Proceso, multiproceso o multitarea, concurrencia,

multiprogramación, diferencia entre proceso y

programa.
Camilo Alejandro Cano Cubides
ccano@jdc.edu.com
Sistemas Operativos
Fundación Universitaria Juan de Castellanos

Resumen—Con el fin de estimar la seguridad de las
aplicaciones Web, se propuso diseñar y construir un modelo
para evaluar la seguridad en Ambientes Virtuales de
Aprendizaje (AVA), a partir de la identificación de criterios de
seguridad propuestos en guías, normas y estándares, para lo
cual se establecieron objetivos y actividades que dieron las
pautas para llevar a cabo dicho proceso, haciendo énfasis en
tres criterios: integridad, confidencialidad y disponibilidad de
la información. Una vez establecidos los criterios, se
analizaron métricas que permitieron cuantificar dicha relación,
facilitando la validación del modelo propuesto el cual fue
aplicado a los AVA Moodle y Dokeos, dos plataformas de
código abierto y de distribución libre, permitiendo llevar a
cabo un juicio de valor confiable a nivel cuantitativo y
cualitativo a cerca del estado de seguridad de los AVA.
Palabras claves— Seguridad de la información, seguridad
Web, análisis de vulnerabilidades, Ambientes Virtuales de
Aprendizaje.
I. INTRODUCCIÓN
En la actualidad la información es el activo más valioso
para el desarrollo de las actividades en las organizaciones, con
el auge de Internet la mayor parte de las empresas han optado
por migrar sus datos y aplicaciones a la Web quedando
expuestos a accesos no autorizados, alteración y revelación de
información, por parte de los hackers.
Debido a las necesidades en relación a la seguridad de la
información han surgido comunidades, grupos u
organizaciones cuya finalidad es propender por la disminución
de los riesgos en términos de seguridad; de esta manera, nace
el proyecto OWASP (Acrónimo de Open Web Application
Security Project: Proyecto abierto de seguridad de
aplicaciones web), proyecto de código abierto dedicado a
determinar y combatir las causas que hacen que el software
sea inseguro; al igual se describen normas como ISO 9126 y
afines con el fin de establecer los criterios de seguridad para el
diseño y elaboración del modelo de evaluación de seguridad
para los AVA.
En este trabajo se presenta el compendio de actividades
desarrolladas con base en unos objetivos planteados, en primer
lugar se hace un estudio de normas y estándares de seguridad,
así como guías u organizaciones que tratan del tema de
seguridad, se hace énfasis en herramientas de seguridad y
análisis de vulnerabilidades enfocados a AVA, seguidamente
se establecen los criterios de seguridad a evaluar en los AVA,
elaboración del modelo y realización de pruebas aplicando el
modelo con el fin de comprobar el nivel de seguridad de los
AVA.
II. FUNDAMENTO TEÓRICO
La seguridad es un aspecto primordial que todo sistema
debe incorporar con el fin de proteger los activos de cualquier
amenaza [1], para esto es necesario tener conocimientos de
seguridad de la información y mecanismos de protección para
salvaguardar los activos [2].
A. Seguridad web
Actualmente en Internet encontramos un sinnúmero de
servicios y aplicaciones funcionando en la red [3], desde
comercio en línea, transacciones que mueven enormes
cantidades de dinero, búsquedas en la web, correo electrónico,
igualmente sitios de redes sociales que contienen información
importante y confidencial de sus miembros [4].
Mientras aumenta considerablemente el número de
conexiones a la red [5], así como la migración de aplicaciones
y de usuarios a los servicios de Internet, la demanda de
servicios seguros en la web crece, las amenazas y
consecuencias frente a los ataques a los que están expuestos
los datos son incalculables, debido a las vulnerabilidades de
mayor impacto como[6] [7]: inyección SQL, pérdida de
autenticación y gestión de sesiones, secuencia de comandos en
sitios cruzados (XSS), vulnerabilidades CSRF, configuración
de seguridad incorrecta, inclusión remota de archivos (Remote
File Inclusion), entre otras, muestran las debilidades a que
están propicias las aplicaciones web.


 B. Estado del Arte
Para llevar a cabo esta investigación, se han referenciado
una serie de trabajos y artículos relacionados con el tema, cada
uno de los cuales da a conocer los estudios que se han
adelantado entorno a la problemática y que permiten dar
soporte para el tema que se desarrollará en el proceso de
investigación.
- Hernández Díaz et al., (2012), con su trabajo “Un modelo
para la implementación de la seguridad de una aplicación Web
con el uso de la programación orientada a aspectos”, analiza
que una de las causas de que las aplicaciones Web son
vulnerables a ataques es debido a que la aplicación cliente está
fuera del control del servidor, considera que el tema de
seguridad en una aplicación debe abarcar de manera
transversal la totalidad del sistema, y esto es posible a través
de la programación orientada a aspectos (POA), un paradigma
que permite la implementación modularizada de asuntos
transversales, definiendo para esto un modelo para
implementación de la seguridad de una aplicación Web con el
uso de POA [8].
- Gómez, Luis et al., (2012), en la investigación “Guía de
aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad
en sistemas de información para pymes”, presenta el proceso
de adopción de la norma ISO/IEC 27001 en la pequeña y
mediana empresa, con el fin de mejorar el Sistema de Gestión
de la Seguridad de la Información (SGSI), diseñando un
modelo, ponerlo en marcha, comprobar que se obtienen los
resultados esperados y respecto a esa evaluación tomar
decisiones para corregir las fallas presentadas y de esta manera
tratar de mejorar la seguridad de la información. En el capítulo
4 presenta la forma de evaluar el inventario de activos
mediante los aspectos de confidencialidad, integridad y
disponibilidad de la información, estableciendo valores a cada
activo de acuerdo a su importancia [9].
- Chamorro¸ José (2011), a través de su investigación
“Modelo para la evaluación en seguridad informática a
productos software, basado en el estándar ISO/IEC 15408
Common Criteria”, propone diseñar e implementar un modelo
para la evaluación en seguridad informática con este estándar,
a un conjunto de productos software a los cuales la ley en
Colombia les exige seguridad informática, en la cual concluye,
que el estándar en Colombia no es muy común y a nivel de
Latinoamérica no existen laboratorios o centros de
investigación que certifiquen este estándar, pero se hace
necesario adoptarlo debido al enfoque de desarrollo y
producción de tecnología en el país [10].
- Romero, Luisa (2010), en su artículo “La seguridad
informática en el trabajo con la plataforma Moodle”, describe
los aspectos de seguridad de esta plataforma, teniendo en
cuenta que los profesores y tutores necesitan trabajar con
seguridad y tener confianza de que sus herramientas están
protegidas de ataques informáticos no deseados y que sus
archivos estén debidamente protegidos, para lo cual describe
las configuraciones básicas en los niveles más débiles:
seguridad del servidor, seguridad en autenticación, seguridad
con las contraseñas y roles [11].
- Sánchez, Ana et al. (2014), con el artículo “Guía de
buenas prácticas de seguridad informática en el tratamiento de
datos de salud para el personal sanitario en atención primaria”,
en este trabajo sugieren la necesidad de fortalecer la seguridad
de los datos personales de salud para garantizar su privacidad,
también se presenta una guía de buenas prácticas de seguridad
informática en la manipulación de los datos, muestran una
clasificación de las amenazas a las que están expuesta la
seguridad en la organización, así como la protección de la
información de salud a partir de tres aspectos básicos:
confidencialidad, integridad y disponibilidad de la misma [12].
- Anonymous (2013), en el artículo “La seguridad total en
Internet es imposible de lograr”, afirma que el camino hacia la
seguridad en Internet “es la pelea del gato y el ratón, una
carrera sin fin… nunca vamos a poder decir que un sistema es
totalmente seguro”, advierte que la inseguridad en la nube va
en aumento porque todo se está moviendo al mundo virtual.
Muestra cómo en los últimos tiempos los gigantes de Internet:
Apple, Facebook, Microsoft y otras tecnologías centran sus
esfuerzos en vencer a hackers y piratas informáticos que
buscan vulnerar los sistemas de seguridad [13].
- Hernando (2011), en el artículo “La importancia de la
seguridad en Internet”, manifiesta que desde el origen de esta
red siempre ha habido preocupación por parte de las empresas
y personas que usan este servicio, ya que así como puede ser
usado para aumentar la productividad de una empresa, captar
clientes y encontrar nuevas oportunidades, también es
utilizado para cometer delitos informáticos, suplantaciones,
actos delictivos, manipular información, obtener datos
sensibles y confidenciales que pueden acabar con el prestigio
de una empresa o con la dignidad de las personas [14].
- Roscar (2015), en su artículo “La seguridad en Internet”,
describe la importancia de la seguridad en línea por la
información que allí se maneja de forma digital, teniendo en
cuenta que desde allí se puede combatir temas complejos
como los delitos informáticos, suplantación de identidad,
modificación de datos o robo de información por parte de los
hackers [15].
De acuerdo a los artículos y trabajos presentados, algunos
se enfocan en modelos de software para la obtención de
requerimientos de seguridad, en otros se hace referencia a las
tendencias de aprovechar las debilidades de seguridad en la
web para cometer cualquier acto que atente contra la
confidencialidad, integridad y disponibilidad de la
información, también se presenta un sistema de evaluación de
inventario de activos, por otro lado se muestran metodologías
para la medición de vulnerabilidades en redes de datos
organizacionales y análisis de vulnerabilidades en sistemas
reales. penetración en aplicaciones web
2.3.1
III. METODOLOGÍA SQLMap Herramienta de pruebas de penetración
de código abierto, que automatiza el
La metodología utilizada para el desarrollo de esta GNU Ver.
proceso de detectar y explotar
0.9-3758
investigación, sigue el proceso mostrado en la figura 1, la cual vulnerabilidades de inyección SQL
W3AF Proyecto cuyo objetivo es desarrollar un
se basa en los objetivos planteados y siguiendo una serie de Framework para ayudar a proteger las
fases las cuales incluyen investigación previa de guías, normas GPL 2.0
aplicaciones web mediante la búsqueda
Ver. 1.6
y estándares, que permitieron identificar los criterios de y explotación de vulnerabilidades
seguridad en las aplicaciones Web, luego se seleccionaron
herramientas de seguridad que posteriormente se usaron para Las plataformas virtuales que se eligieron para el presente
analizar las vulnerabilidades de los AVA especificadas en la trabajo fueron Moodle y Dokeos, dos plataformas de código
tabla 1, se establecieron métricas para la evaluación de los abierto que se pueden obtener libremente con la facilidad de
criterios asignándoles valores de acuerdo al grado de descargarlas e instalarlas con el fin de realizar las respectivas
importancia, se determinó los pasos para la evaluación de los pruebas de seguridad, siendo Moodle una de las herramientas
criterios y los métodos para la evaluación de los AVA, más conocidas y utilizada a nivel mundial, de igual manera
finalmente se realizó la evaluación de seguridad a los AVA Dokeos es una plataforma aunque menos conocida que
Moodle y Dokeos (tabla 2) de acuerdo al modelo y se verificó Moodle, también es acogida por muchas organizaciones como
el nivel de seguridad, de igual forma se validó la funcionalidad herramienta de gestión de contenidos, a diferencia de las
del modelo. plataformas propietarias ya que es imposible adquirirlas por lo
que implicaría un costo obtener una licencia.

Tabla 2. Características técnicas de los AVA Moodle y

Dokeos
Dokeos Moodle
Versión 2.0 2.4.5
Tamaño 104 MB 129 MB
Número de ficheros 13.955 14.074
Arquitectura Modelo vista controlador Modelo vista controlador
Figura 1. Diseño metodológico MVC MVC
Lenguaje PHP PHP
IV. ANÁLISIS DE VULNERABILIDADES A LOS AVA Base de datos MySQL MySQL, PostgrSQL,
MOODLE Y DOKEOS MSMSQL, Oracle, SQLite
Permisos exigidos Lectura/escritura Lectura/escritura
Las herramientas que se describen en la tabla 1, son
herramientas para análisis de seguridad en aplicaciones web,
El proceso de análisis inicia con recolección de información
las cuales permiten ayudar tanto a los administradores como a
pertinente a los aplicativos Dokeos y Moodle seguido por las
los profesionales de seguridad a asegurar los sistemas de
pruebas de seguridad y análisis de resultados.
información, o tomar decisiones con el fin de mejorar y
mantener protegidas las infraestructuras informáticas, aunque
El tipo de análisis de seguridad llevado a cabo fue el de
también pueden ser utilizadas por los hackers para fines
pruebas de penetración (Penetration test) [16] [17],
ilegales.
comúnmente conocido como test de intrusión, es el tipo de
análisis que da lugar a la realización de tareas asociadas a la
Estas herramientas fueron analizadas y evaluadas mediante
explotación y pos-explotación de vulnerabilidades. El
un proceso de investigación de acuerdo a su funcionalidad,
propósito de este tipo de análisis de seguridad es detectar los
ranking de mejores herramientas y de acuerdo al propósito que
puntos débiles, buscando explotar las vulnerabilidades de
se quiere analizar. Posteriormente se seleccionaron tres
seguridad con el fin de quebrantar la integridad,
herramientas para llevar a cabo el proceso de realización de
confidencialidad y disponibilidad de la información.
pruebas de seguridad a los AVA, dentro de las cuales se
eligieron: SQLMap, W3AF y OWASP ZAP, las cuales
El método aplicado dentro de esta prueba fue el de caja
teniendo en cuenta sus características especificas, los criterios
negra, este tipo de prueba se basa en el desconocimiento de los
y métricas a evaluar son las que mejor se adaptan para llevar a
procesos internos que interactúan con la información, de esa
cabo la investigación.
manera se evalúa únicamente la entrada contra su salida y así
verificar su correcto funcionamiento.
Tabla 1. Herramientas de análisis de vulnerabilidades
Herramienta Descripción Licencia/
Versión Tabla 3. Vulnerabilidades identificadas en las plataformas
OWASP ZAP Herramienta libre escrita en Java Moodle y Dokeos
(Zed Attack proveniente del Proyecto OWASP para
Apache
Proxy Project) realizar, en primera instancia, tests de
2.0 Ver.
 de los tres (3) criterios generales de seguridad (Integridad,
Confidencialidad y Disponibilidad), fue necesario establecer
valores e indicadores para poder cuantificar dichos criterios y
Cabe aclarar que para realizar esta comparación se utilizó de esta manera tener como resultado final el nivel de
herramientas de análisis de seguridad y se tuvo en cuenta seguridad de los AVA Moodle y Dokeos.
diferentes criterios con el propósito de reducir la subjetividad Con el propósito de cuantificar la evaluación de la
de la evaluación, ya que los datos que se encuentran en la tabla seguridad de la información, se definió que cada una de las
pertenecen a vulnerabilidades verificadas bajo inspecciones seis métricas tendrá una ponderación distinta como se muestra
manuales, por lo cual no aparecen falsos positivos generados en la tabla 4. Estas ponderaciones asignadas a las métricas se
en las pruebas realizadas. especificaron de acuerdo al impacto que tenía cada una en el
negocio y este fue calculado basándose en los valores de
W3af arrojo varios falsos positivos como vulnerabilidades explotabilidad, prevalencia y detección de una posible
CSRF y click_jacking los cuales fueron inspeccionados vulnerabilidad.
manualmente; w3af logró encontrar vulnerabilidades de fuga
de información sensible como rutas absolutas y Tabla 4. Tabla de ponderaciones a cada métrica
configuraciones por defecto. OWASP ZAP, no reportó ningún
falso positivo y logró también encontrar vulnerabilidades de
fuga de información sensible como listado de directorios y
errores en la gestión de las cookies, ya que Moodle ni Dokeos
declaraba la directiva HttpOnly, la cual le indica al navegador
que esa cookie no debe poder accederse directamente, esto
puede permitir que un atacante pueda robar la sesión de un
usuario, en el peor de los casos un administrador del sistema.
SQLMap no reportó ninguna vulnerabilidad del tipo inyección
de SQL, ni XSS, como se puede apreciar en la tabla 3.

V. MODELO DE EVALUACIÓN DE SEGURIDAD A

AVA
Para la construcción del modelo de evaluación de seguridad La evaluación general de seguridad se da de acuerdo a una
se tuvo en cuenta los criterios más relevantes descritos en las escala de valores (tabla 5) con el fin de indicar diferentes
guías, normas y estándares de seguridad y con la niveles de seguridad en que puede estar una aplicación (AVA),
especificación de métricas de evaluación que dan cuenta de los así un valor cuantitativo en el rango (0 a 20), significa que el
aspectos importantes para evaluar la seguridad de un valor total de la evaluación de la aplicación se encuentra en un
determinado producto software en este caso los AVA Moodle y nivel cualitativo “bajo”, lo cual permite al Agente Evaluador
Dokeos. (AE) tomar las decisiones respectivas para llevar a cabo un
plan de mejoramiento o emitir un juicio de valor sobre las
Los criterios tenidos en cuenta son: confidencialidad (C), posibles fallas o criticidad del sistema y las posibles
integridad (I) y disponibilidad (D) de la información, y las consecuencias que podría acarrear para la organización.
métricas establecidas en esta investigación han sido producto
de guías de seguridad OWASP [18], como se muestra en la Tabla 5. Valores cualitativos y cuantitativos
figura 2:
Valor Cualitativo Valor Cuantitativo
Bajo 0 – 20
Medio-Bajo 21 – 40
Medio 41 – 60
Medio-Alto 61 – 80
Alto 81 – 100

Cada métrica contiene una serie de preguntas a evaluar el

cual cada una se corresponde con los criterios de integridad
(I), confidencialidad (C) y disponibilidad (D) como se muestra
en el ejemplo de la siguiente tabla:

Tabla 6. Métrica de evaluación de gestión de configuración

Figura 2. Métricas de evaluación de seguridad
No. Pregunta I. C. D.

Una vez establecidas las seis (6) métricas para la evaluación

 ¿Tiene algún software sin actualizar? Esto
incluye el SO, Servidor Web/Aplicación,
1. 8 4
DBMS, aplicaciones, y todas las librerías de
código.
¿Están habilitadas o instaladas alguna
2. característica innecesaria (p. ej. puertos, 2 2
servicios, paginas, cuentas, privilegios)?
¿Están las cuentas por defecto y sus
3. 2 6
contraseñas aun habilitadas y sin cambiar?
4. ¿Carece de configuraciones de seguridad en su 2 2
framework de desarrollo (p. ej. Struts, Spring,
ASP.NET)?
14 14
Total:
Una vez elaboradas las otras métricas, estas son aplicadas a
evaluar la seguridad de los AVA, en la cual cada pregunta se
responde de manera afirmativo o negativo (SI/NO), dando
como resultado general el nivel de seguridad de los AVA como
se presenta en las figuras 3 y 4.
Figura 3. Resultado final de la seguridad de Moodle
Figura 4. Resultado final de la seguridad de Dokeos
Resultado general de la seguridad de Moodle y Dokeos
aplicando el modelo de evaluación.
Tabla 7. Comparación de resultados de evaluación de
seguridad de los AVA
8
2
2
Al comparar los resultados de evaluación de seguridad a los
2 AVA Moodle y Dokeos con el modelo propuesto, este ha
permitido establecer un valor cuantitativo y cualitativo del
nivel de seguridad de los AVA, es así que Moodle obtuvo una
14 calificación de 63.33 puntos para una escala de nivel MEDIO-
ALTO mientras que Dokeos obtuvo un valor de 59,33 puntos y
su escala fue nivel MEDIO.
De acuerdo a lo anterior, los AVA tanto Moodle como
Dokeos tuvieron un valor negativo en la métrica de “Gestión
de la configuración”, debido a que estas pruebas se han hecho
con versiones antiguas de los aplicativos, por lo tanto esto
afecta los valores generales de seguridad. La métrica de
Gestión de controles de acceso y autenticación los dos
aplicativos se mostraron débiles en evitar ataques de fuerza
bruta a sus mecanismos de autenticación, al igual que ninguno
podía verificar la autenticidad de las peticiones en sitios
cruzados.
Haciendo la comparación de seguridad entre Moodle y
Dokeos, se observa que ambas plataformas toman medidas en
la gestión y codificación de entradas, que es un pilar de vital
importancia para mantener el nivel de seguridad de las
plataformas y aunque el aplicativo Dokeos obtuvo un valor
inferior a Moodle en la métrica de Gestión de controles de
acceso y autenticación, mantiene un nivel de seguridad
confiable para su implementación en entornos de producción.
El modelo es útil para medir el estado de seguridad de una
aplicación web de una manera modular, permitiendo saber
cuáles son los eslabones débiles del aplicativo
(configuraciones, codificación y validación de entradas, etc.),
de esa manera se puede analizar el costo beneficio al ejecutar
medidas que mitiguen posibles riesgos de seguridad. Es decir
tomando en cuenta el análisis de seguridad de Moodle y
Dokeos, se encuentran que los dos aplicativos son seguros y
que requieren medidas para mitigar los riesgos en cuanto a sus
configuraciones y controles de acceso y autenticación, con lo
cual el costo de esto es equitativo en ambos, por lo cual la
decisión de cual implementar en una entidad viene siendo
condicionada por el que haya tenido el valor de seguridad más
alto.
VI. CONCLUSIONES
El proceso de evaluación de seguridad permite establecer el
grado de confiabilidad en los AVA evaluados mediante un
estudio exhaustivo de criterios previamente investigados y
cuyos resultados pueden convertirse en el insumo de apoyo a
la toma de decisiones en entidades educativas interesadas en
adquirir un AVA como recurso de apoyo para docentes e
instructores.
La falta de chequeos eficaces por parte de las plataformas
para comprobar la seguridad de las mismas, es una
característica que se debería implementar en futuras versiones
en estas plataformas. Adicionalmente los equipos de soporte y
mantenimiento de Moodle y Dokeos deberían fortalecer sus
herramientas de colaboración para poder conocer más
rápidamente sus actualizaciones, buscando reducir las
potenciales intrusiones o afectaciones de estas aplicaciones.
Aunque existen diversas guías, normas y estándares de
seguridad concerniente a la seguridad informática y de la
información a nivel general en una organización, es poco lo
que existe respecto a normas de seguridad en aplicaciones
Web. Gracias al proyecto OWASP el cuál ha dedicado su
estudio y preocupación por las vulnerabilidades más
relevantes descritas en el ranking top 10 del mismo, permiten
que tanto arquitectos, desarrolladores y administradores de
software y de redes estén a la expectativa para mejorar y
aplicar buenas prácticas en la seguridad de los activos.
REFERENCIAS
[1] Areitio, J., 2008. Seguridad de la información: redes,
informática y sistemas de información. Madrid (España):
Learning Paraninfo. Disponible en:
http://books.google.com.co/books?
id=_z2GcBD3deYC&printsec=frontcover&hl=es&source
=gbs_ge_summary_r&cad=0#v=onepage&q&f=false
[2] Aguilera, P., 2010. Seguridad informática. Madrid
(España). Disponible en:
http://books.google.com.co/books?
id=Mgvm3AYIT64C&pg=PA6&dq=seguridad+informati
ca&hl=es&sa=X&ei=PP0YU7WWO8TPkQfh8oDAAw&
ved=0CEQQ6wEwAQ#v=onepage&q=seguridad
%20informatica&f=false
[3] Holm, H., 2012. Performance of automated network
vulnerability scanning at remediating security issues. In:
Computers & Security, Vol. 31, No. 2 (mar). Cambridge
(MA, USA): Elsevier. p. 164–175. ISSN: 0167-4048.
Disponible en:
http://www.sciencedirect.com/science/article/pii/S016740
4811001696
[4] Romero, A., 2011. Aspectos básicos de la seguridad en
aplicaciones Web. Disponible en:
http://www.seguridad.unam.mx/documento/?id=17
[5] Feng, N., Wang, H., LI, M., 2013. A security risk analysis
model for information systems: Causal relationships of
risk factors and vulnerability propagation analysis. In:
Information Sciences [In Press, Corrected Proof,
Available online 4 March 2013]. Cambridge (MA, USA):
Elsevier. ISSN: 0020-0255. Disponible en:
http://www.sciencedirect.com/science/article/pii/S002002
5513001539
[6] Ofuonye, E., Miller, J., 2013. Securing web-clients with
instrumented code and dynamic runtime monitoring. In:
Journal of Systems and Software, Vol. 86, No. 6 (jun).
Cambridge (MA, USA): Elsevier. p. 1689–1711. ISSN:
0164-1212. Disponible en:
http://www.sciencedirect.com/science/article/pii/S016412
1213000514
[7] OWASP, 2013. Category: OWASP Top Ten Project. Bel
Air (MD, USA): OWASP Foundation. Disponible en:
https://www.owasp.org/index.php/Category:OWASP_Top
_Ten_Project
[8] Hernández, L., 2012. Un modelo para la implementación
de la seguridad de una aplicación Web con el uso de la
programación orientada a aspectos. Cuba: D - Instituto
Superior Politécnico José Antonio Echeverría. CUJAE.
ProQuest ebrary.
[9] Gómez, L., Andrés, A., 2012. Guía de aplicación de la
Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas
de información para pymes. España: AENOR -
Asociación Española de Normalización y Certificación.
ProQuest ebrary.
[10] Chamorro, J., 2011. Modelo para la evaluación en
seguridad informática a productos software, basado en el
estándar ISO/IEC 15408 Common Criteria. Universidad
Icesi, Santiago de Cali. Disponible en:
https://bibliotecadigital.icesi.edu.co/biblioteca_digital/bits
tream/10906/67925/1/modelo_evaluacion_seguridad.pdf
[11] Romero, L., 2010. La seguridad informática en el trabajo
con la plataforma Moodle. Revista de Humanidades, 17,
p. 169 - 190. ISSN 1130-5029. Disponible en:
http://dialnet.unirioja.es/descarga/articulo/3786831.pdf
[12] Sánchez, A., Fernández, J., 2014. Guía de buenas
prácticas de seguridad informática en el tratamiento de
datos de salud para el personal sanitario en atención
primaria. Disponible en:
http://www.sciencedirect.com/science/article/pii/S021265
6714000067
[13] Anonymous, 2013. La seguridad total en internet es
imposible de lograr, advierte experto. NoticiasFinancieras.
Disponible en:
http://search.proquest.com/docview/1439058277?
accountid=38880.
[14] Hernando, F. M., 2011. La importancia de la seguridad en
internet. Portafolio, recuperado de:
http://search.proquest.com/docview/859060826?
accountid=38880
[15] ROSCAR, 2015. La seguridad en internet. Portafolio.
Disponible en:
http://search.proquest.com/docview/1643368939?
accountid=38880.
[16] Sallis, E., Caracciolo, C., Rodríguez, M., 2010. Ethical
hacking. Un enfoque metodológico para profesionales.
Buenos Aires. Primera edición, Alfaomega grupo editor,
135 p.
[17] Agé, M., Baudru, S., Crocfer, N., 2011. Seguridad
informática: ethical hacking: conocer el ataque para una
mejor defesa. Ediciones ENI. Disponible en:
https://books.google.es/books?
id=Caw7Ipl19KIC&printsec=frontcover#v=onepage&q&
f=true
[18] López, A., 2014. OWASP Testing Guide v4.0. Guía de
seguridad en aplicaciones Web. Disponible en:
https://www.incibe.es/blogs/post/Seguridad/BlogSegurida
d/Articulo_y_comentarios/Owasp_4