CAS-CHILE®

25 Años

AUDITORÍA DE SEGURIDAD
INFORMÁTICA

Daniel P. Valdés Gómez

PROCESO DE
ANÁLISIS DE RIEGOS
 Creación de un inventario de activos.
 Simplificación de activos en dominios.
 Detección de vulnerabilidades y amenazas
asociadas.
Se
utilizan
complementariamente los servicios de
Hacking Ético si así se solicita.
 Evaluación de probabilidades e impactos.
 Análisis de controles ISO implantados.
 Obtención del riesgo.

LA GESTIÓN DE
LOS RIESGOS
Aplicación de las medidas de salvaguarda con el
objetivo de reducirlos al nivel deseado.

VULNERABILIDADES
Son los puntos más débiles que, al ser explotados por
amenazas, afectan la confidencialidad, disponibilidad e
integridad de la información de un individuo o empresa.

TIPOS DE
AMENAZAS






Físicas
Naturales
De Hardware
De Software
De Almacenamiento
De Conexión
Humanas

.  Utilización de criptografía.  Otros métodos para evitar que el software sea crackeado. esto incluye:  Utilización de funciones seguras para proteger de “desbordamientos de pila”.PROGRAMACIÓN SEGURA Es una rama de la programación que estudia la seguridad del código fuente de un software cuyo objetivo es encontrar y solucionar los errores de software.  Análisis profundo de otros errores de software mediante testeos del software en ejecución y creación de parches para los mismos.  Diseño de parches heurísticos y meta heurísticos para proveer un cierto grado de seguridad proactiva.  Control del trabajo con el flujo de datos.  Declaración segura de estructura de datos.

una de las amenazas informáticas más propagadas y una de las que mayor pérdida económica y de tiempo proyecta en ambientes hogareños y corporativos.  Al respecto.  La mayoría de estas amenazas informáticas se encuentran representadas por troyanos. . por lo general. se da al mencionar genéricamente como “virus” a cualquier programa dañino cuando técnicamente no lo es y en realidad. en la actualidad. la palabra adecuada para llamarlos es malware.  Los virus informáticos se caracterizan por su capacidad de infectar a otros programas. Son programas que provocan algún daño intencional en los sistemas informáticos. inyectando su propio código malicioso dentro del código original del programa huésped.CÓDIGOS MALICIOSOS Los códigos maliciosos constituyen. un ejemplo práctico. spyware/adware y gusanos. o según su traducción. código malicioso.

los spyware/adware son programas cuyo objetivo radica principalmente en el intento de recolectar información de los usuarios acerca de sus hábitos de navegación.  Los troyanos fundan sus características principalmente en el engaño: aparentando ser un programa benigno. . generalmente sin el consentimiento de los usuarios.CÓDIGOS MALICIOSOS  A diferencia de los virus.  Los gusanos informáticos. útil e inofensivo cuando en realidad no lo son u ocultándose en otros programas útiles. los spyware/adware y los troyanos son mucho más difundidos que el virus propiamente dichos.

CÓDIGOS MALICIOSOS  Troyanos Downloader: Al comprometer una computadora se encargan de descargar otros códigos maliciosos.  Troyanos Bot: Convierte las computadoras en equipos zombies que luego forman parte de los botnets. .  Troyanos Clicker: Aquellos que realizan fraudes a través de clic en sitios con publicidad.  Troyanos Bancarios: Utilizados para realizar fraudes a través de datos confidenciales de los usuarios.  Troyanos Backdoors: Permite el acceso a un sistema de una manera no convencional.

CÓDIGOS MALICIOSOS El Malware actual suele contener componentes que muchas veces dificultan su identificación en cuanto a la categoría que representan. un troyano puede diseminarse adherido a un gusano y una vez activado. . desplegar funcionalidades maliciosas como backdoors o rookits (programas utilizados para ocultar procesos y conexiones en un sistema). ya que un solo código malicioso suele tener las características propias de varios de ellos. Por ejemplo.

se existente entre los diferentes elementos que intervienen en el análisis de riesgos.CÓDIGOS MALICIOSOS incluye un esquema con la relación A continuación. Sobre Activos Amenazas Implican Aumentan Vulnerabilid ades Amenazas Explotar Reducen Cortamedi das Pueden Reduci con .

METODOLOGÍAS DE ANÁLISIS DE RIESGO CUALITATIVOS Es el método de análisis de riesgo más utilizado en la toma de decisiones en proyectos empresariales. . experiencia e intuición para la toma de decisiones:  Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el tiempo y los recursos necesarios para hacer un análisis completo. los emprendedores se apoyan en su juicio.  O bien porque los datos numéricos son inadecuados para un análisis más cuantitativo que sirva de base para un análisis posterior más detallado del riesgo global del emprendedor.

Evaluación para grupos multidisciplinarios. Jucio de especialistas y expertos (Técnica Delphi). . Cuestionario de entrevistas estructuradas.METODOLOGÍAS DE ANÁLISIS DE RIESGO Los métodos cualitativos incluyen: Brainstorming.

o descripciones más detalladas de la probabilidad y la consecuencia.METODOLOGÍAS DE ANÁLISIS DE RIESGO SEMI -CUALITATIVOS Se utilizan clasificaciones de palabra como alto. Estas clasificaciones se demuestras en relación con una escala apropiada para calcular el nivel de riesgo. . Se debe poner atención en la escala utilizada a fin de evitar malos entendidos o malas interpretaciones de los resultados del cálculo. medio o bajo.

.Simulación computacional. . Los métodos cuantitativos incluyen: . calcular el nivel de riesgo del proyecto.Análisis de probabilidad.METODOLOGÍAS DE ANÁLISIS DE RIESGO CUANTITATIVOS Se consideran métodos cuantitativos a aquellos que permiten asignar valores de ocurrencia a los diferentes riesgos identificados.Análisis de consecuencias. es decir. .

IDENTIFICACIÓN DE ACTIVOS Se definen como los recursos de una compañía que son necesarios para la consecución de sus objetivos de negocio. Sistemas. Equipamiento. . Ejemplo: Información. Conocimiento.

 El proceso de elaborar un inventario de activos es uno de los aspectos fundamentales de un correcto análisis de riesgos.IDENTIFICACIÓN DE ACTIVOS  Pueden ser cuantificados con un valor económico (activos tangibles) como el software y hardware y con valores monetarios (activos intangibles) tales como el prestigio o la confianza de los clientes. .

IDENTIFICACIÓN DE AMENAZAS Se define como un evento que puede desencadenar un incidente en la organización. Clasificación General de Amenazas . produciendo daños materiales o pérdidas inmateriales en sus servicios.

que en España. . pero que sin embargo es un factor a considerar: empleados descontentos. donde los terremotos ocurren con mayor frecuencia. las amenazas tendrán una probabilidad de ocurrencia que dependerá de la existencia de una vulnerabilidad que pueda ser explotada. para materializarse en un incidente.) que las amenazas naturales.IDENTIFICACIÓN DE AMENAZAS Dependiendo de la organización y el proceso analizado. etc. tendrá una mayor probabilidad de ocurrencia en una empresa con oficinas en Japón. Por ejemplo. ex empleados. En el componente humano existen dos factores: AMENAZA = CAPACIDAD X MOTIVACIÓN La motivación es una característica humana que es difícil de valorar. una amenaza del tipo de desastre natural como es un terremoto. robos de información. etc. Resulta más complicado valorar amenazas humanas (ataques maliciosos.

IDENTIFICACIÓN DE AMENAZAS Para identificar las vulnerabilidades que pueden afectar a una compañía. si el nivel de protección es suficiente para evitar que se materialice la amenaza. . debemos responder a la pregunta ¿Cómo puede ocurrir una amenaza? Para responder a esta pregunta ponemos como objetivo la amenaza y definimos las distintas situaciones por las que puede ocurrir la misma. evaluando si dentro de la compañía puede darse esa circunstancia. es decir.

¿Existe un control de acceso a los datos? 2. ¿Existen perfiles adecuados de acceso a los datos? . ¿Están los dispositivos de almacenamiento protegidos y controlados de forma adecuada? 3. si nuestra Amenaza es que nos roben datos estratégicos de la compañía podemos establecer. Entrada no autorizada a los datos a través del sistema informático. como otros. los siguientes escenarios: Escenarios Nivel de Protección 1.IDENTIFICACIÓN DE AMENAZAS Por ejemplo. Robo de datos de los dispositivos de almacenamiento magnético. Robo de datos mediante accesos no autorizados.

para que sea finalmente el CFO quién compile los presupuestos finales. y las actividades operativas de la empresa.OPTIMIZACIÓN DEL PROCESO DE AUDITORÍA QUÉ HACER Contar con la función del auditor interno. Esto permite al auditor recibir de manera directa. Capacitar a todos los empleados de la compañía respecto a las características del negocio. la visión y valores de los accionistas. Armar presupuestos económicos por áreas. . Involucrar a la alta gerencia (directores/dueños) en el negocio y la administración.

En muchos casos las empresas contienen distintos aplicativos que requieren diversas interfaces para finalmente procesar toda la información contable. Segregar las funciones importantes y aplicar un control por oposición. Desconocer el rol y las responsabilidades del auditor atentan contra la emisión de información auditada oportuna y de calidad.OPTIMIZACIÓN DEL PROCESO DE AUDITORÍA QUÉ NO HACER Evitar la excesiva confianza en personas con roles clave. . No contar con un sistema operativo integrado: Dificulta el proceso de auditoría y genera riesgos de errores o fraudes.

Contratar seguros para los activos.CONTROLES PREVENTIVOS Identifican potenciales problemas antes de que ocurran. omisiones o actos maliciosos. . . . .Realizar copias de seguridad de los archivos. Previenen errores. Ejemplos: . .Establecer procedimientos/ políticas de seguridad.Establecer control de acceso a la información.Establecer control de acceso físico.

.CONTROLES DETECTIVOS Identifican y “reportan” la ocurrencia de un error.Revisiones periódicas de procesos. .Monitorización de eventos. .Sensores de humo. omisión o acto malicioso ocurrido. . Ejemplos: .Detección de virus.Auditorías Internas .

Ejemplos: .Corrección de daños por virus.Parches de Seguridad. . Identifican la causa de los problemas con el objeto de corregir errores producidos.CONTROLES CORRECTIVOS Minimizan el impacto de una amenaza. Solucionan errores detectados por controles detectivos. Modifican los procedimientos para minimizar futuras ocurrencias del problema. . .Recuperación de datos perdidos.

y también en ellas se establecen los valores límites frente a situaciones que podrían ocasionar riesgos innecesarios. De esta manera los valores de “riesgo aceptable” para el conjunto de la sociedad. . son aquellos valores de riesgo menores que los límites establecidos en las normas y reglamentos. Esto nos permite comprender que en toda actividad humana existirá un riesgo. aunque sea muy pequeño. que naturalmente aceptamos cuando desarrollamos dicha actividad. las normas y reglamentos fijan los deberes y derechos de sus miembros.CRITERIOS DE EVALUACIÓN DE RIESGOS “riesgo aceptable” se toma como base de Para desarrollar el concepto de comparación el nivel de riesgo en las actividades más seguras. se constituye en una primera referencia para definir el diseño del sistema de seguridad. Los riesgos podremos disminuirlos pero nunca eliminarlos totalmente. El nivel de “riesgo aceptable”. La pregunta a responder será ¿Cuál es el nivel de riesgo que debemos aceptar? Para ello debemos tener presente que en toda la sociedad organizada. o también los valores que podríamos llamar de riesgo natural. de su costo y de la efectividad de las acciones de prevención.

13.Desarrolla planes de contingencia. 4. 8..-Analiza la efectividad de cada plan.. .Computa el riesgo efectivo.Determina el riesgo del elemento.Computa el riesgo total...Elimina los asuntos irrelevantes.Clasifica los riesgos.-Vigila tus riesgos. 9.. 14.Desarrolla estrategias de migración.... 7.Comprende cómo funciona el plan de Gestión de Riesgos. 12..Identifica las consecuencias de cada riesgo. 11.. 10. 2. 3.GUÍA PARA LA EVALUACIÓN DE UN PLAN DE RIESGO 1. 6.-Consigue aportaciones de los demás. 5.Haz una lista de los elementos de riesgos identificados.Define tu proyecto..

HERRAMIENTAS DEL SISTEMA OPERATIVO Respuesta o Reply quiere decir que el equipo remoto está encendido y la tarjeta de red operativa. Ping localhost –t “Ping con nombres de dominio” . Otro dato importante es la Velocidad (tiempo). En caso de no haber respuesta puede ser que el equipo esté apagado. la tarjeta de red no operativa o el cable desconectado. ya que si fuera muy lenta lo mismo sucederá con cualquier conexión que realicemos a ese equipo.

.com y podríamos obtener lo siguiente user@localhost:/#traceroutewww.233. en Linux podemos hacer un traceroute a google.google.ax. hops . El comando para poder ejecutar nuestro particular análisis es tracert (windows) o tracerout (linux) desde la línea de comandos.99).HERRAMIENTAS DEL SISTEMA OPERATIVO TRACE ROUTE Resulta un comando muy útil para determinar el camino que siguen los paquetes de red desde un equipo a otro y así determinar si existe algún problema en algún momento entre ambos.169.com Traceroute to www.google. 40 byte packets.i.com (64. Como ejemplo.

. la máscara de enlace y con algunas opciones también la dirección MAC que identifica de forma inequívoca nuestra tarjeta de red.HERRAMIENTAS DEL SISTEMA OPERATIVO IPCONFIG Nos devela la configuración básica de red en nuestro equipo como la dirección IP. IPCONFIG/ALL En esta captura podemos observar que además nos muestra la marca y modelo de las tarjetas de red así como las direcciones MAC de nuestras tarjetas entre otros datos.

servicios y aplicaciones corriendo con ellos. que firewalls/filtros corren en una red y de qué tipo son. es una utilidad de software libre para explorar. NBTSCAN Es un explorador conocido de la red de NetBIOS.HERRAMIENTAS DE ANÁLISIS DE RED NMAP De Network Mapper. Administrar y auditar la seguridad de redes de ordenadores. la navaja suiza de los hackers y administradores. . Detecta host online. sus puertos abiertos. Es un programa para explorar las redes del IP para la información conocida de NetBIOS. su sistema operativo. NETCAT NetCat.

. tenemos que hablar de puerto de credenciales que estén basadas tanto en sistemas operativos de Windows como la gran parte de las Plataformas Unix. No podemos olvidar de diferenciar las auditorías de seguridad que Nessus es capaz de soportar. En primer lugar. Este programa es de gran utilidad para los dispositivos de uso personal pero también para las grandes empresas que se manejan con equipos conectados en red. pues trabaja mediante uso de DMZ.HERRAMIENTAS DE VULNERABILIDAD Nessus es un escáner de vulnerabilidades que funciona mediante un proceso de alta velocidad por el que encuentra los datos sensibles y trabaja con la auditoría de configuraciones y el perfil activo.

en otra sesión como root escribir: #dsniff –i ppp0 . sobre todo si nos empeñamos en enviar contraseñas en formato texto plano. conéctese directamente a internet como lo hace habitualmente.ANALIZADORES DE PROTOCOLOS Dsniff nos demuestra lo inseguiras que son nuestras redes. nos daremos cuenta de lo realmente importante que puede llegar a ser la utilización de la encriptación en nuestras comunicaciones diarias. . Para hacernos una idea de las posibilidades del dsniff. Con este sniffer. Entrar ahora usando ssh y visualice cómo en este caso nuestro sniffer no captura la contraseña.

además de poder recuperar también las claves ocultas en Windows bajo la típica línea de asteriscos. SMT. POP3. entre ellos FTP. HTTP. MySQL. . Telnet y otros. Caín & Abel es una herramienta de recuperación de contraseña para sistemas operativos de Microsoft. ICQ.ANALIZADORES DE PROTOCOLOS Cain & Abel Permite “recuperar” contraseñas de una amplia variedad de protocolos.

ANALIZADORES DE PÁGINAS WEB Compruebe la seguridad de su equipo con Acunetix Web Vulnerability Scanner. Los Firewalls. Cualquier defensa a nivel de seguridad de la red no proporciona protección contra ataques a aplicaciones web mientras sean lanzadas desde el puerto 80 – que tiene que mantenerse abierto. . por lo tanto menos comprobadas que en el software propio. las aplicaciones web son hechas a medida. SSL y los servidores cerrados son inútiles contra el pirateo de aplicaciones web. y con mayor probabildiad tienen vulnerabilidades no descubiertas. Es más. La auditoría manual en busca de vulnerabilidades es virtualmente imposible – necesita ser realizado automática y regularmente.

Chequea la solidez de las contraseñas en las páginas de autentificación (formatos HTTP o HTML). . XSS y otras vulnerabilidades web. Escanea aplicaciones Javascript / AJAX para vulnerabilidades de seguridad. Automáticamente comprueba que el sistema en busca de inyecciones SQL y vulnerabilidades de scripts a lo largo del sitio web. Asegúrese de que su sitio web es seguro contra ataques web.ANALIZADORES DE PÁGINAS WEB Acunetix Web Vulnerability Scanner automáticamente chequea sus aplicaciones web en busca de inyecciones SQL.

ANALIZADORES DE PÁGINAS WEB Paros Proxy es una aplicación que funciona como un Proxy y que permite capturar las peticiones tanto en HTTP como HTTPS para simplemente registrarlas a modo de debug o para poder modificarlas. .

Software de Fuerza Bruta (Brutus force) Brutus es uno de los más rápidos. aunque se trata de una posibilidad en algún momento en el futuro. NT y 2000 X versión disponible.000 visitantes a esta página. define al procedimiento por el cual a partir del conocimiento del algoritmo de cifrado empleado y de un par texto claro/texto cifrado. Brutus se hizo por primera vez a disposición del público en octubre de 1998 y desde entonces se han producido al menos 70.000 descargas y más de 175. Está disponible para Windows 9x. más flexibles password crackers remoto que puede obtener libremente. se realiza el cifrado. se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Dicho de otro modo.ATAQUES En criptografía. .

ya que permite a los administradores de sistemas comprobar que las contraseñas de los usuarios son suficientemente buenas. Es capaz de romper varios algoritmos de cifrado o hash como DES.ATAQUES John The Ripper Es un programa de criptografía que aplica fuerza bruta para desifrar contraseñas. . SHA -1. Es una herramienta de seguridad muy popular. y otros.

Es importante recordar que un cortafuegos no elimina problemas de virus del computador. . o una combinación de ambos. añadirá cierta seguridad y protección adicionales para el computador o red. Los cortafuegos pueden ser software. que examina cada mensaje y bloquea los que no cumplen los criterios de seguridad específicos. hardware.PRINCIPIOS GENERALES DE CORTAFUEGOS Un cortafuegos o firewall es un sistema que previene el uso y el acceso desautorizados al ordenador. si no que cuando se utiliza conjuntamente con actualizaciones regulares del sistema operativo y un buen software antivirus. Se utilizan con frecuencia para evitar que los usuarios desautorizados de internet tengan acceso a las redes privadas conectadas con internet. Todos los mensajes que entran o salen de la intranet pasan a través del cortafuegos. especialmente intranets.

solamente al . un sistema que previene el uso y el acceso desautorizados al ordenador.PRINCIPIOS GENERALES DE CORTAFUEGOS Los cortafuegos de hardware proporcionan una fuerte protección contra la mayoría de las formas de ataque que vienen en el mundo exterior y se pueden comprar como producto independiente o en routers de banda ancha. Para usuarios particulares el corta fuego más usado es el cortafuegos de software. La desventaja de los cortafuegos de software es que protegen computador en el que están instalados y no protegen una red. Un buen cortafuegos de software protegerá el computador contra intentos de controlar o acceder a él desde el exterior y generalmente proporciona protección adicional contra los troyanos o gusanos de e-mail más comunes.

PRINCIPIOS GENERALES DE CORTAFUEGOS TIPOS DE TÉCNICAS DE CORTAFUEGOS  Packet Filter: Mira cada paquete que entra o sale de la red y lo acepta o rechaza basándose en reglas definidas por el usuario. El servidor proxy oculta con eficacia las direcciones de red verdaderas. Además. es susceptible al IP spoofing.  Circuit-level Gateway: Aplica mecanismos de seguridad cuando se establece una conexión TCP o UDP.  Aplicación Gateway: Aplica mecanismos de seguridad a ciertas aplicaciones. los paquetes pueden fluir entre los anfitriones sin más comprobaciones.  Proxy Server: Intercepta todos los mensajes que entran y salen de la red. pero es difícil de configurar. Una vez que se haya hecho la conexión. pero puede producir una disminución de las prestaciones. . Esto es muy eficaz. La filtración del paquete es bastante eficaz y transparente a los usuarios. tales como servidores web ftp y servidores telnet.

. pero manteniendo intactos los accesos autorizados. .PRINCIPIOS GENERALES DE CORTAFUEGOS COMPONENTES DE UN CORTAFUEGOS  Packet Filter: El filtrado de paquetes se puede utilizar para implementar diferentes políticas de seguridad en la red. el objetivo principal de todas ellas suele ser evitar el acceso no autorizado entre dos redes.

Sign up to vote on this title
UsefulNot useful