ManualdeAuditora

UniversidadAutnomadeChihuahua
FacultaddeContadurayAdministracin
MaestraensoftwareLibre

SeguridadInformtica
Briano,Hike
Corts,Javier
Daz,Adrin
Rivera,JuanCarlos
Sosa,Esteban

M.A.LuisAlbertoGardea
JulioAgosto2015

Tabla de Contenido

1.Introduccin
1.1.Propsitodelafuncindeauditora
1.2.Misindelaauditora
1.3.Fijarlosobjetivosquesealcanzaran
1.4.Definirelalcance
2.Auditora
2.1.Accesoalossistemasquesernauditados
2.2.Obtenerelapoyodelpersonalparaqueapoyenaalcanzarlasmetasdela
auditora
2.3.Usartecnologaparaprobarloscontrolesdeauditora
2.3.1.Pruebasdepenetracin
2.3.2.Escaneodevulnerabilidad(OpenVas)
2.3.3.Revisindearquitectura(InventariodeSoftwareyHardware)
2.3.4.Revisindepolticas
2.3.4.1.Polticasdeseguridadinexistentes
2.3.4.2.Polticasdeseguridadexistentes
2.4.Evaluacinderiesgo
3.Anexos
3.1.Auditorageneradaaempresadedicadaalexpendiodegasolinaydiesel
3.2.ResumenyPlanteamientodelProblema
3.2.1.Proceso
3.2.2.Generacin
3.2.2.1.Pruebasdepenetracin
3.2.2.2.Escaneodevulnerabilidad
3.2.2.3.Revisindearquitectura
3.2.2.4.Revisindepolticas
3.2.3.EvaluacindeRiesgoyRecomendaciones
3.2.3.1.Listadepuntoscrticos
4.Referencias

1. Introduccin

Laauditoraeselpasofinalenelprocesodeseguridaddelainformacin.Despus
deidentificarelestadodeseguridaddelainformacindentrodeunaorganizacin,la
creacindelaspolticasapropiadasyprocedimientos,implementacindecontrolestcnicos
ylacapacitacindelpersonal.

Laintencindeestedocumentoesproporcionarlospasosyherramientas
necesariasfundamentalesparapoderejecutaroconducirunaauditorabsicaacualquier
girodeempresa.

1.1. Propsito de la funcin de auditora

Lafuncindelaauditoratienecomopropsitoasegurarsedequeloscontroles
estnconfiguradoscorrectamenteconrespectoalapoltica.

1.2. Misin de la auditora

Asegurarsequelaspolticasestablecidasseestnllevandoacabocorrectamentey
llevarunabitcoradondesereflejecualquieranomalaqueseencuentrepara
posteriormentegenerarloscambiosnecesarios.

1.3. Fijar los objetivos que se alcanzaran

Evaluacindeposiblesvulnerabilidades
Contrarrestarlasvulnerabilidades
DetectarposiblesfallasenelreadeseguridadenIT
Reaccionarparalacontinuidaddelnegocio
Contarconlosprocesosnecesariospararecuperarsedecualquierataquegenerado

1.4. Definir el alcance

Estableceremosunaauditorabsicalacualesunarevisindecmoestla
seguridaddentrodelaorganizacin.Seestablecenescaneosdevulnerabilidad,se
generarnlistasdeproblemasdeseguridadparaseranalizadosposteriormente.

2. Auditora
2.1. Acceso a los sistemas que sern auditados

Generarlistadesistemascandidatosaserauditados
Definirhorarioenelcualseauditanlossistemasseleccionados
Contarconusuarioycontraseaparaingresaradichossistemasyredesinternas
Firmadeconsentimientoparaaccesoainformacinconfidencial

2.2. Obtener el apoyo del personal para que apoyen a alcanzar las metas
de la auditora

Establecerloscontactospertinentesdecadadepartamentoinvolucradoenel
procesodelaauditora.Sedebercontarconnombre,telfonoycorreoelectrnico.
Accesototalalasinstalacionesaauditar.
Establecimientodeconcientizacinsobrelosobjetivosconlaaltagerenciadela
empresaaauditarparacontarconelapoyoincondicionaldelosempleados
involucradosenlaauditora.Astambin,paralosposiblescambiosnecesariosen
cadadepartamentoquesepuedanidentificar.

2.3. Usar tecnologa para probar los controles de auditora

Dentro de un proceso de auditora es necesario apoyarse de latecnologaparaque

nos ayuden a identificar las posibles vulnerabilidades que pueda tener una organizacin y
que puedan ser explotadas por algn atacante, estetipodetareassepuededefinircomoel
Proceso de hacking tico para identificar qu incidentes podran ocurrir antes de que
sucedan(Bortnik2013).

Es de suma importancia detectar las posibles vulnerabilidades para poder repararo

mejorar los sistemas y as prevenir o disminuir el impacto que pueda haber por parte de
algnataque.

2.3.1. Pruebas de penetracin

Una prueba de penetracin consiste enrealizar ofensivascontralosmecanismosde

defensa contra el sistema que ser analizado, este tipo de pruebas es importante porque
nos permite detectar vulnerabilidades, por otro lado tambin sepuedenidentificarfallasde
control y las brechas que puedan existir entre la informacin crtica y los controles
existentes(Catoira2012).

Para llevar a cabo las pruebas de penetracin es necesario que consideremos

algunasetapas:

1. Etapa de reconocimiento
: Recopilar informacin del sistema que es el objetivo de
lapruebadepenetracin.
2. Etapadeescaneo
:Enestaetapasehaceelescaneodepuertosyservicios
3. Etapadeenumeracin
:Serealizanconexionesactivasconelsistemayseejecutan
consultas.
4. Etapa de acceso
: En esta etapa se realiza el acceso al sistema mediante la
explotacindevulnerabilidades.
5. Etapa de mantenimiento de acceso
: Mantener el acceso al sistemaperdurableen
eltiempo.

Para las pruebasdepenetracinseutilizar elframeworkMetasploitCommunityque

viene incluido en la distribucin de linux Kali. Metasploit tiene una de las colecciones
pblicas ms grandes de exploits en el mundo, puedes elegir un exploit para uno o ms
dispositivos dentro de la red, est integrado con nmap, adems de ser una herramienta
gratuita entremuchascaractersticasms. Sinmsprembulosexplicaremoscomorealizar
estetipodepruebasconMetasploit.

1. EncenderlamquinavirtualdeKali
2. Una vez dentro de Kali nos aseguramos de que el serviciodePostgresyMetasploit
estn corriendo, para esto corremos los siguientes comandos dentro de una
terminal:

# service postgresql start

# service metasploit start

3. Una vez que los servicios de Postgres y Metasploit estn corriendo es necesario
acceder a la consola de Metasploit, ejecutamos el siguiente comando dentro de la
consola:

# msfconsole

4. Resultadodelcomandoessimilaralsiguiente:

5. Una vez dentro de la consola de Metasploit procedemos a recopilar informacin de

nuestro objetivo, para esto nos apoyaremos de la herramienta nmap y lo haremos
usandoelsiguientecomando:

# db_nmap {ip objetivo} -p {puerto inicial}-{puerto final}

6. Resultado del comando es similar al siguiente y contiene los servicios que fueron
detectados dentro de los puertos, adems de que los resultados son almacenados
enunabasededatos:

7. Parapoderverlalistadedispositivosquehansidoescaneadosseutilizael siguiente
comando:

# hosts

8. Lalistadedispositivosesdesplegada

9. Con la ayuda del comando

services nos muestra la listadeserviciosquehansido
detectados.

10. Por otro lado el comando vulns nos describe las vulnerabilidades que fueron
encontradas.

# vulns

11. Hasta este punto no tenemos mucha informacin de los servicios, como sus
versiones, etc. Para esto corremos el siguiente comando donde la sV hace
referenciaalaversindelservicio.

# db_nmap -sV {ip objetivo} -p {puerto inicial}-{puerto final}

12. Resultado del comando, donde podemos ver que las versiones de los servicios
aparecenahora:

13. Si ejecutamos nuevamente el comando

services nos desplegar las versiones de
losserviciosparaeldispositivoescaneado.

14. Una vez que reunimosinformacinreferentealosserviciosprocedemosa buscar un

exploit adecuado para el servicioquedecidamos explotar.Enestecasobuscaremos
atacarelservicioFTP,parabuscarloutilizamoselcomandosiguiente:

# search ftp

15. El resultado nos muestra la lista de los exploits que podemos usar as como su
descripcin,elresultadoesalgosimilaralsiguiente:

16. Para
este
ejemplo
utilizaremos
el
exploit
exploit/unix/ftp/vsftpd_234_backdoor
yloutilizamosdelasiguientemanera:
#use
exploit/unix/ftp/vsftpd_234_backdoor

17. Unavezseleccionadoelexploitausar,laterminalsemostrardelasiguienteforma:

18. Para poder ejecutar un exploit es necesario cubrir ciertosparmetrosen algunosde

los casos, para verificar si el exploit seleccionado necesita que se configuren
algunosparmetrosusamoselsiguientecomando:

# show options

19. El resultado nos muestra las opciones disponibles para este exploit, para este caso
es requeridoseleccionar eldispositivoyelpuerto,dadoqueenestecasousamosun
exploit que tiene como objetivo el servicio FTP, el puerto 21 esta seleccionado por
defecto.

20. Es necesario ingresar el dispositivo que ser el objetivo, para eso utilizamos el
siguientecomando:

# set RHOST 192.168.1.72

21. Si volvemos a consultar las opciones podremos ver que el IP del objetivo est
configurado.

22. El siguiente paso es elegir un payload, que es una secuencia de instrucciones que
se van a ejecutar una vez que se haya explotado una vulnerabilidad. Para mostrar
lospayloadsdisponiblescorremoselsiguientecomando:
# show payloads

23. Lalistadepayloadsdisponiblesdentrodelexploitseleccionadoesdesplegada:

24. Paraestablecerelpayloadlohacemosconelsiguientecomando:

# set payload cmd/unix/interact

25. Al igual que con los exploits, los payloads tambin reciben parmetros, en el caso
del payload seleccionado no requiere dealguno,peroparadesplegarlosejecutamos
elsiguientecomando:

# show options

26. Una vez configurado proseguimos a hacer la explotacin, para esto simplemente
ejecutamoselsiguientecomando:

# exploit

27. El resultado de explotar esta vulnerabilidad nos da en este caso acceso al sistema
operativoquehasidoexplotado.

28. De igual forma se puede proseguir a buscar vulnerabilidades de otros servicios

utilizandolosexploitsdisponibles.

2.3.2. Escaneo de vulnerabilidad (OpenVas)

1. EncenderlamquinavirtualdeKali
2. Una vez dentro de Kali accedemos a laconfiguracininicial(Slo laprimeravez)de
OpenVas,siguiendolarutadentrodelmencomoseindicaacontinuacin:

Applications Kali Linux Vulnerability Analysis OpenVAS openvas initial

setup

3. Una vez que la configuracin inicial se ha realizado nos mostrar el usuario y

contrasea del administrador,lacualpodrsercambiadaunavezqueaccedemosal
sistema, ahora iniciaremos el servicio de OpenVas, siguiendo la ruta dentro del
mencomoseindicaacontinuacin:

ApplicationsKaliLinuxVulnerabilityAnalysisOpenVASopenvasstart


4. Una vez iniciado el servicio abrimos el buscador e ingresamos la direccin
https://localhost:9392
la cual nos llevara a la pantalla de login de OpenVAS web
dondeingresamosconelusuarioycontraseaproporcionados.

5. Una vez que hayamos ingresado nos desplegar la pgina de inicio como se
muestraenlasiguienteimagen.

6. Acontinuacinseleccionamoslapestaade
configuracinydespus
target,quenos
muestralapantallasiguiente.

7. Una vez que nos encontramos en la seccin de

targets seleccionamos el icono
cuadrado que contiene una estrella, se encuentra sobre elencabezadodeTargets
a un lado del icono del signo de interrogacin que nos llevar hacia la seccin de
NewTargetdondeagregaremos elobjetivoenelquebuscaremosvulnerabilidades.
En esta seccin podremos agregarundispositivoolistadedispositivosdentrodeun
archivo de texto, aqu registramos los datos del o los dispositivos a escanear y
presionamosCreateTarget.


8. UnavezcreadoelTargetnosdespliegalosdetallesdelnuevoobjetivo

9. A continuacin nos dirigimos a la pestaa Scan Management donde creamos una

tarea nueva (Task), de igual forma seleccionamos en esta nueva seccin el icono
cuadradoquecontieneunaestrellaquenosllevaalaseccindeNewTask.

10. Ingresamos los datos necesarios para el escaneo segn convenga y presionamos
CreateTask,acontinuacinnosdesplegarlosdetallesdelatarea.

11. A continuacin cambiamos la opcion que dice No autorefreshaRefreshevery10

sec para poder ver el Status en el que va la tarea, posteriormente iniciaremos el
escaneo presionando el icono Play, la tarea empezar a ejecutarse hasta que el
Status cambie a Done, de igual manera el apartado de Reports se actualiza y
agregaunnuevoreport.


12. Presionamos en el nmero que se encuentra en Reports, para este caso es el
nmero uno dado que solo hemos realizado un solo escaneo. Esta accin nos
despliegalalistadereportesgeneradosenestatarea:

13. Presionamos sobre la fecha del escaneo o bien sobre el nombre de la tareaparael
reportequedeseamosver,estonosdesplegaralosdetallesdelreporte.

14. Este reporte nos muestra queseencontraron3vulnerabilidades,siendolaprimeray

segunda de severidad media, con 5.0 y 4.9 de evaluacin respectivamente, as
como una tercera de severidad baja con una puntuacin de 2.6. Si se selecciona
alguna de las vulnerabilidades nos muestra los detalles de la vulnerabilidad, as
comoelimpactoqueestatiene,ademsdeproveernosdeunasolucin.

15. Como se ha visto, es sencillo hacer un escaneo de los dispositivos, ya seaunoala

vez o una lista de ellos. De igual forma es fcil saber como solucionar las
vulnerabilidades.

2.3.3. Revisin de arquitectura (Inventario de Software y Hardware)

Esdesumaimportanciaparacualquierempresa,teneruncontrolapropiadodesus
recursosdehardwareysoftware.Sinuncontrolapropiado,seexponelaseguridaddelos
dispositivosquecoexistenenunaredempresarialycomoconsecuenciadeesose
comprometelaintegridaddelainformacinqueviaja,seprocesay/oalmacenaatravsde
ellos.

Paralograrefectivamenteelmonitoreodelosrecursosdehardwareysoftwaredela
empresaencuestin,esnecesariocontarconunmtodoosistemaquepermitasatisfacer
lasnecesidadesdeinventariodesoftwareyhardwaredeunamaneracentralizada,que
requieradepocainteraccinhumanayquepermitaalertaragenteclavedecambiosenel
ecosistemainformticodelaempresadeunamanerarpida,organizadayoportuna.

PorlocualseproponeentonceselusodelaherramientaOCSInventory.Dichaherramienta
sirvebajoelesquemadeclienteservidor.Dondeseinstalaunclienteencadadispositivoel
cualsepretendemonitorearporsuhardwarey/osoftware,mismoqueenviardatos
detalladosdelhardwareysoftwareencontradosaunservidorcentralquerecopilay
almacenadichainformacinparadespustenerlaaccesibleparalosadministradoresde
dichosequipos.Esunasolucinmultiplataforma,locualsignificaqueescompatibleconla
mayoradelossistemasoperativosbasadosenUnix(MacyLinux)ycontodoslossistemas
operativosbasadosenMicrosoftWindows.

2.3.4. Revisin de polticas

Lasorganizacionesdebenrealizarunarevisininicialdesusituacinactual,paramanejar
lagestinencontrolySeguridad.Elpropsitodeestarevisinesdarinformacinque
influyaenlasdecisionessobreelalcance,idoneidadeimplementacindelsistemaactual,
ascomoproporcionarunabaseapartirdelacualsepuedamedirsuprogreso.Las
revisionesinicialesdeestadodebenresponderalapregunta:Dndeestamosahora?

No se trata de una descripcin tcnica de mecanismos de seguridad, ni de una expresin

legal que involucre sanciones a conductas de los empleados. Es ms bien unadescripcin
deloquesedeseaprotegeryelporqudeello.

Es por eso que se determina revisar si la empresa cumple o ya contiene polticas de

seguridaddeterminandoasdosaspectosarevisarloscualesseespecificanacontinuacin:

2.3.4.1. Polticas de seguridad inexistentes

Al momento degenerarlaauditoraynoencontrarningunapoltica establecidasemenciona

generar las polticas bsicas para poder tener un punto base e iniciar el proceso de
proteccin a la informacin que es identificada como crtica e importante para el giro de
negocio,siendoaslossiguientespolticassonrecomendadasparainiciaresteapartado:

PolticasdeAccesoyProteccinFsica
PolticasdeInstalacinycontroldeequipodecomputo
PolticasdeRespaldos
PolticasdeRecursosyUsodelosUsuarios
PolticasdeSeguridad(Red,Servidores,CorreoElectrnico,BasesdeDatos)
PolticasdeUsodeserviciosdeRed
PolticasdeControldeUsuarios(Accesos,AltasyBajas)
PolticasdeSeguridadPerimetral(IDS,IPS,FireWall,VPN,Internet,WiFi,Antivirus)
PolticasdeContingencias

2.3.4.2. Polticas de seguridad existentes

Sisecuentaconpolticasdeseguridadcubriendoaspectosdeinformticasedeberrevisar
afondocadaunadeellasparaverificarsisecumplenconlosaspectosgeneralesdelas
polticasylasnormatividadessegnlosrequisitosdelaorganizacinylasregulacionesy
leyesvigentesbasadasenelgiroenqueseencuentralaempresa.

Revisandoquelaspolticascumplanconlossiguientesobjetivos:
Reducirlosriesgosaunnivelaceptable.
Garantizarlaconfidencialidad,integridad,disponibilidad,privacidaddela
informacin.
CumplirconlasLeyesyReglamentacionesvigentes

Revisarquelapolticacontengalossiguientespuntosbiendefinidos:
Identifiqueyevalelosactivos:Quactivosdebenprotegerseycmoprotegerlosde
formaquepermitanlaprosperidaddelaempresa:
Hardware:terminales,estacionesdetrabajo,procesadores,teclados,
unidadesdedisco,computadoraspersonales,tarjetas,router,impresoras,
lneasdecomunicacin,cableadodelared,servidoresdeterminales,
bridges.
Software:sistemasoperativos,programasfuente,programasobjeto,
programasdediagnstico,utileras,programasdecomunicaciones.
Datos:durantelaejecucin,almacenadosenlnea,archivadosfueradelnea,
backup,basesdedatos,entrnsitosobremediosdecomunicacin.
Personas:usuarios,personasparaoperarlossistemas.
Documentacin:sobreprogramas,hardware,sistemas,procedimientos
administrativoslocales.
Identifiquelasamenazas:Culessonlascausasdelospotencialesproblemasde
seguridad?Considerelaposibilidaddeviolacionesalaseguridadyelimpactoque
tendransiocurrieran.Estasamenazassonexternasointernas:
Amenazasexternas:Seoriginanfueradelaorganizacinysonlosvirus,
intentosdeataquesdeloshackers,retaliacionesdeexempleadoso
espionajeindustrial.
Amenazasinternas:Sonlasamenazasqueprovienendelinteriordela
empresayquepuedensermuycostosasporqueelinfractortienemayor
accesoyperspicaciaparasaberdnderesidelainformacinsensiblee
importante.
Evalulosriesgos:Debecalcularselaprobabilidaddequeocurranciertossucesosy
determinarculestienenelpotencialparacausarmuchodao.Elcostopuedeser
msquemonetario,sedebeasignarunvaloralaprdidadedatos,laprivacidad,
responsabilidadlegal,etc.
Asignelasresponsabilidades:Seleccioneunequipodedesarrolloqueayudea
identificarlasamenazaspotencialesentodaslasreasdelaempresa.Los
principalesintegrantesdelequiposeraneladministradorderedes,unasesor
jurdico,unejecutivosuperioryrepresentantesdelosdepartamentosdeRecursos
HumanosyRelacionesPblicas.

Establezcapolticasdeseguridad:Creeunapolticaqueapuntealosdocumentos
asociadosparmetrosyprocedimientos,normas,ascomoloscontratosde
empleados.Estosdocumentosdebentenerinformacinespecficarelacionadacon
lasplataformasinformticasytecnolgicas,lasresponsabilidadesdelusuarioyla
estructuraorganizacional.Deestaforma,sisehacencambiosfuturos,esmsfcil
cambiarlosdocumentossubyacentesquelapolticaensmisma.
Implementeunapolticaentodalaorganizacin:Lapolticaqueseescojadebe
establecerclaramentelasresponsabilidadesencuantoalaseguridadyreconocer
quineselpropietariodelossistemasydatosespecficos.stassonlastrespartes
esencialesdecumplimientoquedebeincluirlapoltica:

Laspolticasdebencontarconestospuntosimportantesparaasegurarquesecumplan
segnsuintencindeproteccin:

Cumplimiento:Indiqueunprocedimientoparagarantizarelcumplimientoylas
consecuenciaspotencialesporincumplimiento.
Funcionariosdeseguridad:Nombreindividuosqueseandirectamente
responsablesdelaseguridaddelainformacin.
Financiacin:Asegresedequeacadadepartamentoselehayaasignado
losfondosnecesariosparapodercumpliradecuadamenteconlapolticade
seguridaddelacompaa.

Revisarquelaspolticascumplanconellineamientoestndardeimplementacin
cumpliendolospuntossiguientes:

Eldocumentodelapolticadeseguridaddelainformacindebeenunciarelcompromisode
lagerenciayestablecerelenfoquedelaorganizacinparamanejarlaseguridaddela
informacin.Eldocumentodelapolticadebieracontenerenunciadosrelacionadoscon:
Unadefinicindeseguridaddelainformacin,susobjetivosyalcancegeneralesyla
importanciadelaseguridadcomounmecanismofacilitadorparaintercambiar
informacin.
Unenunciadodelaintencindelagerencia,fundamentandosusobjetivosylos
principiosdelaseguridaddelainformacinenlneaconlaestrategiaylosobjetivos
comerciales
Unmarcoreferencialparaestablecerlosobjetivosdecontrolyloscontroles,
incluyendolaestructuradelaevaluacindelriesgoylagestinderiesgo
Unaexplicacinbrevedelaspolticas,principios,estndaresyrequerimientosde
conformidaddelaseguridaddeparticularimportanciaparalaorganizacin,
incluyendo:conformidadconlosrequerimientoslegislativos,reguladoresy
restrictivos,educacin,capacitacinyconocimientodeseguridad,gestindela
continuidaddelnegocio,consecuenciasdelasviolacionesdelapolticade
seguridaddelainformacin
Unadefinicindelasresponsabilidadesgeneralesyespecficasparalagestindela
seguridaddelainformacinincluyendoelreportedeincidentesdeseguridaddela
informacin

Referenciasaladocumentacinquefundamentalapolticaporejemplo,polticasy
procedimientosdeseguridadmsdetalladosparasistemasdeinformacin
especficosoreglasdeseguridadquelosusuariosdebieranobservar.
Estapolticadeseguridaddelainformacinsedeberacomunicaratravsdetoda
laorganizacinalosusuariosenunaformaquesearelevante,accesibley
entendibleparaellectorobjetivo.

Comopuntofinalsehacelasugerenciaquecomobaseparaactualizaroimplementar
nuevaspolticas,seutilicenlostemplatessugeridosporSANS,loscualesseencuentranen
supginaweb
http://www.sans.org/securityresources/policies/
.Unavezestablecidauna
baseslidaencuantoapolticas,verificarsilaspolticasestnsiendorevisadasaintervalos
detiempoplaneadososiocurrencambiossignificativosquelaspolticasestnsiendo
actualizadasparaasegurarsucontinuaidoneidad,eficienciayefectividad.

2.4. Evaluacin de riesgo

Una vez terminado todos los procesos de la auditora tomamos los resultados y lo
consolidamospararevisindecadapuntodetectado.

El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de que ocurran

cosasnegativas.
Se debe poder obtener una evaluacin econmica del impacto de estos sucesos.
Estevalorsepodrutilizarparacontrastarelcostodelaproteccindelainformacin
enanlisis,versuselcostodevolverlaareproducir(reproducir).
Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas
posibles. De esta forma se pueden priorizar los problemas y su coste potencial
desarrollandounplandeaccinadecuado.
Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con los
costos en los que se incurren seobtenganbeneficiosefectivos.Paraestosedeber
identificar los recursos (hardware, software, informacin, personal, accesorios, etc.)
conquesecuentaylasamenazasalasqueseestexpuesto.

La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma

personalizada para cada organizacin pero se puede presuponer algunas preguntas que
ayudan en la identificacin de lo anteriormente expuesto como las bsicas para tener un
inicio:

"Qupuedeirmal?"
"Conqufrecuenciapuedeocurrir?"
"Culesseransusconsecuencias?"
"Qufiabilidadtienenlasrespuestasalastresprimeraspreguntas?"
"Se est preparado para abrir las puertasdelnegociosin sistemas,por unda,una
semana,cuantotiempo?"
"Culeselcostodeunahorasinprocesar,unda,unasemana...?"

"Cunto, tiempo se puede estar offline sin que los clientes se vayan a la
competencia?"
"Setieneformadedetectaraunempleadodeshonestoenelsistema?"
"Setienecontrolsobrelasoperacionesdelosdistintossistemas?"
"Cuantas personas dentro de la empresa, (sin considerar su honestidad), estnen
condicionesdeinhibirelprocesamientodedatos?"
"Aquesellamainformacinconfidencialy/osensitiva?"
"Lainformacinconfidencialysensitivapermaneceasenlossistemas?"
"La seguridad actual cubre los tipos de ataques existentes y est preparada para
adecuarsealosavancestecnolgicosesperados?"
"Aquienselepermiteusarquerecurso?"
"Quin es elpropietariodelrecurso?yquineselusuarioconmayoresprivilegios
sobreeserecurso?"
"Cules sern los privilegios y responsabilidades del Administrador vs. la del
usuario?"
"Cmoseactuarsilaseguridadesviolada?"
Unavezobtenidalalistadecadaunodelosriesgosseefectuarunresumendeltipo:

Tipo de Riesgo

Factor

Robo de hardware

Alto

Robo de informacin

Alto

Vandalismo

Medio

Fallas en los equipos

Medio

Virus Informticos

Medio

Equivocaciones

Medio

Accesos no autorizados

Medio

Fraude

Bajo

Fuego

Muy Bajo

Terremotos

Muy Bajo

Segn esta tabla habr que tomar las medidas pertinentesdeseguridadparacadacasoen

particular,cuidandoincurrirenloscostosnecesariossegnelfactorderiesgorepresentado.
1. Nivelesderiesgo
2. IdentificacindeAmenaza
3. EvaluacindeCostos

3. Anexos
3.1. Auditora generada a empresa dedicada al expendio de gasolina y
diesel
3.2. Resumen y Planteamiento del Problema

Estableceremos el proceso de auditora en al rea de seguridad informtica en el

departamentodeITenempresadedicadaalexpendiodegasolinaydiesel.

La distribuidora es una empresa 100% Mexicana, siendo esta una divisin de

Gasolineras que est formada por 7 sucursales ubicadas en diferentes partes de Ciudad
JurezChihuahuaMxico.

Cuentan con venta de Disel, Gasolina en sus versiones Magna y Premium as

comoaceitesylubricantes,ofreciendolamejorcalidadenservicio.

Al establecer en el reciente ao del 2014 se gener un cambio de directivos y

dueos generando una nueva administracin, al iniciar este nuevo proceso se determin
una gran ausencia de control de informacin y reglamento adecuado para mantener los
servicios en un alto nivel de funcionalidad y confiabilidad debido a esto se estableci
basada en una nueva administracin generar una auditora para establecer las
vulnerabilidadesenelreadeITyelmanejoseguroyconfiabledelainformacin.

Dada esta iniciativa se tom como referencia el grupo de ingenieros en el rea de

sistemas computacionales e informtica de la Universidad Autnoma de Chihuahua en la
facultad de Contadura y Administracin para generar una auditora bsica establecida por
el Manual de Auditora del grupo de Seguridad Informtica en el rea de estudio de la
Maestra en Software Libre, dando as un punto de referencia y anlisis de riesgo para
establecer en qu punto de seguridad se encuentra y generar los cambios pertinentes
segnlasrecomendacionesproporcionadasalaempresa.

3.2.1. Proceso

Se entablo como primer paso una junta directivaconelpersonalde altagerenciade

de la empresa para determinar los puntos principales yestablecerelapoyoaestaauditora
comoaccesoasucursalesyreasdecapturadeinformacin.

Generando as la auditoraparaestablecerlasmetasyobjetivosarealizaryaquese
espera poder mejorar considerablemente cada aspecto del giro del negocio y proporcionar
mayor confiabilidad y seguridad a sus procesos, mostrando la gerencia plena confianza y
apoyoparapoderiniciarygenerarcadatrmitenecesario.

Se estableci contacto con el departamento de IT con el encargado principal del

rea de informtica de la empresa, estableciendo as los usuarios, contraseas y accesoa
sucursalesyoficinas,conexionesaredlocalesyelapoyonecesarioparalosprocesos.

Latecnologaqueutilizamosfuebasadaenlosiguiente:
Pruebasdepenetracin(Metasploit)
Escaneodevulnerabilidades(OpenVas,NMap)
RevisindeArquitectura(NagiosparaInventariodeSoftwareyHardware)

3.2.2. Generacin
3.2.2.1. Pruebas de penetracin

Las siguientes pruebas se aplicaron al router principalascomoalosprincipalesservidores

conlassiguientesdireccioneslocales:

SonicWall192.168.1.1
Servidordearchivos192.168.1.3
Servidordeaplicaciones192.168.1.4
ServidorVirtualweb192.168.1.8

Comando
# db_nmap {ip objetivo} -p {puerto inicial}-{puerto final}

# db_nmap 192.168.1.1 -p 1-65535

# db_nmap 192.168.1.3 -p 1-65535

# db_nmap 192.168.1.4 -p 1-65535

# db_nmap 192.168.1.8 -p 1-65535

Comando
# hosts


Comando#Services

Comando
# vulns


Comando
# db_nmap -sV {ip objetivo} -p {puerto inicial}-{puerto final}
# db_nmap sV 192.168.1.1 -p 1-65535

# db_nmap sV 192.168.1.3 -p 1-65535

# db_nmap sV 192.168.1.4 -p 1-65535

# db_nmap sV 192.168.1.8 -p 1-65535

Comando #services

Una vez que reunimos informacinreferentealosserviciosprocedemosa buscar unexploit

adecuadoparaelservicioquedecidamosexplotar.

En este caso buscaremos atacar el servicio SMB identificado como vulnerabilidad en el

escaneoconelpuerto445,parabuscarloutilizamoselcomandosiguiente:

#searchsmb


El resultado nos muestra la lista delosexploitsque podemosusarascomosudescripcin,
elresultadoesalgosimilaralsiguiente:

Para este ejemplo utilizaremos el exploit

exploit/windows/smb/ms08_067_netapi y
son el comando show options podemos ver cuales son los requerimientos lo
utilizamosdelasiguientemanera:

El resultado nos muestra las opciones disponibles para este exploit, para este caso es
requerido seleccionar el dispositivo y el puerto, dado que en este caso usamos un exploit
quetienecomoobjetivoelservicioSMB,elpuerto445estseleccionadopordefecto.

Es necesario ingresar el dispositivo que ser el objetivo, para eso utilizamos el siguiente
comando:

Se selecciona el payloads windows/adduser, que es unasecuenciadeinstruccionesquese

vanaejecutarunavezquesehayaexplotadounavulnerabilidadparapoderexplotarla
Si volvemos a consultar lasopcionespodremosverqueelIPdelobjetivoestconfiguradoy
losrequerimientossegnelpayloadqueseleccionamos.

El payload seleccionado nos requiere EXITFUNC este se queda por default, PASS donde
configuramos la contrasea deseada, USER nombre de usuario y WMIC que tambin lo
dejamospordefaultyloprogramamosdelasiguientemanera.

Una vez configurado proseguimos a hacer la explotacin, para esto simplemente

ejecutamoselsiguientecomando:

# exploit

Una vez ejecutada podemos verificar que el usuario se agreg satisfactoriamente ya que
tenemosaccesoalservidor.

3.2.2.2. Escaneo de vulnerabilidad

Para esta prueba utilizaremos la aplicacin OpenVas explicada anteriormente la cual nos
muestralossiguientesresultadosaplicadosalservidorparalaspruebasdepenetracin.

1. AgregamoselTargetyobservamoseldetalle.

2. Generamoslanuevatarea.

3. EjecutamosTareayobservamosavance.

4. Unavezterminadalatareaentramosaobservarlosreportesgenerados.

5. En este caso nos enfocamos en la vulnerabilidad de SMB Login para nuestras

pruebas de penetracin e intentar crear un usuario en el servidor para acceder con
credenciales.

3.2.2.3. Revisin de arquitectura

Se percat que se tiene implementado el software OCS Inventory NG en la empresa el

cual se procedi a revisar la implementacin, que aunque faltan dispositivos de agregarse
pretende llevar el control de todos los dispositivos conectados a la red Gaso Mex, con la
facilidad del programa de observar el software utilizado en estos dispositivos el cual nos
arrojolossiguientesresultados:

3.2.2.4. Revisin de polticas

Iniciando en la antigua administracin no se contaba con polticas deseguridadinformtica

generando muchas vulnerabilidades y procesosmalejecutados,aligualelequipodeITque
se encontraba en el momentonotena ningn control yeraunamuymalaadministracinde
recursosyprocesos.

Aunado a esto los sistemas y aplicaciones ejecutadas por el giro de negocio no eran las
apropiadas y no se contaban con las licencias requeridas, el momento de establecer el
cambio de dueos y traspaso de un equipo de informtica a otro provoc un problema
extenso en la continuidad de negocio, siendo quenosecontabacontodalainformacinde
problemas,solucionesylicenciamiento.

Se determin que no se contaba con ningn tipo de respaldo, diagramas deconectividady

conexionesderedyaseaLANyWAN.

Al momento de la auditora se revisaron los procesos generados en el negocio y se

establecilosiguiente:

Nosecuentanconpolticasdeningunandoleparaseguridadinformtica
Nosetienenrespaldosparalosprocesosgenerados
Nosecuentacondiagramasdelaarquitecturadered
Nosetieneprocesosparaaltaybajadeusuariosnicontroldecontraseas
No se tiene historial de ataques, fallas o procesos complejos de la antigua
administracin
Nosedeterminaseguridadnicontroldearchivoseinformacin

Basada en muchos otros aspectos se establece que no se cuentan con las polticas bases
para iniciar el proceso y control de los servicios de IT en la empresa porloquesedebede
iniciar la generacin de polticas, se determinan los problemas y recomendaciones en la
seccindelaevaluacinderiesgoparaelcumplimientodeestepunto.

3.2.3. Evaluacin de Riesgo y Recomendaciones

Se establecen los siguientes puntos encontrados durante la auditora, en las cuales

se identifica el problema y se determina la recomendacin para mejorar el proceso en el
negocio, indicando una calificacin sobre la severidad y se establece un nivel de dificultad
paragenerarloscambiosnecesariosdentrodelaorganizacin.

Calificacindelaseveridad:

Tipo de Riesgo

Factor

Robo de hardware

Alto

Robo de informacin

Alto

Vandalismo

Medio

Fallas en los equipos

Medio

Virus Informticos

Medio

Equivocaciones

Medio

Accesos no
autorizados

Medio

Fraude

Bajo

Fuego

Muy Bajo

Terremotos

Muy Bajo

Calificacindeladificultadenelcambiopertinente
Bajo

Medio

Alto

BasadaenestaslistasdeCalificacionesseintegralasiguientelista,lacualcontiene
elanlisisderiesgodecadapuntoindicandoelproblemaencontradoyanexamosla
recomendacinparagenerarelcambionecesarioenelgirodenegocio.

3.2.3.1. Lista de puntos crticos

1.Observacin:Nosecuentaconpolticasyprocedimientosdocumentadossobrelos
aspectosdeTIlocualaumentaelriesgodeprocesosnoalineadosalosobjetivosdel
negocio,quelosmiembrosdelstaffnoconozcancmorealizartareascrticasoviolaciones
alaspolticasdelaempresa,entreotros.

Recomendacin:EstablecerpolticasyprocedimientossobrelosaspectosdeTI.Definirlas
polticas,planesyprocedimientosdelosprocesosdeTIparaqueseandocumentados,
revisados,mantenidos,aprobados,almacenados,comunicadosyutilizadospara
entrenamiento.Asignarresponsabilidadesparacadaunadelasactividades.Asegurarque
seanaccesibles,correctas,entendidasyactualizadas.

Severidad:
Medio
Dificultaddelcambio:
Medio

2.Observacin:NosecuentaconunplanestratgicodeTI.Locualpuedesercausade
requerimientosnoidentificadosyresueltosporTI,ascomoplanesoproyectosno
alineadosconelnegocio,inversionesinnecesariasyplanesinconsistentesalas
expectativasynoenfocadasalasprioridadescorrectas.

Recomendacin:CrearunPlanEstratgicodeTIqueestablezcavisin,objetivosy
estrategiadeTI.LaplaneacinestratgicaesnecesariaparadirigirtodoslosrecursosdeTI
conlasprioridadesdelnegocioyseespecifiquenobjetivosconcisos,planesdeacciny
tareasqueestncomprendidastantoporelnegociocomoporTI.

Severidad:
Medio
Dificultaddelcambio:
Medio

3.Observacin:Noexisteplaneacinoidentificacinperidicadelasnecesidadesde
inversineninfraestructura,aplicaciones,informacinopersonallocualorigina
asignacionesinadecuadasdelosrecursosfinancierosdelasoperacionesdeTIyqueesta
nocumplaconlosobjetivosdelnegocio,ademsdeprdidadecontroldelaadministracin
enlasinversionesentecnologa.

Recomendacin:Establecerunprocesoparaelaboraryadministrarunpresupuestoque
reflejelasprioridadesestablecidasparaTI,incluyendocostosrecurrentesdeoperary
mantenerlainfraestructuraactual.Elprocesodebepermitirlarevisin,refinamientoyla
aprobacinconstantesparalasinversionesdeTI.

Severidad:
Medio
Dificultaddelcambio:
Medio

4.Observacin:ElJefedesistemasefectalascomprasnormalmenteaunsoloproveedor
sinrevisindecostobeneficiodelapropuesta,loquepuedeocasionarprdidasde
oportunidadesdeahorroofuncionalidadesparaelnegocio.

Recomendacin:EstablecerpolticayprocedimientoparaefectuarlascomprasdeTIenel
quesevalorenlaspropuestascostobeneficioporlomenosde3proveedores.

Severidad:
Medio
Dificultaddelcambio:
Medio

5.Observacin:ElproveedordeserviciosdeSupramaxnorespondealasnecesidadesde
laempresaentiempoyforma,nobrindalosserviciosdemaneraoportunayalcance
necesario.Nohaproporcionadosolucinparalageneracindeperfilesoelrastreodelas
operacionesqueseefectandentrodelsistema,generandoelriesgodelusoinadecuado
delsistemaporunaelevadaasignacindepermisos.

Recomendacin:Formalizarelcontratoquedefinalosacuerdosdeprestacindelservicio
conSupramax.Formalizardisponibilidad,confiabilidad,desempeo,capacidadde
crecimiento,nivelesdesoporte,planeacindecontinuidad,yseguridad,cambiosal
programa,fallas,actualizacionesyelmecanismodesancinencasodeincumplimiento.

Severidad:
Alto
Dificultaddelcambio:
Medio

6.Observacin:Nosecuentaconpolticadecontroldecambiosenelprograma
administrativo.Nohayevidenciadeloscambiossolicitadosalproveedor,sudescripcin,
impactoyniveldeautorizacinporpartedelaGerencia,locualpuedeoriginarquese
efectencambiosalprogramasinqueelnegociotengaconocimiento,oatentarcontrala
estabilidadointegridaddelambientedeproduccin.

Recomendacin:Definirunapolticadecontroldecambiosquepermitanobtenerevidencia
deloscambiosmayoresquesufreSupramaxyaquetodosloscambiossedebenregistrar,
evaluar,yautorizarprevioalaimplantacinyrevisarcontralosresultadosplaneados
despusdelaimplantacin.

Severidad:
Alto
Dificultaddelcambio:
Medio

7.Observacin:NoestdefinidounproyectoparalaimplementacindeContpaq.Nohay
unadefinicindefases,actividades,responsabilidades,fechascompromiso,etc.loque
ocasionalamaladefinicindelosobjetivosyporlotantodelosresultadosquedebebrindar
elprograma.

Recomendacin:Elaborarunplandeproyectoparalaimplementacindelprograma
Contpaq.Definirfasestalescomoiniciacin,planeacin,ejecucin,seguimientoycontroly
cierredondequedeespecificadoalcance,tiempo,calidad,personalyriesgosqueinvolucran
laimplantacindeunsistemacontable.

Severidad:
Alto
Dificultaddelcambio:
Bajo

8.Observacin:Nosecuentaconuncontroldelassolicitudesdesoporte,tiemposde
respuestayeficienciayeficaciadelasolucinprestadaporeldepartamentodesistemas.

Recomendacin:Establecerunmecanismodecontrolmanualoautomatizadoparael
seguimientoalassolicitudesdesoportedeldepartamentodesistemas.

Severidad:
Medio
Dificultaddelcambio:
Bajo

9.Observacin:Nosecuentaconlicenciaslegalesdelamayoradelsoftwarequees
utilizadoporlaempresa.Noexistenlicenciasdesistemaoperativodeservidores,sistemas
operativosdecomputadores,aplicacionesdeescritorio,antivirus,entreotros.Encasode
revisinporlaautoridadseaumentaelriesgodesanciones,ademsdelriesgodeprdida
deinformacinporfaltadeactualizacionesalossistemas.

Recomendacin:Realizaruninventariodetalladodelaslicenciasrequeridasporelnegocio.
Efectuarunanlisisdecostosyestablecerunplandeadquisicindelicenciamiento.

Severidad:
Alto
Dificultaddelcambio:
Medio

10.Observacin:Noexisteunadefinicinderolesyresponsabilidadesparaelpuestode
Jefedesistemas.Actualmentetieneasucargoapersonaldemantenimientoyactividades
operativasquepudierangenerarsituacionesderiesgo.

Recomendacin:DefinirelpuestodeJefedeSistemas.Definirsusresponsabilidadesy
valoraractividadesoperativasparasusupervisin.

Severidad:
Medio
Dificultaddelcambio:
Bajo

11.Observacin:Noexisteuncontrolparaelotorgamientodelosaccesosalos
dispensariospormediodetarjetasmagnticasy/oTags.Lastarjetasmagnticasnose
encuentranenunlugarseguro,noestninventariadas,noexisteregistrodesuasignacin.

Recomendacin:Segregarlacustodiadelastarjetas.Mantenerunregistrodelaasignacin,
generarunaresponsivadelmanejoyusodelastarjetasporpartedelosdespachadores.

Severidad:
Alto
Dificultaddelcambio:
Bajo

12.Observacin:Todoslosusuariosaccedenalsistemadecortesconelmismousuarioy
lamismacontrasea.

Recomendacin:Generarcuentasdeusuarioparacadaempleadoquerequieraaccederal
sistema,considerandosurolyresponsabilidadparaelotorgamientodepermisos,asicomo
mantenerunabitcoradealtasybajasdeusuarios.

Severidad:
Alto
Dificultaddelcambio:
Medio

13.Observacin:Losservidores,ruteador,firewallydemsdispositivosqueseencuentran
enelcentrodedatosnocuentanconlascondicionesadecuadas,talescomoseguridad,
clima,libresdepolvo,ventilacin,extinguidor,etc.Elcentrodedatosseencuentraenun
closetconaccesonorestringidoubicadofrentealpasilloprincipaldelaoficina,ademsde
encontrarsejuntoalaestacindegasolina.

Recomendacin:Implementarunaccesocontroladoalcentrodedatos.Instalarunidadde
climaytermostatoparamantenerlatemperatura.Darmantenimientopreventivoalos
dispositivos.Definireimplementarunplandecontinuidaddenegociosparalosaspectosde
TI.

Severidad:
Alto
Dificultaddelcambio:
Medio

14.Observacin:ElJefedesistemaseslanicapersonaqueconocelosusuariosy
contraseasconprivilegiodeadministradorparalosdispositivosdeinfraestructura
(antenas,ruteador,firewall)yservidores.

Recomendacin:Elaborarmemoriatcnicaqueincluyaentreotrascosas,lascuentasy
contraseasdeadministradordetodoslosdispositivosderedyservidores.Revisar
peridicamentequenohayancambiado.Revisarperidicamentelabitcoradeaccesosde
losdispositivos.

Severidad:
Alto
Dificultaddelcambio:
Bajo

15.Observacin:Laredenlaqueseencuentranlascomputadoras,eslamismareddonde
seencuentranlosdispensarios.

Recomendacin:Segmentarlacomunicacinentrelosdispositivosdelaredadministrativa
ylaredendondeseencuentranlosdispensariosparaevitarelriesgodeintrusinodaode
informacin.

Severidad:
Alto
Dificultaddelcambio:
Alto

16.Observacin:ElcdigofuentedelprogramadeValesydelapginaWebse
encuentrannicamenteenlacomputadoradelJefedeSistemasquefuequiendesarrollel
programa.

Recomendacin:Crearunrepositoriocentralparaalmacenarlosactivosinformticosque
gestionalaempresa.Implementarrespaldosdelainformacin.

Severidad:
Alto
Dificultaddelcambio:
Medio

17.Observacin:Noexisteregistrodepropiedadintelectualdeldesarrollodelapgina
WebyelprogramadeVales,desarrolladosambosporelJefedeSistemas,loqueaumenta
elriesgodequelosalgoritmosycdigosusados,lospuedautilizarenotraempresao
dependealtamentedelJefedeSistemasparalasactualizacionesencasodequela
personadejedeprestarsusservicios.

Recomendacin:Elaborarcontratosdepropiedadintelectualdelosdesarrollosencasa,
presentesyfuturos,paraencasodequelapersonaquedesarrollelprogramaabandone
laempresa,estanopierdaelderechosobreelcdigoparafuturasactualizacioneso
desarrollos.

Severidad:
Alto
Dificultaddelcambio:
Medio

18.Observacin:Nosecuentaconunambientededesarrolloypruebas.Loscambiosen
laprogramacinsepruebanenlacomputadoradelJefedeSistemasyseaplicanen
produccin,sinpasarporunprocesodeaceptacinyautorizacin.

Recomendacin:Crearambientesdedesarrolloypruebas,detalmanera,queloscambios
alosprogramasseanaprobadosantesdepasarlosalambienteproductivo.

Severidad:
Medio
Dificultaddelcambio:
Medio

19.Observacin:Elprogramaadministrativonocuentaconbitcoradeaccesooregistro
detransacciones.Estainformacinesnecesariosolicitarlaalproveedorparaquesea
enviadaalaempresa.

Recomendacin:Solicitarelcambioalproveedorparaqueenelprogramaexistauna
seccindondeseaposiblerevisarlosusuariosqueaccedieronalsistema.Quecontenga
fecha,hora,descripcindelasactividadesrealizadas,conelfindellevarunseguimientode
lastransaccionesefectuadasenelsistema.

Severidad:
Alto
Dificultaddelcambio:
Medio

20.Observacin:Noestgarantizadalaintegridaddelosarchivosdeinterfacedel
programadecortes.Losusuarioscopianypeganlosarchivosparaactualizarlosregistros.
Losarchivossoneditablesypuedensermodificadoseneltrnsito.

Recomendacin:Automatizarlatransmisindelosarchivosdeinterfacedelprogramade
cortesdetalmaneraquedejedeserunprocesomanualsujetoaerror.Enesta
programacinencriptarlainformacindetalmaneraquenoseamodificable.

Severidad:
Alto
Dificultaddelcambio:
Medio

21.Observacin:Noestgarantizadalaintegridaddelosarchivostextodeinterfaceentre
SupramaxylaaplicacinContpaq.Elarchivoparaplizadediarioydeingresoeseditabley
puedesermodificadoeneltrnsito.Alnoestargarantizadalaintegridaddelasinterfaces,
todoelsistemadeinformacinsehacevulnerableporquenosepuedegarantizarla
confiabilidaddelainformacinqueentraaotrossistemas.

Recomendacin:Automatizarlatransmisindelosarchivosdeinterfacedelprograma
Supramaxdetalmaneraquedejedeserunprocesomanualsujetoaerror.Enesta
programacinencriptarlainformacindetalmaneraquenoseamodificable.

Severidad:
Alto
Dificultaddelcambio:
Medio

22.Observacin:NosellevauncontroldelosarchivosXMLemitidosyrecibidos.Estos
archivossealmacenanlocalmenteenelarchivo.PSTdelOutlook.Estosarchivos.PSTno
sonrespaldadosporeldepartamentodesistemas.

Recomendacin:Designarunacuentadecorreoelectrnico,nicayexclusivamenteparala
recepcindearchivosXML.Automatizarlavalidacindelosarchivosycrearunrepositorio
centraldondeseanalmacenadosyaccesadosporelpersonalautorizado.Generar
respaldosdeestainformacin.

Severidad:
Medio
Dificultaddelcambio:
Medio

23.Observacin:Nohayunapolticadefinidaparaelprocesoderespaldosdela
informacin.LosrespaldosdelaaplicacinsealmacenanenelservidordeContabilidad
queseencuentraenelmismocentrodedatos.LosrespaldosdeContPaqserealizan
manualmenteysealmacenanensumismoservidor.Nohayunprocesodepruebasde
restauracin.

Recomendacin:Definirunpolticayprocedimientosderespaldosportipoyfrecuenciade
respaldos,incluyendoperiodosderetencin.Definirrequerimientosderespaldostalescomo
tipodeinformacin,intervalosderotacin,procedimientosdedestruccindemedios,copias
almacenadasfueradesitio.Definiralertasencasodefalladelrespaldo,procedimientosde
pruebasderestauracinparavalidacindeintegridaddelmedio.Definirdondesern
almacenadoslosrespaldosensitio,comogabinetesantifuego.

Severidad:
Alto
Dificultaddelcambio:
Alto

24.Observacin:VictorOrnelasalmacenaarchivosenlanubedeloscualesnicamentel
tieneusuarioycontrasealoqueaumentaelriesgodeinformacinfueradelnegociodela
cualnosetengacontrolosalidadeinformacinsensible.

Recomendacin:RestringirelaccesodelosusuariosaInternet.CrearHomeFolderspara
losusuarios,paraquealmaceneninformacinsensibledelaempresayquesean
respaldadosperidicamente.

Severidad:
Medio
Dificultaddelcambio:
Medio

25.Observacin:Nosecuentaconprocedimientosparaafrontarfallas,niseencuentran
priorizadoslosserviciosdeequipodecomputo,servidoresodispensariosparaser
recuperadosdeacuerdoalasnecesidadesdelnegocio.Nosecuentaconmecanismosque
asegurenlaoportunarecuperacindelosserviciosdeTIyexisteunaelevadadependencia
delJefedeSistemasencasodeunacontingencia.

Recomendacin:Elaborarunplandecontinuidaddenegocio,iniciandoconlaclasificacin
delosprocesoscrticosparadesarrollarplanesdecontinuidaddelosmismos.Elplandebe
basarseenlacomprensindelriesgo,delosimpactospotencialesdelnegocioycumplirlos
requisitosderesistencia,procesamientoalternativoycapacidadderecuperacindelos
serviciosdeTIcrticos.Tambindebencubrirloslineamientosdeusodefuncionesy
responsabilidades,losprocesosdecomunicacinyenfoquedepruebas.

Severidad:
Alto
Dificultaddelcambio:
Alto

26.Observacin:ElservidordeContpaqcuentaconunsolodiscoduro,sinconfiguracin
dearreglodediscosquelohagatoleranteafallas.Losdiscosdurosyengenerallos
componentesmecnicos,sonlosqueporsuusoesmsfrecuentequesedaen.Encaso
dealgndesperfectoseaumentaelriesgodeprdidadeinformacincrticaparael
negocio.

Recomendacin:Hacerunanlisisderiesgodelosdiferentesdispositivosparaelaborar
planesdecontingenciaencasodefallasdelosequipos.

Severidad:
Medio
Dificultaddelcambio:
Medio

27.Observacin:Nosecuentaconprocedimientosdealtas,bajasocambiosdelascuentas
deusuarioparalasaplicacionesosistemasoperativos,estoaumentaelriesgodeabrir
"puertas"alossistemasqueafectenlainformacindelnegocio.Encasodelascuentasno
dadasdeBajapuedenseguirsiendoutilizadassialgnusuarioconocesucontrasea,
generandoelriesgodequeseelimine,modifiqueodaeinformacin.

Recomendacin:Elaborarprocedimientosdealtas,bajasocambiosqueasegurenla
oportunaintegracinoretirodelosusuariosalosrecursostecnolgicosdelaempresa.

Severidad:
Medio
Dificultaddelcambio:
Medio

28.Observacin:TodoslosusuariosaccedenalsistemaSupramaxconprivilegiosde
administrador,debidoaquenosehandeclaradoperfiles.Losperfilesquetieneelsistema
noestndeacuerdoalasnecesidadesdelaempresayelproveedordeSupramaxnoha
creadolosperfilesadecuados.

Recomendacin:DardealtalosusuariosenSupramaxdeacuerdoalasfuncionesa
desempeardentrodelsistemaynootorgarprivilegiossuperioresalosnecesariospara
realizarsutrabajo.

Severidad:
Alto
Dificultaddelcambio:
Medio

4. Referencias

Catoira,F.(2013,Sep18).
Pruebasdepenetracinparaprincipiantes:explotandouna
vulnerabilidadconMetasploitFramework
.Retrievedfromhttp://revista.seguridad.unam.mx/:
http://revista.seguridad.unam.mx/numero19/pruebasdepenetraci%C3%B3nparaprincipia
ntesexplotandounavulnerabilidadconmetasploitfra

Garca,J.(2011,Nov26).
Ejemploauditoriainformatica.
Retrievedfrombuenastareas.com:
http://www.buenastareas.com/ensayos/EjemploAuditoriaInformatica/3184322.html

itsecurity.com.(2015,Jul29).
CreateYourOwnSecurityAudit
.Retrievedfrom
itsecurity.com:
http://www.itsecurity.com/features/itsecurityaudit010407/

Jackson,C.(2010).
NetworkSecurityAuditing.
(C.N.6256,Ed.)Indianapolis,IN,USA:
CiscoPress.

MENDOZA,M..(2014,Nov18).
CmoutilizarOpenVASparalaevaluacinde
vulnerabilidades
.Retrievedfromwelivesecurity.com:
http://www.welivesecurity.com/laes/2014/11/18/comoutilizaropenvasevaluacionvulnerabili
dades/

Seplveda,P.(2013,Ago19).
EscaneodeVulnerabilidadesconNmapyVulscan.
Retrieved
fromwww.youtube.com:
https://www.youtube.com/watch?v=gTtsItPZjFA

SEBASTINBORTNIK.(2013).Pruebasdepenetracinparaprincipiantes:5herramientas
paraempezar.20150730,deWeLiveSecuritySitioweb:
http://www.welivesecurity.com/laes/2013/07/29/pruebasdepenetracionparaprincipiantes
5herramientasparaempezar/

FERNANDOCATOIRA.(2012).PenetrationTest,enquconsiste?.20150730,deWe
LiveSecuritySitioweb:
http://www.welivesecurity.com/laes/2012/07/24/penetrationtestenqueconsiste/

MIGUELNGELMENDOZA.(2014).Laimportanciadeidentificar,analizaryevaluar
vulnerabilidades.20150731,deWeLiveSecuritySitioweb:
http://www.welivesecurity.com/laes/2014/11/12/identificaranalizarevaluarvulnerabilidades/

SiteSecurityHandbook.(1991).J.ReynoldsP.Holbrook.199107Sitioweb:
http://www.seguinfo.com.ar/politicas/riesgos.htm