Implantación del Servicio de Hacking Ético en el ESPE CERT utilizando ITIL V4

Abstract

A partir de la Convocatoria 2020 para proyectos de investigación aplicada la Universidad de las Fuerzas Armadas ESPE comenzó un proceso de implementación de un CERT así como del EGSI que viene desarrollando la Unidad de Seguridad Integrada de la ESPE, junto con estas implementaciones surgió la problemática de crear un equipo dedicado a la realización de pruebas de penetración es decir Hacking Ético que funcione bajo el CERT utilizando ITIL V4, en donde se utilizó como casos de empleo las aplicaciones críticas de la Universidad de las Fuerzas Armadas ESPE brindados por el EGSI de la universidad, todo esto con el fin de implantar esta capacidad como servicio a otras universidades o instituciones. El proyecto de tesis se basó en el hacking de sombrero blanco que viene a ser el hacking ético, es decir, aquel hacking que se rige por leyes judiciales y morales dentro de un contrato establecido entre la organización y el hacker, cuya diferencia respecto al cracking se basa en la finalidad, ya que si bien es cierto que en procedimiento son iguales, su finalidad es muy distinta, la finalidad de un hacker ético es encontrar brechas en la seguridad de dentro del sistema o aplicativo para su posterior corrección y mejora de la organización, el cracker por su parte, puede tener varios objetivos, desde el daño a la organización, fines de lucro, o incluso el de la mera prueba de sus habilidades con cracker. El desarrollo práctico de la tesis constó de seis fases para realizar un correcto servicio de hacking ético, los cuales son: Establecimiento del anonimato, Recopilación de Información, Escaneo, Explotación, Mantenimiento del Acceso y evaluación del servicio en donde se realiza un informe de no conformidades explicando los resultados de la praxis.