Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sareb-Público
INDICE
• RFP
• Confidencialidad
• RFP Auditoria
• Carta de autorización
• Informe
• RFP
• Confidencialidad
• RFP Auditoria
• Carta de autorización
• Informe
• RFP
• Confidencialidad
• RFP Auditoria
• Carta de autorización
• Informe
…………………….. con domicilio en ………………….. y CIF nº …………………, está interesado en participar en el proceso de
presentación de propuestas para la provisión de servicios de auditoría de seguridad de IT, sirviendo de base al mismo la información
facilitada por LA EMPRESA, de su propiedad, por cuanto con carácter previo a su inicio, suscribe el presente,
COMPROMISO DE CONFIDENCIALIDAD
Cualquier información técnica y comercial, programas, aplicaciones informáticas, componentes y sistemas que LA EMPRE facilite a EL
PROVEEDOR para la ejecución del contrato tendrán la consideración de Información Reservada, aunque no se haga constar así
expresamente, y sea cual sea el soporte en que esté plasmada.
EL PROVEEDOR se compromete y obliga a utilizar cualquier Información Reservada exclusivamente para cuestiones directamente
relacionadas con la ejecución del contrato. En consecuencia, no dispondrá de la Información Reservada para la realización de otros
trabajos o proyectos.
EL PROVEEDOR no pondrá Información Reservada alguna en conocimiento de terceros por motivo alguno y ni en momento alguno,
incluso tras la finalización y entrega de los productos objeto del presente contrato.
EL PROVEEDOR sólo facilitará el acceso a la Información Reservada al personal de su organización que lo requiera para la debida
ejecución de este contrato y adoptará las medidas adecuadas para evitar su divulgación a personal no autorizado o a terceros.
La puesta a disposición de EL PROVEEDOR de cualquier Información Reservada no implica licencia o cesión de uso, ni confiere a EL
PROVEEDOR derecho alguno de propiedad industrial o intelectual sobre la misma.
A la finalización de la producción y entrega del pedido contratado, EL PROVEEDOR se compromete y obliga a devolver a LA
EMPRESAtoda la Información Reservada, así como a entregar o destruir todos los ejemplares o copias de la misma, en cualquier
soporte.
FIRMA
• RFP
• Confidencialidad
• RFP Auditoria
• Carta de autorización
• Informe
2. REQUISITOS TÉCNICOS
• 2.1. Consideraciones previas
• 2.2. Descripción de los trabajos
• 2.3. Programa de trabajo
• 2.4. Entregables
– 2.4.1. Documentación mínima por servicio
– 2.4.2. Memoria final
– 2.4.3. Documento acreditativo de borrado
• 2.5. Medios técnicos aportados por la Empresa
4. PLANIFICACIÓN
• 4.1. Reunión de lanzamiento
• 4.2. Reuniones de seguimiento
• 4.3. Cierre del proyecto y memoria final
8. CRITERIOS DE VALORACIÓN
• RFP
• Confidencialidad
• RFP Auditoria
• Carta de autorización
• Informe
LA EMPRESA, con domicilio en XXXXX de XXX y con CIF_______________________, inscrita en el Registro Mercantil
de____________________, autoriza a:
EL PROVEEDOR
a realizar una auditoria de seguridad de sus sitemas de información y comunicaciones, donde se incluye pero no se limita a
diferentes pruebas para comprobar el nivel de ciberseguridad que posee la infraestructura tecnologica. Esta revisión se
realizará con fecha de ____ de ____ de 201X.
Excepto indicación expresa por parte de LA EMPRESA, EL PROVEEDOR NO intentará provocar que los servidores queden
fuera de servicio, del mismo modo que no realizará ataques de denegación de servicios. Sin embargo, dada la naturaleza de
la de la revisión, tales circunstancias podrían presentarse de forma involuntaria, incluso aunque hayamos llevado a cabo la
debida diligencia profesional.
POR TANTO, EL PROVEEDOR DECLINA CUALQUIER TIPO DE RESPONSABILIDAD POR TODOS LOS DAÑOS QUE
PUDIERAN DERIVARSE DIRECTA O INDIRECTAMENTE DE LA REALIZACIÓN DEL “TEST DE INTRUSIÓN”, ENTRE
ELLOS, Y A TÍTULO MERAMENTE INDICATIVO, LOS TIEMPOS SIN SERVICIO, LA PÉRDIDA DE DATOS, ETC.
LA EMPRESA declara que ha leído y está de acuerdo con lo expresado en el presente documento.
Por otra parte, EL PROVEEDOR manifiesta que realizará este trabajo con la debida diligencia profesional y de conformidad a
lo definido en el alcance, de tal manera que, en la medida en que sea posible, no se proceda a la caída o inutilización de los
sistemas informáticos del LA EMPRESA.
El abajo firmante manifiesta que está debidamente autorizado por su representado para autorizar a LA EMPRESA a la
realización del servicio en los términos señalados.
Nombre: __________________________________
Lugar y fecha: __________________________________
Firma y sello: __________________________________
• RFP
• Confidencialidad
• RFP Auditoria
• Carta de autorización
• Informe
• Proyecto
– El proyecto consiste en evaluar la seguridad y las medidas necesarias para
solucionar aquellas vulnerabilidades detectadas en la aplicación móvil de LA
EMPRESA, realizadas todas las acciones desde nuestra sede ubicada en
XXXX.
• Aspectos positivos
– A continuación, se enumeran aquellos aspectos de seguridad que se han
revisado durante la auditoría y se han identificado como buenas prácticas de
seguridad aplicadas en la aplicación:
• Parámetros correctamente validados
• Token de seguimiento
• Cifrado SSL seguro
• Incidencias
– No se han producido incidencias durante la realización de las pruebas.
• OWASP Mobile Project (Open Web Application Security Mobile Project) – Guía de
realización de pruebas de seguridad en aplicaciones móviles. https://www.owasp.org
• OSSTM - Manual de Metodología de pruebas de seguridad de código abierto:
http://www.osstmm.org
• ISSAF - Marco de Evaluación de Sistemas de Información de Seguridad:
http://isstf.sourceforge.net
Como resultado, este informe contiene los diferentes riesgos identificados durante las pruebas
de penetración y todas las recomendaciones necesarias para resolver estas vulnerabilidades.
Teniendo en cuenta los niveles de impacto de las vulnerabilidades, así como el tiempo
necesario para realizar un ataque explotando las mismas, se ha determinado que el nivel de
seguridad para la aplicación Android es muy bajo.
Esto se debe a que la vulnerabilidad de fuerza bruta obtiene un ratio de explotabilidad del
100% y su CVSS es de 9,0. Por tanto, el resultado final es de 18,0.
Este servicio convierte un equipo en un servidor web para Internet o una intranet, es decir, que en los
ordenadores que tienen este servicio instalado se pueden publicar páginas web tanto local como
remotamente.
Se basa en varios módulos que le dan capacidad para procesar distintos tipos de páginas. Por ejemplo,
Microsoft incluye los de Active Server Pages (ASP) y ASP.NET. También pueden ser incluidos los de otros
fabricantes, como PHP o Perl.
Se ha detectado el uso de la versión 7.5 de IIS durante la auditoría. La versión utilizada posee múltiples
vulnerabilidades que ponen en peligro la seguridad del sistema. Los identificadores de dichas vulnerabilidades
son los siguientes:
TEMA 3.CVE-2012-2532
CVE-2010-2730
CVE-2012-2531
El proceso y las fases CVE-2010-3972
de la auditoríaCVE-2010-1256
Sareb-Público
CVE-2010-1899
de Sistemas de Información
Descripción
Internet Information Services (IIS) es un servidor web y un conjunto de servicios para el sistema operativo
Microsoft Windows. Originalmente era parte del “Option Pack” para Windows NT. Luego fue integrado en
otros sistemas operativos de Microsoft destinados a ofrecer servicios, como Windows 2000 o Windows Server
Informe 2003. Los servicios que ofrece son: FTP, SMTP, NNTP y HTTP/HTTPS.
Este servicio convierte un equipo en un servidor web para Internet o una intranet, es decir, que en los
Informe técnico
ordenadores que tienen este servicio instalado se pueden publicar páginas web tanto local como
remotamente.
Descripción detallada de cada una de las pruebas y ficha de cada hallazgo:
Se basa en varios módulos que le dan capacidad para procesar distintos tipos de páginas. Por ejemplo,
Microsoft incluye los de Active Server Pages (ASP) y ASP.NET. También pueden ser incluidos los de otros
fabricantes, como PHP o Perl.
Se ha detectado el uso de la versión 7.5 de IIS durante la auditoría. La versión utilizada posee múltiples
vulnerabilidades que ponen en peligro la seguridad del sistema. Los identificadores de dichas vulnerabilidades
son los siguientes:
Detalles
Debido a que algunas de las vulnerabilidades detectadas provocan una denegación del servicio no se ha
llevado a cabo ningún tipo de ataque que pudiese poner en peligro su disponibilidad.
Por otra parte, debido a la inaccesibilidad a ciertas funcionalidades afectadas, la inexistencia de exploits
públicos o la inexistencia de información detallada sobre las vulnerabilidades no se ha podido llevar a cabo
un ataque real para explotar alguna de las otras vulnerabilidades aquí presentes no relacionadas con la
denegación de servicio.
Toda la información aquí expuesta está basada únicamente en el “banner” mostrado por el servidor web
afectado, el cual muestra la versión de IIS utilizada.
Por otra parte, debido a la inaccesibilidad a ciertas funcionalidades afectadas, la inexistencia de exploits
públicos o la inexistencia de información detallada sobre las vulnerabilidades no se ha podido llevar a cabo
un ataque real para explotar alguna de las otras vulnerabilidades aquí presentes no relacionadas con la
denegación de servicio.
Toda la información aquí expuesta está basada únicamente en el “banner” mostrado por el servidor web
afectado, el cual muestra la versión de IIS utilizada.
Impacto
Debido a la existencia de varias vulnerabilidades en el software afectado, un atacante podría:
Informe
Informe técnico
Descripción detallada de cada una de las pruebas y ficha de cada hallazgo:
Impacto
Debido a la existencia de varias vulnerabilidades en el software afectado, un atacante podría:
Recomendaciones
Se recomienda mantener el software actualizado, ya sea mediante parches de seguridad o instalando las
versiones más recientes del producto. Para más información:
https://technet.microsoft.com/en-us/library/security/dn610807.aspx
También es aconsejable, siempre que sea posible, ejecutar este tipo de software con privilegios limitados
para que, en caso de que un atacante consiga ejecutar código mediante una vulnerabilidad del producto, no
posea los máximos privilegios posibles en el sistema.
Sareb-Público