Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Medicion Vulnerabilidades PDF
Medicion Vulnerabilidades PDF
METODOLOGA DE MEDICIN DE
VULNERABILIDADES EN REDES DE DATOS DE
ORGANIZACIONES
PROFESOR GUA:
Ral Astorga Barrios
AUTORES:
Alfonso Antonio Berenguela Castro
Juan Pablo Cortes Collado
Diciembre 2006
AGRADECIMIENTOS
NDICE GENERAL
INTRODUCCIN .................................................................................................... 5
Descripcin de la problemtica ............................................................................... 8
Descripcin de la solucin....................................................................................... 8
Objetivos ................................................................................................................. 9
Objetivo general .................................................................................................. 9
Objetivos especficos........................................................................................... 9
Delimitacin de la temtica ....................................................................................10
Metodologa ...........................................................................................................10
Resumen................................................................................................................11
1.
2.
Sistema de Seguridad..............................................................................15
1.2.
1.3.
1.4.
1.5.
1.5.1
1.5.2
Determinacin de activos.........................................................................29
2.2
2.2.1
2.2.2
Seguridad de la infraestructura.........................................................32
2.2.3
Aplicaciones......................................................................................35
2.2.4
Operaciones .....................................................................................35
2.2.5
Personal ...........................................................................................38
2.2.6
2.3
2.3.1
3.1.
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
3.10.
3.11.
3.12.
3.13.
3.14.
Estrategia de respuesta....................................................................58
4.
INACAP ...................................................................................................59
4.1.1.
4.2.
4.3.
4.3.
Determinacin de activos.........................................................................61
4.4.
4.5.
4.6.
4.7.
4.8.
Conclusin .............................................................................................................83
Bibliografa .............................................................................................................85
Tesis ...................................................................................................................85
Sitios Web ..........................................................................................................85
Glosario de Terminos.............................................................................................86
ANEXOS ................................................................................................................88
Introduccin
INTRODUCCIN
La seguridad es una necesidad bsica para el hombre, entendiendo sta dentro
del contexto de la prevencin de la vida y las posesiones, esto se aprecia a lo
largo de la historia de la humanidad, la que registra los primeros conceptos de
seguridad a inicios de la invencin de la escritura con los sumerios (3000 AC)
quienes implementaron sus propias leyes para mantener la seguridad de los
individuos, usaban el cdigo de Hammurabi, este cdigo se encargaba de llevar el
orden en la vida y de castigar los delitos, pero su esencia era hacer al agresor lo
mismo que el hizo a la victima. Se puede apreciar tambin en la Biblia, cuando los
cristianos creaban sus propios sistemas de seguridad para que los romanos no los
descubrieran al predicar la palabra del seor. Los descubrimientos arqueolgicos
marcan, sin duda, las ms importantes pruebas de seguridad de los pueblos
antiguos. Las pirmides egipcias con sus sin fin de trampas, aun en estos tiempos
no se ha podido descubrir como funcionan algunas de ellas, todas las trampas
fueron creadas para proteger lo mas preciado que ello posean y en o que crean,
su Faran, y la vida eterna, el palacio de Sargon, el templo Karnak en el valle del
Nilo, el dios egipcio Anubis representado con una llave en la mano, son algunos
ejemplos de Seguridad.
Se sabe que los primitivos, para evitar amenazas, reaccionaban con los mismos
mtodos defensivos que los animales: luchando o huyendo, para eliminar o evitar
la causa. As la pugna por la vida se converta en una parte esencial y los
conceptos de alerta, evitar, detectar, alarmar y reaccionar ya eran manejados por
ellos. Como todo concepto, la Seguridad se ha desarrollado y ha seguido
evolucionando dentro de las organizaciones sociales. La sociedad se constituye
en estructuras de familias las que se agrupan proporcionando ms seguridad al
individuo y sus pertenencias, adems de concebir nuevas estrategias de
intimidacin y disuasin para convencer al atacante que las perdidas eran
inaceptables contra las posibles ganancias.
Introduccin
tan
importante
para
el
desarrollo,
se
encuentran
stas
Introduccin
Introduccin
DESCRIPCIN DE LA PROBLEMTICA
Es deber del administrador de red realizar la bsqueda de las vulnerabilidades
existentes en la red de datos, pero la mayora de las veces no se sabe por donde
comenzar, que investigar o que preguntar. Adems el problema mayor que tienen
estos es que no atacan el problema de fondo, sino que aplican parches
superficiales, como instalando programas en los equipos y as disminuyendo el
rendimiento de las maquinas. En la actualidad un administrador de red no se
preocupa mucho de la seguridad, pero cuando llega a tener problemas el tiempo
que emplea es mucho mayor al que podra demorar si existiera alguna poltica o
procedimiento para el uso correcto de los recursos informticos. Sin la bsqueda
de vulnerabilidades, las empresas crean una idea errada de su seguridad, piensan
que la seguridad de su informacin es muy poco vulnerable, ya sea porque nunca
se han visto afectados o tal vez lo estn siendo sin saberlo.
DESCRIPCIN DE LA SOLUCIN
Para resolver el problema de seguridad de las organizaciones de hoy se crear
una metodologa de anlisis de seguridad para redes de datos que facilite a las
instituciones conocer las vulnerabilidades de esta, esto se logra gracias a la
respuesta de cuestionarios y otras herramientas que midan los riesgos y
vulnerabilidades. Con los datos obtenidos se clasificar la debilidad de la red
dentro de un rango y luego se entregar la informacin suficiente para crear
polticas de seguridad que se adapten a la empresa, adoptando las polticas los
riesgos sern considerablemente disminuidos.
Introduccin
OBJETIVOS
Objetivo general
Crear una metodologa para medir la seguridad de redes de datos que facilite al
administrador de red conocer las vulnerabilidades de esta, y que se obtenga la
informacin suficiente para crear polticas de seguridad que minimicen o eliminen
todos los posibles riesgos.
Objetivos especficos
Introduccin
DELIMITACIN DE LA TEMTICA
El proyecto ser enfocado a la bsqueda de vulnerabilidades en las redes de
datos de las organizaciones, tratando la seguridad en la red de la manera ms
sencilla posible, para facilitar el anlisis de riesgos, aplicado en: los procesos y
directivas que adopta la institucin. No se profundiza en equipos y software
existentes, por lo cual se excluyen del estudio.
METODOLOGA
El mtodo a utilizar ser el emprico-analtico, debido a que es un sistema auto
correctivo y progresivo, es decir, el mtodo esta abierto a la incorporacin de
nuevos conocimientos y procedimientos.
10
Introduccin
RESUMEN
Este documento muestra la elaboracin de una metodologa que permite realizar
anlisis de riesgos a las redes de datos de las organizaciones. Esta consta de
cuatro captulos, en el primer captulo se dan a conocer los fundamentos de la
seguridad, como la definicin de un sistema de seguridad, la importancia de la
informacin de las organizaciones y su seguridad fsica y lgica, adems de
exponer lo que representa un delito desde el punto de vista legal, tanto nacional
como internacional. Una vez que se tienen estos conceptos claros, se da paso al
captulo dos.
El capitulo dos expone el anlisis de riesgos planteado por los autores y adems
se explica que es el riesgo. El procedimiento creado para esto comienza por la
determinacin de los activos, a modo de averiguar que proteger. Posteriormente
se aplican cuestionarios tanto al administrador de red como a los usuarios finales,
las preguntas estn enfocadas a la recopilacin informacin bsica de la
organizacin, tambin a la seguridad que poseen en su infraestructura,
aplicaciones, operaciones y con el personal. Adems debemos poner a prueba su
seguridad en busca de vulnerabilidades, esto se lleva a cabo con algunas tcnicas
como la ingeniera social.
Introduccin
la entidad, segn los datos obtenidos con los instrumentos desarrollados, como los
cuestionarios y
12
Introduccin
SUMMARY
This document shows the elaboration of a methodology that is able to make an
analysis of risks to the data networks of the organizations. It consists on four
chapters, in the first one, the fundamentals of security are shown, as the definition
of a security system, the importance of the information of the organizations, its
physical and logical security and also what is and what is not a crime on a national
and international level. Once these concepts are clear, the second chapter begins.
The chapter two exhibits the analysis of risks proposes for the author and explains
what a risk is. The procedure created begins by the determination of the
belongings, this we will know what to protect. Later questionnaires were applied to
the network administrator and also to the end users, the questions are focused to
compile basic information of the organization, also to the security that they have in
its infrastructure, applications, operations, with the personnel. In addition we must
try its security looking for vulnerabilities; this is carried out with some techniques
like social engineering.
The chapter tree display who elaborated Policies of security, for the creation of
these take into consideration the elements that compose it, the way they must be
created, to see that they have a person in charge, determine the use and control of
the resources of the network, the handling of the important information, the answer
in the case this was violated, the strategy that must be used to make them worth
within the organization.
In chapter four the development of the project is shown, expose data of the
organization where project was started, itself known the present situation of the
organization, in accordance with the results got with tools developed, as the
questionnaires and visit land. With the collected data could create the agreed
policies of security with the organization. Moreover it has the financial study of the
project, this is oriented to all the organizations, small, medium and big, for each
13
Introduccin
one of these it exist a different value, the one that we classified according to the
number of computers that they have.
14
1.
Para que exista un sistema de seguridad debe haber algo que proteger, he ah la
pregunta, Que debemos proteger?, esta es la primera pregunta que se debe
hacer, con esta podemos determinar lo importante o mas bien lo que debemos
resguardar de los peligros. En las organizaciones existen activos1 tangibles e
intangibles, en un comienzo lo importante para estas era lo tangible sobre lo
intangible, con el tiempo la prioridad de cada uno fue cambiando, para algunas
organizaciones es ms importante su informacin que su equipamiento o
infraestructura.
http://es.wikipedia.org/wiki/Dato
15
Sensitiva: slo debe ser conocida por las personas que la manejan
Confidencialidad: es la privacidad
http://es.wikipedia.org/wiki/Informacin
16
un
registro del ingreso a las instalaciones, viendo quien, a que hora, lo que hizo y
si esta permitido su acceso al lugar.
http://www.segu-info.com.ar/logica/seguridadlogica.htm .
17
Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y
no puedan modificar los programas ni los archivos que no correspondan.
2. Ataques Activos: estos ataques implican algn tipo de modificacin del flujo de
datos transmitido o la creacin de un falso flujo de datos. Generalmente son
realizados por hackers, piratas informticos o intrusos remunerados y se los puede
subdividir en cuatro categoras:
19
Flujo normal de
A
A
informacin
entre emisor y
Interrupcin
receptor
Intercepcin
Modificacin
Fabricacin
A
Destruccin
Figura 1: Tipos de ataques activos.
En mltiples ocasiones, los delitos son cometidos por autnticos especialistas, los
llamados "piratas informticos". Segn sus objetivos, podemos clasificarlos en dos
tipos, por un lado, los hackers, aquellos intrusos que acceden a los equipos de los
usuarios con la sola intencin de demostrar sus habilidades; generalmente no es
su intencin daar los sistemas informticos de los usuarios, sino simplemente
burlar los sistemas de seguridad de los mismos.
20
Ambas conductas, tanto la del hacker como la del cracker, son consideradas
delitos informticos dado que suponen una intromisin ilegtima en sistemas y
ordenadores ajenos.
21
Reproduccin
no
autorizada
de
programas
informticos
de
penales.
El
problema
ha
alcanzado
dimensiones
22
Acceso no autorizado.
Espionaje informtico.
23
Artculo 3.- El que maliciosamente altere, dae o destruya los datos contenidos
en un sistema de tratamiento de informacin, ser castigado con presidio menor
en su grado medio o de 541 das a 3 aos.
24
25
2.
Anlisis de
Modelo de
riesgos
valor
Mapa de
Gestin de
riesgos
riesgos
Protecciones
Auditoria
Gestin de
seguridad
Resultados
evaluacin
Certificacin
Registro
Acreditacin
26
27
2. Amenazas, son elementos que les pueden pasar a los activos causando un
perjuicio a la Organizacin.
La herramienta desarrollada por los autores del documento para determinar las
vulnerabilidades se divide en cuatro secciones, que son:
o Determinacin de activos
o Cuestionario al administrador de red
o Preguntas a usuarios
o Bsqueda de vulnerabilidades
28
2.1
Determinacin de activos
Un activo es algo que tiene valor o utilidad para la organizacin, sus operaciones y
su continuidad. Los activos necesitan proteccin para asegurar las correctas
operaciones del negocio y la continuidad de la empresa
29
sistema,
manuales
de
usuario,
materiales
de
entrenamiento,
Equipos
de comunicacin
y computacin,
medios
La tarea de clasificar los activos debe ser lo ms ordenada posible, es por eso que
se utiliza la tabla 1 para listar los activos y la importancia asignada. En la primera
fase, de clasificacin de activos, se rellenarn las primeras tres columnas, las
siguientes se rellenarn al desarrollar las otras etapas de la metodologa. En el
campo Cdigo se utiliza un nmero interno, este es solo para mantener el orden.
El campo Importancia se rellenar segn criterio y observando el esquema de la
figura 3, es decir, con escala de 0 a 5.
Cdigo
Activo
Nombre
Importancia
Usuario
Posibilidad de
ataque
Medidas de
seguridad
30
2.2
Si la empresa posee una conexin, tales como T-1, lnea DSL, cable
mdem, o cualquier conexin que siempre este activa, ya que esto es una
puerta abierta a intrusos y virus.
31
32
2.2.2.1
2.2.2.2
Autenticacin
Para proteger el sistema frente a ataques de fuerza bruta, las cuentas deben
configurarse para que no permitan el acceso despus de una cantidad
33
Un punto de vital importancia es validar los datos de entrada para evitar que las
aplicaciones procesen informacin peligrosa o incorrecta; de lo contrario, los datos
podran estar sujetos a daos, robos, o incluso se podra ejecutar cdigo binario.
2.2.2.3
Administracin y control
de ataques
Tambin se debe robustecer los hosts, esto implica actualizar sistema operativo.
Aplicar los parches adecuados, reforzar las configuraciones y auditar el acceso y
las vulnerabilidades de los sistemas.
34
2.2.3 Aplicaciones
Este segmento estudia las aplicaciones que son esenciales para la empresa y las
valora desde el punto de vista de la seguridad y disponibilidad, adems se
examinan tecnologas utilizadas para aumentar el ndice de defensa en
profundidad.
2.2.4 Operaciones
En esta seccin se valora las prcticas de funcionamiento y las normas que siguen
la empresa para aumentar las estrategias de defensa en profundidad a fin de
emplear ms que meras defensas tecnolgicas. Se estudian reas relacionadas
con la creacin de sistemas, la documentacin de la red, las copias de seguridad y
la restauracin de datos en el entorno.
35
2.2.4.1
Entorno
2.2.4.2
Directiva de seguridad
Las directivas son reglas y prcticas que especifican cmo se puede utilizar de
forma adecuada un entorno informtico. Si no existen directivas, no existe
mecanismo alguno para definir o hacer cumplir los controles dentro del entorno.
La poltica corporativa del uso aceptable regula el uso adecuado de los recursos
corporativos, aplicaciones de red y sistemas incluidos.
36
2.2.4.3
2.2.4.4
Las preguntas del anexo IX intentan averiguar las medidas de respaldo que posee
la empresa actualmente.
37
2.2.5 Personal
2.2.5.1
Requisitos y evaluaciones
2.2.5.2
Directiva y procedimientos
38
2.2.5.3
Formacin y conocimiento
Una vez obtenidas las respuestas por parte del administrador se procede a
evaluarlas convencionalmente, traspasando las respuestas a la herramienta
EXCEL para confeccionar grficos. En esta metodologa se otorga un valor de
vulnerabilidad y de seguridad para cada una de las preguntas, tal como se aprecia
en la tabla 2, posteriormente se agrupan los valores vulnerabilidad y proteccin de
la seccin a la que corresponde para desarrollar con ellos grficos, a modo de
visualizar de mejor forma los resultados.
39
Vulnerabilidad
-
Escala
Respuesta
Proteccin
Escala
0o2
S - No lo s
0o2
Tabla 2: Formato escala de evaluacin de pregunta tipo.
Respuesta
No
Los usuarios internos y externos usan los recursos del mismo segmento de red?
o S
o No
o No lo s
Vulnerabilidad Proteccin
2
0
Tabla 3: Evaluacin pregunta 4
Vulnerabilidad Proteccin
0
2
Tabla 4: Evaluacin pregunta 4.
40
Vulnerabilidad
-
Escala
Respuesta
Proteccin
Escala
0o2
No - No lo s
0a4
Tabla 5: Formato escala de evaluacin pregunta 1.
Respuesta
S
En caso de responder S:
1.1. Su empresa aplica estos controles en todas las oficinas?
o S
o No
o No lo s
1.2. Su empresa usa una red DMZ para separar redes internas y externas de
los servicios albergados?
o S
o No
o No lo s
Vulnerabilidad Proteccin
2
0
Tabla 6: Evaluacin pregunta 1.
nuevamente 1 al puntaje. Por ejemplo, si tan posee firewall en todas sus sedes,
pero no posee una red DMZ, la evaluacin lucira como observa en la tabla 7.
Vulnerabilidad Proteccin
0
3
Tabla 7: Evaluacin pregunta 1.
2.3
Preguntas a usuarios
1.1. Seleccione las cuentas para las cuales existen controles que hagan cumplir
las polticas de seguridad por contrasea.
o Administrador
o Usuario
o Acceso remoto
Pero al realizar la pregunta 7 a los usuarios, estos responden No, esto implica
que no se est dando cumplimiento a los controles. En la evaluacin de la
pregunta 1 de la seccin Autenticacin se descontar puntaje, tal como se
muestra en la tabla 8. El puntaje a descontar depende del impacto de la
vulnerabilidad, la escala variar desde 1 a 3, en caso de respuesta satisfactoria se
conservar la puntuacin.
43
Evaluacin primaria
Evaluacin final
Vulnerabilidad Proteccin
Vulnerabilidad Proteccin
0
4
0
3
Tabla 8: Descuento de puntaje en la evaluacin
Ingeniera Social es persuadir a otra persona (a travs de diversas formas) para que nos de
un dato til para cumplir un objetivo.
44
En el anexo XIII se encuentra un listado de los puertos que utilizan virus troyanos
para ingresar a los sistemas.
46
3.
3.1.
Una PSI (poltica de seguridad informtica) debe orientar las decisiones que se
toman en relacin con la seguridad. Por tanto, requiere de una disposicin por
parte de cada uno de los miembros de la empresa para lograr una visin conjunta
de lo que se considera importante.
47
Hay que considerar que una organizacin puede tener una red compuesta de
mltiples subredes y fuentes de informacin, siendo controladas estas subredes
por diferentes administradores, los cuales pueden tener diferentes metas y
objetivos para las redes que administran. Si estas redes no estn interconectadas,
cada administrador puede tener sus propias polticas de seguridad. Si son parte de
una red central, estos administradores deben de seguir las polticas centrales de
seguridad, las cuales no irn en contra de polticas internas que los
administradores, de las subredes, implementen para aumentar la seguridad de
estas. Lo importante es mantener metas comunes de seguridad.
Las metas deben contemplar la seguridad de todos los elementos y recursos que
forman la red y las subredes como:
o Estaciones de trabajo
o Servidores
o Dispositivos de interconexin: Router, Hub, Switches. etc.
48
o Terminales de servidores.
o Software de aplicaciones y de sistemas de redes.
o Cable de redes.
o Informacin en archivos y bases de datos.
Debido a que una red puede estar conectada a otras redes (ej: redes
bibliotecarias), la poltica de seguridad debe considerar las necesidades y
requerimientos de todas las redes interconectada. Este es un punto importante a
considerar, ya que al proteger los intereses de la red que se administra se puede
perjudicar a otras redes.
3.2.
49
cuentan con los conocimientos necesarios sobre lo que se desea proteger y de los
orgenes de amenazas. Para lograrlo se deber pedir ayuda a otros que tengan
mayor conocimiento para lograrlos.
3.3.
50
3.4.
Existe un nmero de asuntos que deben ser cubiertos cuando se desarrolla una
poltica de seguridad:
o Quin tiene permitido el uso de los recursos?
o Cul es el uso apropiado del recurso?
o Quin est autorizado para conceder acceso y aprobar el uso?
o Quin tendr privilegios de administrador?
o Cules son los derechos y responsabilidades de los usuarios?
o Cules son los derechos y responsabilidades del administrador de
sistemas versus aquellas de un usuario?
o Qu se debe hacer con informacin sensible?
3.5.
Se debe elaborar una lista de usuarios que necesiten acceder a los recursos de la
red. Los usuarios pueden ser parte de grupos de cuentas como usuarios
abogados, ingenieros, administradores, etc. Se debe incluir una clase de usuarios,
llamados usuarios externos, los cuales acceden a la red de otro lugar, siendo
estos miembros de la empresa, accediendo remotamente.
51
3.6.
La siguiente lista de temas debe ser cubierta cuando se desarrolla una PVA:
o Es permitido irrumpir en otra cuenta que no sea la propia?
o Es permitido descifrar password?
o Es permitido deteriorar el servicio?
o Se permitir a los usuarios modificar archivos que no les pertenecen, aun
si ellos tuvieran permisos de escritura?
o Podrn los usuarios compartir sus cuentas?
52
3.7.
3.8.
53
54
3.9.
error,
ignorancia
sobre
la
actual
poltica,
por
ignorar
En el primer caso, se puede tener mayor control sobre el tipo de respuesta sobre
la violacin.
57
58
4.
4.1. INACAP
INACAP La Serena es la institucin seleccionada para poner a prueba la
metodologa creada.
estipuladas como reglamento interno, no siempre son cumplidas por los mismos,
se puede demostrar que en algunos casos las normas no son cumplidas por los
usuarios,
las
polticas
de seguridad son
obligaciones
de
los
usuarios
Cdigo
Activo
Nombre
Importancia
1234-5
DC-Serena
Usuario
ARL1
Posible ataque
Duplicacin de
Dominio
Medidas de
seguridad
Implementacin de
Proxy en los
laboratorios
61
Respuesta
No
No
3 meses
No
No
No
10
No
11
No
12
No
13
No
14
No
15
No
16
62
Visin general
Vulnerabilidad
38%
Proteccin 62%
63
Permetro
Vulnerabilidad ;
26%
Proteccin 74%
Autenticacin
Vulnerabilidad
32%
Proteccin
68%
Con las respuestas obtenidas por parte del administrador se podra decir que la
institucin cuenta con un buen sistema de autenticacin para el acceso a sus
sistemas aunque no es el ptimo, pero sin embargo, al observar las respuestas
obtenidas por los usuarios se entiende que no se cumplen las normas de creacin
de contraseas ni el control de estas, tan solo se realiza el cambio de estas cada
tres meses. Otro punto sumamente importante es la falta de encriptacin, lo que
64
deja abierta la informacin a cualquier persona que explore la red, sta grave
vulnerabilidad es demostrada en el caso prctica. Todos estos puntos modifican la
evaluacin de la tabla de autenticacin, tal como se puede apreciar en el grfico 3,
existe un 55% de vulnerabilidad en lo que a autenticacin se refiere.
Administracin y Control
Vulnerabilidad
10%
Proteccin 90%
65
Aplicaciones
Vulnerabilidad
15%
Proteccin 85%
Entorno
Vulnerabilidad ;
32%
Proteccin 68%
66
Directivas
Vulnerabilidad
31%
Proteccin 69%
67
Actualizaciones
Vulnerabilidad
13%
Proteccin 87%
Respaldo
Vulnerabilidad
13%
Proteccin 87%
Para mantener una buena capacidad de respuesta, toda institucin debe contar
con un buen sistema de respaldo, as ocurre en INACAP La Serena, la cual enva
sus datos a la sede central ubicada en Santiago para el posterior respaldo de
68
Evaluaciones
Vulnerabilidad ;
13%
Vulnerabilidad ;
87%
69
Procedimientos
Vulnerabilidad
44%
Protecciones
56%
70
Formacin y Conocimiento
Proteccin 43%
Vulnerabilidad
57%
Vulnerabilidad vs Protecciones
Global
Vulnerabilidad
29%
Proteccin 71%
computadores.
-
inalmbricas.
-
de red administrativos.
72
Autenticacin
Administracin y control
Entorno
La gestin del entorno debe ser hecha por el administrador de red y no por
subcontratistas.
-
73
Formacin y conocimiento
El administrador de red debe dar una capacitacin para los usuarios con
Cada
usuario
tiene
un
equipo
computacional
asociado,
es
inmediatamente.
-
adems
de
no
instalar
nuevos
programas
sin
el
Tipo de virus.
75
virus.
-
76
La herramienta necesita de dos empleados, con un sueldo de $210.000.mensuales por persona, su funcin en la empresa ser la misma, se contempla
acudir a las empresas, entrevistar empleados, utilizar la herramienta y aplicarle
mejoras, crear polticas de seguridad, mantener la pgina Web de la empresa y
manejar la parte contable de la empresa.
Existen distintos valores para el servicio, ya que est determinado por dos
variables, estas son el tamao de la empresa y la cantidad de tiempo requerido
para desarrollarlo. El tamao de la empresa se muestra en la tabla 10 y los precios
se observan en la tabla 11.
Tamao Q equipos
Pequea
1 a 10
Mediana
11 a 50
Grande
51 a 200
Tabla 10: Clasificacin segn tamao de la empresa
Q Semanas
1
Pequea
150000
Mediana
170000
Grande
190000
280000
320000
360000
410000
470000
530000
540000
620000
700000
670000
770000
870000
77
Mercado competidor
I-TECHNOLOGY
LINTEX-LINUX.
INFOCORP
NETSECURY
NOVARED
78
Otras empresas como las que a continuacin se nombran, entregan solo una parte
de los sistemas de seguridad, la que est asociada con el producto o servicio que
entregan, como por ejemplo, seguridad de sitios Web, seguridad en servidores,
software de seguridad (antivirus), etc.
VIALCOM
DGR INGENIEROS
INFOSEG S.A.
MENDOCOM LTDA.
DINAMIC.COM
Las principales formas que utilizan para llegar al consumidor son mediante avisos
publicitarios en Internet, revistas, diarios, adems de la participacin en eventos,
seminarios y la presentacin de proyectos a las empresas cuando estas llaman a
licitacin.
Anlisis FODA
Fortalezas
Oportunidades
79
Debilidades
Amenazas
80
Usuario
Contrasea
Direccin Web
La prueba tambin deba probar la seguridad del otro segmento de la red, red
alumnos, el acceso a esta no tiene ningn problema, la prueba se llev a cabo de
la misma forma que para el segmento anterior, al contrario del anterior ac solo
81
Usuario
Contrasea
Direccin Web
82
Conclusin
CONCLUSIN
La seguridad informtica ha tomado gran auge, debido a las cambiantes
condiciones y nuevas plataformas tecnolgicas disponibles. La posibilidad de
interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas
para mejorar su productividad y poder explorar ms all de las fronteras
nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas
amenazas para los sistemas de informacin.
Estos riesgos que se enfrentan han llevado a que muchas desarrollen documentos
y directrices que orientan en el uso adecuado de estas tecnologas y
recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el
uso indebido de las mismas, lo cual puede ocasionar serios problemas a los
bienes, servicios y operaciones de la empresa. Pero no se encuentra documento
alguno en el que se explique el qu preguntar o el qu analizar al desarrollar un
anlisis.
Para poder crear una metodologa no solo se deben agregar cosas, sino que es
necesario entregar un sentido lgico al procedimiento, para ello se debe conocer
en primer lugar la existencia de metodologas o formas relacionadas con lo que se
quiere hacer, tambin se deben conocer ms a fondo los fundamentos de la
seguridad y entenderlos. La seguridad en la informacin no es posible sin la
cooperacin del usuario. Se puede tener la mejor tecnologa para protegerlos y
an as, sufrir una ruptura de seguridad.
83
Conclusin
Al desarrollar las herramientas del anlisis se logr evidenciar que se cuenta con
varias herramientas, como por ejemplo, la utilizacin de ingeniera social, esta es
una tcnica bastante buena ya que no es tan rgida como llenar un cuestionario de
preguntas, aqu las personas responden con muchas mas franqueza y se sienten
cmodas conversando y expresndose, esto se pudo comprobar con los usuarios
entrevistados. Debido a las cambiantes condiciones y nuevas plataformas de
computacin disponibles, es vital el desarrollo de documentos y directrices que
orienten a los usuarios en el uso adecuado de las tecnologas para aprovechar
mejor sus ventajas. En este sentido, las polticas de seguridad informtica surgen
como una herramienta organizacional para concientizar a los colaboradores de la
organizacin sobre la importancia y sensibilidad de la informacin y servicios
crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta
situacin, el proponer o identificar una poltica de seguridad requiere un alto
compromiso con la organizacin, agudeza tcnica para establecer fallas y
debilidades, y constancia para renovar y actualizar dicha poltica en funcin del
dinmico ambiente que rodea las organizaciones modernas.
84
Bibliografa
BIBLIOGRAFA
Tesis
Ttulo: Diseo e implementacin de conectividad entre sucursales con tecnologa
Stios Web
http://es.wikipedia.org/wiki/Informacin
06/09/2006
www.informatica.cl
14/09/2006
http://www.segu-info.com.ar/logica/seguridadlogica.htm
16/09/2006
http://www.seguridadenlared.org/es/index5esp.html
21/10/2006
85
Glosario de Trminos
GLOSARIO DE TERMINOS
3DES: Triple DES, mtodo de encriptacion de datos.
DMZ: zona desmilitarizada es un rea de una red de computadoras que est entre
la red de computadoras interior de una organizacin y una red de computadoras
exterior.
86
Glosario de Trminos
87
Anexos
ANEXOS
Anexo I: Informacin bsica de la empresa
1. Tiene conexin permanente a Internet?
o S
o No
Internet?
o S
o No
o No lo s
o S
o No
4. Los usuarios internos y externos usan los recursos del mismo segmento de
red?
o S
o No
o No lo s
88
Anexos
o S
o No
o No lo s
como por ejemplo: servidores Web personales o equipos que acten como
hosts de proyectos personales?
o S
o No
o No lo s
o S
o No
o No lo s
o S
o No
su infraestructura?
o S
o No
89
Anexos
tecnologas?
o S
o No
o No lo s
Anexos
o No
o No lo s
usuarios?
o S
o No
o No lo s
El acceso a los datos y a las aplicaciones confidenciales debe limitarse conforme a
los privilegios de las cuentas individuales. Es importante dispones de mecanismos
para el cumplimiento de estas limitaciones a fin de evitar traspasos de informacin
no autorizados.
privilegios?
o S
o No
o No lo s
91
Anexos
Para reducir el impacto del ataque por fuerza bruta sobre la autenticacin de
cuentas con privilegios, las contraseas de tales cuentas deben cambiarse
regularmente.
19. Cambia su empresa las credenciales de las cuentas con privilegios cuando el
Para reducir los riesgos empresariales, las contraseas de las cuentas con
privilegios deben cambiarse de forma inmediata tras el cese de un empleado con
acceso a esas cuentas.
92
Anexos
Los firewalls son un elemento importante para proteger las redes contra ataques.
Es por ello que los firewalls, u otros controles de acceso a nivel de red, son
imprescindibles para la seguridad de la empresa
En caso de responder S:
2.1. Su empresa aplica estos controles en todas las oficinas?
o S
o No
o No lo s
2.2. Su empresa usa una red DMZ para separar redes internas y externas de
Una red DMZ es un host o una red pequea insertado como una zona neutra entre
la red privada de la empresa y la red publica, impide que los usuarios externos
accedan directamente a un servidor con datos de la empresa.
93
Anexos
o S
o No
o No lo s
Conocido como IDS, monitorea y analiza en forma activa el trafico de la red para
determinar si se ha intentado un ataque.
o S
o No
o No lo s
Es de vital importancia contar un antivirus para proteger la red contra virus que
puedan causar la prdida de datos o tiempos de inactividad, existen distintos tipos
de antivirus tanto para red corporativa as como para media y pequea empresa.
En caso de responder S:
5.1. Seleccione los sistemas que lo usan:
o Mail Server
o Host de permetro (gateway, Proxy,etc)
94
Anexos
o Computador de escritorio
o Servidores
o S
o No
o No lo s
En caso de responder S:
6.1. Seleccione quien se puede conectar a la red en forma remota
o empleados
o contratistas
o terceros como fabricantes, socios o clientes
o S
o No
o No lo s
En caso de responder S:
6.2.1. Puede La VPN limitar la conectividad a una red aislada en
cuarentena
hasta
que
el
cliente
haya
efectuado
todas
las
comprobaciones necesarias?
95
Anexos
o S
o No
siguientes: algo que sepa el usuario (contrasea), algo que tenga el usuario
(vales, tarjetas inteligentes), algo que sea propio del usuario (huella digital, retina).
o S
o No
o No lo s
En caso de responder S:
8.1. La red se segmenta para separar los servicios de usuarios externos y
96
Anexos
En caso de responder S:
8.1.1. Su empresa agrupa los hosts en segmentos de redes segn los
o S
o No
97
Anexos
En caso de responder S:
9.1. Cules son los siguientes controles que utiliza?
Pregunta
1
2
3
4
5
6
7
8
9
Vulnerabilidad
-
Escala
0o2
0-2
0-2
0-2
0a4
0-2
0-3
0-1
0-2
Respuesta
No - No lo s
No - No lo s
No - No lo s
No - No lo s
S- No lo s
No - No lo s
No - No lo s
S- No lo s
S- No lo s
Proteccin
-
Escala
0a4
0-2
0-2
0a3
0-1
0-2
0a5
0-1
0a4
Respuesta
S
S
S
S
No
S
S
No
No
98
Anexos
Sin los mecanismos adecuados para aplicarlas, las normas para que las
contraseas cumplan con los requerimientos generalmente se ignoran. La mayora
de los sistemas de autenticacin permite la aplicacin automatizada de normas
referente a la longitud, la complejidad y el vencimiento de las contraseas, entre
otros.
En caso de responder S:
1.1. Seleccione las cuentas para las cuales existen controles que hagan cumplir
Las polticas para las contraseas deben cumplirse en todas las cuentas, no solo
en las de los administradores.
99
Anexos
1.3. Indique cul es la opcin de autenticacin para los accesos a la red y los
usuarios:
o Autenticacin en factores mltiples
o Ninguno
o Contrasea simple
o Contrasea compleja
1.5. El bloqueo de cuentas est activado para impedir el acceso a las cuentas
Para proteger frente a ataques de fuerza bruta, las cuentas deben configurarse
para que no permitan el acceso despus de una cantidad determinada de intentos
fallidos.
100
Anexos
para las
aplicaciones clave?
o S
o No
clave:
o Contraseas complejas.
o Vencimiento de contraseas.
o Bloqueo de cuentas.
3. Las aplicaciones clave del ambiente cuentan con mecanismos para limitar el
Anexos
4. Las aplicaciones clave guardan mensajes en archivos con la bitcora del uso
Los archivos con la bitcora del uso son necesarios para auditar actividades
sospechosas y anormales.
En caso de responder S:
4.1. Seleccione los tipos de eventos que se registran:
o S
o No
o No lo s
102
Anexos
Es de vital importancia validar los datos de entrada para evitar que las aplicacin
procese informacin peligrosa o incorrecta; de lo contrario, los datos podran estar
sujetos a daos, robos, o incluso se podra ejecutar cdigo binario.
En caso de responder S:
5.1. De la siguiente lista, seleccione los tipos de entrada de las aplicaciones
que se validan:
o Usuarios finales.
o Aplicaciones cliente.
o Alimentacin de datos.
o S
o No
o No lo s
procesan?
o S
o No
o No lo s
En caso de responder S:
7.1. Seleccione las diferentes etapas en que se encriptan los datos:
o Transmisin y almacenamiento
o Transmisin
o Almacenamiento
103
Anexos
104
Anexos
de ataques
potenciales.
o S
o No
o No lo s
105
Anexos
la propiedad de la empresa?
o S
o No
o No lo s
Anexos
107
Anexos
Anexo V: Aplicaciones
Este segmento estudia las aplicaciones que son esenciales para la empresa y las
valora desde el punto de vista de la seguridad y disponibilidad, adems se
examinan tecnologas utilizadas para aumentar el ndice de defensa en
profundidad.
informacin?
o S
o No
o No lo s
minera11 de datos?
o S
11
108
Anexos
o No
o No lo s
o S
o No
o No lo s
las aplicaciones?
o Equilibrio de carga
o Clsteres
o Pruebas peridicas de recuperacin de aplicaciones y datos
o Ninguno
8. Fabricantes
independientes
de
software
han
desarrollado
algunas
En caso de responder S:
8.1. Los
fabricantes
independientes
proporcionan
peridicamente
Anexos
o S
o No
o No lo s
de la red?
o S
o No
o No lo s
En caso de responder S:
9.1. El
equipo
interno
de
desarrollo
proporcionan
peridicamente
10. Su empresa conoce las vulnerabilidades de seguridad que existen para las
aplicaciones de la red?
o S
o No
o No lo s
En caso de responder S:
10.1.
vulnerabilidades?
o S
o No
110
Anexos
Pregunta
1
2
3
4
5
6
7
8
9
10
Vulnerabilidad Escala
0-3
0-1
0-1
0-1
0-1
0-2
0-3
0-2
0-2
0-6
Respuesta
S - No lo s
S - No lo s
S - No lo s
S - No lo s
S - No lo s
S - No lo s
Ninguno
S - No lo s
S - No lo s
S - No lo s
111
Anexos
Anexos
o S
o No
fiables?
o S
o No
o No lo s
tercero?
o La empresa gestiona el entorno
113
Anexos
En caso de subcontrato:
11.1.
11.2.
En caso de responder S:
12.1.
dedicados:
o Dispositivos de red
o Servidores
114
Anexos
segn lo previsto?
o S
o No
o No lo s
Pregunta
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Vulnerabilidad
0
0
0
2
0
2
0
0
0
0
0
0
2
2
0
Escala
0-1
0-2
0-2
0-2
0-2
0-2
0-1
0-2
0-3
0-3
0a2
0-2
0-2
0-2
0-2
Respuesta
S
S
S
S
S - No lo s
S - No lo s
S - No lo s
S
S - No lo s
No - No lo s
Subcontrato
No - No lo s
No - No lo s
No - No lo s
S - No lo s
Proteccin
1
1
1
0
2
0
1
2
2
3
0
2
0
0
2
Escala
0-1
0-1
0-1
0-1
0-2
0-2
0-1
0-2
0-2
0-3
0-1
0a3
0-2
0-2
0-2
Respuesta
No
No
No
No
No
No
No
No
No
S
Interno
S
S
S
S
115
Anexos
entorno informtico?
o S
o No
o No lo s
o S
o No
o No lo s
Las directivas son reglas y prcticas que especifican cmo se puede utilizar de
forma adecuada un entorno informtico. Si no existen directivas, no existe
mecanismo alguno para definir o hacer cumplir los controles dentro del entorno.
En caso de responder S:
2.1. Existen directivas de seguridad de informacin para la regulacin de la
o Slo el departamento de TI
o Slo el departamento de representantes comerciales
116
Anexos
o S
o No
o No lo s
o S
o No
o No lo s
En caso de responder S:
2.3.1. Seleccione cules de las siguientes directivas se aplican a la gestin
Anexos
o No
o No lo s
Preguntas Vulnerabilidad
1
2
3
4
-
Escala
0-3
0-4
0-2
0-4
Respuesta
No - No lo s
No - No lo s
Ninguno
No - No lo s
Proteccin
-
Escala
0-3
0a6
0a3
0-4
Respuesta
S
S
Varios
S
118
Anexos
o S
o No
o No lo s
Los procesos de gestin de cambios y configuraciones permiten asegurar que los
cambios en el entorno de produccin, se han probado y documentado
exhaustivamente antes de utilizarse.
En caso de responder S:
1.1. Dispone la empresa de configuraciones documentadas a modo de
referencia?
o S
o No
o No lo s
sistemas de produccin?
o S
o No
o No lo s
En caso de responder S:
2.1. Se comprueba y se garantiza de forma centralizada la compatibilidad con
119
Anexos
o S
o No
o No lo s
En caso de responder S:
3.1. Seleccione los componentes para los que existan estos procesos:
o Sistemas operativos
o Aplicaciones
o Tanto los sistemas operativos como las aplicaciones
o S
o No
o No lo s
o Estaciones de trabajo
o Servidores
Anexos
o Ninguno
La aparicin de nuevos virus es constante, por lo que resulta imprescindible
mantener una lista actualizada de firmas de virus. Su solucin antivirus ser tan
eficaz como lo permita su lista de firmas de virus.
aplicaciones principales?
o S
o No
o No lo s
En caso de responder S:
7.1. Seleccione los tipos de aplicaciones de las que existen diagramas
Preguntas
1
2
3
4
5
6
7
Vulnerabilidad Escala
0-3
0-2
0-3
0-2
0-2
0-3
0-2
Respuesta
No - No lo s
No - No lo s
No - No lo s
No - No lo s
Ninguno
No - No lo s
No - No lo s
Proteccin
-
Escala
0a3
0a3
0a4
0a5
0a2
0-3
0a4
Respuesta
S
S
S
S
Varios
S
S
Anexos
y los dispositivos?
o S
o No
o No lo s
registros?
o El sistema operativo y las aplicaciones estn configuradas para no
sobrescribir eventos.
o Los archivos de registro se rotan con frecuencia para asegurarse de
que hay suficiente espacio disponible.
o El acceso a los archivos de registro est restringido a las cuentas de
tipo administrador.
o Los registros se almacenan en un servidor central de registros
o Ninguno
o S
o No
o No lo s
En caso de responder S:
3.1. Con qu frecuencia se revisan los registros?
o Diariamente
o Semanalmente
o Mensualmente
o Segn sea necesario
o No lo s
122
Anexos
peridicamente?
o S
o No
o No lo s
En caso de responder S:
4.1. Existen directivas y procedimientos para el almacenamiento y la gestin
En caso de responder S:
123
Anexos
Preguntas Vulnerabilidad
1
2
3
4
5
-
Escala
0-3
0-2
0-2
0-2
0-2
Respuesta
No - No lo s
Ninguno
No - No lo s
No - No lo s
No - No lo s
Proteccin
-
Escala
0-3
0a4
0a3
0a4
0a2
Respuesta
S
Varios
S
S
S
124
Anexos
seguridad?
o S
o No
o No lo s
En caso de responder S:
1.1. Tienen estos individuos o grupos experiencia en el tema de la seguridad?
o S
o No
o No lo s
terceros?
o S
o No
o No lo s
125
Anexos
o Trimestralmente
o Semanalmente
o Anualmente
o Cada dos aos o menos
o Infraestructura
o Aplicaciones
o Directiva
o Auditoria
interna?
o S
o No
o No lo s
En caso de responder S:
3.1. Con qu frecuencia se llevan a cabo estas evaluaciones?
o Trimestralmente
o Semanalmente
o Anualmente
o Cada dos aos o menos
o Infraestructura
o Aplicaciones
126
Anexos
o Directiva
o Auditoria
Preguntas Vulnerabilidad
1
2
3
-
Escala
0-3
0-4
0-4
Respuesta
No - No lo s
No - No lo s
No - No lo s
Proteccin
-
Escala
0a4
0a6
0a6
Respuesta
S
S
S
127
Anexos
proceso de contratacin?
o S
o No
o No lo s
En caso de responder S:
1.1. Seleccione la opcin ms adecuada:
o S
o No
o No lo s
o S
o No
o No lo s
128
Anexos
Las
relaciones
con
terceros
(socios,
clientes
fabricantes)
aumentan
Preguntas Vulnerabilidad
1
2
3
-
Escala
0-3
0-3
0-3
Respuesta
No - No lo s
No - No lo s
No - No lo s
Proteccin
-
Escala
0a3
0-3
0-3
Respuesta
S
S
S
129
Anexos
empresa?
o S
o No
o No lo s
En caso de responder S:
1.1. Cul es el porcentaje de empleados que han participado en el programa
la seguridad?
o Directivas y controles de seguridad de la empresa
o Informes sobre actividades sospechosas
o Confidencialidad
o Seguridad del correo electrnico, incluyendo Spam y gestin de
adjuntos
o Seguridad de Internet, incluyendo navegacin por la Web y
descargas
o Seguridad informtica, incluyendo el uso de cortafuegos particulares
y cifrado
130
Anexos
o Ninguno
o Trimestralmente
o Semestralmente
o Anualmente
o Cada dos aos o menos
desempean en la empresa?
o S
o No
o No lo s
En caso de responder S:
3.1. Seleccione las opciones que correspondan en la siguiente lista:
Proteccin
-
Escala
0a4
0a5
0a3
Respuesta
S
Varios
S
131
Anexos
Anexos
Anexos
Anexos
Anexos
Anexos
Anexos
Anexos
Anexos
Anexos
Anexos
Anexos