TABLA DE CONTENIDO

1. Introducción. Pág. 2

2. Objetivos. 3

2.1. Objetivos Generales. 3

2.2. Objetivos Específicos. 3

3. Esquema de trazabilidad. 4

4. Propuesta Auditoria. 6

5. Controles o Acciones. 10

6. Tabla de Ilustraciones. 13

7. Referencias. 14

1
1. INTRODUCCIÓN.

Las diversas tecnologías de la información, desarrolladas y mejoradas en años

recientes, han contribuido al cambio de los estilos tradicionales de administración
de las organizaciones, en la medida en que proporcionan herramientas más
potentes que facilitan la obtención, acceso, procesamiento y análisis de la
información, permitiendo a sus usuarios monitorear, planificar, pronosticar y tomar
decisiones con mayor precisión y rapidez. Adicionalmente, permiten ejercer mayor
control sobre los recursos de la compañía y su integración con toda la cadena de
valor.

El entorno de desarrollo tecnológico que hoy día rodea al ser humano, lo está
llevando a reconocer una dinámica inimaginable de posibilidades y riesgos de la
información cada vez notoria en todos los entornos del ser humano; por esta razón
cada vez más se deben implementar medidas preventivas y diseñar esquemas que
garanticen la seguridad de la información.

En el siguiente informe queremos proponer y promover un esquema de trazabilidad,

identificando los elementos y requerimientos que se necesiten, de igual forma un
plan de auditoria para identificar fallas, además de los riesgos y sus posibles
controles o acciones que nos permitan mitigarlos.

2
2. OBJETIVOS.

2.1. Objetivo General.

• Diseñar un esquema de trazabilidad donde se garantice la seguridad y el

seguimiento de la información, en toda la infraestructura informática de la
entidad educativa Instituto Mundo Medio.

2.2. Objetivos Específicos.

• Aplicar controles y remediaciones a los riesgos o amenazas encontradas en

el plan de auditoria.
• Identificar las vulnerabilidades existentes a través del control de acceso de
las identidades.
• Controlar el seguimiento de las acciones, operaciones y transacciones que
tengan las identidades sobre la información, dispositivos e instalaciones.

3
3. ESQUEMA DE TRAZABILIDAD.

Entre los pasos que componen el proceso de Gestión de Identidad podemos

identificar la trazabilidad, con la cual podemos realizar seguimiento a las acciones,
operaciones y transacciones que realizan los sujetos sobre los objetos.

Grafica No.1

Con este proceso podemos comprobar si se están aplicando y respetando las

políticas de seguridad definidas o realizar los posibles cambios y modificaciones en
este de ser necesario.

Hacer seguimiento en el caso que se presenten algún tipo de investigación.

También permite detectar uso indebido o acceso no autorizados de intrusos al

sistema y generar alertas.

Proponga un esquema de trazabilidad para llevar seguimiento de las diferentes

acciones, operaciones y transacciones que pueden tener las identidades del caso
estudio. Para este esquema considere lo que usted planteo previamente a nivel de
diagramas de flujos. Así como:
a. Elementos sobre los cuales puede hacer seguimiento (SO, red, app, etc.).
b. Qué requerimientos tecnológicos consideraría para poder implementar el
esquema propuesto (herramientas, memoria, recursos, etc.).

4
Se diseña el presente esquema de trazabilidad y seguimiento para todas las
identidades que interactúen con los diferentes sistemas dependiendo de su rol, bien
sea en ambiente on premise y/o virtual; todas las aplicaciones tienen el sistema de
logs habilitado para un seguimiento más detallado de ser necesario.

Diagrama 1. Esquema de Trazabilidad.

Docentes Estudiantes
s
EMail - DLP Cloud - DA INTERNET

Firewall FW

Data Loss Prevention DLP

Core
DMZ DA Core Admin Adaudit Plus
Acade

Campus Virtual Portal Web CRM Biblioteca

Adicional del Firewall como herramienta de seguridad para la red; se implementaron

dos aplicaciones nuevas:

Adaudit Plus: Esta herramienta nos ofrece un estado de la red local en tiempo real,
asegurando los recursos críticos en la red, como los controladores de dominio, sean
auditados, monitoreados e informados con toda la información sobre objetos DA:
usuarios, grupos, GPO, computadora, OU, DNS, esquema AD y cambios de
configuración detallada, adicional de informes específicos del evento, las alertas se
envían por correo electrónico a la o cuentas configuradas para estas notificaciones.

5
DLP: También se implementó el DLP on premise y Cloud, teniendo en cuenta que
se cuenta con Office 365, esta es una herramienta para mitigar los riesgos en la
nube especialmente a través del correo electrónico. Relaciono algunas
características:
• Identificar los intentos maliciosos de suplantación de identidad.
• Prevenir las infecciones de ransomware a través de Office 365.
• Garantizar la protección de sus datos confidenciales.
• Detección automática de datos confidenciales e información sobre propiedad
intelectual en Office 365, OneDrive, correo electrónico, SharePoint, Yammer.

4. PROPUESTA AUDITORIA.

Proponga un plan de auditoria a nivel de gestión de identidad y control de acceso

con el cual pueda llegar a identificar fallas en un ámbito como el planteado en el
caso (una institución educativa). Para esto especifique:

a. Criterios de auditoria (normas, reglas a utilizar para realizar la revisión,

indicando puntualmente que está evaluando. Ejemplo, políticas a nivel de
acceso a red, gestión de contraseñas, usuarios, etc.).

Para esta propuesta de auditoria se toma como base la norma ISO 27001,
específicamente el Anexo A en el numeral:

A.9. Control de acceso.

• A.9.2. Gestión de acceso de usuarios.
o A.9.2.1. Registro y cancelación del registro de usuarios.
▪ ¿Se utiliza un ID de usuario únicos para cada usuario?
▪ ¿Se genera en función a una solicitud con aprobaciones y
registros apropiados?

6
 ▪ ¿Se deshabilitan los ID de usuario de forma inmediata tras una
baja o despido?
▪ ¿Existen una comunicación eficiente ente la Administración de
Seguridad y Recursos Humanos?
▪ ¿Existe una revisión / auditoría periódica para identificar y
deshabilitar los ID de usuario redundantes?
▪ ¿Se eliminan los ID deshabilitados después de confirmar que
ya no son necesarios?
▪ ¿Qué impide que los ID de usuario sean reasignados a otros
usuarios?
o A.9.2.3. Gestión de derechos de acceso privilegiado.
▪ ¿Hay un proceso para realizar revisiones más frecuentes y
periódicas de cuentas privilegiadas para identificar y
deshabilitar / eliminar cuentas con privilegios redundantes y / o
reducir los privilegios?
▪ ¿Se genera un ID de usuario separado para otorgar privilegios
elevados?
▪ ¿Se ha establecido una caducidad para los ID de usuario con
privilegios?
▪ ¿Se controlan las actividades de los usuarios privilegiados de
forma más detallada?
o A.9.2.4. Gestión de información de autenticación secreta de usuarios.
▪ ¿Se implementan controles técnicos, como la longitud mínima
de la contraseña, reglas de complejidad, cambio forzado de
contraseñas en el primer uso, autenticación de múltiples
factores, datos biométricos, contraseñas compartidas etc.?
▪ ¿Se verifica rutinariamente si hay contraseñas débiles?
▪ ¿Se requiere confirmar la identidad de los usuarios antes de
proporcionarles contraseñas temporales nuevas?
▪ ¿Se transmite dicha información por medios seguros?

7
 ▪ ¿Se generan contraseñas temporales suficientemente fuertes?
▪ ¿Se cambian las contraseñas por defecto de los fabricantes?
▪ ¿Se recomienda a los usuarios usar el software adecuado de
protección de contraseñas?
▪ ¿Se almacenen de forma cifrada las contraseñas en sistemas,
dispositivos y aplicaciones?
• A.9.3. Responsabilidades de los usuarios.
o A.9.3.1 Uso de información de autenticación secreta.
▪ ¿Cómo se asegura la confidencialidad de las credenciales de
autenticación?
▪ ¿Existe un proceso de cambio de contraseñas en caso de ser
comprometida?
▪ ¿Existen controles de seguridad relativas a las cuentas
compartidas?
• A.9.4. Control de acceso a sistemas y aplicaciones.
o A.9.4.3. Sistema de gestión de contraseñas.
▪ ¿Los sistemas requieran una fortaleza de contraseñas
establecidos en las políticas y estándares corporativos?
▪ ¿Las reglas tienen en cuenta lo siguiente?
o Longitud mínima de la contraseña.
o Evitan la reutilización de un número específico de
contraseñas.
o Imponen reglas de complejidad (mayúsculas,
minúsculas, números, símbolos, etc.).
o Requiere el cambio forzado de contraseñas en el
primer inicio de sesión.
o Esconde la contraseña durante la imputación.
▪ ¿Se almacenan y transmiten de forma segura (cifrado)?
o A.9.4.4. Uso de programas utilitarios privilegiados.
▪ ¿Quién controla los servicios privilegiados?

8
 ▪ ¿Quién puede acceder a ellos, bajo qué condiciones y con qué
fines?
▪ ¿Se verifica que estas personas necesidad comercial para
otorgar el acceso según su roles y responsabilidades?
▪ ¿Existe un proceso auditable de aprobación, y cada instancia
de su uso está registrado?
▪ ¿Se tiene en cuenta la segregación de tareas?

b. Qué validaría particularmente (prueba, análisis puntual que realizaría).

Para esta actividad se tendría en cuenta las siguientes validaciones:

• Se realizaría la solicitud de la planta activa y se contrastaría con los

usuarios activos en el Directorio Activo.
• Matriz de perfiles.
• Privilegios de cada perfil en las diferentes herramientas y aplicaciones
(Se toma una muestra).
• Usuarios genéricos.
• Usuarios privilegiados.
• Debilidad de claves.
• Exposición de claves.
• Actualizaciones de aplicaciones de protección.

c. Riesgo(s) asociados al análisis realizado (a que riesgos se puede referir o

estar asociado esa validación que está realizando).

De encontrarse algún hallazgo se estaría perdiendo la confidencialidad, integridad

y disponibilidad de la información a través de acceso no autorizados lo cual podría
dificultar la determinación del responsable ante un posible mal manejo de

9
información. Existen riesgos asociados a la falta de cuidado de un usuario y riesgos
asociados al uso de mecanismos y herramientas informáticas.

Así un individuo, persona o atacante podría tener acceso a las credenciales de un

usuario si este las deja escritas en lugares de fácil acceso, visibles o de fácil
decifrado, si digita su clave en frente de un posible atacante o la menciona o si
maneja claves que sean de fácil deducción o con patrones reconocidos que pueda
conocer un tercero.

También existen otra clase de herramientas o mecanismos que utilizan para realizar
ataques a nuestros sistemas, estos son mas avanzados y requieren mas
conocimiento y tiempo para ejecutarlos, pero al final tiene el mismo objetivo de
acceder a los dispositivos y su información entre ellos podríamos encontrar:

• Ataques de diccionario.
• Ataques de fuerza bruta.
• Phishing.
• Malware.

5. CONTROLES O ACCIONES.

Pensando que los riesgos que planteo previamente; considere posibles controles o
acciones que se puedan implementar para su mitigación. Recuerde que los
controles deben estar descritos en términos de diseño (qué, quién, cuando,
documentación, evidencia).

Establecer una matriz de perfiles por el área de Seguridad de la Información que

defina y relacione los privilegios por rol; se debe estar actualizando constantemente.

10
Complejidad en las contraseñas de DA. Implementar el uso y control de medios de
autenticación (identificación de usuario y contraseñas) que permitan identificar y
responsabilizar a quienes utilizan los recursos de TI.
Tabla 1. Matriz de Riesgos.
RIESGOS DESCRIPCION DETALLES
Los usuarios dejan sus
R1 Falta de cuidado de los contraseñas a simple vista o
usuarios utilizan contraseñas por
default.
El atacante cuenta con una
R2 Ataques de diccionario lista de palabras la cuales va
probando hasta que una
coincida con la del usuario.
El atacante utiliza todas las
R3 Ataques de fuerza bruta posibles combinaciones de
letras y números para
encontrar la correcta, a veces
lo utiliza junto con ataques de
diccionario.
El atacante busca obtener
R4 Phishing información personal del
usuario a través de la
suplantación de un tercero.
CONSECUENCIAS MITIGAR
Cualquier persona las Prohibir la escritura de las
puede ver y utilizar de contraseñas en papeles,
manera fraudulenta o post it, prohibir la
para dañar información exposición de estas en las
internamente, son de fácil pantallas de los PC, evitar
descifrado para un digitarlas en frente de
atacante, que las usa terceros o compañeros.
para tener acceso e
información confidencial
con fines no
determinados
Si los usuarios usan Crear políticas de sintaxis
claves débiles, pueden de información, obligando
ser descifradas por un a usar un número mínimo
atacante y ser utilizadas de 12 caracteres,
para robar información o utilizando letras números
dañarla, acceder a y caracteres especiales.
equipos confidenciales. Realizar cambio de
password regularmente.
El administrador debe
procurar cifrar él envió de
password, no hacerlo en
texto claro.
Si los usuarios usan El bloqueo de sesiones
claves débiles, pueden por reiterados intentos de
ser descifradas por un autenticación.
atacante y ser utilizadas Uso de cookies de
para robar información o autenticación.
dañarla, acceder a Uso de mecanismos de
equipos Al usarse monitoreo sobre los
combinado con ataques sistemas para identificar
de diccionario es mas y controlar accesos no
probable encontrar la autorizados
contraseña default o poco Incluso pueden llevarse
robustas que usen los ataques de fuerza bruta
usuarios. como parte de
evaluaciones internas
para detectar password
débiles adelantándose a
un atacante.
Pueden acceder a Prohibir y bloquear el
información como tarjetas acceso a páginas web -
de crédito e información no acceder mediante
financiera delicada. enlaces remitidos por
11

Código o software malicioso
R5 Malware cuyo objetivo puede ser
infiltrarse en un sistema de
información, una red o un
equipo para obtener
información o causar daños
sin la aprobación del usuario o
propietario.
mensajería o correo
electrónico.
Digitar la URL o buscar
directamente sobre el
browser.
Validar las fuentes de las
cuales se reciben
mensajes o comunicados
vía correo electrónico,
teléfono, o mensajes de
texto antes de brindar
información personal.
Uso de dispositivos de
seguridad de usuario final
que detectan phishing.
Y todo lo anterior está
fuertemente ligado a
programas de toma de
conciencia hacía los
usuarios finales.
Obtener acceso a la red y Implementar sistemas de
a dispositivos críticos antivirus y detección de
para el funcionamiento spyware, troyanos y
los cuales podrían dejar gusanos
inhabilitados. Bloquear Generar gestión del
equipos y encriptar cambio ante estos temas
información para solicitar y hacerle ver a los
rescate. usuarios que además de
la empresa los
principales perjudicados
son ellos, si no toman las
medidas implementadas
de manera adecuada.
12
6. TABLA DE ILUSTRACIONES.

Grafica No. 1 Pág. 4

Diagrama No. 1 5
Tabla No. 1 11

13
7. REFERENCIAS.

[1] Politécnico Grancolombiano, Institución Universitaria. (2019). Gestión de

Identidad, Modelos de control de acceso. Bogotá D.C. Recuperado de:
https://poli.instructure.com/courses/9905/files/3666397?module_item_id=525690

[2] ADAudit Plus, Manage Engine. (2019). Informes de auditoría de Active

Directory en tiempo real. México. Recuperado de:
https://manageengine.com.mx/index.php/adaudit-plus/caracteristicas/informes-de-
auditoria-de-active-directory

[3] Normas ISO. (2019).ISO 27001 Gestión de la seguridad de la información.

España. Recuperado de: https://www.normas-iso.com/iso-27001/

[4] Enterprise, Symantec. Prevenir suplantaciones de identidad, ataques de

ransomware y pérdidas de datos. España. Recuperado de:
https://www.symantec.com/es/es/solutions/office365

[5] Management systems, Information security — Requirements (second edition)

.2019. About the ISO 27K Standars. Nueva Zelanda. Recuperado de:
https://iso27001security.com/html/iso27000.html

14