Publicaciones

La seguridad de la información, actualmente, es una preocupación creciente en empresas y organizaciones, siendo más alta aun cuando se habla de plataformas financieras, donde existe una gran cantidad de información sensible. El presente trabajo resume las diversas técnicas utilizadas en el pentesting realizado tanto al servidor que aloja al producto informático, como al software ERP desarrollado en APEX 5 por la Universidad del Azuay, contemplando las seis etapas que sugiere una prueba de penetración: i) la conceptualización, que es la etapa que permite definir el alcance de las pruebas a realizar; ii) la preparación del laboratorio en la que se definen algunas de las herramientas que servirán para el inicio de las pruebas de seguridad; iii) la obtención de información que hace referencia a las etapas de reconocimiento y escaneo en la que se identifican posibles objetivos para luego explorar con mayor profundidad algunas características intrínsecas que puedan ser aprovechadas; iv) el análisis de las vulnerabilidades encontradas en la etapa anterior; v) la explotación de esas vulnerabilidades mediante la selección de adecuadas herramientas que permitan lograr ese propósito; y vi) la post explotación, etapa en la que se contempla la destrucción de evidencias del ataque y la conservación de la conexión y los accesos logrados para extraer información. Todas estas pruebas fueron efectuadas dentro de las instalaciones de la Universidad del Azuay, considerando el ambiente de desarrollo en el que actualmente se encuentra el proyecto ERP.

La seguridad de la información es una preocupación creciente en empresas y organizaciones, siendo más alta aun cuando se vincula a plataformas financieras donde existe información sensible. Este artículo resume las técnicas utilizadas en el pentesting realizado al software ERP desarrollado en APEX 5 por la Universidad del Azuay; para ello se han contemplado seis etapas que sugiere una prueba de penetración: i) la conceptualización, donde se define el alcance de las pruebas a realizar; ii) la preparación del laboratorio, en la que se identifican algunas de las herramientas que servirán para el inicio de las pruebas de seguridad; iii) la obtención de información, donde se hace el reconocimiento y escaneo de posibles objetivos que posteriormente serán explorados con mayor profundidad para identificar características intrínsecas que puedan ser aprovechadas; iv) el análisis de las vulnerabilidades encontradas en la etapa anterior; v) la explotación de vulnerabilidades; y vi) la post explotación, etapa que contempla la destrucción de evidencias del ataque y la conservación de la conexión y los accesos logrados para extraer información. Todas estas etapas fueron efectuadas dentro de las instalaciones de la Universidad del Azuay, considerando el ambiente de desarrollo en el que actualmente se encuentra este software.

Actualmente, la información de los cursos universitarios es gestionada mediante sistemas basados en sílabos, como es el caso de las Instituciones de Educación Superior (IES) del Ecuador. Sin embargo, no existe una estructura normalizada de sílabos para todas las universidades, por este motivo existe una gran variedad de formatos y modelos de datos utilizados por cada universidad, lo que naturalmente afecta procesos académicos como la movilidad estudiantil o la validación de créditos entre IES. Estos problemas son abordados mediante una propuesta basada en tecnologías semánticas y técnicas de minería de textos con el fin de identificar similitudes entre contenidos académicos.

La información es el elemento más valioso para cualquier organización o persona en este nuevo siglo, la cual, para muchas de ellas, es un instrumento para crear ventaja competitiva (Vásquez & Gabalán, 2015). Sin embargo, pese a la falta de conocimiento sobre cómo protegerla adecuadamente, o a la complejidad de las normas internacionales que indican los procedimientos para lograr un adecuado nivel de protección, muchas organizaciones, en especial el sector MPYME, no logra alcanzar este objetivo. Por lo tanto, este estudio propone una metodología de seguridad de la información para la gestión del riesgo informático aplicable al entorno empresarial y organizacional del sector MPYME ecuatoriano. Para el efecto, se analizan comparativamente varias metodologías de amplia divulgación, como: Magerit, CRAMM (CCTA Risk Analysis and Management Method), OCTAVE-S, Microsoft Risk Guide, COBIT 5 y COSO III. Estas metodologías son internacionalmente utilizadas en la gestión del riesgo de información; a la luz de los marcos de referencia de la industria: ISO 27001, 27002, 27005 y 31000.