PROPUESTA DE CONTROLES DE SEGURIDAD

MEDIANTE LA METODOLOGÍA OWASP ZAP

PARA EL ASEGURAMIENTO DE LA WEB EN
LA EMPRESA KIOGA COMPUTER STORE

ELABORADO POR:
CURSO: • BORJAS SOLANO RENZO ANTONIO
SEGURIDAD Y • CHÁVEZ GALA JULIO CESAR
AUDITORÍA ALEJANDRO
• C U M PA O L A E C H E A M A R C E L O
EDUARDO
• F E R R A R I C A S A S FA B R I C I O A U G U S T O
• M O T TA H U A M A N J U L I O E D U A R D O
CONTENIDO
• CAPÍTULO I DESCRIPCIÓN DEL PROBLEMA
• CAPÍTULO II MARCO TEÓRICO
• CAPÍTULO III INFORME DE DE RIESGO
• CAPÍTULO IV CONCLUSIONES Y
RECOMENDACIONES
CAPITULO I
 La empresa KIOGA COMPUTER STORE es una empresa

DESCRIPCIÓN dedicada al rubro de la venta de componentes de PC y

mantenimiento de las computadoras con el objetivo de
ofrecer productos de la mejor calidad y un servicio

DEL especializado que se enfoca en las necesidades del cliente

Esta empresa no está fuera de las vulnerabilidades que
pueda presentar su aplicación web, por tanto hemos decido
PROBLEMA en el presente proyecto lograr localizar las vulnerabilidades
de dicha aplicación web mediante el uso de la metodología
OWASP ZAP
PLANTEAMIENTO DEL PROBLEMA
• Actualmente las empresas que no cuentan con controles de seguridad de la información están vulnerables
ante ataques maliciosos y es por ello que garantizar que la información estará bajo protección y será
salvaguardada para aumentar la reputación y la confianza que depositan los clientes, puede llegar a ser muy
complejo para la empresa, pero es de vital importancia para ganar terreno competitivo dentro del mercado
empresarial. Dado que la información es el activo más importante dentro de cualquier organización debe ser
manipulado por profesionales capacitados con suma cautela. Trabelsi et al. (2023) Nos hace referencia a
que los dispositivos de IoT pueden ser fácilmente víctimas de ataques de piratería y manipulación. Además,
son muy comunes los ataques que buscan alterar su entorno, cambiar su comportamiento y agotar sus
recursos. Por lo que se busca que los sistemas de IoT y otros allegados hagan frente de manera eficiente a
estos ataques en busca garantizar el nivel de seguridad requerido.
OBJETIVO • Elaborar una propuesta basada en la metodología
OWASP ZAP para la empresa KIOGA COMPUTER
STORE
GENERAL
• Identificar los posibles riesgos o vulnerabilidades que afecten a la
funcionalidad de la página web de la empresa.
• Determinar medidas que permitan fortalecer los procesos básicos de
OBJETIVOS seguridad de la página web de la empresa.
• Determinar posibles acciones ante vulnerabilidades a la página web de la
ESPECIFICOS empresa
• Diseñan un plan de riesgos ante los posibles percances a la página web
de la empresa
 • La información es parte de los activos más importantes de toda empresa, y a su
vez es uno de los recursos indispensables para el desarrollo de la misma, por lo
que su aseguramiento nos sirve para poder concretar la veracidad y calidad de
los procesos de la empresa KIOGA , y así su evolución como empresa privada.

JUSTIFICACIÓN Mediante la misma se destacan no solo los recursos sino la amplitud de sus
posibilidades y a su vez las limitaciones qué se pueden trabajar.
• Mediante la metodología OWASP ZAP, aplicación que nos permite desarrollar
evaluaciones de vulnerabilidades de aplicativos webs, se podrá conocer y
aplicar controles de seguridad en la página web que maneja la empresa KIOGA
COMPUTER STORE. Ya que mediante la misma se podrán evaluar los riesgos
y por ende desarrollar estrategias, planes y medidas de mitigación y reducción
de lo mismo.

• Generalmente las empresas que brindan servicios y productos se enfocan

en ofrecer sus productos de manera online, pero no utilizan un control de
seguridad para obtener esa fidelidad de los clientes ya que el proceso de
compra o adquisición de un servicio no sigue un plan elaborado que le
LIMITACIONES brinde al cliente seguridad al momento de su navegación dentro de ella.
• Se pueden presentar múltiples problemas a la hora de navegar a través de
la página de la empresa tal como múltiples de sus servicios no
funcionando correctamente. Una falta de optimización de los sistemas
puede lograr que muchos de los clientes se vean insatisfechos con esta
misma.
CAPITULO II
ANTECEDENTES DE LA
INVESTIGACIÓN
NACIONALES INTERNACIONALES
( Guzmán G., 2022). El presente proyecto titulado (López S. & Gamboa D., Ecuador, 2021). En el
“Gestión de controles de seguridad para elegir la presente trabajo titulado “Vulnerabilidades en
plataforma de nube pública en una institución financiera aplicaciones web utilizando la metodología de
peruana”, nos mencionan que “El uso de la plataforma de proyecto abierto de seguridad de aplicaciones web”,
la nube implica comprender los diferentes tipos de nos mencionan que “En las aplicaciones web en la
despliegues, la responsabilidad compartida que deben Universidad Técnica de Ambato se muestra
asumir los proveedores y los clientes que contratan el
información de vital importancia, en muchas ocasiones
servicio. La metodología utilizada para el trabajo es el
ésta información es estática y en otras dinámica; en
estándar internacional ISO/IEC 27005:2018 que está
todos los casos un portal web ofrece una ventana que
alineada con la estrategia de seguridad de la institución
financiera. Lo más importante es que se logró el objetivo ciberdelincuentes logran utilizar como un medio para
de la reducción de los riesgos no solo para el proyecto sino un ataque; por eso resulta importante, realizar un
también para las soluciones y aplicaciones que se análisis de vulnerabilidades de software que existen en
desplegarán en la nube. Cumpliendo el objetivo del las plataformas que brindan soporte en la Universidad
negocio, apoyándose en una plataforma administrada para Técnica de Ambato; para cumplir este objetivo se
tener soluciones y productos más rápidos, más eficientes y aplica la metodología de PROYECTO ABIERTO DE
más seguros.” SEGURIDAD DE APLICACIONES WEB (OWASP)”
BASES TEÓRICAS
IMPORTANCIA DE LOS OBJETIVO DE CONTROLES
CONTROLES DE SEGURIDAD DE SEGURIDAD
• Los controles de seguridad son de vital importancia en • El objetivo principal de los controles de seguridad
numerosos ámbitos, desde la seguridad informática y es proteger activos valiosos, ya sean datos, sistemas,
cibernética hasta la seguridad física en entornos industriales, personas, instalaciones físicas o cualquier elemento
instituciones financieras, infraestructuras críticas, salud, entre
crítico para una organización o individuo, contra
otros. amenazas internas y externas. Estos controles están
diseñados para garantizar la confidencialidad,
• La importancia en una medida de control de la seguridad es
integridad y disponibilidad de los recursos y la
prevenir o eliminar un peligro relacionado con la seguridad de
información, además de mitigar los riesgos
información de la empresa Kioga Computer Store
asociados a posibles incidentes.
• El objetivo de los controles de la seguridad se trata
de encontrar las vulnerabilidades de la web para
poder tener más seguridad de la información de los
usuarios y sea seguro como para la empresa como
para los usuarios.
BASES TEÓRICAS
FUNCIONES DE LA OBJETIVO DE LA
METODOLOGÍA OWAS ZAP METODOLOGÍA OWAS ZAP
• OWASP ZAP presenta una metodología dedicada para poder • Las fallas en la matriz de riesgo de OWASP ZAP
combatir y determinar las causas, vulnerabilidades que lleva a pueden solucionarse mediante la implementación de
que el software o web sea inseguro para los usuarios. Esta es medidas de autenticación y autorización, el uso de
una herramienta versátil y poderosa que facilita la identificación contraseñas seguras y la criptografía para proteger
y corrección de vulnerabilidades en aplicaciones web, los datos confidenciales. Para aprovechar las últimas
permitiendo a los equipos de desarrollo y seguridad mejorar la correcciones de seguridad disponibles, es esencial
seguridad de sus aplicaciones durante todo el ciclo de vida del mantener la aplicación y los servidores utilizados
desarrollo. actualizados.
• Por otro lado, es muy recomendable completar el
ciclo de seguridad de una aplicación mediante el uso
de herramientas de seguridad automatizadas como
OWASP ZAP para escanear continuamente las
aplicaciones en busca de vulnerabilidades y crear un
plan de respuesta a problemas de seguridad en caso
de ser detectados.
BASES TEÓRICAS
IMPORTANCIA DE LA FINALIDAD DE LA
METODOLOGÍA OWAS ZAP METODOLOGÍA OWAS ZAP
• La importancia de la fundación OWAS ZAP que es una • La finalidad es ayudar a las empresas y
organización que ayuda sin pedir nada a cambio (sin lucro) organizaciones a tener una seguridad segura sin
tiene como principal importancia apoyar a las organizaciones y lucrarse de nada a cambio. Por lo que, se le puede
empresas con el mantenimiento, desarrollo, concepción y denominar como la mejora la seguridad de las
operación de aplicaciones confiables a nivel de seguridad. aplicaciones web mediante la identificación y
mitigación de vulnerabilidades de seguridad, a favor
de la protección y no de la ganancia monetaria. La
finalidad principal de OWASP ZAP es garantizar
que las aplicaciones web sean más seguras al
detectar y mitigar las vulnerabilidades desde las
etapas iniciales del desarrollo, proporcionando
herramientas y orientación para que los equipos
puedan abordar y resolver estos problemas de
seguridad de manera eficaz.
POBLACIÓN Y MUESTRA
UNIVERSO
• El universo de estudio, estuvo constituido por todo
el personal de la empresa Kioga Computer Store. Áreas Personal Porcentaje Muestra Porcentaje

ADMINISTRACIÓN 5 50.00 5 50.00

MUESTRA SOPORTE 2 30.00 2 30.00

• Considerando la poca accesibilidad de la muestra
debido a la pandemia que se afronta hoy en día. Se CONTABILIDAD Y FINANZAS 1 20.00 1 20.00
optó por una muestra totalitaria, la cual quedó
constituida por 8 personas cuyas edades oscilaron
entre los 22 y 40 años, pertenecientes a ambos 8 100.00 8 100.00
sexos. Finalmente, cogiendo la cantidad de la
muestra y para ver de qué área son los que
responderán la encuesta, se separa de manera
específica cada una de estas como está a
continuación:
RESULTADOS DE ENCUESTA
CAPITULO III
 PROBABILIDAD DE OCURRENCIA
IDENTIFICACIÓN DE PELIGROS
ÁREA ACTIVIDAD PELIGRO RIESGO
ADMINISTRACIÓ Esta área se encarga de planificar, dirigir y controlar los recursos y  Ausencias no planificadas, falta de capacitación.  Disminución de la eficiencia operativa y
actividades para alcanzar los objetivos y metas de la organización  Cambios inesperados en la demanda de servicio al cliente.
de manera eficiente y efectiva. Esta área abarca diversas funciones productos.  Exceso de inventario no vendible o falta de
clave, como la gestión financiera, recursos humanos, operaciones  Vulnerabilidades en la seguridad informática. existencias en momentos críticos.
diarias, marketing, ventas, tecnología de la información y el  médicas, conocimiento, personalidad,  Pérdida de datos sensibles, robo de
cumplimiento de normativas, entre otras. antecedentes penales). información financiera o de clientes.
 Trato de preferencia para algunas áreas.

Contabilidad y Finanzas Esta área esta encargada de velar por la rentabilidad de la  Riesgo de Liquidez  La mala gestión que tiene el flujo de caja.
Organización, es obligatorio que trabaje directamente con el S.E.O  Riesgo Operacional  Por falta de supervisión de los altos
porque ellos por su cuenta no pueden tomar decisiones  Riesgo de Crédito directivos.
financieras sin su consentimiento.  El emisor de deuda no cumpla con lo
establecido de la deuda.

SOPORTE Esta área está encargada de proporcionar asistencia, ayuda y  · Escasez de personal con conocimientos  Dificultad para abordar problemas técnicos
soluciones a los clientes, usuarios internos o externos, y a los técnicos sólidos. complejos, aumento en el tiempo de
empleados de la organización en relación con los productos,  · Carencia de procedimientos claros para la resolución.
servicios o sistemas ofrecidos por la empresa. Este departamento gestión de problemas.  La inexistencia de consistencia en la
se centra en garantizar la satisfacción del cliente, resolver  · Dificultades en la integración de sistemas resolución de problemas, falta de eficiencia.
problemas técnicos, brindar orientación y asegurar un de soporte con otros sistemas de la empresa.  Ineficiencia en la gestión de información y
funcionamiento fluido de los productos o servicios de la empresa. solicitudes.
 NIVEL DE IMPACTO
INFORME DE IMPACTO

DE RIESGO PUNTAJE

5
DESCRIPTIVO

Catastrófico
IMPACTO

Pérdida o daño catastrófico.

4 Mayor Pérdida o daño mayor.

PROBABILIDAD
3 Moderado Pérdida o daño significativo.
PUNTAJE DESCRIPTIVO PROBABILIDAD 2 Menor Pérdida Moderada.
5 Casi seguro Ocurrirá en la mayoría de la circunstancia; todos 1 Insignificante Pérdida Menor.
los días o varias veces al mes.

4 Probable Probablemente ocurrirá en la mayoría de las MAPA DE RIESGO

circunstancias; cuando menos una vez al mes.
Casi seguro

3 Posible Puede ocurrir el algún momento; cuando Probable OPERACIONES

menos una vez al año. Posible CONTABILIDAD Y

FINANZAS
2 Improbable Podría ocurrir en algún momento; cuando
Improbable RECURSOS
menos una vez cada dos años.
HUMANOS

Raro PLANEAMIENTO
1 Raro Puede ocurrir en circunstancias excepcionales;
INNOVACIÓN E
dos veces cada cinco años.
INFORMATICA

Insignificante Menor Crítica Mayor Catastrófico

FUNDAMENTA LOS CONTROLES DE SEGURIDAD
DE LA INFORMACIÓN APLICADOS EN LA
AUDITORÍA DE SISTEMAS
Seguridad de Administración
• Capacitar a los empleados mensualmente.
• Limitar el acceso a la información solo a aquellos usuarios autorizados.
• Establecer barreras de seguridad en la red para filtrar y monitorear el tráfico.
Seguridad de Contabilidad y Finanzas
• Políticas para la seguridad de la información.
• Política de clasificación y manejo de la información.
• Segregación de tareas.
• Procedimientos documentados de operación.
Seguridad de Soporte
• Proporcionar formación continua al personal de soporte sobre prácticas seguras y la identificación de posibles amenazas.
• Realizar respaldos regulares de datos críticos para la operación de soporte y garantizar la capacidad de recuperación.
• Establecer procesos para identificar, reportar y responder a incidentes de seguridad en el área de soporte.
• Actualizar regularmente las herramientas y sistemas de soporte.
 PROPUESTA DE SOLUCIÓN
Propuesta de Solución para el Área de Administración
o Implementación de un Sistema de Gestión Integrada (ERP), Esto facilitará la toma de decisiones, mejora la eficiencia operativa y optimiza la atención al cliente al
proporcionar información en tiempo real.
o Implementación de un Sistema de Gestión de Inventarios, esto ayudará a evitar excesos o faltantes, permitiendo una gestión más eficaz del inventario y una mejor
planificación de la reposición.
o Implementación de Medidas de Seguridad de la Información, establecer un marco robusto de seguridad de la información que incluya políticas, procedimientos y tecnologías
de protección de datos. Esto implica el cifrado de datos, el control de acceso, la capacitación del personal en seguridad y la adopción de medidas tecnológicas para prevenir y
detectar amenazas.

Propuesta de solución para el Área de Contabilidad y Finanzas.

o Realizar auditorías para el flujo de caja.
o Utilizar programas especialmente creados para el flujo de caja.
o Realizar constantemente supervisión.

Propuesta de solución para el Área de Soporte.

o Utilizar herramientas avanzadas de diagnóstico remoto que permitan al personal de soporte acceder a los sistemas de los clientes de manera segura y resolver problemas de
forma más eficiente. Además, integrar herramientas de colaboración en tiempo real para permitir la comunicación efectiva con los usuarios.
o Establecer procedimientos estandarizados para la resolución de problemas y documentar de manera detallada cada paso. Utilizar un sistema de gestión de conocimientos que
permita acceder fácilmente a la información relevante para garantizar la coherencia en las respuestas del soporte.
o Utilizar un sistema de ticketing para gestionar y dar seguimiento a las solicitudes de soporte de manera centralizada. Implementar automatizaciones para la clasificación y
asignación de tickets, así como para proporcionar respuestas automáticas a consultas comunes.
INFORME DE RIESGOS
En este informe se atacará al sitio web con el software OWAS ZAP, solo con fines educativos no se tiene intención de hacer
daño de ninguna manera. En el OWAS ZAP registro 7 vulnerabilidades del Sitio Web:
· Directory Browsing
· Vulnerable JS Library
· Cookie No HttpOnly Flag
· Cookie Without Secure Flag
· Cross-Domain JavaScript Source File Inclusion
· Charset Mismatch
· Information Disclosure - Suspicious Comments
USO DE LAS HERAMIENTAS OSWAP
ZAP, IP SCANNER, KALI LINUX, DEL
SITIO WEB KIOGA.COM
USO DE LAS HERAMIENTAS OSWAP
ZAP, IP SCANNER, KALI LINUX, DEL
SITIO WEB KIOGA.COM
USO DE LAS HERAMIENTAS OSWAP
ZAP, IP SCANNER, KALI LINUX, DEL
SITIO WEB KIOGA.COM
AUDITORIA DEL SGSI
• El desarrollo de esta Auditoría de Sistemas de Gestión de Seguridad de la Información los que realizaron fueron los
estudiantes: Borjas Solano Renzo Antonio, Chávez Gala Julio Cesar Alejandro, Cumpa Olaechea Marcelo Eduardo.
Ferrari Casas Fabricio Augusto, Motta Huaman Julio Eduardo; de la carrera de Ingeniería de Computación y Sistemas de
la Universidad Privada San Juan Bautista de la Filial Ica, identificaron las deficiencias que tiene la organización Kyoga
computer system, en base a los riesgos altos las cuales son dos: Operaciones y Contabilidad y Finanzas.
• Para poder identificar los dos riesgos altos de la organización Kyoga Computer system , se realizó un mapa de calor o
matriz de riesgo que nos ayudó rápidamente a identificar todos los riesgos, en la cuales en el área de Operaciones cuenta
con un nivel de probabilidad cuatro y el nivel de impacto cinco y el área de Contabilidad y Finanzas cuenta con un nivel
de probabilidad tres y el nivel de impacto cinco.
CAPITULO IV

• La implementación de la metodología OWASP ZAP permitió identificar y

evaluar eficazmente diversas vulnerabilidades en la web de KIOGA
CONCLUSIONES COMPUTER STORE, brindando una visión clara de los posibles riesgos de
seguridad.
• La metodología facilitó la clasificación y priorización de riesgos,
permitiendo a la tienda enfocarse en abordar primero las vulnerabilidades
que representan mayores amenazas para la seguridad de su plataforma web.

RECOMENDACIONES • Realizar escaneos de seguridad periódicos utilizando OWASP ZAP para

identificar y abordar nuevas vulnerabilidades que puedan surgir debido a
actualizaciones o cambios en la plataforma web.
• Complementar las pruebas internas con auditorías de seguridad externas
realizadas por profesionales especializados, garantizando una evaluación
objetiva y brindando una perspectiva externa sobre la postura de seguridad
de la tienda.