Executive Secretary
II Conferencia Internacional de Procesamiento de la Información
CIPI - IOTAI2019
En el estudio se analizan las capacidades para la detección de vulnerabilidades en aplicaciones web que proponen las principales metodologías de pruebas de penetración. El objetivo fue determinar hasta qué punto son válidos los procedimientos, herramientas y pruebas de seguridad propuestas en las metodologías ISSAF, OSSTMM, OWASP, PTES y NIST SP 800-115 para abordar los retos actuales de ciberseguridad en el campo del desarrollo y mantenimiento de las aplicaciones web. Se tomaron como base de comparación los informes de vulnerabilidades de OWASP, emitidos entre los años 2003 y 2017 y el análisis de la documentación de cada metodología de pruebas de penetración. Se elaboró una escala de evaluación cualitativa y su aplicación arrojó como resultado que la Guía de Pruebas de OWASP resultó la más completa, seguida de la metodología de ISSAF. No obstante, ninguna metodología demostró ser capaz de brindar métodos, herramientas o pruebas de seguridad para detectar todas las vulnerabilidades actuales. Los resultados alcanzados demuestran la necesidad de un proceso de adaptación y completamiento de las metodologías existentes.
En el estudio se analizan las capacidades para la detección de vulnerabilidades en aplicaciones web que proponen las principales metodologías de pruebas de penetración. El objetivo fue determinar hasta qué punto son válidos los procedimientos, herramientas y pruebas de seguridad propuestas en las metodologías ISSAF, OSSTMM, OWASP, PTES y NIST SP 800-115 para abordar los retos actuales de ciberseguridad en el campo del desarrollo y mantenimiento de las aplicaciones web. Se tomaron como base de comparación los informes de vulnerabilidades de OWASP, emitidos entre los años 2003 y 2017 y el análisis de la documentación de cada metodología de pruebas de penetración. Se elaboró una escala de evaluación cualitativa y su aplicación arrojó como resultado que la Guía de Pruebas de OWASP resultó la más completa, seguida de la metodología de ISSAF. No obstante, ninguna metodología demostró ser capaz de brindar métodos, herramientas o pruebas de seguridad para detectar todas las vulnerabilidades actuales. Los resultados alcanzados demuestran la necesidad de un proceso de adaptación y completamiento de las metodologías existentes.
Sobre el ponente
MsC. Henry Raúl González Brito
Graduado de Ingeniería Informática por la Universidad de Camagüey y la Universidad Tecnológica de la Habana en el año 2005. Curso el Diplomado de Inteligencia Tecnológica en el 2011 y alcanzó el grado de Máster en Gestión de Proyectos Informáticos en el 2012. En la actualidad se desempeña como Coordinador de la Especialidad de Posgrado en Seguridad Informática de la UCI. Es metodólogo de la Dirección de Seguridad Informática. Profesor de la Facultad 2 y miembro de la Comisión de Carrera del Curso Corto de Administración de Redes y Seguridad Informática. Es Coordinador del Grupo de Investigación de Seguridad Informática, participa en proyectos de investigación del Programa de Ciencia, Tecnología e Innovación Informatización de la Sociedad y es estudiante del programa de doctorado de la UCI. Es miembro del claustro de las Maestría de Informática Avanzada y de Calidad de Software de la UCI y de la Maestría en Telecomunicaciones y Telemática de la CUJAE.