Publicación de la Asociación Universitaria en Ciencias de la Investigación (AUCI)
Vol 1 - Num 3
Resumen de Conferencias INCIBE Guatemala.
Por: INCIBE Guatemala. Email: info@incibe.gt
Resumen:
Por motivo de la celebración de los 200 años de independencia de Guatemala se llevó a cabo la Conferencia “Independientemente Segurxs” el 17 de septiembre del año 2021, este contó con la participación de 3 invitados especiales quienes realizaron exposiciones magistrales para exponer temas relevantes sobre el estado de la ciberseguridad en Guatemala. La conferencia inicio con la participación del Lic. Byron Cartagena quien abordó el tema de “La Firma electrónica avanzada” es Director Ejecutivo del Ministerio de Economía (MINECO) en Guatemala, durante la charla el Lic. Cartagena explicó que Guatemala adoptó la firma electrónica avanzada y por tal razón se crea el Decreto Ley 47-2008 que regula las comunicaciones y las firmas electrónicas y así crear el marco jurídico en Guatemala, además se crea el Registro de Prestadores de Servicios de Certificación quien es una dependencia del MINECO en Guatemala quien regular, registra, supervisa a los prestadores de servicios de certificación en el país. Aborda la creación de la Identidad Digital por la Comisión de las Naciones Unidas desde el año 1996 y específicamente en el año 2001 como elemento necesario para las comunicaciones y comercio electrónico. Explica los tipos de firmas electrónicas (siempre y avanzada) y los Prestadores de Servicios de Certificación que actualmente están habilitados en Guatemala para la generación de las firmas electrónicas quienes son: La Cámara de Comercio, Transacciones y Transferencias (5B) y Prisma. Dentro de la misma da 2 aspectos importantes para la generación de las firmas electrónicas y es que deben de generarse en un dispositivo seguro y un tercero de confianza para la acreditación de la firma electrónica avanzada…
OWASP A03:2021-Injection como Referente para el Desarrollo Seguro de Aplicaciones Web.
Por: Dulce Lucía Alvizures Osorio, Josué Itamar Morataya Arizandieta, Jhoan Sebastian Samayoa Mayen y Kevin Rolando Guerra Pérez.
Email: josueitmar@gmail.com
Sobre los autores:
Sebastian Samayoa, Ingeniero en Sistemas de la Universidad Mariano Gálvez, Master en Seguridad Informática, con experiencia en el departamento de tecnologías de la información en el ámbito de las telecomunicaciones de Guatemala.
Dulce Alvizures, Ingeniera en Sistemas de la Universidad Mariano Gálvez, Master en Seguridad Informática, con experiencia en el departamento de tecnologías de la información en el sector bancario de Guatemala.
Josué Morataya, Ingeniero en Sistemas de la Universidad Mariano Gálvez, Master en Seguridad Informática, con experiencia en el departamento de tecnologías de la información en el sector agroindustrial de Guatemala.
Kevin Guerra, Ingeniero en Sistemas de la Universidad Mariano Gálvez, Master en Seguridad Informática, con experiencia en el departamento de tecnologías de la información en el sector de electrificación de Guatemala.
Resumen:
La implementación de prácticas de desarrollo seguro en servicios y aplicaciones web, debe realizarse de manera eficiente en cada una de las organizaciones que cuente con áreas de desarrollo de software o al ser contratista de este tipo de servicios. La importancia del desarrollo seguro de aplicativos web, se intensifica con el hecho de que los servicios web están disponibles a nivel mundial y los atacantes de este tipo de servicios se encuentran al acecho para aprovecharse de vulnerabilidades causadas por controles de seguridad deficientes. En el ciclo de desarrollo de software, es necesario considerar una metodología de desarrollo seguro desde la fase de planificación, y no posteriormente, ya que puede representar graves riesgos para la información procesada, lo cual se traduce en costos elevados para la organización. Existe variedad de metodologías y marcos de referencia para el desarrollo seguro, no obstante en presente estudio se enfoca en el desarrollo de aplicaciones web, por lo que se hará uso del marco de referencia propuesto por OWASP (Open Web Application Security Project), el cual propone un enfoque basado en diez de las vulnerabilidades más comunes que afectan a aplicaciones web, y son mejor conocidas como OWASP TOP 10, esta lista de vulnerabilidades es administrada por una comunidad de profesionales en seguridad y desarrollo web, por lo que es un marco de referencia sólido y actualizado constantemente. Pese a que las vulnerabilidades listadas en OWASP TOP 10 son relevantes, el análisis del presente documento se enfocará en el riesgo más frecuente y de mayor impacto en aplicaciones web: Inyección SQL. El estudio de la vulnerabilidad por inyección SQL, refleja la necesidad de aplicar un modelo de desarrollo seguro, por parte de los equipos de desarrollo de aplicaciones web y la importancia de la inversión en soluciones y personal apto para desempeñar actividades desde una perspectiva de seguridad integral en el ámbito informático.
Aplicabilidad de dominios y controles de Ciberseguridad en ciudades inteligentes.
Por: Armando Monzón Escobar Email: Armandomon.zone@gmail.com
Sobre el autor:
Gumercindo Armando Monzon Escobar, es investigador y profesor universitario con especialidad en tecnologías y ciberseguridad.
Resumen:
La ciencia formal en ciberseguridad se ha expandido no solo a aspectos técnicos sino más bien estratégicos, y es que las empresas buscan basarse en metodologías para aplicarlas dentro de sus procesos internos, consecuentemente a esto ahora las políticas referentes a tecnologías de la información ya no son estáticas (seguridad de la información, seguridad informática y ciberseguridad), porque también estamos conscientes de su aplicabilidad en cada ámbito de las TICs, por esto es necesaria la protección de todas las zonas dentro de las plataformas digitales y las que se expanden hasta los servicios que están en la nube. Quizá la parte más compleja de la aplicabilidad de los dominios y/o controles de la ciberseguridad es que pueden variar entre metodologías o buenas prácticas porque dependerá del seleccionado o podrá ser válido tomar controles de varios marcos de referencia para generar nuestra propia metodología interna, claro está que el tamaño de la organización y/o el nivel de madurez que estas tengan para adoptarlas parcial o totalmente será factor importante para una aplicabilidad real de todo este procesos. Empresas multinacionales basan su protección empresarial en marcos disponibles como la familia de la ISO/IEC 27001:2013, COBIT, las directrices de COSO o NIST SP 800-53, CIS, CARTA, la Cadena de la Progresión de la Amenaza, la Evaluación Continua del Riesgo Tecnológico por solo nombrar algunos, hasta su evaluación con el Modelo de Madurez de Capacidades de Ciberseguridad y el Ciclo de Deming como complemento, pero cada uno de estos con un objetivo específico, ya que sabemos que al hablar de marcos sobre ciberseguridad se expanden a cada una de las áreas tecnológicas dentro de la organización. Con lo indicado anteriormente el conjunto de acciones que la organización tomará como base para la aplicabilidad de dominios y controles deberán ser priorizados y analizados para determinar su efectividad y con ello mejorar el nivel de ciberseguridad basado en la misión y visión de la organización a corto, mediano y largo plazo.
Ciberseguridad en Centros Educativos Públicos de Guatemala, un mecanismo para la protección de niños, niñas y adolescentes en el ciberespacio.
Por: Oscar E. Castro Juárez Email: ocastroj@miumg.edu.gt
Sobre el autor:
Ingeniero en sistemas, con estudios en Seguridad Informática. Actualmente laborando para una empresa del sector financiero y con más de 5 años de experiencia en el ámbito de desarrollo de aplicaciones. Persona curiosa, que siempre está aprendiendo sobre temas de desarrollo de software, arquitectura de aplicaciones y la capa de seguridad de estas.
Resumen:
En el presente artículo se abordó la idea de enseñar ciberseguridad en centros escolares, dando inicio con conceptos y definiciones que son importantes de comprender como por ejemplo el ciberespacio y los riesgos a los que se enfrentan los niños, niñas y adolescentes dentro del mismo, se hizo una revisión de los distintos elementos que permiten identificar la situación actual en cuanto al nivel de seguridad en el ciberespacio y la forma en la que es abordada por distintas organizaciones públicas.