-Ecuador{djaramillo, foguaman, kssalazar}@utpl.edu.ec
Universidad Tcnica Particular de Loja
-
7/25/2019 2015-Information Security in Implementing Web Applications for Small Businesses Based on COBIT5-SI
3/7
contratar los servicios de terceros o usar aplicaciones web yadesarrolladas (open source).
B. Seguridad de la informacin
SI frecuentemente es entendida por el usuario comoseguridad de las lneas de cdigo, sin embargo la SI abarca unaserie de temas que principalmente no son entendidos por todoslos miembros de una empresa, pero que son de vital
importancia para contar con la confidencialidad necesaria en lamisma. De igual manera Fernando Fuentes [4] se refiere aseguridad de informacin como una serie de tcnicas o
procedimientos que pueden ser mal utilizados e interpretados,perdiendo as su utilidad real.
Basados en los principios bsicos de SI (confidencialidad,disponibilidad e integridad de los datos), las siguientes Normas(ISACA, NS/04, ISO) dedicadas al estudio de la SI, definen ala misma como algo que garantiza que dentro de la empresa lainformacin se encuentre protegida contra divulgacin deusuarios no autorizados [5], aplicando para ello un conjunto demedidas y procedimientos para el control y uso correcto de lamisma [6], conservando de esta manera los principios bsicos
de SI; as como las aplicaciones usadas dentro de una empresa[7], mantenindola libre de peligro, dao o riesgo, evitando ladivulgacin, interrupcin o destruccin no autorizada.
Dentro de la implementacin de controles para la SI se debecontar con medidas de gestin de seguridad, esto segn JeffreyStanton [8]se debe realizar en dos niveles: nivel de gestin de
procesos de negocios y nivel tcnico. Luego de laimplementacin de estas medidas se debe concientizar sobre el
proceso de la SI. De la misma forma se debe mantener a losusuarios y empleados actualizados, por lo cual los programasde concientizacin deben ser permanentes y mantenerse alcorriente de los continuos cambios; esto como parte integral ycultura de la empresa. Nos menciona Kruger H. [9] que la
clave del xito en cuanto a la conciencia de los usuarios yempleados es mantener los procesos relevantes y concluyentes,mientras se mantiene la variacin de los mecanismos deejecucin. Estas variaciones se pueden dar a medida quecambia el riesgo de la informacin. Schlienger & Teufel [10]debaten sobre los programas de sensibilizacin abordandotemas de cambio continuo y medicin de concienciacin sobreSI, de manera que se pueda revisar o repetir las campaas deconcienciacin de seguridad con mayor efectividad.
C.Pequeas empresas y sus aplicaciones web
Segn el anlisis realizado por Chvez Mildred sobre unaPYME 1Ecuatoriana [11], menciona que no existen criteriosuniversales para la definicin de la misma, ya que debido a las
realidades socio-econmicas y productivas, podra haberdiferencias dependiendo de pases o regiones. Sin embargo yen contexto general se define a la pequea empresa como unaentidad independiente, la cual es creada para ser rentable y
predominar en la industria a la que se dedica, de manera quelogren satisfacer las diferentes necesidades de negocio [11].
1 PYME en Ecuador se conoce al conjunto de pequeas ymedianas empresas con ciertas caractersticas propias, queorientan sus negocios a diferentes actividades econmicas.
Por estas razones en el Ecuador una pequea empresa se definey categoriza de acuerdo al valor de los activos y a la actividad ala que se dedican; de acuerdo a estos criterios la revista Ekos[2] realiz una encuesta sobre la distribucin de pymes en elEcuador y obtuvieron los resultados mostrados en la figura 1.
Figure 1. Distribucin de PYMES por provincias(Octubre 2013)
La revista Ekos[2] menciona que Las pymes deben dirigirsus operaciones hacia actividades que les permita capitalizarsea travs del cambio tecnolgico y la asociatividad, esto hacereferencia a la importancia de manejar sus operaciones vaaplicaciones web e ir innovando sus negocios acorde al avance
tecnolgico que se vaya presentando. Segn el Censo NacionalEconmico de 2010 [12], solo un 5% de las pequeas empresasregistradas invierten en investigacin y desarrollo incorporandonuevas tecnologas.
III. NORMAS Y METODOLOGAS PARA LA GESTIN DE LASEGURIDAD DE LA INFORMACIN.
En la actualidad existen normas y metodologas que seencargan del estudio de la SI dentro de las empresas, talescomo NIST, ISO 27001, ISO 27002, ISF, ITIL, COBIT5; lascuales dan una pauta sobre los procesos o actividades a seguir
para mantener segura la informacin relevante de cadaempresa. Se presenta una breve descripcin de las mismas.
A.
NISTEl Instituto nacional de estndares y tecnologa (NIST) [13]
ofrece una gua de SI, la cual proporciona pautas o requisitosque ayudan a los administradores de sistemas a establecernormas o programas, orientados a mantener la SI dentro de unaPYME. NIST gestiona la SI tomando como referencia lossiguientes componentes: Gobernanza, cumplimiento,confianza, arquitectura, identificacin y control de acceso,
proteccin de datos, disponibilidad y respuesta de incidentes.Estos componentes ayudan a llevar una planificacin adecuadade SI y la aplicacin de la misma.
B.ISO 27001
ISO/IEC 27001 [14] proporciona marcos de trabajo para losSistemas de informacin enfocados a gestionar los requisitosde implementacin para solucionar problemas de seguridadactuales.
Safecoms [15] especfica que la norma ISO 27001 tomacomo referencia los siguientes pasos para establecer,supervisar, mantener y mejorar su Sistema de Gestin deSeguridad de la Informacin (SGSI):
Identificar requisitos de seguridad.Realizar una evaluacin sobre las amenazas de los activos
de informacin.
0%
20%
40%
60%
80%
100%
Pequea Mediana
Pichincha
Guayas
Azuay
Manab
El Oro
Tungurahua
Resto
https://www.researchgate.net/publication/220890851_Behavioral_Information_Security_Two_End_User_Survey_Studies_of_Motivation_and_Security_Practices?el=1_x_8&enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg==https://www.researchgate.net/publication/222422461_A_prototype_for_assessing_information_security_awareness?el=1_x_8&enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg==https://www.researchgate.net/publication/220102979_Information_security_culture_From_analysis_to_change?el=1_x_8&enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg==https://www.researchgate.net/publication/220102979_Information_security_culture_From_analysis_to_change?el=1_x_8&enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg==https://www.researchgate.net/publication/222422461_A_prototype_for_assessing_information_security_awareness?el=1_x_8&enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg==https://www.researchgate.net/publication/220890851_Behavioral_Information_Security_Two_End_User_Survey_Studies_of_Motivation_and_Security_Practices?el=1_x_8&enrichId=rgreq-2b723561-1c75-4aa6-906d-9364d69ae8d0&enrichSource=Y292ZXJQYWdlOzI4MjMyOTg1MDtBUzoyNzk0ODQ5NzM1MDI0OTJAMTQ0MzY0NTgxOTA5Mg== -
7/25/2019 2015-Information Security in Implementing Web Applications for Small Businesses Based on COBIT5-SI
4/7
Identificar factores de vulnerabilidad ante la probabilidadde una amenaza a los activos.
Analizar el impacto potencial de incidentes de SI.Evaluar los riesgos de SI
Seleccionar y aplicar controles de la SI.Controlar, mantener y mejorar los controles de SI.
C.ISO 27002
ISO/IEC 27002 [16] proporciona informacin a las partesresponsables de la implementacin de SI dentro de unaempresa. Se puede ver como una buena prctica para eldesarrollo y mantenimiento de metodologas de seguridad y
prcticas de gestin dentro de una organizacin para mejorar laconfiabilidad en las relaciones inter-organizacionales.
Los componentes que usa esta norma para gestionar la SIson los mismos que usa la norma ISO en general. Esto noquiere decir que la norma ISO 27001 sea semejante a la normaISO 27002, por lo contrario; estas normas tienen aplicaciones yusos diferentes, ya que la norma ISO 27001 se encarga deespecificar los requisitos de seguridad, en cambio ISO 27002gestiona y controla los requisitos de seguridad enfocadosclaramente a los activos o informacin de una empresa.
D.ISF
El Estndar de buenas prcticas para la SI (ISF), estdirigido a empresas que reconocen a la SI como un tema clavedentro del negocio, sin embargo, esta norma tambin ser deutilidad a cualquier tipo de empresas, ya sean pequeas omedianas.
ISF [17] integra a una serie de personas clave y tercerosdentro del sistema de SI en una empresa, en los cuales seincluyen: gerentes de SI o equivalente, gerentes de empresas,los administradores de TI responsables de la planificacin, losgerentes de auditora de TI. Los componentes para asegurar la
informacin que se enfoca ISF son los siguientes: Gobernanza,riesgo, conformidad, personas, procesos y tecnologa.
E.ITIL
ITIL (Biblioteca de Infraestructura de Tecnologas de laInformacin) es una integracin de varias normas y
publicaciones, que describen de manera sistemtica unconjunto de buenas prcticas para la gestin de los serviciosde TI (Tecnologas de informacin). ITIL [18] ofrece y trata decrear un nexo de unin y acercamiento de la gestin de las TIcon el mundo de la gestin empresarial, basado en ISO, EFQMy otros modelos similares.
Los componentes de seguridad que ofrece ITIL se
encaminan en el mismo sentido que la estrategia empresarial,pero abordando a la informacin como objetivo principal. Entrelos componentes se menciona los siguientes: Alinea las nuevasTI con la proteccin de los activos, gestin de cambios, gestinde la capacidad, gestin de la demanda, gestin de ladisponibilidad, creacin y cumplimiento de un plan de SI, yGestin de la Continuidad y configuracin.
F. COBIT 5
Cobit5 para la seguridad de la informacin (COBIT5-SI)[19] identifica los requerimientos de negocio en cuanto a laefectividad, confidencialidad, integridad, disponibilidad,
eficiencia, cumplimiento y confiabilidad de la informacin quedeben satisfacerse.
COBIT5-SI ofrece un marco integral que ayuda a lasempresas a alcanzar sus objetivos para el gobierno y la gestinde TI de la empresa [20]. Es decir, ayuda a la empresa a crearun propio valor acerca de las TI, enfocado a los beneficios ycontrol de los niveles de riesgos. Adems este marco permiteser gobernada y administrada de manera integral para toda laempresa, tomando en cuenta el negocio completo y las reasfuncionales que manejan la SI, haciendo referencia a losintereses de las partes interesadas, ya sean internas o externas.
COBIT5-SI para asegurar la informacin abarca lossiguientes componentes: organizacin, procesos, personas,factores humanos, tecnologa y cultura.
IV. SIEN APLICACIONES WEB DE PEQUEAS EMPRESAS.
A. COBIT5 - SI como norma principal de Gestin de SI
La Tabla I muestra de manera general los componentes decada una de las normas mencionadas que fueron la base paraseleccionar la norma de trabajo.
TABLE I. ENFOQUE DE CADA NORMA
Normas enfocadas a SI
Componentes de SICobit5-SI
NIST IT
IL
ISO
27001
ISO
27002
ISF
Seguridad del personal X X XTecnologa X X X XFactores HumanosProcesos X XConformidad XGobernanza de seguridad X XRiesgos de seguridad X X XGestin de incidentes X X XOrganizacin XCulturaCumplimiento X XConfianza XDisponibilidad X XIntegridadConfiabilidadArquitectura de sistemas X X X XPlan de SI X XControl de acceso X X X XContinuidad del negocio,respuesta incidentes
X X X X
Proteccin de datos X X X XPoltica de seguridad X X X
Segn el informe presentado por Stroud & Crisc [21],COBIT5-SI proporciona una gua especfica en relacin consus siete catalizadores, cuya descripcin genrica comn secompone de cuatro partes: stakeholders, metas, ciclo de vida y
buenas prcticas, de estos catalizadores se analizarn 3, queestn enfocados directamente a resguardar la informacin.
1) Catalizador de ProcesosEl modelo de referencia de COBIT5-SI divide al
catalizador de procesos para manejar la seguridad en dos reasprincipales de actividad: gobierno y gestin, cada una de ellasdivididas en dominios de procesos.
-
7/25/2019 2015-Information Security in Implementing Web Applications for Small Businesses Based on COBIT5-SI
5/7
2) Catalizador de la informacinConsidera toda la informacin relevante para la empresa, y
no solamente como la informacin automatizada. Lainformacin puede ser estructurada o no estructurada,formalizada o informal.
El ciclo de la informacin ayuda a entender el proceso quese lleva a cabo para obtener la informacin, generar datosimportantes y, transformarlos en conocimiento y crear valor
para la empresa.
SI es un catalizador de negocios que est estrictamenteligado a la confianza de los interesados, como se menciona enISACA [5], ya sea por el tratamiento del riesgo de negocios o
por creacin para dar valor a la empresa, como una ventajacompetitiva.
3) Catalizador de Servicios, infraestructura y
aplicacionesDebido a que la SI ser asegurada dentro de entornos web,
este catalizador proporciona prcticas de definicin dearquitectura, control de calidad y accesibilidad. En momentosen que la importancia de las TI y afines es cada vez mayor en
todos los aspectos del negocios y la vida pblica, surge lanecesidad de mitigar el riesgo de la informacin, lo que incluyela proteccin de la informacin y de los activos de TIrelacionados con las amenazas que se encuentra en constantecambio e incremento
B. UWE
El enfoque de la Ingeniera Web basada en UML (UWE)est en continua evolucin. Segn investigaciones realizadas
por Mnguez [22], esta evolucin se ha dado debido a la mejorade las caractersticas existentes, tales como: personalizacin desistemas Web, adaptacin a las nuevas tecnologas, lacomunicacin cliente- servidor y la introduccin de nuevastcnicas de ingeniera de software como el aspecto deorientacin y principios basados en modelos. El reto en todosestos casos es proporcionar una herramienta ms intuitiva y til
para el desarrollo metodolgico de los sistemas Web, paraaumentar la calidad de los sistemas Web y para reducir eltiempo de desarrollo, as como asegurar la SI proporcionada
para el desarrollo de cada uno de los modelos. Estos modelosde la metodologa UWE [23] estn relacionados entre s, acontinuacin se detallan cada uno de ellos.
1) Anlisis de Requerimientos: Koch & Kozuruba [24]hace referencia a la importancia de contar con una obtencin,especificacin y validacin de requisitos como uno de los
primeros pasos para el desarrollo de un sistema WEB.
2)
Modelo Contenido: Se utiliza para representar losconceptos relevantes del dominio y sus relaciones. Cuando losmodeladores conocen el concepto principal de la aplicacin enel futuro, por lo general comienzan con el modelo decontenido para capturar las clases usando UML.
3) Modelo de estructura de navegacin: Este modeloespecfica la iteracin del usuario con la aplicacin; en estemodelo se realiza la navegacin de los nodos y enlaces,modelando el anlisis de requerimientos y el modelo decontenido ya antes especificado.
4) Modelo de presentacin: En este modelo UWE utilizaun diagrama de clases para la representacin de modelos de
presentacin, en donde realiza una representacin esquemticade los objetos que son visibles al usuario.
5) Modelo de procesos: El modelo de flujo de procesosUWE realiza una estructura de los procesos que se llevaran acabo dentro de la aplicacin web, este modelo permite
visualizar los flujos de trabajo que se encuentran dentro de losnodos de navegacin.Cada modelado que proporciona UWE est relacionado con
distintos diagramas tal como se observa en la TABLE II
TABLE II. DIAGRAMAS DE LOS MODELADOS DE UWE.
ACTIVIDAD TCNICA ENTREGABLE
Anlisis deRequerimientos
Casos de Uso Diagramas de casos deuso
ModeloContenido
Diagrama de Clases Diagramas de ClasesDiagrama de
SecuenciaDiagramas de Secuencia
Diagrama de Estado Diagramas de Estados
Diagrama deDespliegue
Diagramas deDespliegue
Diagrama deImplementacin
Diagramas deImplementacin
ModeloNavegacin
Diagrama deNavegacin
Diagramas deNavegacin
Modelo dePresentacin
Diagrama dePresentacin
Diagramas dePresentacin
Modelo deprocesos
Diagrama deActividad
Diagramas deActividades
C. Owasp-Proyecto abierto de seguridad en aplicaciones web
OWASP es un proyecto abierto que se encarga deproporcionar pautas para aplicar seguridad en las aplicaciones
web, este proyecto est orientado a desarrolladores de software,testers de software y especialistas de seguridad. OWASPintegra una serie de pruebas que estn enlazadas a un marco deactividades, tal como se observa en la TABLE III.
TABLE III. MARCO DE ACTIVIDADES DE OWASP.
ACTIVIDAD PRUEBAS OWASPAntes de empezar eldesarrollo
- Recopilacin de Informacin- Pruebas de la lgica de negocio
Durante el diseo - Pruebas de gestin de la configuracinDurante el desarrollo - Pruebas de validacin de datos
- Pruebas de denegacin de ServicioDurante laimplementacin
- Pruebas de Autenticacin- Pruebas de Autorizacin- Pruebas de gestin de sesiones
Mantenimiento yoperaciones
-
Pruebas de Servicios Web- Pruebas de Ajax
V. INTEGRACIN DE CONTROLES DE SEGURIDAD DE LAINFORMACIN EN APLICACIONES WEB.
Las siguientes actividades que se muestran en la TABLEIV, estn basadas en las normas y metodologas mencionadas
para la gestin de Seguridad de la informacin (NMGSI), y enlas metodologas orientadas a aplicaciones web, UWE yOWASP. Estas actividades estn integradas en un ciclo defases de desarrollo web, estas fases son las siguientes:
-
7/25/2019 2015-Information Security in Implementing Web Applications for Small Businesses Based on COBIT5-SI
6/7
1) Fase1- Planificar (F1P): Esta es la fase inicial que serealiza antes de empezar el desarrollo, en esta fase se definenactividades de buenas prcticas para definir los requerimientosy objetivos en un plan de SI.
2) Fase 2- Construir (F2C): Se realiza durante el diseo ydefinicin, se especifican actividades que describen laestructura, funciones e interrelaciones de los componentes del
sitio web y sus sistemas de informacin.3) Fase 3- Validar (F3V): Se realiza durante el desarrolloen la que se describen los elementos del sitio, diseo yarquitectura, y actividades que de SI desde estas fases.
4) Fase 4- Ejecutar (F4E): Se realiza durante laimplementacin, se describe las formas de verificar e instalar elsitio web construido para hacer uso del mismo y se ponen enmarcha las mejoras detectadas a travs del plan de SI.
5) Fase 5 Supervisar (F5S): Se realiza durante elmantenimiento y operaciones, en esta se ejecutan las pruebasdel comportamiento del sitio web verificando que se cumplalos requisitos planteados y se da mantenimiento a los procesosque aseguran la SI.
TABLE IV. REQUISITOS DE SI,INEGRADOS EN LAS NORMAS ANALIZADAS.
ACTIVIDADES
NMGS
UWE
OWASP
F1P
F1AC1: Necesidad de los Stakeholders. XF1AC2: Identificar los activos. XF1AC3: Planificar la Seguridad de la informacin. XF1AC4: Definicin de requisitos. X XF1AC5: Gestionar requerimientos X XF1AC6: Documento de especificaciones finales. XF1AC7: Supervisar y evaluar los requerimientos. XF1AC8: Seguridad de los requerimientos.
XF1AC9: Supervisar y evaluar el rendimiento yconformidad de los requisitos. X
F1AC10: Requerimientos de seguridad, XF1AC11: Implementacin de SDLC. X XF1AC12: Polticas y estndares de seguridadadecuados para el equipo de desarrollo.
X
F1AC13: Desarrollar las mtricas y criterios demedicin. (OWASP)
X
F2C
F2AC1: Requerimientos de navegacin XF2AC2: Gestionar los programas XF2AC3: Gestionar la seguridad XF2AC4: Riesgos de prdida de informacin.F2AC5: Continuidad del servicio XF2AC6: Gestin de cambio XF2AC7: Plan de continuidad. X XF2AC8: Revisin de los requisitos de seguridad XF2AC9: Creacin-revisin de modelos UML. X X
F3V
F3AC1: Revisin de diseo y arquitectura X XF3AC2: Creacin y revisin de modelos UML. X XF3AC3: Creacin-revisin de modelos de amenaza X XF3AC4: Inspeccin de cdigo por fases XF3AC5: Revisiones de cdigo X
F4E
F4AC1: Implementar los requisitos de seguridad XF4AC2: Gestin de seguridad XF4AC3: Creacin de UML para representacin deobjetos visibles X
F4AC4: Pruebas de intrusin en aplicaciones XF4AC5: Comprobacin de gestin de configuracin X
F5S
F5AC1: Aplicar controles en los activos XF5AC2: Seguimiento de la gestin de seguridad XF5AC3: Revisin y creacin de modelos UML. X XF5AC4: Ejecucin de revisiones de laadministracin operativa X X
F5AC5: Ejecucin de comprobaciones peridicasde mantenimiento
X X
F5AC6: Asegurar la verificacin de cambios X
VI.
RESULTADOSA partir de la definicin de cada una de las fases integradas
con las actividades seleccionadas de las metodologas detrabajo, se realiz una evaluacin a empresas de la localidadque orientan sus negocios al sector bancario y que estn en
proceso de implementacin de aplicaciones webtransaccionales, esto con el propsito de evaluar yretroalimentar el marco trabajado implementado.
De acuerdo a la informacin sesgada en el estudiorealizado, se ve reflejado que existe poca aplicacin decontroles o buenas prcticas en las fases de desarrolloutilizadas por las empresas encuestadas. Esto hace que las fasestengan un bajo cumplimiento de las actividades especificadas
tal como se refleja en la figure2.
Figure 2. Cumplimiento de actividades por cada fase.
Cada fase desarrollada est compuesta por una cantidad deactividades (ver TABLE IV) que ayudan a llevar un mejorcontrol de la seguridad de la informacin dentro de susaplicaciones web, como se puede observar en la Figure 2 cada
porcentaje de cumplimiento de estas actividades. La fase 1 esaquella que alcanza un mayor cumplimiento, esto se debe a quela mayora de sus actividades propuestas son logradas, como seencuentra detallada en la figure 3, el cumplimiento de lasactividades propuestas para esta fase cumplen en su mayoraun porcentaje superior al 70%.
Figure 3. Cumplimiento de actividades de la Fase 1- Planificar
0%
20%
40%
60%
80%
100%
F1P F2C F3V F4E F5S
Cumplimiento de SI en PYMES
0%
20%
40%
60%
80%100%
F1AC1
F1AC2
F1AC3
F1AC4
F1AC5
F1AC6
F1AC7
F1AC8
F1AC9
F1AC10
F1AC11
F1AC12
F1AC13
%
decumplimiento
Actividades Fase 1
Cumplimiento de actividades de la F1P
-
7/25/2019 2015-Information Security in Implementing Web Applications for Small Businesses Based on COBIT5-SI
7/7
Por lo contrario a la fase 1, la F3V tiene el menorcumplimiento de las actividades analizadas, tal como seobserva en la figure 4, las empresas encuestadas no hanconsiderado la creacin y revisin de un modelo de amenazas yal momento de realizar la inspeccin de cdigo de la aplicacin
por fases no aplican los controles descritos por cada actividad,es por esta razn que esta etapa tiene un porcentaje menor a lasdems fases analizadas.
Figure 4. Analisis de cumplimiento de actividades la F3V
El cumplimiento de las Fases: F2C, F4E y F5S sonrelativamente semejantes como se detall en la figure 2. Estasfases llevan una aplicacin de los controles descritos por cadaactividad superiores al 50%, en la figure 5 se puede observarcomo la F5S en efecto lleva la aplicacin de los controles porcada actividad en su mayora en un 60%, esto deja claro que lasempresas encuestadas podran mejorar la seguridad de suinformacin, tomando en cuenta las actividades descritas porcada fase de desarrollo web.
VII. CONCLUSIONES
El Marco de trabajo COBIT5 para la seguridad de lainformacin, permite orientar el mayor nmero de controleshacia la implementacin de polticas y normas deaseguramiento de la informacin, desde la fase de desarrollohasta la implementacin y administracin de aplicaciones weben pequeas empresas.
Para integrar las actividades descritas en cada fase dedesarrollo es necesario el estudio de varias normas queenfoquen sus investigaciones al desarrollo de buenas prcticas
para la seguridad de la informacin, de las cuales se tomaronlas ms relevantes y se adapt al desarrollo de estainvestigacin.
Las actividades descritas, permiten compulsar lasactividades realizadas con el uso e integracin de normas
propuestas, adems de dar orientaciones necesarias referentes a
la aplicacin de buenas prcticas en cada una de las fases dedesarrollo de aplicaciones web.
De los resultados obtenidos mediante la aplicacin deencuestas para el anlisis del cumplimiento de las actividadesdescritas en la investigacin se pudo identificar que la mayorade las empresas encuestadas no aplican todos los controlesnecesarios para asegurar la informacin en sus entornos web,dichos controles varian sin poder encontrar ninguna relacionentre las mismas.
Al no contar con una media estndar de cumplimiento porcada una de las fases, las aplicaciones web no cumplen con el
propsito general de proteger su informacin, para que estoocurra el cumplimiento de estas actividades debe estar en un
promedio de cumplimiento cercano entre cada una de ellas.
El ciclo de vida del desarrollo de aplicaciones web requierecontar con actividades que permitan asegurar la informacindesde la primera fase de desarrollo, tanto COBIT5-SI, UWE yOWASP proponen actividades para asegurar la informacin.
REFERENCIAS BIBLIOGRFICA
[1] R. Robles and . Rodriguez de Roa, "La gestin de la seguridad en laempresa : ISO 27001," 2006.
[2] Ekos, "Ranking 2013 PYMES,"Ekos, 2013.
[3] A. Zumo, "Censo Nacional Econmico por Cantones," 2010.
[4] F. Espinoza Fuentes, "Sistemas de informacin para la gestin de laempresa," 2006.
[5] Isaca, "COBIT for Information Security," 2012.
[6] NS/04, "Autoridad Nacional Autoridad Nacional Nacional," 2012.
[7] ISO, "ISO/IEC 27001," 2005.
[8] J. Stanton, K. R. Stam, P. R. Mastrangelo and J. Jolton, "BehavioralInformation Security : Two End User Survey Studies of Motivation andSecurity Practices," 2004.
[9] H. Kruger and W. Kearney, "A prototype for assessing information
security awareness," Computers & Security,pp. 289-296, 2006.[10] T. Schlienger and S. Teufel, "Information security culture fromanalysis to change," 2003.
[11] C. Mildred, "Anlisis de la PYME Ecuatoriana," 2013.
[12] INEC, Censo Nacional Econmico A Nivel Cantones, 17., 2010.
[13] ISF, "The Standard of Good Practice for Information Security," 2007.
[14] B. management, "ITIL V3," 2013.
[15] R. E. Stroud, "COBIT for Information Security," 2012.
[16] INEC, "Censo Nacional Econmico A Nivel Cantones, 17.," 2010.
[17] NIST, "Information Security Handbook: A Guide for Managers," 2006.
[18] ISO, "El Portal de ISO 27001 en espaol," [Online]. Available:http://www.iso27000.es/sgsi.html.
[19] Safecoms, "SERVICE BRIEFING: ISO 27001 & ISO 17799
COMPLIANCE," 2006.[20] ISO, "Controles ISO 27002:2005," 2005.
[21] C. 5, "Cobit 5 para la Seguridad de la Informacin," 2012.
[22] Isaca, "Cobit 5 para TI de la Empresa," 2011.
[23] S. D. Mnguez, "Metodologias para el desarrollo de aplicaciones web:UWE," 2012.
[24] UWE, "UWE UML-based Web Engineering," 27 08 2014. [Online].Available: http://uwe.pst.ifi.lmu.de/.
[25] N. Koch and S. Kozuruba, "Requirements Models as First Class Entitiesin Model-Driven Web Engineering," 2012.
0%
20%
40%
60%
F3AC1 F3AC2 F3AC3 F3AC4 F3AC5
%decumplimiento
Actividades Fase 3
Cumplimiento de actividades de la F3V
0%
20%
40%
60%
80%
F5AC1 F5AC2 F5AC3 F5AC4 F5AC5 F5AC6
%decum
plimiento
Actividades Fase 5
Cumplimiento de actividades de la F5S