Documentos de Académico
Documentos de Profesional
Documentos de Cultura
METODOLOGIA DE PENTESTING
No de Control: 15B100088
Ingeniería en Informática
1
Índice
Introducción…………………………………………………...……………………Pág. 3
Objeto……………………………………………………………..…………………Pág. 4
Objetivos…………………………………………………………………………….Pág. 4
Alcance…………………………………………………………….………………...Pág. 4
Términos y Definiciones…………………………………….……………………Pág. 4
Aproximación Básica………………………………………...……………………Pág. 6
Informática…………………………………………….…………………………….Pág. 7
1.1. Preparación…………………………………………………………Pág.
Informática…………………………………………………………..Pág. 9
2
1.2.4. Evaluación del estado actual de la Seguridad Informática….Pág. 17
Informática…………………………………………………………….Pág. 18
Conclusiones……………………………………………………………Pág. 34
Bibliografía………………………………………………………………Pág. 38
3
Introducción
4
informática se basa principalmente en dos tipos de riesgos: físicos y lógicos, los
físicos pueden ser: sabotajes, incendios, accidentes, accesos a áreas no
autorizadas, tsunamis, etc. Y los riesgos lógicos pueden ser: software malicioso,
propagación de virus informáticos, ataques de intrusión, ataques de denegación de
servicios, pérdidas de información, entre otros.
Objeto
5
Alcance
La presente metodología está dirigido a todo aquel usuario que trabaje o utilice
tecnologías de información de cualquier nivel de una organización para que hagan
un buen uso y se cree la conciencia de un buen funcionamiento de estas mismas
ya que con ellas es con lo que se labora hoy en día y se procesa la información.
Términos y definiciones
6
5. Riesgo: Es la probabilidad de que una amenaza se materialice sobre una
vulnerabilidad del sistema informático, causando un impacto negativo en la
organización.
6. Riesgo residual: Es el riesgo remanente después de aplicados controles de
seguridad para minimizarlo.
7. Seguridad: Es usado en el ámbito de minimizar los riesgos a que están
sometidos los activos informáticos hasta llevarlos a los niveles adecuados.
8. Sistema informático: Es el conjunto de activos informáticos de los que
dispone y depende una organización para su correcto funcionamiento y la
consecución de los objetivos.
9. Vulnerabilidad: En un sistema informático es un punto o aspecto susceptible
de ser atacado o de dañar la seguridad; representan las debilidades o
aspectos falibles o atacables en un sistema informático y califican el nivel de
riesgo del mismo.
Aproximación básica
Cabe recalcar que los tres primeros puntos son los más importantes para la toma
de decisiones, garantizando así la seguridad de la empresa, considerando que
no se cuenta con un conocimiento previo de la informacion que se quiere
proteger.
8
Procesos de la Metodología de Gestión de Seguridad Informática Se
compone de 4 pasos:
Hacer
Requerimientos y
expectativas de Verificar Seguridad
Planificar
seguridad Garantizada
Actuar
9
Podemos incluir otros 9 pasos para complementar este ciclo de vida tomando en
cuenta el análisis de riesgo son:
• Identificación de amenazas.
• Identificación de vulnerabilidades.
• Control de análisis.
• Análisis de impacto.
• Recomendaciones de control.
Los activos informáticos de los que dispone una entidad no tienen el mismo valor,
e igualmente, no están sometidos a los mismos riesgos, por lo que es importante
la realización de un análisis de riesgos que ofrezca una valoración de los
activos informáticos y las amenazas a las que están expuestos, de la misma
10
manera, una explicación sobre cómo se gestionaran dichos riesgos para
mitigarlos.
1.1 Preparación
11
c) Revisa la efectividad de la implementación de las políticas de seguridad.
Durante este proceso la implementación no debe ser realizada por una sola
persona o por un grupo de personas de una misma especialidad, sino que debe
ser resultado del trabajo multidisciplinario en el que participen todos aquellos que
de manera integral puedan garantizar el cumplimiento de los objetivos
establecidos.
12
Durante se trabaja en el proceso de preparación, se deberá reunir toda la
información que facilite el diseño e implementación de la metodología, por lo cual
se utilizan los documentos, normativos y metódicos que estén al alcance,
documentación de aplicaciones y sistemas en explotación dentro de la organización;
documentos de incidentes ocurridos en la entidad o entre otras organizaciones
afines; tendencias de seguridad nacionales e internacionales, así como otros
materiales que faciliten su realización.
13
estableciendo sus niveles a partir de las posibles amenazas, vulnerabilidades
existentes y el impacto que estos puedan generar en la organización.
2. La Gestión de riesgos: implica que la identificación, selección, valoración,
aprobación y manejo de los controles a establecer para eliminar o reducir los
riesgos evaluados a niveles aceptables, con acciones destinadas a:
a) Reducir la probabilidad de surjan amenazas.
Este proceso implica una clasificación de posibles alternativas para manejar los
riesgos y/o conflictos a los que pueda estar expuesto un activo informático dentro
los procesos en una organización. Implica una estructura sólida y bien definida,
con controles adecuados y su conducción mediante acciones factibles y
efectivas. Para ello se cuenta con técnicas de control de riesgos como lo son:
1. Evitar: Impedir que los riesgos con un daño significativo por mejoramiento,
rediseño o eliminación, en los procesos, siendo el resultado de adecuados
controles y acciones realizadas.
2. Reducir: Una vez que el riesgo no puede evadirse o evitarse por alguna
dificultad o problema de tipo operacional, la solución puede ser reducirlo al
nivel más bajo posible.
3. Retener: Una vez que se reduce el impacto del riesgo pueden aparecer
riesgos residuales. Como estrategia de control de riesgos se debe plantear el
cómo manejarlos para después mantenerlos en un nivel mínimo.
4. Transferir: Se trata de buscar un respaldo contextual para compartir el riesgo
contra otras organizaciones, como lo puede ser, alojamiento, hospedaje,
externalización de servicios, entre otros.
14
a) Los productos que se generen y/o usen dentro de las organizaciones estas
siendo cualquier tecnología como sistema de información, servicio web o
cualquier otro deben estar sometidos a constantes variaciones:
modificaciones a mecanismos de operación, cambio a personal, cambio a
técnicas de desarrollo de tecnologías, respaldos, etc.
b) La aparición de nuevas amenazas o la valoración de la probabilidad de
ocurrencia de alguna de las existentes.
c) Pueden aparecer nuevas vulnerabilidades o variar o incluso desaparecer
alguna de las existentes, originando, modificando o eliminando posibles
amenazas.
a) Perdida de información.
d) Divulgación de información
15
e) Interrupción de servicios
Una amenaza puede ocurrir sobre varios activos informáticos con la misma
probabilidad, sin embargo sus consecuencias no necesariamente serán iguales,
dependiendo en cada caso de la importancia del bien en cuestión. La
interrelación entre la probabilidad que se materialicen las amenazas que actúan
sobre los activos informáticos y la importancia estimada para el mismo
determinan el peso de riesgo. De esta manera se puede determinar el nivel de
impacto del riesgo para cada activo informático.
16
Los riesgos a los que está sometido un sistema u organización es un aspecto
que se debe tomar muy en cuenta ya que afectan directamente a los
componentes de cada sistema y organización, de esto se puede partir para tomar
las medidas y determinar los controles necesarios para garantizar la seguridad
de forma exitosa.
Por otro lado, al momento de presentar resultado esto dependerá de los valores
estimados, conclusiones, y comentarios a los que se lleguen a ser tomados como
una aproximación acertada al problema y que pueda ajustarse en versiones
posteriores, correspondiente a la práctica.
17
seguridad informática, así como la implementación de controles de riesgos
específicos para protegerse.
18
Una parte fundamental del proceso de planificación de protección de la organización
consiste en identificar los requisitos de seguridad. Tomando en cuenta que la
metodología CORAS trabaja con 7 pasos, en esta metodología se contemplan solo
5 pasos:
Necesidades de
Protección
Exigencias
Superiores
Necesidades de
Procesamientos Requisitos de
seguridad
Controles de riesgo
Informes de
Impacto
19
Los requisitos se identifican mediante la evaluación de los riesgos. El gasto en
controles deben equilibrarse con el procedimiento de la organización, y lo que
resulte de los fallos de seguridad (costo – beneficio).
Para cada riesgo identificado se tomará una decisión y/o un criterio sobre su
tratamiento.
20
c) Requisitos y restricciones operacionales.
21
Se debe tener muy presente que ningún sistema de controles puede alcanzar la
seguridad completa y que acciones adicionales de gestión deben implementarse
para supervisar, evaluar y mejorar la eficiencia y la eficacia de los controles de
seguridad para satisfacer y apoyar las metas y necesidades de la organización.
22
especializadas o grupos externos, esto para estar al día con las tendencias sobre
la seguridad informática.
23
Se asignaran las responsabilidades de seguridad del personal vinculado con el
sistema informático de acuerdo con su participación en el mismo. Dichas
responsabilidades, se asignaran de acuerdo a las áreas y facultades del personal
con el que se cuente. Estas responsabilidades serán complementadas, de ser
necesario, con medidas y procedimientos específicos.
24
aplicación de los mismos para reducir el impacto y la eliminación de
amenazas y riesgos que puedan afectar a los activos informáticos
producidos y que pertenezcan a la organización.
25
3. Capacitar a los usuarios en las medidas y procedimientos que se van a
implantar.
4. Lograr que el personal este responsabilizado sobre los roles a cumplir dentro
de la organización.
26
sean necesarias para lograr la implementación de estos controles se incluirán
señalando los plazos para su cumplimiento y el personal responsabilizado con
su ejecución. Los aseguramientos que se deriven de estas acciones se
requieran. El cumplimiento de este programa contribuirá al proceso de mejora
continua de la seguridad informática y será actualizado según se vaya aplicando.
Algunos aspectos importantes a considerar para el Programa de Desarrollo de
la Seguridad Informática pueden ser los siguientes:
27
metodología se basa en un análisis de riesgos basado en la elaboración de
modelos, de aquí parte la idea de implementar un modelo de controles para
analizar y resolver los riesgos que se presenten, como a su vez la metodología
NIST SP 800-30, esta se incluye de una serie de pasos o controles en nuestro
caso para el análisis y la gestión de riesgos de la seguridad de la información.
28
Para cumplir con lo expresado anteriormente se expone un cronograma de
implementación por áreas, mediante el cual con los jefes de las mismas
garanticen:
29
1. Revisiones periódicas de los indicadores seleccionados
1. Encuestas/indagaciones.
2. Observación.
3. Entrevistas
4. Cuestionarios
5. Evaluación de conocimientos.
6. Inspecciones
8. Supervisión
9. Muestreo.
31
Cada indicador debe tener asociado valores que representen las metas a
cumplir. En este sentido, cada organización definirá su criterio respecto a qué
aspectos quiere controlar y medir para lograr el cumplimiento de los objetivos.
Para ello se pueden definir distintos grupos de indicadores que recojan los
diferentes ámbitos que se quieren gestionar. Por lo tanto se podrán tener:
32
Métodos:
Subjetivos y
Objetivos
Procesos
Procesos
Productos
Productos
Medición Indicadores Información Proyectos
Proyectos
Recursos
Recursos
33
Otro aspecto a tener en cuenta es el de la frecuencia. Se deben definir y programar
claramente los intervalos en los cuales se llevará a cabo cada medición (semanal,
34
mensual, trimestral, anual, etc.), considerando una relación entre la necesidad de
contar con esta información y el esfuerzo para obtenerla (costo/beneficio).
K = 10 y k = 7
Objetivo General: Realizar los cambios que sean necesarios para mantener
el máximo rendimiento de la metodología.
35
En esta etapa se llevarán a cabo las labores de mantenimiento de los sistemas,
recursos y activos informáticos con los que cuente la empresa, así como las
acciones de mejora y de corrección identificadas si, tras la verificación, se ha
detectado algún punto débil. Este proceso se suele llevar en paralelo con la
verificación y se actúa al detectarse la deficiencia, no esperándose a tener la
fase de verificación completada para comenzar con las tareas de mejora y
corrección.
36
6. Puesta en marcha de una nueva aplicación o introducción de un nuevo
servicio de red.
7. Nuevos requerimientos informativos para la organización
8. Incorporación de personal con poca experiencia y conocimientos
9. Cambios en la plantilla de personal, en su composición o completamiento.
10. Conversión de locales de uso interno en áreas de acceso publico
11. Modificaciones estructurales de los inmuebles o cambios en su distribución
Conclusiones
Para concluir que los controles establecidos en cada uno de los procesos se
precisan de herramientas y la concientización sobre lo importante que es tener
37
medidas de actuación ante amenazas e incidencias existentes o que se puedan
presentar durante el desarrollo de actividades.
Bibliografía
https://msnseguridad.blogspot.com/2012/08/seguridadinformatica
-la-seguridad.html
Ramirez, F. (s. f.). Metodologia De Seguridad Informática. Prezi.Com.
https://prezi.com/0pohr8tadr4p/metodologia-de-
seguridadinformatica/
https://es.scribd.com/document/299788968/Metodologias-
ParaSeguridad-Informatica
38
METODOLOGIAS DE LA INFORMÁCION. (s. f.). DocPlayer.
https://docplayer.es/5567784-Metodologias-de-
laseguridadinformatica-integrantes-doris-mera-liliana-
arteagacarlosvillamarin-roberth-sosa.html
39