Clase 2. TIC

Introducción a la Gestión de
Riesgos IT
EALDE Business School

Introducción a la gestión de riesgos IT
Índice
1. Introducción a la Gestión de Riesgos IT .......................................................... 1
Objetivos de la Clase .......................................................................................... 1
Conocimientos Previos ....................................................................................... 1
Abstract............................................................................................................... 2
2. Introducción ..................................................................................................... 3
3. Amenazas, Ataques y Vulnerabilidades........................................................... 5
4. Gestión y Modelado de Amenazas de Seguridad ............................................ 8
4.1 Process for Attack Simulation and Threat Analysis (PASTA). ...................... 9
5. Auditoría Técnica y Revisión de los Controles de Seguridad Aplicados ........ 14
6. Auditoría de Seguridad y Prueba de Penetración .......................................... 16
7. Fases de una Auditoría Práctica o Prueba de Penetración ........................... 18
7.1 Definición del Alcance de la Prueba de Penetración .................................. 19
7.2 Recopilación de Información ....................................................................... 19
7.3 Identificación de Vulnerabilidades .............................................................. 20
7.4 Explotación de las Vulnerabilidades ........................................................... 20
7.5 Post-Explotación y Análisis de Riesgo ........................................................ 20
7.6 Elaboración de un Documento de Reporte y Recomendaciones ................ 21
8. Otros Estándares y Metodologías relacionados con la Seguridad de la

Información........................................................................................................... 22
8.1 Estándares.................................................................................................. 22
8.2 Metodologías .............................................................................................. 22
9. Conceptos Básicos y Conclusiones ............................................................... 26
10. Bibliografía.................................................................................................. 27
1. Introducción a la Gestión de Riesgos IT
Objetivos de la Clase
El propósito de esta clase es proporcionar al alumno unas definiciones formales del
concepto de amenaza, vulnerabilidad y ataque. Es esencial diferenciar estos tres
términos para poder aplicar controles de seguridad de manera efectiva.
Adicionalmente, se presenta al alumno una metodología que permite relacionar los

conceptos anteriores con el riesgo. Siguiendo las fases que conforman dicha
metodología, el alumno será capaz de establecer los controles de seguridad
apropiados para cada sistema, a través de la identificación de las posibles
vulnerabilidades y debilidades que pueden existir en controles de seguridad
implementados, y las amenazas existentes que pueden explotarlas.
Se presenta también al alumno el concepto de auditoría práctica o prueba de

penetración, una de las actividades más comunes y efectivas para la evaluación
técnica de vulnerabilidades, debilidades, amenazas y riesgo.
Y por último se muestran algunas metodologías y estándares internacionales

relacionados con esta disciplina.
Conocimientos Previos
No se requieren conocimientos previos sobre técnicas de análisis y modelado de
amenazas. No obstante, es importante que se tenga conocimiento de los marcos y
principios generales de la gestión del riesgo para encontrar similitudes y/o encaje
con los mismos.
EALDE Business School Página 1

Abstract
A medida que los sistemas de información se arraigan más en la sociedad, las
amenazas de seguridad asociadas a ellos cobran una mayor relevancia. Esto
provoca que, entre otras cosas, la ciberseguridad cobre un papel cada vez más
relevante en las organizaciones.
Como consecuencia de este proceso, surge la necesidad de establecer

mecanismos para identificar, enumerar y priorizar potenciales amenazas desde la
perspectiva de los atacantes. Este proceso se conoce como modelado de
amenazas (Threat Modeling).
Las técnicas de análisis y modelado de amenazas permiten relacionar de manera

muy tangible los conceptos de vulnerabilidades, amenazas, ataques y riesgo,
ayudando al analista a establecer controles de seguridad de manera mucho más
efectiva.

2. Introducción
El uso de las Tecnologías de la Información (IT en inglés) en las últimas décadas
se ha multiplicado exponencialmente. Su utilización es completamente masiva por
parte de los ciudadanos, las administraciones y las compañías.
Este cambio de paradigma ha traído consigo una mayor necesidad de establecer

medidas de seguridad y protección. Podemos destacar algunos sectores en los que
se está produciendo un uso con un crecimiento exponencial y en los que la
seguridad tiene y va a tener gran importancia:
Sector Bancario. Nuevas formas de pago frente a los sistemas tradicionales

mediante telefonía móvil, banca online, nuevas monedas virtuales como el Bitcoin,
etc.
Big Data. Todos los datos que genera la actividad en internet producen 2.5
quintillones de bytes al día. Algunos opinan que el Big Data será el petróleo del
futuro y generará millones de euros a las compañías y los estados que sepan sacar
partido a los datos. Ya en 2013 las revelaciones de Edward Snowden pusieron de
manifiesto las capacidades y el interés de las agencias de inteligencia por tener
acceso a todos los datos y comunicaciones que circulan por la red.
Internet de las Cosas (IoT). Los dispositivos estarán conectados cada vez más a la
red: televisores, coches, relojes, gafas, electrodomésticos, etc. Sirva como ejemplo
de falla de seguridad que este año Siemens descubrió cómo unos cibercriminales
usaban los frigoríficos conectados a la red para realizar envíos masivos de correos
electrónicos. Pensando en otro nivel más peligroso, un ataque terrorista realizado
sobre una infraestructura crítica como la red eléctrica o la de abastecimiento de

agua produciría un daño incalculable para un país. Los dispositivos conectados a

la red podrían ser las próximas armas, como lo fueron los aviones el 11S.
Cloud o almacenamiento en la nube. En España ya el 41% de las empresas utilizan

este sistema de almacenamiento. Dada la gran cantidad de información
almacenada es obvio que cada vez más se transforme en un lugar predilecto para
ser atacado.
Software. El software está haciendo cambiar el mundo de los negocios. Muchos

negocios se están basando principalmente en la creación de un gran software. Así,
por ejemplo, Netflix no posee ni una sala de cine, Airbnb ni una casa, Uber o Cabify
ni un coche, etc. Si hablamos de las redes sociales, poco queda que decir sobre el
impacto y su importancia: Facebook es la 5ª empresa más grande del mundo.

3. Amenazas, Ataques y Vulnerabilidades

Para tener la capacidad de aplicar los controles de seguridad apropiados en cada
situación particular, es necesario comprender en profundidad los conceptos de:
amenaza, ataque y vulnerabilidad.
La noción de ataque implica la comprensión de la noción de amenaza. De acuerdo

con el Instituto Nacional de Estándares y Tecnologías (NIST), una amenaza es:
"Cualquier circunstancia o evento con el potencial de afectar negativamente a las

operaciones de una organización (incluyendo misión, funciones, imagen o
reputación), activos de la organización o individuos, a través del acceso no
autorizado a un sistema de información, la destrucción, divulgación o modificación
de información y/o la denegación de servicio."
Una amenaza a menudo se asocia a una fuente de amenaza que, de acuerdo con
el NIST, se corresponde con:
“Intención y método dirigido a la explotación intencionada de vulnerabilidades”
Una metodología de análisis de amenazas es el examen de las fuentes de

amenazas que pueden explotar las vulnerabilidades de un sistema de información,
con el objetivo de determinar las amenazas para ese sistema en particular.
En la definición de amenaza existe una noción de vulnerabilidad. Una

vulnerabilidad se define, en varias publicaciones especiales de NIST, como:
"Una falla o debilidad en los procedimientos de seguridad de un sistema de

información, diseño, implementación o controles internos que podría explotarse

accidental o intencionadamente y provocar como resultado una violación de los

controles o de la política de seguridad del sistema”.
Es importante no confundir amenaza con vulnerabilidad. Las amenazas

representan un potencial de daño mientras que las vulnerabilidades representan
una condición para que se materialice ese daño. Veámoslo con un ejemplo.
Para una página web que procesa datos de tarjetas de crédito Internet representa
un entorno de amenazas, ya que está potencialmente expuesto a diferentes
amenazas que caracterizan ese entorno.
Entre las amenazas que se pueden encontrar en Internet, están:

• Piratas informáticos
• Crimen organizado
• Estafadores
• …
Por otro lado, las vulnerabilidades son debilidades en los controles de seguridad de
los sistemas de información que estas amenazas podrían tratar de explotar.
Algunos ejemplos de vulnerabilidades serían:

• Establecer comunicaciones entre los sistemas de una organización sin
aplicar controles de confidencialidad como el cifrado.
• No establecer controles de autenticación para acceder a sistemas o
información relevantes.
• Establecer una arquitectura de red en la que todos los servicios de la red
interna corporativa se exponen a redes no confiables como Internet.
• …

Para una amenaza, las vulnerabilidades son oportunidades de atacar una

aplicación y lograr objetivos específicos, como robar información confidencial,
comprometer un sistema o acceder a una red privada.
Para un defensor, las vulnerabilidades representan problemas de seguridad que

deben corregirse antes de que una aplicación se ponga en producción para que
una amenaza no pueda explotarlas.
Otro concepto importante es la noción de ataque. Los ataques no deben

confundirse con las amenazas. Los ataques describen el mecanismo a través del
cual un agente de amenazas explota una vulnerabilidad para causar un impacto de
seguridad que afecte a la confidencialidad, integridad o disponibilidad de un sistema
de información.

4. Gestión y Modelado de Amenazas de Seguridad

A medida que los sistemas de información se arraigan más en la sociedad, las
amenazas de seguridad asociadas a ellos cobran una mayor relevancia. Esto
provoca que, entre otras cosas, la ciberseguridad cobre un papel cada vez más
relevante en las organizaciones.
Como consecuencia de este proceso, surge la necesidad de establecer

mecanismos para identificar, enumerar y priorizar potenciales amenazas desde la
perspectiva de los atacantes. Este proceso se conoce como modelado de
amenazas (Threat Modeling).
El modelado de amenazas es un proceso intuitivo que la mayoría de las personas

realizan de manera inconsciente. De manera general, modelar una amenaza
consiste en responder las siguientes preguntas:
• ¿Cuáles son los activos de valor que me gustaría proteger?

• ¿Cuáles son sus aspectos más vulnerables?
• ¿Cuáles son las principales amenazas que pueden afectarles?
• ¿El análisis realizado es completo, o, por el contrario, estoy pasando algo
por alto?
Existen numerosas metodologías para la realización de un ejercicio de modelado

de amenazas. Muchas de ellas no siguen un conjunto de reglas definidas. Otras,
sin embargo, siguen procedimientos bien definidos que permiten mantener
consistencia entre diferentes ejercicios.
A lo largo de esta sección se presentará una de las metodologías de modelado y

análisis de amenazas más utilizada: Process for Attack Simulation and Threat
Analysis (PASTA).

4.1 Process for Attack Simulation and Threat Analysis (PASTA).

El acrónimo PASTA proviene de Process for Attack Simulation and Threat Analysis.
Fijándose en la primera palabra se puede intuir que esta metodología se basa en
procesos.
PASTA describe un conjunto de pasos en un proceso, y para cada uno de estos

pasos define el conjunto de entradas que el proceso debería tener y el conjunto de
salidas que se esperan.
Es importante entender que PASTA no es una metodología de análisis de riesgos,

sino una manera de ayudar a una organización a gestionar potenciales amenazas
a las que se ve expuesta y que pueden materializarse en problemas de seguridad
tras la explotación de una vulnerabilidad.
La metodología PASTA consiste fundamentalmente en siete etapas bien definidas:

Fase I: Definición de los objetivos para el tratamiento de los riesgos

Esta fase consiste en identificar: los objetivos comerciales y políticas de seguridad
de la información, el cumplimiento aplicable y los requisitos de privacidad de datos
en el alcance del sistema de información que se está analizando.
Adicionalmente, deben definirse los objetivos técnicos y comerciales para el

análisis de riesgos. En esta fase deberían llevarse a cabo actividades como:
obtener los requerimientos de negocio, definir los requerimientos relacionados con
la protección de datos, identificar obligaciones de cumplimiento regulatorio,
identificar leyes de privacidad, determinar el perfil de riesgo inicial y definir los
objetivos de gestión de riesgos.
Fase II: Definición del alcance técnico

En esta fase deben capturarse todas las especificaciones técnicas del sistema de
información que se está analizando. Es importante asegurarse de que se dispone
del nivel de detalle técnico necesario para el diseño de los controles de seguridad
pertinentes y para llevar a cabo el análisis de riesgos de la arquitectura del sistema.
Fase III: Descomposición y confirmación de las aplicaciones

En esta fase se realiza la descomposición del sistema en elementos básicos como
usuarios, roles, almacenamiento de datos y flujos de datos, funciones, controles de
seguridad y límites de confianza.
Aquí deben realizarse tareas como: descomposición de la arquitectura de la

aplicación y análisis de los flujos de datos procesados por cada componente
arquitectónico, análisis de los controles de seguridad que protegen cada
componente e identificación de posibles debilidades y vulnerabilidades.

Fase IV: Análisis de amenazas

En esta fase debe realizarse una definición del panorama de amenazas y una
identificación de las amenazas específicas que afectan al sistema de información
en el ámbito del análisis. Deben analizarse tanto amenazas internas como
externas. Adicionalmente, debe estimarse la probabilidad de que una amenaza
trate de explotar una vulnerabilidad en el sistema mediante la realización de un
ataque.
Por último, deben relacionarse cada una de las amenazas identificadas con los
componentes funcionales del sistema previamente analizados.
A la hora de realizar un análisis de amenazas, es útil disponer de una librería de

amenazas que recoge algunos de los tipos más comunes. Una de las librerías de
amenazas más utilizadas es STRIDE, que divide las amenazas de seguridad en
seis categorías, tal y como se muestra en la siguiente tabla:
Dominio
Amenaza Definición
Seguridad
Spoofing Autenticidad Un atacante intenta ser algo o alguien que no es.
Un atacante intenta modificar los datos que
Tampering Integridad
intercambia entre su aplicación y un usuario legítimo.
Un atacante o actor puede realizar una acción con su
Repudiation No repudio
aplicación que no es atribuible.
Information Un atacante puede leer los datos privados que su
Confidencialidad
disclosure aplicación está transmitiendo o almacenando.
Denial of Un atacante puede impedir que su usuario legítimo

Disponibilidad
Service acceda a su aplicación o servicio.
Elevation of Un atacante es capaz de obtener elevados derechos de

Autorización
Privilege acceso a través de medios no autorizados.

Fase V: Análisis de debilidad y vulnerabilidad

Una vez identificadas las amenazas que afectan a cada componente del sistema,
deben analizarse en profundidad las vulnerabilidades y las debilidades de los
controles de seguridad que se identificaron en la fase III para cada uno de los
componentes del sistema. También deberá analizarse la correlación entre las
amenazas identificadas en la fase IV y las vulnerabilidades y debilidades
encontradas.
Por último, debe calcularse el riesgo que implican las vulnerabilidades y debilidades
teniendo en cuenta su exposición a amenazas potenciales.
Fase VI: Modelado y simulación de ataques

El objetivo de esta etapa es analizar cómo las diversas amenazas analizadas en la
fase IV pueden realizar ataques que produzcan un impacto negativo en la
organización a través de la explotación de las vulnerabilidades del sistema.
El objetivo de este análisis es determinar la probabilidad de que el ataque se

materialice, e identificar las contramedidas oportunas para prevenir y detectar estos
ataques. Estos análisis suelen implicar ejercicios prácticos que tratarán de simular
los ataques teniendo en cuenta las amenazas identificadas y considerando la
presencia de las vulnerabilidades y debilidades previamente identificadas.
A la hora de realizar un modelado y simulación de ataques reales, es conveniente

disponer de una librería de ataques donde se recojan casos de grupos de atacantes
reales.
Una de las librerías de ataques más utilizadas es MITRE ATT&CK. El ATT&CK es

una base de datos que incluye los principales objetivos que tienen los atacantes
cuando realizan un ciberataque. Para cada uno de estos objetivos, se desarrollan

un conjunto de técnicas, que representan muchas de las acciones que los atacantes
podrían realizar para lograr el objetivo.
Fase VII: Análisis y gestión de riesgos

La última fase de la metodología tiene como objetivo principal analizar el riesgo de
cada escenario de ataque simulado durante la fase anterior e identificar el impacto
técnico y de negocio que supone.
Una vez analizados los riesgos, es necesario gestionarlos para reducir el impacto
a niveles aceptables siguiendo una estrategia de gestión de riesgos que esté
alineada con los objetivos de negocio y los objetivos de mitigación de riesgos
definidos en la fase I.
Utilizar este tipo de metodologías a la hora de determinar los controles de seguridad

que deben aplicarse a un sistema de información, y el riesgo que supone no
aplicarlos, es una de las maneras más objetivas y completas que pueden utilizarse.

5. Auditoría Técnica y Revisión de los Controles de

Seguridad Aplicados
A lo largo de todas las secciones anteriores, se han presentado diferentes técnicas
a través de las cuales pueden aplicarse controles de seguridad en diferentes partes
de la infraestructura tecnológica de la organización.
Adicionalmente, se ha presentado una metodología que el analista puede utilizar

para analizar el riesgo de los diferentes sistemas de información en base a un
conjunto de amenazas y vulnerabilidades que pueden afectarles y seleccionar los
controles de seguridad adecuados para cada componente.
Sin embargo, la tecnología, y más concretamente, los sistemas de información se

encuentran en constante evolución. Lo mismo sucede con el panorama de
amenazas que les afectan y las vulnerabilidades y debilidades que surgen como
consecuencia de la evolución de los sistemas.
Debido a este contexto tan cambiante, los controles de seguridad no son estáticos.
Esto implica que el control que se establece para proteger un sistema en un
momento determinado es posible que no sea eficaz en el futuro. Una de las
maneras más comunes y satisfactorias de verificar que los controles de seguridad
aplicados siguen siendo eficaces es mediante ejercicios de auditoría técnica.
Una auditoría técnica de seguridad es un proceso por el cual se realiza un análisis

exhaustivo de todos aquellos aspectos técnicos que implican los sistemas de
información y comunicación de una empresa.
Una vez realizado el análisis, se debe redactar un documento que reporte los
resultados obtenidos, así como las medidas preventivas y/o de refuerzo que deben
aplicarse para mejorar y garantizar un nivel aceptable de seguridad en los sistemas.

El proceso de auditoría técnica está formado por varias fases, que abarcan desde
enumeración de las redes, sistemas en la red y sistemas operativos de los nodos,
hasta el establecimiento de una serie de medidas de corrección y de
recomendaciones sobre su implantación.
A lo largo de esta clase se profundizará en las distintas fases de las que se

compone un proceso de auditoría técnica, así como la presentación de algunos
estándares que pueden seguirse en la realización de este proceso.

6. Auditoría de Seguridad y Prueba de Penetración

Los términos auditoría de seguridad y test de penetración o pentesting son
utilizados de manera indiferente en muchas ocasiones. Sin embargo, ambas
acepciones tienen diferencias sutiles que merece la pena resaltar.
Una auditoría de seguridad normalmente se refiere a la evaluación del riesgo de

un conjunto de sistemas y aplicaciones utilizando como referencia un conjunto de
estándares o normas. Los estándares proporcionan consistencia en la
implementación de un mecanismo de seguridad, y en muchas ocasiones son
obligatorios y específicos de diferentes industrias, tecnologías o procesos.
Muchas de las solicitudes para la realización de una auditoría de seguridad tienen

como objetivo superar otro tipo de auditorías que pueden realizar organismos
oficiales.
Por ejemplo, el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas)

realiza auditorías periódicas a las empresas consideradas operadores críticos para
evaluar que cumplen con todas las medidas de seguridad que marca la LPIC (Ley
de Protección de Infraestructuras Críticas).
En otros casos, pueden solicitarse este tipo de actividades para asegurar que la
empresa cumple con una regulación determinada. Este puede ser el caso, por
ejemplo, del estándar PCI DSS (Estándar de Seguridad de Datos para la Industria
de Tarjeta de Pago).
Por otro lado, una prueba de penetración pretende verificar la seguridad de los
sistemas aplicando un enfoque más práctico. Realiza un análisis de
vulnerabilidades, que consiste en determinar todos los sistemas y aplicaciones

disponibles para realizar un análisis sobre ellos en busca de vulnerabilidades

conocidas.
De igual modo, el analista trata de atacar esas vulnerabilidades de la misma forma

que lo haría un atacante real. El objetivo es evaluar la seguridad de los sistemas y
de las aplicaciones, y confirmar el riesgo que suponen los fallos de seguridad
existentes.
Este ejercicio es muy similar y puede formar parte de las actividades que se realizan
en las fases V y VI de la metodología PASTA, presentada anteriormente en el
capítulo 2.

7. Fases de una Auditoría Práctica o Prueba de

Penetración
En función del estándar o la guía de buenas prácticas que se utilice, las fases de
una prueba de penetración pueden variar levemente. Algunas de las fases más
comunes en la realización de este tipo de ejercicios suelen ser:
• Descripción del alcance de la prueba de penetración

• Recopilación de información
• Identificación de vulnerabilidades
• Explotación de las vulnerabilidades
• Post-explotación, análisis de riesgo y recomendaciones
• Elaboración de un documento de reporte
Estas fases para la realización de una prueba de penetración han sido obtenidas
del PTES (Penetration Testing Execution Standard). Este documento es una guía
aceptada a nivel mundial e implementada por algunas de las compañías líderes en
el sector de la ciberseguridad. A continuación, se presenta el enlace a través del
cual se puede acceder a sus contenidos:
http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines
Sin embargo, existen otros estándares que también han sido aceptados
internacionalmente por muchas organizaciones, como, por ejemplo, el Open
Source Security Testing Methodology Manual (OSSTMM) que puede encontrarse
en el siguiente enlace:
https://www.isecom.org/OSSTMM.3.pdf.

7.1 Definición del Alcance de la Prueba de Penetración

La definición del alcance es una de las fases más importantes de una prueba de
penetración. A pesar de esto, es frecuentemente ignorada en las definiciones de
este tipo de procesos. La definición del alcance determina los activos que se deben
evaluar y la forma en la que se debe llevar a cabo la evaluación.
Para la correcta definición de un proceso de pentesting se deben establecer una

serie de acuerdos que ayuden a proteger al analista o a la empresa que realice la
tarea. A continuación, se presentan algunos de los puntos que se deben tratar:
• Antes de comenzar a realizar ninguna acción, deben discutirse las tareas

que tendrá que llevar a cabo el analista durante la prueba de penetración,
así como los roles y responsabilidades de ambos.
• El analista debe asegurar, mediante un contrato firmado, que las acciones
que se van a llevar a cabo sobre los sistemas de la organización se realizan
en representación del propietario.
• El analista debe revisar las políticas de seguridad de la organización que
definen el uso que los usuarios hacen de los sistemas y de la infraestructura.
7.2 Recopilación de Información

Esta fase consiste en recopilar la mayor cantidad posible de información de los
sistemas que se encuentran dentro del alcance del ejercicio. El objetivo es obtener
información suficiente como para establecer un conjunto elevado de vectores de
ataque, que puedan ser utilizados durante la fase de identificación de
vulnerabilidades y explotación.
Una de las técnicas que suele utilizarse para la realización de este proceso es lo
que se conoce como OSINT (Open Source Intelligence). Las técnicas OSINT
comienzan por la recolección de información de fuentes abiertas de forma que,

mediante la aplicación de diferentes tipos de análisis sobre esta información, se

pueda llegar a generar inteligencia que sea de utilidad para el analista.
7.3 Identificación de Vulnerabilidades

Esta fase consiste en la identificación de vulnerabilidades o debilidades en los
controles de seguridad que se encuentran presentes en los sistemas que se están
evaluando. El tipo de fallos abarca desde errores en la configuración de un servicio
hasta vulnerabilidades en determinados servicios que sean públicos y puedan
comprometer la confidencialidad, integridad o disponibilidad de la información que
albergan.
7.4 Explotación de las Vulnerabilidades

Una vez se ha realizado la identificación de las vulnerabilidades y de las debilidades
en los controles de seguridad presentes en los sistemas que se encuentran al
alcance de la prueba de penetración, el proceso continúa con la verificación de
estas vulnerabilidades mediante su explotación.
Esta fase consiste en determinar el punto de entrada principal y el riesgo que sufren
los diferentes activos críticos debido a la existencia de una vulnerabilidad y una
amenaza determinada dispuesta a explotarla.
7.5 Post-Explotación y Análisis de Riesgo

La fase de post-explotación consiste en determinar el valor de los recursos que han
sido comprometidos en las fases anteriores del proceso. El valor de un recurso
puede determinarse por lo sensible que es la información que almacena o por la
capacidad que puede proporcionar a un atacante para comprometer más recursos
dentro de la organización.
En esta fase se debe garantizar que los procesos de negocio del cliente no se ven
expuestos a un nivel mayor de riesgo debido a la realización del proceso de
pentesting.

7.6 Elaboración de un Documento de Reporte y

Recomendaciones
Esta sección debe comunicar al lector los objetivos principales de la prueba de
penetración y los resultados obtenidos que tengan un impacto alto para la
organización. Esta sección va dirigida a las personas que están encargadas de la
visión estratégica de la seguridad de la compañía, así como a aquellos otros
responsables que se vean afectados por las vulnerabilidades y debilidades
encontradas.
Este tipo de ejercicios deben realizarse de manera periódica en una organización:

- ya sea como parte de un proceso de análisis y modelado de amenazas a la
hora de establecer controles de seguridad en un sistema de información
- o como consecuencia de un proceso de reevaluación periódica de los
controles de seguridad existentes y las vulnerabilidades que pueden afectar
a los sistemas que forman parte de la infraestructura tecnológica de la
compañía.

8. Otros Estándares y Metodologías relacionados con

la Seguridad de la Información
Como hemos visto, para gestionar los riesgos existen múltiples estándares o
normas creadas por distintos estados u organizaciones. Veamos cuáles son las
más utilizadas en general.
8.1 Estándares
Podemos destacar los siguientes estándares normativos:
▪ ISO/IEC27000. Es una familia de normas que abarca a todo tipo de

organizaciones: públicas, privadas e incluso sin ánimo de lucro.
▪ ISO/27002:2013. Determina los controles de seguridad IT.
▪ ISO/IEC 27005:2011. Establece recomendaciones de métodos y técnicas.
▪ ISO/IEC 31000:2009. Se puede aplicar a riesgos de cualquier naturaleza.
▪ SP 800-53. Es la guía que en EE.UU. gestiona los riesgos para organizaciones

federales que manejan información sensible, aunque puede ser utilizada por
otras organizaciones.
▪ BS 7799. Norma utilizada en el Reino Unido realizada por el British Standard

Institute.
8.2 Metodologías
Los países y organizaciones han desarrollado varias metodologías según sus
intereses. Sin embargo, todas tienen varios puntos en común:

• Identificación de los activos

• Reflexión sobre las posibles amenazas
• Medición del impacto
• Probabilidad de ocurrencia
• Establecer las salvaguardas para minimizar el riesgo
Podemos destacar las siguientes metodologías:
MAGERIT
La Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
(MAGERIT) es de las metodologías más conocidas en España para el análisis de
riesgos IT.
Creada por el Consejo Superior de Administración Electrónica en 1997 en su

primera versión y basada en la norma ISO 31000, MAGERIT persigue concienciar
a las organizaciones sobre la existencia de riesgos y la necesidad de gestionarlos
mediante una aproximación metodológica que no deje lugar a la improvisación, ni
dependa de la arbitrariedad del analista.
Activos
Amenaza
s
Valor
Degradación
Impact
o
Probabilidad
Riesgo
Ilustración 1. Modelo MAGERIT

OCTAVE
Su objetivo principal es el riesgo organizacional y pone el foco en lo relativo a la
estrategia, desmitificando la falsa creencia de que la seguridad informática es
solamente un asunto técnico. El método se enfoca en tres fases: la identificación
de la información a nivel gerencial, la de nivel operacional y la del usuario final.
Se trata de una metodología creada para organizaciones con más de 300

empleados. Sin embargo, para dar respuesta a las necesidades de las más
pequeñas, se han diseñado otras dos versiones:
OCTAVE-S. Se aplica en organizaciones de hasta 100 trabajadores. Utiliza un

método más simplificado, pero produce el mismo tipo de resultados que OCTAVE.
OCTAVE Allegro. Esta versión permite el análisis sin la necesidad de grandes

conocimientos y requiere menos recursos y tiempo.
NIST SP 800-30
En Estados Unidos, mediante la metodología NIST SP 800-300, el Instituto
Nacional de Estándares y Tecnología (NIST) marca los patrones.
CRAMM
En Reino Unido la Agencia Central de Cómputo y Telecomunicaciones (CCTA)
desarrolla la metodología que utiliza mayoritariamente la administración británica.
MEHARI
La principal metodología en Francia es MEHARI. Fue desarrollada en su primera
versión en 1995 por la CLUSIF (Club de la Sécurité de l`Information Français)
conforme a la ISO / IEC 27005. Esta organización también ha desarrollado varias

herramientas para usar, según la metodología MEHARI, a corto, medio y largo

plazo de manera adaptable.
CORAS
En 2001 la Unión Europea desarrolló el proyecto CORAS a través de un grupo de
investigación noruego llamado SINTEF, formado por organizaciones públicas y
privadas. Utiliza una metodología basada en la elaboración de modelos.

9. Conceptos Básicos y Conclusiones

Lo fundamental de esta lección reside en comprender y diferenciar claramente los
conceptos de amenaza, vulnerabilidad y ataque.
Los conceptos de amenaza, vulnerabilidad y ataque pueden relacionarse de

manera muy sencilla con el concepto de riesgo a través de metodologías como
PASTA. Este tipo de metodologías permiten al analista determinar los controles de
seguridad que deben aplicarse a un sistema de información y el riesgo que supone
no aplicarlos de una manera realista y eficaz.
Por último, como consecuencia del cambio tecnológico acelerado en el que todas
las organizaciones se encuentran inmersas, los controles de seguridad que se
aplican no son estáticos. Una de las maneras más eficaces de asegurar que el
desempeño de los controles de seguridad implementados sigue siendo adecuado
es mediante la realización de un ejercicio de auditoría práctica o pentesting.
Conocer las metodologías existentes en general, cómo se estructuran y cuáles son

sus principales aspectos característicos es un trabajo que todo gestor de riesgos,
independientemente de su disciplina, debería conocer.

10. Bibliografía
Las siguientes tres referencias bibliográficas permiten ampliar el conocimiento
expuesto a lo largo de esta lección:
• Threat Modeling: Designing for Security. Adam Shostack, 2014.
• OSSTMM 3: The Open Source Security Testing Methodology Manual. Pete Herzog,
2010
• Penetration Testing: A Hands-On Introduction to Hacking. Georgia Weidman, 2014.
• MAGERIT versión 3 (idioma español): Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información. - Edita: © Ministerio de Hacienda y Administraciones
Públicas, octubre 2012.- NIPO: 630-12-171-8
• R. Johnson and M. Merkow, Eds., Security Policies and Implementation Issues 2010.
• Caralli, J. Stevens, L. Young and W. Wilson, Eds., Introducing OCTAVE Allegro:
Improving the Information Security Risk Assessment Process. 2007
• CLUSIF, Ed., MEHARI. 2010.
• Herramienta de Evaluación de Seguridad de Microsoft (MSAT). Available:
https://technet.microsoft.com/es-es/library/cc185712.aspx.
• Barco and J. Mañas, Eds., GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC- 470D) -
MANUAL DE USUARIO PILAR Versión 5.1. 2011.
Repositorios
OCTAVE. Software Engineering Institute. Disponible en:

http://www.cert.org/resilience/products-services/octave/index.cfm
PILAR. Disponible en:

https://pilar.ccn-cert.cni.es/

Clase 2. TIC

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Clase 2. TIC

Cargado por

Copyright:

Formatos disponibles

Introducción a la Gestión de

EALDE Business School

Objetivos de la Clase .......................................................................................... 1

Conocimientos Previos ....................................................................................... 1

3. Amenazas, Ataques y Vulnerabilidades........................................................... 5

4. Gestión y Modelado de Amenazas de Seguridad ............................................ 8

5. Auditoría Técnica y Revisión de los Controles de Seguridad Aplicados ........ 14

6. Auditoría de Seguridad y Prueba de Penetración .......................................... 16

7. Fases de una Auditoría Práctica o Prueba de Penetración ........................... 18

7.1 Definición del Alcance de la Prueba de Penetración .................................. 19

7.2 Recopilación de Información ....................................................................... 19

7.3 Identificación de Vulnerabilidades .............................................................. 20

7.4 Explotación de las Vulnerabilidades ........................................................... 20

7.5 Post-Explotación y Análisis de Riesgo ........................................................ 20

7.6 Elaboración de un Documento de Reporte y Recomendaciones ................ 21

8. Otros Estándares y Metodologías relacionados con la Seguridad de la

8.2 Metodologías .............................................................................................. 22

9. Conceptos Básicos y Conclusiones ............................................................... 26

1. Introducción a la Gestión de Riesgos IT

Adicionalmente, se presenta al alumno una metodología que permite relacionar los

Se presenta también al alumno el concepto de auditoría práctica o prueba de

Y por último se muestran algunas metodologías y estándares internacionales

EALDE Business School Página 1

Como consecuencia de este proceso, surge la necesidad de establecer

Las técnicas de análisis y modelado de amenazas permiten relacionar de manera

EALDE Business School Página 2

Este cambio de paradigma ha traído consigo una mayor necesidad de establecer

Sector Bancario. Nuevas formas de pago frente a los sistemas tradicionales

EALDE Business School Página 3

agua produciría un daño incalculable para un país. Los dispositivos conectados a

Cloud o almacenamiento en la nube. En España ya el 41% de las empresas utilizan

Software. El software está haciendo cambiar el mundo de los negocios. Muchos

EALDE Business School Página 4

3. Amenazas, Ataques y Vulnerabilidades

La noción de ataque implica la comprensión de la noción de amenaza. De acuerdo

"Cualquier circunstancia o evento con el potencial de afectar negativamente a las

“Intención y método dirigido a la explotación intencionada de vulnerabilidades”

Una metodología de análisis de amenazas es el examen de las fuentes de

En la definición de amenaza existe una noción de vulnerabilidad. Una

"Una falla o debilidad en los procedimientos de seguridad de un sistema de

EALDE Business School Página 5

accidental o intencionadamente y provocar como resultado una violación de los

Es importante no confundir amenaza con vulnerabilidad. Las amenazas

Entre las amenazas que se pueden encontrar en Internet, están:

Algunos ejemplos de vulnerabilidades serían:

EALDE Business School Página 6

Para una amenaza, las vulnerabilidades son oportunidades de atacar una

Para un defensor, las vulnerabilidades representan problemas de seguridad que

Otro concepto importante es la noción de ataque. Los ataques no deben

EALDE Business School Página 7

4. Gestión y Modelado de Amenazas de Seguridad

Como consecuencia de este proceso, surge la necesidad de establecer

El modelado de amenazas es un proceso intuitivo que la mayoría de las personas

• ¿Cuáles son los activos de valor que me gustaría proteger?

Existen numerosas metodologías para la realización de un ejercicio de modelado

A lo largo de esta sección se presentará una de las metodologías de modelado y

EALDE Business School Página 8

4.1 Process for Attack Simulation and Threat Analysis (PASTA).

PASTA describe un conjunto de pasos en un proceso, y para cada uno de estos

Es importante entender que PASTA no es una metodología de análisis de riesgos,

La metodología PASTA consiste fundamentalmente en siete etapas bien definidas:

EALDE Business School Página 9

Fase I: Definición de los objetivos para el tratamiento de los riesgos

Adicionalmente, deben definirse los objetivos técnicos y comerciales para el