Académique Documents
Professionnel Documents
Culture Documents
UniversidadAutnomadeChihuahua
FacultaddeContadurayAdministracin
MaestraensoftwareLibre
SeguridadInformtica
Briano,Hike
Corts,Javier
Daz,Adrin
Rivera,JuanCarlos
Sosa,Esteban
M.A.LuisAlbertoGardea
JulioAgosto2015
Tabla de Contenido
1.Introduccin
1.1.Propsitodelafuncindeauditora
1.2.Misindelaauditora
1.3.Fijarlosobjetivosquesealcanzaran
1.4.Definirelalcance
2.Auditora
2.1.Accesoalossistemasquesernauditados
2.2.Obtenerelapoyodelpersonalparaqueapoyenaalcanzarlasmetasdela
auditora
2.3.Usartecnologaparaprobarloscontrolesdeauditora
2.3.1.Pruebasdepenetracin
2.3.2.Escaneodevulnerabilidad(OpenVas)
2.3.3.Revisindearquitectura(InventariodeSoftwareyHardware)
2.3.4.Revisindepolticas
2.3.4.1.Polticasdeseguridadinexistentes
2.3.4.2.Polticasdeseguridadexistentes
2.4.Evaluacinderiesgo
3.Anexos
3.1.Auditorageneradaaempresadedicadaalexpendiodegasolinaydiesel
3.2.ResumenyPlanteamientodelProblema
3.2.1.Proceso
3.2.2.Generacin
3.2.2.1.Pruebasdepenetracin
3.2.2.2.Escaneodevulnerabilidad
3.2.2.3.Revisindearquitectura
3.2.2.4.Revisindepolticas
3.2.3.EvaluacindeRiesgoyRecomendaciones
3.2.3.1.Listadepuntoscrticos
4.Referencias
1. Introduccin
Laauditoraeselpasofinalenelprocesodeseguridaddelainformacin.Despus
deidentificarelestadodeseguridaddelainformacindentrodeunaorganizacin,la
creacindelaspolticasapropiadasyprocedimientos,implementacindecontrolestcnicos
ylacapacitacindelpersonal.
Laintencindeestedocumentoesproporcionarlospasosyherramientas
necesariasfundamentalesparapoderejecutaroconducirunaauditorabsicaacualquier
girodeempresa.
Lafuncindelaauditoratienecomopropsitoasegurarsedequeloscontroles
estnconfiguradoscorrectamenteconrespectoalapoltica.
Asegurarsequelaspolticasestablecidasseestnllevandoacabocorrectamentey
llevarunabitcoradondesereflejecualquieranomalaqueseencuentrepara
posteriormentegenerarloscambiosnecesarios.
Evaluacindeposiblesvulnerabilidades
Contrarrestarlasvulnerabilidades
DetectarposiblesfallasenelreadeseguridadenIT
Reaccionarparalacontinuidaddelnegocio
Contarconlosprocesosnecesariospararecuperarsedecualquierataquegenerado
Estableceremosunaauditorabsicalacualesunarevisindecmoestla
seguridaddentrodelaorganizacin.Seestablecenescaneosdevulnerabilidad,se
generarnlistasdeproblemasdeseguridadparaseranalizadosposteriormente.
2. Auditora
2.1. Acceso a los sistemas que sern auditados
Generarlistadesistemascandidatosaserauditados
Definirhorarioenelcualseauditanlossistemasseleccionados
Contarconusuarioycontraseaparaingresaradichossistemasyredesinternas
Firmadeconsentimientoparaaccesoainformacinconfidencial
2.2. Obtener el apoyo del personal para que apoyen a alcanzar las metas
de la auditora
Establecerloscontactospertinentesdecadadepartamentoinvolucradoenel
procesodelaauditora.Sedebercontarconnombre,telfonoycorreoelectrnico.
Accesototalalasinstalacionesaauditar.
Establecimientodeconcientizacinsobrelosobjetivosconlaaltagerenciadela
empresaaauditarparacontarconelapoyoincondicionaldelosempleados
involucradosenlaauditora.Astambin,paralosposiblescambiosnecesariosen
cadadepartamentoquesepuedanidentificar.
1. Etapa de reconocimiento
: Recopilar informacin del sistema que es el objetivo de
lapruebadepenetracin.
2. Etapadeescaneo
:Enestaetapasehaceelescaneodepuertosyservicios
3. Etapadeenumeracin
:Serealizanconexionesactivasconelsistemayseejecutan
consultas.
4. Etapa de acceso
: En esta etapa se realiza el acceso al sistema mediante la
explotacindevulnerabilidades.
5. Etapa de mantenimiento de acceso
: Mantener el acceso al sistemaperdurableen
eltiempo.
1. EncenderlamquinavirtualdeKali
2. Una vez dentro de Kali nos aseguramos de que el serviciodePostgresyMetasploit
estn corriendo, para esto corremos los siguientes comandos dentro de una
terminal:
3. Una vez que los servicios de Postgres y Metasploit estn corriendo es necesario
acceder a la consola de Metasploit, ejecutamos el siguiente comando dentro de la
consola:
# msfconsole
4. Resultadodelcomandoessimilaralsiguiente:
6. Resultado del comando es similar al siguiente y contiene los servicios que fueron
detectados dentro de los puertos, adems de que los resultados son almacenados
enunabasededatos:
7. Parapoderverlalistadedispositivosquehansidoescaneadosseutilizael siguiente
comando:
# hosts
8. Lalistadedispositivosesdesplegada
10. Por otro lado el comando vulns nos describe las vulnerabilidades que fueron
encontradas.
# vulns
11. Hasta este punto no tenemos mucha informacin de los servicios, como sus
versiones, etc. Para esto corremos el siguiente comando donde la sV hace
referenciaalaversindelservicio.
12. Resultado del comando, donde podemos ver que las versiones de los servicios
aparecenahora:
# search ftp
15. El resultado nos muestra la lista de los exploits que podemos usar as como su
descripcin,elresultadoesalgosimilaralsiguiente:
16. Para
este
ejemplo
utilizaremos
el
exploit
exploit/unix/ftp/vsftpd_234_backdoor
yloutilizamosdelasiguientemanera:
#use
exploit/unix/ftp/vsftpd_234_backdoor
17. Unavezseleccionadoelexploitausar,laterminalsemostrardelasiguienteforma:
# show options
19. El resultado nos muestra las opciones disponibles para este exploit, para este caso
es requeridoseleccionar eldispositivoyelpuerto,dadoqueenestecasousamosun
exploit que tiene como objetivo el servicio FTP, el puerto 21 esta seleccionado por
defecto.
20. Es necesario ingresar el dispositivo que ser el objetivo, para eso utilizamos el
siguientecomando:
21. Si volvemos a consultar las opciones podremos ver que el IP del objetivo est
configurado.
22. El siguiente paso es elegir un payload, que es una secuencia de instrucciones que
se van a ejecutar una vez que se haya explotado una vulnerabilidad. Para mostrar
lospayloadsdisponiblescorremoselsiguientecomando:
# show payloads
23. Lalistadepayloadsdisponiblesdentrodelexploitseleccionadoesdesplegada:
24. Paraestablecerelpayloadlohacemosconelsiguientecomando:
25. Al igual que con los exploits, los payloads tambin reciben parmetros, en el caso
del payload seleccionado no requiere dealguno,peroparadesplegarlosejecutamos
elsiguientecomando:
# show options
26. Una vez configurado proseguimos a hacer la explotacin, para esto simplemente
ejecutamoselsiguientecomando:
# exploit
27. El resultado de explotar esta vulnerabilidad nos da en este caso acceso al sistema
operativoquehasidoexplotado.
1. EncenderlamquinavirtualdeKali
2. Una vez dentro de Kali accedemos a laconfiguracininicial(Slo laprimeravez)de
OpenVas,siguiendolarutadentrodelmencomoseindicaacontinuacin:
ApplicationsKaliLinuxVulnerabilityAnalysisOpenVASopenvasstart
4. Una vez iniciado el servicio abrimos el buscador e ingresamos la direccin
https://localhost:9392
la cual nos llevara a la pantalla de login de OpenVAS web
dondeingresamosconelusuarioycontraseaproporcionados.
5. Una vez que hayamos ingresado nos desplegar la pgina de inicio como se
muestraenlasiguienteimagen.
6. Acontinuacinseleccionamoslapestaade
configuracinydespus
target,quenos
muestralapantallasiguiente.
8. UnavezcreadoelTargetnosdespliegalosdetallesdelnuevoobjetivo
10. Ingresamos los datos necesarios para el escaneo segn convenga y presionamos
CreateTask,acontinuacinnosdesplegarlosdetallesdelatarea.
12. Presionamos en el nmero que se encuentra en Reports, para este caso es el
nmero uno dado que solo hemos realizado un solo escaneo. Esta accin nos
despliegalalistadereportesgeneradosenestatarea:
13. Presionamos sobre la fecha del escaneo o bien sobre el nombre de la tareaparael
reportequedeseamosver,estonosdesplegaralosdetallesdelreporte.
Paralograrefectivamenteelmonitoreodelosrecursosdehardwareysoftwaredela
empresaencuestin,esnecesariocontarconunmtodoosistemaquepermitasatisfacer
lasnecesidadesdeinventariodesoftwareyhardwaredeunamaneracentralizada,que
requieradepocainteraccinhumanayquepermitaalertaragenteclavedecambiosenel
ecosistemainformticodelaempresadeunamanerarpida,organizadayoportuna.
PorlocualseproponeentonceselusodelaherramientaOCSInventory.Dichaherramienta
sirvebajoelesquemadeclienteservidor.Dondeseinstalaunclienteencadadispositivoel
cualsepretendemonitorearporsuhardwarey/osoftware,mismoqueenviardatos
detalladosdelhardwareysoftwareencontradosaunservidorcentralquerecopilay
almacenadichainformacinparadespustenerlaaccesibleparalosadministradoresde
dichosequipos.Esunasolucinmultiplataforma,locualsignificaqueescompatibleconla
mayoradelossistemasoperativosbasadosenUnix(MacyLinux)ycontodoslossistemas
operativosbasadosenMicrosoftWindows.
Lasorganizacionesdebenrealizarunarevisininicialdesusituacinactual,paramanejar
lagestinencontrolySeguridad.Elpropsitodeestarevisinesdarinformacinque
influyaenlasdecisionessobreelalcance,idoneidadeimplementacindelsistemaactual,
ascomoproporcionarunabaseapartirdelacualsepuedamedirsuprogreso.Las
revisionesinicialesdeestadodebenresponderalapregunta:Dndeestamosahora?
PolticasdeAccesoyProteccinFsica
PolticasdeInstalacinycontroldeequipodecomputo
PolticasdeRespaldos
PolticasdeRecursosyUsodelosUsuarios
PolticasdeSeguridad(Red,Servidores,CorreoElectrnico,BasesdeDatos)
PolticasdeUsodeserviciosdeRed
PolticasdeControldeUsuarios(Accesos,AltasyBajas)
PolticasdeSeguridadPerimetral(IDS,IPS,FireWall,VPN,Internet,WiFi,Antivirus)
PolticasdeContingencias
Sisecuentaconpolticasdeseguridadcubriendoaspectosdeinformticasedeberrevisar
afondocadaunadeellasparaverificarsisecumplenconlosaspectosgeneralesdelas
polticasylasnormatividadessegnlosrequisitosdelaorganizacinylasregulacionesy
leyesvigentesbasadasenelgiroenqueseencuentralaempresa.
Revisandoquelaspolticascumplanconlossiguientesobjetivos:
Reducirlosriesgosaunnivelaceptable.
Garantizarlaconfidencialidad,integridad,disponibilidad,privacidaddela
informacin.
CumplirconlasLeyesyReglamentacionesvigentes
Revisarquelapolticacontengalossiguientespuntosbiendefinidos:
Identifiqueyevalelosactivos:Quactivosdebenprotegerseycmoprotegerlosde
formaquepermitanlaprosperidaddelaempresa:
Hardware:terminales,estacionesdetrabajo,procesadores,teclados,
unidadesdedisco,computadoraspersonales,tarjetas,router,impresoras,
lneasdecomunicacin,cableadodelared,servidoresdeterminales,
bridges.
Software:sistemasoperativos,programasfuente,programasobjeto,
programasdediagnstico,utileras,programasdecomunicaciones.
Datos:durantelaejecucin,almacenadosenlnea,archivadosfueradelnea,
backup,basesdedatos,entrnsitosobremediosdecomunicacin.
Personas:usuarios,personasparaoperarlossistemas.
Documentacin:sobreprogramas,hardware,sistemas,procedimientos
administrativoslocales.
Identifiquelasamenazas:Culessonlascausasdelospotencialesproblemasde
seguridad?Considerelaposibilidaddeviolacionesalaseguridadyelimpactoque
tendransiocurrieran.Estasamenazassonexternasointernas:
Amenazasexternas:Seoriginanfueradelaorganizacinysonlosvirus,
intentosdeataquesdeloshackers,retaliacionesdeexempleadoso
espionajeindustrial.
Amenazasinternas:Sonlasamenazasqueprovienendelinteriordela
empresayquepuedensermuycostosasporqueelinfractortienemayor
accesoyperspicaciaparasaberdnderesidelainformacinsensiblee
importante.
Evalulosriesgos:Debecalcularselaprobabilidaddequeocurranciertossucesosy
determinarculestienenelpotencialparacausarmuchodao.Elcostopuedeser
msquemonetario,sedebeasignarunvaloralaprdidadedatos,laprivacidad,
responsabilidadlegal,etc.
Asignelasresponsabilidades:Seleccioneunequipodedesarrolloqueayudea
identificarlasamenazaspotencialesentodaslasreasdelaempresa.Los
principalesintegrantesdelequiposeraneladministradorderedes,unasesor
jurdico,unejecutivosuperioryrepresentantesdelosdepartamentosdeRecursos
HumanosyRelacionesPblicas.
Establezcapolticasdeseguridad:Creeunapolticaqueapuntealosdocumentos
asociadosparmetrosyprocedimientos,normas,ascomoloscontratosde
empleados.Estosdocumentosdebentenerinformacinespecficarelacionadacon
lasplataformasinformticasytecnolgicas,lasresponsabilidadesdelusuarioyla
estructuraorganizacional.Deestaforma,sisehacencambiosfuturos,esmsfcil
cambiarlosdocumentossubyacentesquelapolticaensmisma.
Implementeunapolticaentodalaorganizacin:Lapolticaqueseescojadebe
establecerclaramentelasresponsabilidadesencuantoalaseguridadyreconocer
quineselpropietariodelossistemasydatosespecficos.stassonlastrespartes
esencialesdecumplimientoquedebeincluirlapoltica:
Laspolticasdebencontarconestospuntosimportantesparaasegurarquesecumplan
segnsuintencindeproteccin:
Cumplimiento:Indiqueunprocedimientoparagarantizarelcumplimientoylas
consecuenciaspotencialesporincumplimiento.
Funcionariosdeseguridad:Nombreindividuosqueseandirectamente
responsablesdelaseguridaddelainformacin.
Financiacin:Asegresedequeacadadepartamentoselehayaasignado
losfondosnecesariosparapodercumpliradecuadamenteconlapolticade
seguridaddelacompaa.
Revisarquelaspolticascumplanconellineamientoestndardeimplementacin
cumpliendolospuntossiguientes:
Eldocumentodelapolticadeseguridaddelainformacindebeenunciarelcompromisode
lagerenciayestablecerelenfoquedelaorganizacinparamanejarlaseguridaddela
informacin.Eldocumentodelapolticadebieracontenerenunciadosrelacionadoscon:
Unadefinicindeseguridaddelainformacin,susobjetivosyalcancegeneralesyla
importanciadelaseguridadcomounmecanismofacilitadorparaintercambiar
informacin.
Unenunciadodelaintencindelagerencia,fundamentandosusobjetivosylos
principiosdelaseguridaddelainformacinenlneaconlaestrategiaylosobjetivos
comerciales
Unmarcoreferencialparaestablecerlosobjetivosdecontrolyloscontroles,
incluyendolaestructuradelaevaluacindelriesgoylagestinderiesgo
Unaexplicacinbrevedelaspolticas,principios,estndaresyrequerimientosde
conformidaddelaseguridaddeparticularimportanciaparalaorganizacin,
incluyendo:conformidadconlosrequerimientoslegislativos,reguladoresy
restrictivos,educacin,capacitacinyconocimientodeseguridad,gestindela
continuidaddelnegocio,consecuenciasdelasviolacionesdelapolticade
seguridaddelainformacin
Unadefinicindelasresponsabilidadesgeneralesyespecficasparalagestindela
seguridaddelainformacinincluyendoelreportedeincidentesdeseguridaddela
informacin
Referenciasaladocumentacinquefundamentalapolticaporejemplo,polticasy
procedimientosdeseguridadmsdetalladosparasistemasdeinformacin
especficosoreglasdeseguridadquelosusuariosdebieranobservar.
Estapolticadeseguridaddelainformacinsedeberacomunicaratravsdetoda
laorganizacinalosusuariosenunaformaquesearelevante,accesibley
entendibleparaellectorobjetivo.
Comopuntofinalsehacelasugerenciaquecomobaseparaactualizaroimplementar
nuevaspolticas,seutilicenlostemplatessugeridosporSANS,loscualesseencuentranen
supginaweb
http://www.sans.org/securityresources/policies/
.Unavezestablecidauna
baseslidaencuantoapolticas,verificarsilaspolticasestnsiendorevisadasaintervalos
detiempoplaneadososiocurrencambiossignificativosquelaspolticasestnsiendo
actualizadasparaasegurarsucontinuaidoneidad,eficienciayefectividad.
Una vez terminado todos los procesos de la auditora tomamos los resultados y lo
consolidamospararevisindecadapuntodetectado.
"Qupuedeirmal?"
"Conqufrecuenciapuedeocurrir?"
"Culesseransusconsecuencias?"
"Qufiabilidadtienenlasrespuestasalastresprimeraspreguntas?"
"Se est preparado para abrir las puertasdelnegociosin sistemas,por unda,una
semana,cuantotiempo?"
"Culeselcostodeunahorasinprocesar,unda,unasemana...?"
"Cunto, tiempo se puede estar offline sin que los clientes se vayan a la
competencia?"
"Setieneformadedetectaraunempleadodeshonestoenelsistema?"
"Setienecontrolsobrelasoperacionesdelosdistintossistemas?"
"Cuantas personas dentro de la empresa, (sin considerar su honestidad), estnen
condicionesdeinhibirelprocesamientodedatos?"
"Aquesellamainformacinconfidencialy/osensitiva?"
"Lainformacinconfidencialysensitivapermaneceasenlossistemas?"
"La seguridad actual cubre los tipos de ataques existentes y est preparada para
adecuarsealosavancestecnolgicosesperados?"
"Aquienselepermiteusarquerecurso?"
"Quin es elpropietariodelrecurso?yquineselusuarioconmayoresprivilegios
sobreeserecurso?"
"Cules sern los privilegios y responsabilidades del Administrador vs. la del
usuario?"
"Cmoseactuarsilaseguridadesviolada?"
Unavezobtenidalalistadecadaunodelosriesgosseefectuarunresumendeltipo:
Tipo de Riesgo
Factor
Robo de hardware
Alto
Robo de informacin
Alto
Vandalismo
Medio
Medio
Virus Informticos
Medio
Equivocaciones
Medio
Accesos no autorizados
Medio
Fraude
Bajo
Fuego
Muy Bajo
Terremotos
Muy Bajo
3. Anexos
3.1. Auditora generada a empresa dedicada al expendio de gasolina y
diesel
3.2. Resumen y Planteamiento del Problema
3.2.1. Proceso
Generando as la auditoraparaestablecerlasmetasyobjetivosarealizaryaquese
espera poder mejorar considerablemente cada aspecto del giro del negocio y proporcionar
mayor confiabilidad y seguridad a sus procesos, mostrando la gerencia plena confianza y
apoyoparapoderiniciarygenerarcadatrmitenecesario.
Latecnologaqueutilizamosfuebasadaenlosiguiente:
Pruebasdepenetracin(Metasploit)
Escaneodevulnerabilidades(OpenVas,NMap)
RevisindeArquitectura(NagiosparaInventariodeSoftwareyHardware)
3.2.2. Generacin
3.2.2.1. Pruebas de penetracin
SonicWall192.168.1.1
Servidordearchivos192.168.1.3
Servidordeaplicaciones192.168.1.4
ServidorVirtualweb192.168.1.8
Comando
# db_nmap {ip objetivo} -p {puerto inicial}-{puerto final}
Comando
# hosts
Comando#Services
Comando
# vulns
Comando
# db_nmap -sV {ip objetivo} -p {puerto inicial}-{puerto final}
# db_nmap sV 192.168.1.1 -p 1-65535
Comando #services
#searchsmb
El resultado nos muestra la lista delosexploitsque podemosusarascomosudescripcin,
elresultadoesalgosimilaralsiguiente:
El resultado nos muestra las opciones disponibles para este exploit, para este caso es
requerido seleccionar el dispositivo y el puerto, dado que en este caso usamos un exploit
quetienecomoobjetivoelservicioSMB,elpuerto445estseleccionadopordefecto.
Es necesario ingresar el dispositivo que ser el objetivo, para eso utilizamos el siguiente
comando:
El payload seleccionado nos requiere EXITFUNC este se queda por default, PASS donde
configuramos la contrasea deseada, USER nombre de usuario y WMIC que tambin lo
dejamospordefaultyloprogramamosdelasiguientemanera.
# exploit
Una vez ejecutada podemos verificar que el usuario se agreg satisfactoriamente ya que
tenemosaccesoalservidor.
Para esta prueba utilizaremos la aplicacin OpenVas explicada anteriormente la cual nos
muestralossiguientesresultadosaplicadosalservidorparalaspruebasdepenetracin.
1. AgregamoselTargetyobservamoseldetalle.
2. Generamoslanuevatarea.
3. EjecutamosTareayobservamosavance.
4. Unavezterminadalatareaentramosaobservarlosreportesgenerados.
Aunado a esto los sistemas y aplicaciones ejecutadas por el giro de negocio no eran las
apropiadas y no se contaban con las licencias requeridas, el momento de establecer el
cambio de dueos y traspaso de un equipo de informtica a otro provoc un problema
extenso en la continuidad de negocio, siendo quenosecontabacontodalainformacinde
problemas,solucionesylicenciamiento.
Nosecuentanconpolticasdeningunandoleparaseguridadinformtica
Nosetienenrespaldosparalosprocesosgenerados
Nosecuentacondiagramasdelaarquitecturadered
Nosetieneprocesosparaaltaybajadeusuariosnicontroldecontraseas
No se tiene historial de ataques, fallas o procesos complejos de la antigua
administracin
Nosedeterminaseguridadnicontroldearchivoseinformacin
Basada en muchos otros aspectos se establece que no se cuentan con las polticas bases
para iniciar el proceso y control de los servicios de IT en la empresa porloquesedebede
iniciar la generacin de polticas, se determinan los problemas y recomendaciones en la
seccindelaevaluacinderiesgoparaelcumplimientodeestepunto.
Calificacindelaseveridad:
Tipo de Riesgo
Factor
Robo de hardware
Alto
Robo de informacin
Alto
Vandalismo
Medio
Medio
Virus Informticos
Medio
Equivocaciones
Medio
Accesos no
autorizados
Medio
Fraude
Bajo
Fuego
Muy Bajo
Terremotos
Muy Bajo
Calificacindeladificultadenelcambiopertinente
Bajo
Medio
Alto
BasadaenestaslistasdeCalificacionesseintegralasiguientelista,lacualcontiene
elanlisisderiesgodecadapuntoindicandoelproblemaencontradoyanexamosla
recomendacinparagenerarelcambionecesarioenelgirodenegocio.
1.Observacin:Nosecuentaconpolticasyprocedimientosdocumentadossobrelos
aspectosdeTIlocualaumentaelriesgodeprocesosnoalineadosalosobjetivosdel
negocio,quelosmiembrosdelstaffnoconozcancmorealizartareascrticasoviolaciones
alaspolticasdelaempresa,entreotros.
Recomendacin:EstablecerpolticasyprocedimientossobrelosaspectosdeTI.Definirlas
polticas,planesyprocedimientosdelosprocesosdeTIparaqueseandocumentados,
revisados,mantenidos,aprobados,almacenados,comunicadosyutilizadospara
entrenamiento.Asignarresponsabilidadesparacadaunadelasactividades.Asegurarque
seanaccesibles,correctas,entendidasyactualizadas.
Severidad:
Medio
Dificultaddelcambio:
Medio
2.Observacin:NosecuentaconunplanestratgicodeTI.Locualpuedesercausade
requerimientosnoidentificadosyresueltosporTI,ascomoplanesoproyectosno
alineadosconelnegocio,inversionesinnecesariasyplanesinconsistentesalas
expectativasynoenfocadasalasprioridadescorrectas.
Recomendacin:CrearunPlanEstratgicodeTIqueestablezcavisin,objetivosy
estrategiadeTI.LaplaneacinestratgicaesnecesariaparadirigirtodoslosrecursosdeTI
conlasprioridadesdelnegocioyseespecifiquenobjetivosconcisos,planesdeacciny
tareasqueestncomprendidastantoporelnegociocomoporTI.
Severidad:
Medio
Dificultaddelcambio:
Medio
3.Observacin:Noexisteplaneacinoidentificacinperidicadelasnecesidadesde
inversineninfraestructura,aplicaciones,informacinopersonallocualorigina
asignacionesinadecuadasdelosrecursosfinancierosdelasoperacionesdeTIyqueesta
nocumplaconlosobjetivosdelnegocio,ademsdeprdidadecontroldelaadministracin
enlasinversionesentecnologa.
Recomendacin:Establecerunprocesoparaelaboraryadministrarunpresupuestoque
reflejelasprioridadesestablecidasparaTI,incluyendocostosrecurrentesdeoperary
mantenerlainfraestructuraactual.Elprocesodebepermitirlarevisin,refinamientoyla
aprobacinconstantesparalasinversionesdeTI.
Severidad:
Medio
Dificultaddelcambio:
Medio
4.Observacin:ElJefedesistemasefectalascomprasnormalmenteaunsoloproveedor
sinrevisindecostobeneficiodelapropuesta,loquepuedeocasionarprdidasde
oportunidadesdeahorroofuncionalidadesparaelnegocio.
Recomendacin:EstablecerpolticayprocedimientoparaefectuarlascomprasdeTIenel
quesevalorenlaspropuestascostobeneficioporlomenosde3proveedores.
Severidad:
Medio
Dificultaddelcambio:
Medio
5.Observacin:ElproveedordeserviciosdeSupramaxnorespondealasnecesidadesde
laempresaentiempoyforma,nobrindalosserviciosdemaneraoportunayalcance
necesario.Nohaproporcionadosolucinparalageneracindeperfilesoelrastreodelas
operacionesqueseefectandentrodelsistema,generandoelriesgodelusoinadecuado
delsistemaporunaelevadaasignacindepermisos.
Recomendacin:Formalizarelcontratoquedefinalosacuerdosdeprestacindelservicio
conSupramax.Formalizardisponibilidad,confiabilidad,desempeo,capacidadde
crecimiento,nivelesdesoporte,planeacindecontinuidad,yseguridad,cambiosal
programa,fallas,actualizacionesyelmecanismodesancinencasodeincumplimiento.
Severidad:
Alto
Dificultaddelcambio:
Medio
6.Observacin:Nosecuentaconpolticadecontroldecambiosenelprograma
administrativo.Nohayevidenciadeloscambiossolicitadosalproveedor,sudescripcin,
impactoyniveldeautorizacinporpartedelaGerencia,locualpuedeoriginarquese
efectencambiosalprogramasinqueelnegociotengaconocimiento,oatentarcontrala
estabilidadointegridaddelambientedeproduccin.
Recomendacin:Definirunapolticadecontroldecambiosquepermitanobtenerevidencia
deloscambiosmayoresquesufreSupramaxyaquetodosloscambiossedebenregistrar,
evaluar,yautorizarprevioalaimplantacinyrevisarcontralosresultadosplaneados
despusdelaimplantacin.
Severidad:
Alto
Dificultaddelcambio:
Medio
7.Observacin:NoestdefinidounproyectoparalaimplementacindeContpaq.Nohay
unadefinicindefases,actividades,responsabilidades,fechascompromiso,etc.loque
ocasionalamaladefinicindelosobjetivosyporlotantodelosresultadosquedebebrindar
elprograma.
Recomendacin:Elaborarunplandeproyectoparalaimplementacindelprograma
Contpaq.Definirfasestalescomoiniciacin,planeacin,ejecucin,seguimientoycontroly
cierredondequedeespecificadoalcance,tiempo,calidad,personalyriesgosqueinvolucran
laimplantacindeunsistemacontable.
Severidad:
Alto
Dificultaddelcambio:
Bajo
8.Observacin:Nosecuentaconuncontroldelassolicitudesdesoporte,tiemposde
respuestayeficienciayeficaciadelasolucinprestadaporeldepartamentodesistemas.
Recomendacin:Establecerunmecanismodecontrolmanualoautomatizadoparael
seguimientoalassolicitudesdesoportedeldepartamentodesistemas.
Severidad:
Medio
Dificultaddelcambio:
Bajo
9.Observacin:Nosecuentaconlicenciaslegalesdelamayoradelsoftwarequees
utilizadoporlaempresa.Noexistenlicenciasdesistemaoperativodeservidores,sistemas
operativosdecomputadores,aplicacionesdeescritorio,antivirus,entreotros.Encasode
revisinporlaautoridadseaumentaelriesgodesanciones,ademsdelriesgodeprdida
deinformacinporfaltadeactualizacionesalossistemas.
Recomendacin:Realizaruninventariodetalladodelaslicenciasrequeridasporelnegocio.
Efectuarunanlisisdecostosyestablecerunplandeadquisicindelicenciamiento.
Severidad:
Alto
Dificultaddelcambio:
Medio
10.Observacin:Noexisteunadefinicinderolesyresponsabilidadesparaelpuestode
Jefedesistemas.Actualmentetieneasucargoapersonaldemantenimientoyactividades
operativasquepudierangenerarsituacionesderiesgo.
Recomendacin:DefinirelpuestodeJefedeSistemas.Definirsusresponsabilidadesy
valoraractividadesoperativasparasusupervisin.
Severidad:
Medio
Dificultaddelcambio:
Bajo
11.Observacin:Noexisteuncontrolparaelotorgamientodelosaccesosalos
dispensariospormediodetarjetasmagnticasy/oTags.Lastarjetasmagnticasnose
encuentranenunlugarseguro,noestninventariadas,noexisteregistrodesuasignacin.
Recomendacin:Segregarlacustodiadelastarjetas.Mantenerunregistrodelaasignacin,
generarunaresponsivadelmanejoyusodelastarjetasporpartedelosdespachadores.
Severidad:
Alto
Dificultaddelcambio:
Bajo
12.Observacin:Todoslosusuariosaccedenalsistemadecortesconelmismousuarioy
lamismacontrasea.
Recomendacin:Generarcuentasdeusuarioparacadaempleadoquerequieraaccederal
sistema,considerandosurolyresponsabilidadparaelotorgamientodepermisos,asicomo
mantenerunabitcoradealtasybajasdeusuarios.
Severidad:
Alto
Dificultaddelcambio:
Medio
13.Observacin:Losservidores,ruteador,firewallydemsdispositivosqueseencuentran
enelcentrodedatosnocuentanconlascondicionesadecuadas,talescomoseguridad,
clima,libresdepolvo,ventilacin,extinguidor,etc.Elcentrodedatosseencuentraenun
closetconaccesonorestringidoubicadofrentealpasilloprincipaldelaoficina,ademsde
encontrarsejuntoalaestacindegasolina.
Recomendacin:Implementarunaccesocontroladoalcentrodedatos.Instalarunidadde
climaytermostatoparamantenerlatemperatura.Darmantenimientopreventivoalos
dispositivos.Definireimplementarunplandecontinuidaddenegociosparalosaspectosde
TI.
Severidad:
Alto
Dificultaddelcambio:
Medio
14.Observacin:ElJefedesistemaseslanicapersonaqueconocelosusuariosy
contraseasconprivilegiodeadministradorparalosdispositivosdeinfraestructura
(antenas,ruteador,firewall)yservidores.
Recomendacin:Elaborarmemoriatcnicaqueincluyaentreotrascosas,lascuentasy
contraseasdeadministradordetodoslosdispositivosderedyservidores.Revisar
peridicamentequenohayancambiado.Revisarperidicamentelabitcoradeaccesosde
losdispositivos.
Severidad:
Alto
Dificultaddelcambio:
Bajo
15.Observacin:Laredenlaqueseencuentranlascomputadoras,eslamismareddonde
seencuentranlosdispensarios.
Recomendacin:Segmentarlacomunicacinentrelosdispositivosdelaredadministrativa
ylaredendondeseencuentranlosdispensariosparaevitarelriesgodeintrusinodaode
informacin.
Severidad:
Alto
Dificultaddelcambio:
Alto
16.Observacin:ElcdigofuentedelprogramadeValesydelapginaWebse
encuentrannicamenteenlacomputadoradelJefedeSistemasquefuequiendesarrollel
programa.
Recomendacin:Crearunrepositoriocentralparaalmacenarlosactivosinformticosque
gestionalaempresa.Implementarrespaldosdelainformacin.
Severidad:
Alto
Dificultaddelcambio:
Medio
17.Observacin:Noexisteregistrodepropiedadintelectualdeldesarrollodelapgina
WebyelprogramadeVales,desarrolladosambosporelJefedeSistemas,loqueaumenta
elriesgodequelosalgoritmosycdigosusados,lospuedautilizarenotraempresao
dependealtamentedelJefedeSistemasparalasactualizacionesencasodequela
personadejedeprestarsusservicios.
Recomendacin:Elaborarcontratosdepropiedadintelectualdelosdesarrollosencasa,
presentesyfuturos,paraencasodequelapersonaquedesarrollelprogramaabandone
laempresa,estanopierdaelderechosobreelcdigoparafuturasactualizacioneso
desarrollos.
Severidad:
Alto
Dificultaddelcambio:
Medio
18.Observacin:Nosecuentaconunambientededesarrolloypruebas.Loscambiosen
laprogramacinsepruebanenlacomputadoradelJefedeSistemasyseaplicanen
produccin,sinpasarporunprocesodeaceptacinyautorizacin.
Recomendacin:Crearambientesdedesarrolloypruebas,detalmanera,queloscambios
alosprogramasseanaprobadosantesdepasarlosalambienteproductivo.
Severidad:
Medio
Dificultaddelcambio:
Medio
19.Observacin:Elprogramaadministrativonocuentaconbitcoradeaccesooregistro
detransacciones.Estainformacinesnecesariosolicitarlaalproveedorparaquesea
enviadaalaempresa.
Recomendacin:Solicitarelcambioalproveedorparaqueenelprogramaexistauna
seccindondeseaposiblerevisarlosusuariosqueaccedieronalsistema.Quecontenga
fecha,hora,descripcindelasactividadesrealizadas,conelfindellevarunseguimientode
lastransaccionesefectuadasenelsistema.
Severidad:
Alto
Dificultaddelcambio:
Medio
20.Observacin:Noestgarantizadalaintegridaddelosarchivosdeinterfacedel
programadecortes.Losusuarioscopianypeganlosarchivosparaactualizarlosregistros.
Losarchivossoneditablesypuedensermodificadoseneltrnsito.
Recomendacin:Automatizarlatransmisindelosarchivosdeinterfacedelprogramade
cortesdetalmaneraquedejedeserunprocesomanualsujetoaerror.Enesta
programacinencriptarlainformacindetalmaneraquenoseamodificable.
Severidad:
Alto
Dificultaddelcambio:
Medio
21.Observacin:Noestgarantizadalaintegridaddelosarchivostextodeinterfaceentre
SupramaxylaaplicacinContpaq.Elarchivoparaplizadediarioydeingresoeseditabley
puedesermodificadoeneltrnsito.Alnoestargarantizadalaintegridaddelasinterfaces,
todoelsistemadeinformacinsehacevulnerableporquenosepuedegarantizarla
confiabilidaddelainformacinqueentraaotrossistemas.
Recomendacin:Automatizarlatransmisindelosarchivosdeinterfacedelprograma
Supramaxdetalmaneraquedejedeserunprocesomanualsujetoaerror.Enesta
programacinencriptarlainformacindetalmaneraquenoseamodificable.
Severidad:
Alto
Dificultaddelcambio:
Medio
22.Observacin:NosellevauncontroldelosarchivosXMLemitidosyrecibidos.Estos
archivossealmacenanlocalmenteenelarchivo.PSTdelOutlook.Estosarchivos.PSTno
sonrespaldadosporeldepartamentodesistemas.
Recomendacin:Designarunacuentadecorreoelectrnico,nicayexclusivamenteparala
recepcindearchivosXML.Automatizarlavalidacindelosarchivosycrearunrepositorio
centraldondeseanalmacenadosyaccesadosporelpersonalautorizado.Generar
respaldosdeestainformacin.
Severidad:
Medio
Dificultaddelcambio:
Medio
23.Observacin:Nohayunapolticadefinidaparaelprocesoderespaldosdela
informacin.LosrespaldosdelaaplicacinsealmacenanenelservidordeContabilidad
queseencuentraenelmismocentrodedatos.LosrespaldosdeContPaqserealizan
manualmenteysealmacenanensumismoservidor.Nohayunprocesodepruebasde
restauracin.
Recomendacin:Definirunpolticayprocedimientosderespaldosportipoyfrecuenciade
respaldos,incluyendoperiodosderetencin.Definirrequerimientosderespaldostalescomo
tipodeinformacin,intervalosderotacin,procedimientosdedestruccindemedios,copias
almacenadasfueradesitio.Definiralertasencasodefalladelrespaldo,procedimientosde
pruebasderestauracinparavalidacindeintegridaddelmedio.Definirdondesern
almacenadoslosrespaldosensitio,comogabinetesantifuego.
Severidad:
Alto
Dificultaddelcambio:
Alto
24.Observacin:VictorOrnelasalmacenaarchivosenlanubedeloscualesnicamentel
tieneusuarioycontrasealoqueaumentaelriesgodeinformacinfueradelnegociodela
cualnosetengacontrolosalidadeinformacinsensible.
Recomendacin:RestringirelaccesodelosusuariosaInternet.CrearHomeFolderspara
losusuarios,paraquealmaceneninformacinsensibledelaempresayquesean
respaldadosperidicamente.
Severidad:
Medio
Dificultaddelcambio:
Medio
25.Observacin:Nosecuentaconprocedimientosparaafrontarfallas,niseencuentran
priorizadoslosserviciosdeequipodecomputo,servidoresodispensariosparaser
recuperadosdeacuerdoalasnecesidadesdelnegocio.Nosecuentaconmecanismosque
asegurenlaoportunarecuperacindelosserviciosdeTIyexisteunaelevadadependencia
delJefedeSistemasencasodeunacontingencia.
Recomendacin:Elaborarunplandecontinuidaddenegocio,iniciandoconlaclasificacin
delosprocesoscrticosparadesarrollarplanesdecontinuidaddelosmismos.Elplandebe
basarseenlacomprensindelriesgo,delosimpactospotencialesdelnegocioycumplirlos
requisitosderesistencia,procesamientoalternativoycapacidadderecuperacindelos
serviciosdeTIcrticos.Tambindebencubrirloslineamientosdeusodefuncionesy
responsabilidades,losprocesosdecomunicacinyenfoquedepruebas.
Severidad:
Alto
Dificultaddelcambio:
Alto
26.Observacin:ElservidordeContpaqcuentaconunsolodiscoduro,sinconfiguracin
dearreglodediscosquelohagatoleranteafallas.Losdiscosdurosyengenerallos
componentesmecnicos,sonlosqueporsuusoesmsfrecuentequesedaen.Encaso
dealgndesperfectoseaumentaelriesgodeprdidadeinformacincrticaparael
negocio.
Recomendacin:Hacerunanlisisderiesgodelosdiferentesdispositivosparaelaborar
planesdecontingenciaencasodefallasdelosequipos.
Severidad:
Medio
Dificultaddelcambio:
Medio
27.Observacin:Nosecuentaconprocedimientosdealtas,bajasocambiosdelascuentas
deusuarioparalasaplicacionesosistemasoperativos,estoaumentaelriesgodeabrir
"puertas"alossistemasqueafectenlainformacindelnegocio.Encasodelascuentasno
dadasdeBajapuedenseguirsiendoutilizadassialgnusuarioconocesucontrasea,
generandoelriesgodequeseelimine,modifiqueodaeinformacin.
Recomendacin:Elaborarprocedimientosdealtas,bajasocambiosqueasegurenla
oportunaintegracinoretirodelosusuariosalosrecursostecnolgicosdelaempresa.
Severidad:
Medio
Dificultaddelcambio:
Medio
28.Observacin:TodoslosusuariosaccedenalsistemaSupramaxconprivilegiosde
administrador,debidoaquenosehandeclaradoperfiles.Losperfilesquetieneelsistema
noestndeacuerdoalasnecesidadesdelaempresayelproveedordeSupramaxnoha
creadolosperfilesadecuados.
Recomendacin:DardealtalosusuariosenSupramaxdeacuerdoalasfuncionesa
desempeardentrodelsistemaynootorgarprivilegiossuperioresalosnecesariospara
realizarsutrabajo.
Severidad:
Alto
Dificultaddelcambio:
Medio
4. Referencias
Catoira,F.(2013,Sep18).
Pruebasdepenetracinparaprincipiantes:explotandouna
vulnerabilidadconMetasploitFramework
.Retrievedfromhttp://revista.seguridad.unam.mx/:
http://revista.seguridad.unam.mx/numero19/pruebasdepenetraci%C3%B3nparaprincipia
ntesexplotandounavulnerabilidadconmetasploitfra
Garca,J.(2011,Nov26).
Ejemploauditoriainformatica.
Retrievedfrombuenastareas.com:
http://www.buenastareas.com/ensayos/EjemploAuditoriaInformatica/3184322.html
itsecurity.com.(2015,Jul29).
CreateYourOwnSecurityAudit
.Retrievedfrom
itsecurity.com:
http://www.itsecurity.com/features/itsecurityaudit010407/
Jackson,C.(2010).
NetworkSecurityAuditing.
(C.N.6256,Ed.)Indianapolis,IN,USA:
CiscoPress.
MENDOZA,M..(2014,Nov18).
CmoutilizarOpenVASparalaevaluacinde
vulnerabilidades
.Retrievedfromwelivesecurity.com:
http://www.welivesecurity.com/laes/2014/11/18/comoutilizaropenvasevaluacionvulnerabili
dades/
Seplveda,P.(2013,Ago19).
EscaneodeVulnerabilidadesconNmapyVulscan.
Retrieved
fromwww.youtube.com:
https://www.youtube.com/watch?v=gTtsItPZjFA
SEBASTINBORTNIK.(2013).Pruebasdepenetracinparaprincipiantes:5herramientas
paraempezar.20150730,deWeLiveSecuritySitioweb:
http://www.welivesecurity.com/laes/2013/07/29/pruebasdepenetracionparaprincipiantes
5herramientasparaempezar/
FERNANDOCATOIRA.(2012).PenetrationTest,enquconsiste?.20150730,deWe
LiveSecuritySitioweb:
http://www.welivesecurity.com/laes/2012/07/24/penetrationtestenqueconsiste/
MIGUELNGELMENDOZA.(2014).Laimportanciadeidentificar,analizaryevaluar
vulnerabilidades.20150731,deWeLiveSecuritySitioweb:
http://www.welivesecurity.com/laes/2014/11/12/identificaranalizarevaluarvulnerabilidades/
SiteSecurityHandbook.(1991).J.ReynoldsP.Holbrook.199107Sitioweb:
http://www.seguinfo.com.ar/politicas/riesgos.htm