Este documento propone el desarrollo de una metodología de implementación de seguridad informática para las aplicaciones web del Servicio Nacional de Contratación Pública (SERCOP) de Ecuador. Actualmente, las aplicaciones del SERCOP carecen de las seguridades necesarias y sufren ataques cibernéticos frecuentes que causan tiempo de indisponibilidad. El objetivo es determinar una metodología que pueda aplicarse en el desarrollo de las aplicaciones para evitar ataques y brindar herramientas a los desarrolladores sobre
1. METODOLOAGÍA DE IMPLEMENTACIÓN
DE SEGURIDADES INFORMÁTICAS PARA
APLICACIONES WEB DEL SERVICIO
NACIONAL DE CONTRACION PÚBLICA
(SERCOP).
JUAN ANDRÉS CEVALLOS
JULIO SARANGO
2. Justificación
De acuerdo al artículo publicado en la revista digital universia.com.ec, el
Ecuador es un blanco fácil para el ataque de hackers
(http://noticias.universia.com.ec/en-
portada/noticia/2011/08/23/859105/ecuador-es-blanco-facil-ataque-
hackers.html), lo cual pone a flote que se están desarrollando aplicaciones sin
las seguridades respectivas.
El incremento de ataques a aplicaciones web crece de forma acelerada,
esto basado en el artículo informe de los ataque informáticos en el país
(http://www.canal-
tecnologico.com/index.php?option=com_content&view=article&id=731:infor
me-sobre-los-ataques-informaticos-en-el-pais&catid=25:soft&Itemid=54), los
ataques se han incrementado en un 360% entre el 2009 y 2010, denota
también que el 94% de los servidores web del Ecuador alojan código
malicioso y el 61% de los ataques son la provincia de Pichincha.
3. En el SERCOP, la seguridad en el Desarrollo de Aplicaciones basadas en la web
es un problema ya que no se cuenta con los especialistas y con los
conocimientos necesarios para aplicar políticas de seguridad.
El equipo de desarrollo se centra únicamente en cumplir las metas propuestas
sin considerar la seguridad como algo primordial, es más, con frecuencia la
seguridad no es considerada en el proceso de desarrollo en absoluto.
En algunos intentos por cambiar esta realidad, la seguridad frecuentemente se
“implementa“ en un momento posterior al desarrollo.
Esto ayudará a “culturizar” en materia de Seguridad a los profesionales de TI, a
reflexionar y tomar el tema de seguridad como algo fundamental en el
desarrollo de aplicaciones.
4. Preguntas de Investigación
¿A causa de los ataques de seguridad, que tiempo están fuera de
servicio las aplicaciones web del SERCOP?
¿Qué tipo de vulnerabilidad de ataques informáticos se encuentran en los
sistemas web del SERCOP?
¿Existen normas, manuales, estándares, metodologías de aplicación e
implementación de la Seguridad Informática para aplicaciones web en el
SERCOP?
5. Objetivos
Objetivo General
Determinar una metodología de seguridad informática que logre
implementarse en el desarrollo de aplicaciones web en el SERCOP.
Objetivos Específicos
Evaluar el porcentaje de ataques efectuados mensualmente a las aplicaciones
web del SERCOP.
Evitar el mayor número de ataques a las aplicaciones del SERCOP.
Proporcionar a los desarrolladores del SERCOP una metodología de seguridad
practica a implementar en las aplicaciones web.
6. Hipótesis
Los ataques de seguridad a las aplicaciones web del SERCOP causan que los
tiempos de indisponibilidad sean aproximadamente de 1 hora diaria, de
acuerdo a los registros del departamento de infraestructura y producción.
La mayoría de los ataques sufridos a las aplicaciones web del SERCOP causan
que estos queden fuera de servicio.
Los desarrolladores de aplicaciones web del SERCOP desconocen de normas,
manuales o metodologías para implementar seguridades en las aplicaciones.
7. Metodología
Verificación de los registros de ataques obtenidos por medio de los
procedimientos internos del departamento de infraestructura y
producción.
Análisis de las aplicaciones web del SERCOP y validación de seguridades
implementadas, si las hubiera.