Implementación de una metodología de pruebas de penetración en el área de aseguramiento de la calidad de AEP Energy

Abstract

A inicio del año 2013, se inició en AEP Energy la implementación de controles de seguridad orientados a cumplir con la normativa SOX. Como parte de esta implementación se desarrolló el módulo de Seguridad para la administración de roles y perfiles de usuarios, y la creación de nuevas tablas de auditoría para el seguimiento y registro de transacciones en la base de datos (creación, actualización, eliminación). Debido a esto y como parte de la propuesta de objetivos de desempeño para el año 2013, en el área de aseguramiento de la calidad se propone el proyecto de implementación de pruebas de penetración a la aplicación NextStar para agregar un nivel de calidad adicional a las actividades de pruebas que se realizan en el área. El presente documento detalla la implementación de esta metodología. Las herramientas libres elegidas para la implementación fueron Tamper Data y Hackbar, ambos extensiones libres del navegador Firefox, que permiten simular la obtención de información oculta para un usuario corriente y la posterior elevación de privilegios a usuarios no autorizados. La ejecución de este proyecto nos permitió detectar vulnerabilidades en la aplicación utilizada por AEP Energy para el soporte de sus operaciones de negocio. Esto ayudó a establecer mejores controles y pruebas de seguridad que permitieron evitar futuras observaciones de auditoría y cumplir con las políticas establecidas por la normativa SOX. El proyecto hizo posible que los integrantes del área de aseguramiento de la calidad elevaran sus conocimientos y mejoren sus habilidades para el trabajo que realizan de manera cotidiana.