ANLISIS DE RIESGOS Y DE VULNERABILIDADES

YADFARY MONTOYA H NATALIA HERNNDEZ R

JULIAN CIRO RAMIREZ

GESTIN DE REDES DE COMPUTADORES

FICHA

230490

SENA CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL MEDELLN 2012

INTRODUCCIN Los requerimientos de seguridad que involucran las tecnologas de la informacin, en pocos aos han cobrado un gran auge, y ms an con las de carcter globalizador como los son la de Internet y en particular la relacionada con el Web, la visin de nuevos horizontes explorando ms all de las fronteras naturales, situacin que ha llevado la aparicin de nuevas amenazas en los sistemas computarizados. Llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales desarrollen polticas que norman el uso adecuado de estas destrezas tecnolgicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las polticas de seguridad en informtica las empresas emergen como el instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la informacin y servicios crticos, de la superacin de las fallas y de las debilidades, de tal forma que permiten a esta con su misin.

OBJETIVOS

Objetivo General:
Determinar diversos factores que intervienen para lograr mejorar la seguridad de la informacin en una empresa.

Objetivos especficos:
Conocer de forma detallada la metodologa que se implementara para realizar una correcta consultora de seguridad para una empresa. Implementar de forma correcta y eficiente la Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Brindar un informe detallado en el cual se brindaran soluciones especficas para aplacar con los riesgos o amenazas con el fin de minimizar los ataques a los que enfrenta la empresa. Realizar un planteamiento de anlisis de Riesgos de seguridad con miras a identificar vulnerabilidades as como tambin los riesgos potenciales

1. Haga un recorrido por LA ENTIDAD e identifique todos los activos tangibles que existan, de igual forma observe y enumere todos los activos intangibles que pueda identificar.
Lista de los activos tangibles e intangibles

2. Realice una descripcin detallada de cada uno de los activos identificados y clasifquelos en una tabla comparativa asignando un valor de importancia dentro de LA ENTIDAD. GRADO DE IMPORTANCIA
Muy Alta 5 Alta 4 Media 3 Baja 2 Muy Baja 1

ACTIVOS TANGIBLES
Infraestructura Dispositivos Activos Equipos Cmaras Televisores Tableros Acrlicos

Grado de importancia
5 4 4 3 3

Materiales

ACTIVOS INTANGIBLES
Marcas Licencias Diseo Activos Humanos Capacidad de Gestin Contraseas Derechos de Autor Propiedad intelectual Servicios Canales de Distribucin Plataformas Activos de mercado

Grado de importancia
2 5 1 4 5 5 5 4

Explicacin orden de importancia de activos: Muy Alta Alta Media Baja Muy Baja 5 4 3 2 1 Son de vital importancia para acceso a servicios por los usuarios Son herramientas fundamentales para el usuario y departamentos externos Son de gran importancia pero de menor prioridad Son necesarias pero no implica mayor interaccin con los usuarios No son tan necesarias

3. Elabore un mapa/diagrama mental/conceptual del escenario a evaluar, esto es, un mapa donde se representen todos los activos tangibles e intangibles identificados en las actividades previas. Es muy importante no dejar pasar detalles, pues de esta informacin depende el xito del anlisis de riesgos.

4. Construya una tabla comparativa donde se comparen 10 aspectos fundamentales entre dos de las metodologas ms importantes para el anlisis de riesgos existentes a las fecha, como anexo a la tabla justifique con evidencias porque seleccion las metodologas usadas en la tabla .
METODOLOGIA OWASP METODOLOGIA OCTAVE Generador de cadenas Cree cadenas de Es una tcnica de planificacin y caracteres de casi cualquier longitud. consultora estratgica en seguridad basada en el riesgo Bsqueda Scroogle Un buscador amigo Desmitifica la falsa creencia: La de la privacidad con los resultados de Seguridad Informtica es un asunto Google con operadores avanzados. meramente tcnico Consejos para pruebas Coleccin de Divide los activos en dos tipos: Sistemas, ideas de pruebas para evaluaciones (Hardware. Software y Datos)y personas Peticiones Http- Crear manualmente y Maneja tres mtodos: auto-dirigido, enviar peticiones HTTP hacia flexibles y evolucionado servidores.GET, POST, HEAD, TRACE, TRACK,OPTIONS, CONNECT, PUT, DELETE, COPY,LOCK, MKCOL, MOVE, PROPFIND,PROPPATCH, SEARCH y UNLOCK son los mtodos soportados Lista de pruebas Siga el progreso de Presenta los principios bsicos y la sus esfuerzos de prueba y registre sus estructura de las mejores prcticashallazgos. Las categoras de la lista internacionales que guan los asuntos no difcilmente se correlacionan con las tcnicos tcnicas de pruebas Codifica y decodifica los siguientes tipos: Se especializa en el riesgo organizacional URL, Hexadecimal Standard, y el foco son los temas relativos a la

Unicode,Html(Named), Html(Decimal), Html(Hex),Html(Hex Long), Javascript Escapado, XML Escapado, Straight Decimal, Straight Hex, IEHex, IE Unicode, Base64 y MD5. Codifica solo con MD4 y SHA1. Especificar maysculas/minsculas, Delimitadores de caracteres. Procesado de texto seleccionado Le permite procesar el texto seleccionado dentro de un rea de texto en lugar del contenido completo Guardar/Restaurar Temporalmente retenga y recupere el contenido de reas de texto y campos de texto Editor de auto ataque Cree/Edite/Salve/Borre las listas de autoataque que son usadas para llevar a cabo las capacidades multi peticin automticas en la pagina de Peticiones HTTP Guardar/Cargar estado Le permite salvarlos contenidos de reas de texto y campos de texto de CAL9000 y recargarlos cuando este listo para continuar con las pruebas

estrategia y la prctica.

Desarrollar una estrategia de proteccin basada en la prctica as como planes de migracin de riesgos para mantener la misin y prioridades de la organizacin Identifican las vulnerabilidades tanto organizativas como tecnolgicas que exponen a las amenazas creando un riesgo a la organizacin Identifica los elementos crticos y las amenazas para los activos

Consolidacin de la informacin creacin de perfiles de amenazas

5. Investigue sobre los diferentes tipos de anlisis de vulnerabilidades y las metodologas existentes, renase con sus compaeros y discutan las diferencias de la terminologa: anlisis de vulnerabilidades, hacking tico y pruebas de intrusin (pen testing). Anlisis de riesgo Es un proceso que comprende la identificacin de activos informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos as como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. El primer paso del anlisis es identificar los activos a proteger o evaluar. La evaluacin de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de anlisis con criterios de riesgo establecidos previamente. Hacking tico Consiste en un ataque controlado a los sistemas informticos y/o de comunicaciones de una empresa u organizacin empleando los mismos medios que un usuario malicioso. Se llama Hacking tico debido a que las tcn icas y metodologas usadas son similares a las empleadas por los hackers, pero el nico objetivo es comprobar el estado real y actual de la seguridad.

Prueba de intrusin Las pruebas de intrusin (abreviado como pen tests [penetration tests, pruebas de penetracin]) consisten en probar los mtodos de proteccin del sistema de informacin sometiendo el sistema a una situacin real. Es una prueba realizada sobre los sistemas conectados a la red pblica (Internet) o privada del CLIENTE; se intenta obtener acceso, escalar privilegios y determinar si existen ms sistemas que puedan ser comprometidos de forma remota desde Internet. METODOLOGIAS EXISTENTES OSSTMM (Manual de la Metodologa Abierta de Testeo de Seguridad) Es un conjunto de reglas y lineamientos para CUANDO, QUE y CUALES eventos son testeados. Esta metodologa cubre nicamente el testeo de seguridad externo, es decir, testear la seguridad desde un entorno no privilegiado hacia un entorno privilegiado, para evadir los componentes de seguridad, procesos y alarmas y ganar acceso privilegiado. Est tambin dentro del alcance de este documento proveer un mtodo estandarizado para realizar un exhaustivo test de seguridad de cada seccin con presencia de seguridad (por ejemplo, seguridad fsica, seguridad inalmbrica, seguridad de comunicaciones, seguridad de la informacin, seguridad de las tecnologas de Internet, y seguridad de procesos) de una organizacin. ISSAF Constituye un framework detallado respecto de las prcticas y conceptos relacionados con todas y cada una de las tareas a realizar al conducir un testeo de seguridad. La informacin contenida dentro de ISSAF, se encuentra organizada alrededor de lo que se ha dado en llamar "Criterios de Evaluacin", cada uno de los cuales ha sido escrito y/o revisado por expertos en cada una de las reas de aplicacin. Estos criterios de evaluacin a su vez, se componen de los siguientes elementos: Una descripcin del criterio de evaluacin Puntos y Objetivos a cubrir Los pre-requisitos para conducir la evaluacin El proceso mismo de evaluacin El informe de los resultados esperados Las contramedidas y recomendaciones Referencias y Documentacin Externa. OTP(OWASP Testitng Project) OTP promete convertirse en uno de los proyectos ms destacados en lo que al testeo de aplicaciones web se refiere. La metodologa consta de 2 partes, en la primera se abarcan los siguientes puntos: Principios del testeo Explicacin de las tcnicas de testeo. Explicacin general acerca del framework de testeo de OWASP. De este modo, y teniendo en cuenta que un programa efectivo de testeo de aplicaciones web, debe incluir como elementos a testear: Personas, Procesos y Tecnologas, OTP delinea en su primera parte conceptos claves a la vez que introduce

un framework especficamente diseado para evaluar la seguridad de aplicaciones web a lo largo de su vida. OC TA VE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)(Amenaza de vista operativo crtico, activo, y la vulnerabilidad de Evaluacin) se encuentra disponible gratuitamente (en ingls) y es un conjunto de herramientas, tcnicas y mtodos para desarrollar anlisis de riesgos basados en gestin y la planeacin estratgica de la organizacin. Son todas las acciones que necesitan ser llevadas a cabo dentro de la organizacin para realizar la gestin de activos, conocer posibles amenazas y evaluar vulnerabilidades. MAGERIT Magerit es la metodologa de anlisis y gestin de riesgos elaborada por el Consejo Superior de Administracin Electrnica, como respuesta a la percepcin de la Administracin, y, en general, toda la sociedad, dependen de forma creciente de las tecnologas de la informacin para el cumplimiento de sumisin. MEHARI Es la metodologa de anlisis y gestin de riesgos desarrollada por la CLUSIF ( CLUb de la Scurit de lInformation Franais) en 1995 y deriva de las metodologas previas Melissa y Marion. La metodologa ha evolucionado proporcionando una gua de implantacin de la seguridad en una entidad a lo largo del ciclo de vida. Del mismo modo, evala riesgos en base a los criterios de disponibilidad, integridad y confidencialidad. ANLISIS HOLANDS A&K. Es mtodo de anlisis de riesgos, del que hay publicado un manual, que ha sido desarrollado por el Ministerio de Asuntos Internos de Holanda, y se usa en el gobierno y a menudo en empresas holandesas. CRAMM. Es un mtodo de anlisis de riesgos desarrollado por el gobierno britnico y cuenta con una herramienta, ya que es un mtodo difcil de usar sin ella. Est basado en las mejores prcticas de la administracin pblica britnica, por lo que es ms adecuado para organizaciones grandes, tanto pblicas como privadas. EBIOS. Es un juego de guas mas una herramienta de cdigo libre gratuita, enfocada a gestores del riesgo de TI. Desarrollada en un principio por el gobierno francs, ha tenido una gran difusin y se usa tanto en el sector pblico como en el privado no slo de Francia sino en otros pases. TIPOS DE ANLISIS DE VULNERABILIDAD TEST DE PENETRACION. En este el analista simula ser un atacante, desde esta posicin se realizan intentos de ataques a la red, buscando debilidades y vulnerabilidades:-estudio de la red externaanlisis de servicios disponibles-estudio de debilidades-anlisis de vulnerabilidades en dispositivos de red-anlisis de vulnerabilidades de implementaciones y configuraciones-denegacin del servicio. CAJA NEGRA: Es una unidad la cual su estructura interna se desconoce, pero la funcin est documentada. Los diseadores de hardware y de software utilizan este trmino para

hacer referencia a los circuitos o al cdigo de programacin que ejecutan determinada funcin. La mecnica interna de la funcin no es algo que interese al diseador que utiliza una caja negra para obtener una funcin. Por ejemplo, un chip de memoria puede considerarse una caja negra. Muchas personas utilizan chips de memoria, e incluso los disean para los equipos informticos, pero por lo general slo los diseadores de chips de memoria necesitan comprender su funcionamiento interno. Existe un analista al cual solo se le da la informacin para acceder a la red o al sistemas esta puede ser una direccin IP, por lo tanto este analista debe obtener toda la informacin posible. CAJA BLANCA. Es el Mtodo de prueba del software que pone a prueba las estructuras internas o el funcionamiento de una aplicacin en lugar de su funcionalidad (pruebas de caja negra).En las pruebas de caja blanca el cdigo fuente o un binario compilado se evala desde un punto de vista interno para buscar vulnerabilidades de seguridad errores de programacin. Generalmente se utiliza en fases tempranas del desarrollo, mientras el cdigo y los mdulos son creados .El analista puede tener acceso a toda la red q va a analizar, tiene el privilegio de entrar a todos los equipos de la red como sper usuario, lo cual permite que sea mas completo. ANLISIS DE VULNERABILIDADES INTERNO Se trata de pruebas de penetracin desde la red interna que identifican los riesgos de las redes y sistemas internos, demostrando lo que podra hacer un usuario que ha ganado acceso a la red, simulando ser un usuario interno malintencionado. Este tipo de pruebas son muy interesantes pues estudios realizados sobre la seguridad de la informacin demuestran que alrededor del 80 al 90% de las violaciones de seguridad se originan desde usuarios internos. ANLISIS DE VULNERABILIDADES EXTERNO se trata de pruebas de penetracin desde internet que identifican los riesgos de la red perimetral (es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente internet.) y analizan si estos pueden ser utilizados para acceder a su red, violando sus medidas de seguridad, y en tal caso examinar si se produce el debido registro de lo que est sucediendo y si se accionan o no las alertas apropiadas, verificando la efectividad de los firewalls, de los sistemas de deteccin de intrusos (IDS), de los sistemas operativos y de los dispositivos de comunicaciones visibles desde Internet. ANLISIS DE VULNERABILIDADES DE APLICACIONES WEB Identifica los riesgos de las Aplicaciones Web, verificando los esquemas de autenticacin y probando las tecnologas utilizadas en la implementacin de las mismas. Los anlisis de vulnerabilidades deben efectuarse peridicamente, pues a diario se descubren nuevas vulnerabilidades debido a su carcter evolutivo.

6. Porque es necesario incluir los resultados de un anlisis de vulnerabilidades

en el informe nal de un anlisis de riesgos. En el mundo de la seguridad informtica, la informacin es uno de los temas ms importantes, porque para las personas lo ms valioso es todo lo que puedan obtener de dicha informacin. Por tal motivo muchas personas pretenden robar nuestra confidencialidad, ya que estamos en un mundo donde la gente quiere obtener toda clase de informacin sin importar el dao que estn causando a un activo o persona como tal, por eso en las empresas u organizaciones para no ser atacados fcilmente deben realizar un anlisis de vulnerabilidades donde muestren dicha informacin. Viendo la situacin de las empresas, cada da aumenta ms las vulnerabilidades, por lo que es un desafo diario luchar contra ellas. Con este ensayo tengo como fin dar una clara definicin acerca de la importancia que tiene un anlisis de riesgo junto con un anlisis de vulnerabilidades, tambin a prevenir dichos ataques que originan un gran impacto para las empresas u organizaciones a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. Es por ello que dentro de las empresas se debe tener en cuenta la realizacin de un anlisis para implementar un plan que sirva para disminuir la vulnerabilidad de los mtodos que den respuesta al impacto una vez ocurrida la amenaza para defender la continuidad y la calidad para poder garantizar un buen servicio. Por ltimo nos parece importante que el anlisis de vulnerabilidad no se emplee solo a las organizaciones fsicas del sistema si no tambin a la formacin y administracin de las empresas para establecer sus debilidades y plantear las medidas correctivas que deban efectuarse para disminuir o eliminar la vulnerabilidad. Debido a los riesgos, se plantea una metodologa de evaluacin que distingue amenazas y vulnerabilidades. Muchas veces las escasez de datos no nos permite hacer bien un levantamiento de informacin y as no podremos encontrar las posibles amenazas, para permitir una eficiente gestin del riesgo es generalmente ms importante identificar bien las causas ms profundas, como que causa el riesgo y que influye sobre su dinmica. Para las amenazas como para las vulnerabilidades debemos de tener datos exactos en los que se plantea una metodologa de trabajo basada en el anlisis. Es de vital importancia la realizacin del informe final, puesto que este es el resultado del anlisis de riesgos y a la vez es un instrumento tcnico para la prevencin de daos, est dirigido bsicamente a un uso administrativo en la empresa ya que pretende servir como la base para considerara los planes de desarrollo integrando las amenazas como factor potencial. De igual manera proporcionara informacin importante para ser utilizada en la supervisin de la empresa a nivel de susceptibilidad de amenazas. El informe final debe ser presentado usando un lenguaje claro y sencillo que no sea tan tcnico, concreto y fcil de comprender ya que esto no siempre se le presentan a personas que saben del tema. Y sera difcil de comprender. El documento puede contener recomendaciones anlisis y propuestas. Las recomendaciones deben orientarse a propuestas concretas, tras hacer una descripcin al activo, un anlisis de cmo trabaja y las posibles consecuencias potenciales. Al momento de proponer soluciones de prevencin debemos de tomar en cuenta las posibles formas de ataque y la forma financiera de la empresa y el nivel de riesgo existente que tiene, una propuesta costosa o muy complicada no podra ser aplicada si no cuenta con los recursos necesarios.

7. Investigue sobre las matrices, tablas, plantillas existentes para plasmar

la informacin obtenida en los anlisis de vulnerabilidades y de riesgos, adapte, disee o elija una que le permita presentar su informacin de forma clara y concisa.
ANALISIS DE VULNERABILIDADES,AMENAZAS Y RIESGOS ACTIVOS TANGIBLES Dispositivos Activos Servidores Equipos Estacin de trabajo Herramientas Soportes de Informacion ACTIVOS INTANGIBLES ISP Bases de Datos Aplicaciones Software - Hardware Contraseas Plataformas

DETALLES DE VULNERABILIDADES, RIESGOS DETECTADOS Y AMENAZAS

Incendio: Existe el riesgo de que un corto circuito provoque un incendio por la mala distribucin del cableado. No existen sensores de humo o alarma contra incendios No existen suficientes extintores de incendios, o no estn distribuidos en los sitios claves de manejo de informacin. Corte del Suministro Elctrico: El que haya un corte permanente o corto de energa elctrica. Cortes de energa prolongados requerirn que los equipos de misin crtica de la institucin sean apagados. No existir disponibilidad de los servicios de informacin en la institucin durante el lapso que dure el corte de energa. Deficiencias en la climatizacin: excede los mrgenes de trabajo de los equipos (excesivo calor). Existe la posibilidad de que haya filtracin de agua por los conductos de aire acondicionado en los lugares donde se encuentran los equipos informticos. Degradacin de los soportes de almacenamiento de la informacin: como consecuencia del paso del tiempo. Manipulacin de la Configuracin: Prcticamente todos los activos dependen de su configuracin y el manejo del administrador: privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento, contraseas etc. Suplantacin de la Identidad del Usuario: Cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines propios. Esta amenaza puede ser cometida por personal interno, por personas

ajenas a la empresa. No hay restricciones sobre la cantidad de sesiones que un usuario puede iniciar. Abuso de Privilegios de Acceso: cada usuario disfruta de un nivel de privilegios para un determinado propsito; cuando un usuario abusa de su nivel de privilegios para realizar tareas que no son de su competencia, hay problemas. Difusin de software daino: Propagacin intencionada de virus, espas, gusanos, troyanos, bombas lgicas, etc. No mantienen un control para el uso de memorias USB, discos duros externos. Destruccin de la informacin: eliminacin intencional de informacin, con nimo de obtener un beneficio o causar un perjuicio. Robo: a sustraccin de informacin empresarial se puede dar mediante el robo que pueda hacer personal interno no personal ajeno a la compaa. Los controles y mecanismos de seguridad fsica orientados a prevenir el robo de activos de informacin en la institucin son mnimos.

EQUIVALENCIA Insignificante Bajo Medio Alto

PUNTAJE 1 2 3 4

ACTIVOS Dispositivos Activos Servidores Equipos Estacin de trabajo Herramientas Soportes de Informacion ISP Bases de Datos Aplicaciones Software - Hardware Contraseas Plataformas

TASACIN DE ACTIVOS DISPONIBILIDAD 2 4 4 4 3 4 4 4 4 4 1 3 INTEGRIDAD CONFIDENCIALIDAD 4 4 3 3 3 4 4 4 3 3 4 3 4 4 3 1 3 4 4 4 3 4 4 3

8. ENTREVISTA

Cules cree usted que son los beneficios de implementar un sistema de seguridad informtica? Cules son las consecuencias de un incidente de prdida de confidencialidad, integridad o disponibilidad de informacin? tiene conocimiento si en la institucin o torre se ha implementado anteriormente algn sistema de prevencin de riesgos? Cul? Sabemos que la vulnerabilidad ms grande que puede tener una empresa es el factor humano, por ataques como la ingeniera social, y otras tcnicas. Que contra medidas hay para este factor y cuales nos aconseja? Audio de la entrevista

9. Elabore una presentacin donde explique cual es la relacin entre las diferentes amenazas y vulnerabilidades existentes para los diferentes activos y comprtala con el grupo.
Amenazas y vulnerabilidades 10. Investigue acerca de las herramientas existentes para realizar un anlisis de Vulnerabilidades en entornos reales, identifique cuales de estas herramientas puede usar para la ejecucin de sus pruebas en esta fase del proyecto. TRACEROUTE/PING/TELNET Estas son utilidades que bsicamente _todas_ las mquinas con UNIX ya tienen. De hecho, incluso Windows NT las tiene (pero el comando `traceroute' se llama `tracert') NESSUS Auditor de Seguridad Remoto. El cliente "The Nessus Security Scanner" es una herramienta de auditora de seguridad. Hace posible evaluar mdulos de seguridad intentando encontrar puntos vulnerables que deberan ser reparados. Est compuesto por dos partes: un servidor, y un cliente. El servidor/daemon, "nessusd" se encarga de los ataques, mientras que el cliente, "nessus", se ocupa del usuario por medio de una linda interfaz para X11/GTK+. Este paquete contiene el cliente para GTK+1.2, que adems existe en otras formas y para otras plataformas. NETCAT Una navaja multiuso para TCP/IP. Una utilidad simple para Unix que lee y escribe datos a travs de conexiones de red usando los protocolos TCP o UDP. Est diseada para ser una utilidad del tipo "back-end" confiable que pueda ser usada directamente o fcilmente manejada por otros programas y scripts. Al mismo tiempo, es una herramienta rica en caractersticas til para depurar (debug) y explorar, ya que puede crear casi cualquier tipo de conexin que puedas necesitar y tiene muchas caractersticas incluidas.

 SATAN Herramienta de Auditora de Seguridad para Analizar Redes (Security Auditing Tool for Analysing Networks). sta es una poderosa herramienta para analizar redes en bsqueda de vulnerabilidades creada para administradores de sistema que no pueden estar constantemente chequeando bugtraq, rootshell y ese tipo de fuentes de informacin. FIREWALK Firewalking es una tcnica desarrollada por MDS y DHG que emplea tcnicas del estilo de `traceroute' para determinar las reglas de filtrado que se estn usando en un dispositivo de transporte de paquetes (ndelt: quise traducir "packet forwarding device"). La ltima versin de esta herramienta, fierwalk/GTK incluye la opcin de usar una interfaz grfica y nuevos arreglos a errores. OPENSSH / SSH Un reemplazo seguro para rlogin/rsh/rcp. Openssh deriva de la versin de ssh de openbsd, que a su vez deriva del cdigo de ssh pero de tiempos anteriores a que la licencia de ssh se cambiara por una no libre. Ssh (secure shell) es un programa para loggearse en una mquina remota y para ejecutar comandos en una mquina remota. Provee de comunicaciones cifradas y seguras entre dos hosts no confiables ("untrusted hosts") sobre una red insegura. Tambin se pueden redirigir conexiones de X11 y puertos arbitrarios de TCP/IP sobre este canal seguro. La intencin de esta herramienta es la de reemplazar a `rlogin', `rsh' y `rcp', y puede ser usada para proveer de `rdist', y `rsync' sobre una canal de comunicacin seguro. PERL Un muy poderoso lenguaje de scripting que es usado frecuentemente para crear `exploits' con el propsito de verificar vulnerabilidades de seguridad. Por supuesto, tambin es utilizado para todo tipo de otras cosas. NMAP ("NETWORK MAPPER") Es un servicio gratuito y de cdigo abierto (licencia) de utilidad para la exploracin de red o de auditora de seguridad. A muchos sistemas y administradores de red tambin les resulta til para tareas como la red de inventario, gestin de horarios de servicio de actualizacin, seguimiento y tiempo de actividad o servicio de acogida. BACKTRACK Es una distribucin GNU/Linux en formato livecd pensada y diseada para la auditora de seguridad y relacionada con la seguridad informtica en general. Actualmente tiene una gran popularidad y aceptacin en la comunidad que se mueve en torno a la seguridad informtica. NAT (NETBIOS AUDITING TOOL) La herramienta de auditora de NetBIOS est diseada para explorar los servicios de NetBIOS que ofrece un sistema que permiten compartir archivos. Implementa un enfoque paso a paso para recolectar informacin e intenta obtener acceso a archivos con permisos de sistema (`system-access') como si se fuera un cliente local legtimo.

 ETTERCAP Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). Tambin hace posible la inyeccin de datos en una conexin establecida y filtrado al vuelo aun manteniendo la conexin sincronizada gracias a su poder para establecer un Ataque Man-in-the-middle (Spoofing).

13. Realice un anlisis de riesgos tomando como base la informacin

recopilada hasta el momento y los resultados del anlisis de vulnerabilidades, como resultado de esta actividad, debe generar una matriz, plantilla, tabla donde se enumere uno a uno todos los activos evaluados.

GRADO DE RIESGO Alto Medio Bajo

VALOR 3 2 1

TABLA DE RIESGOS ACTIVOS Dispositivos Activos Servidores Equipos Estacin de trabajo Herramientas Soportes de Informacin ISP Bases de Datos Aplicaciones Software - Hardware Contraseas Plataformas Grado de Riesgo 3 3 2 2 1 3 3 2 2 2 3 1

17. Escriba un informe ejecutivo y un informe tcnico donde se resuma y

se detallen respectivamente los anlisis realizados hasta este punto (riesgos y vulnerabilidades), comparta la documentacin creada con el grupo de instructores expertos para recibir retroalimentacin y realizar las correcciones pertinentes.

MANUAL DE SEGURIDAD INFORMTICA AMENAZAS Y VULNERABILIDADES Una vulnerabilidad es cualquier situacin que pueda desembocar en un problema de seguridad, y una amenaza es la accin especfica que aprovecha una vulnerabilidad para crear un problema de seguridad; entre ambas existe una estrecha relacin: sin vulnerabilidades no hay amenazas, y sin amenazas no hay vulnerabilidades.
IDENTIFICACIN DE VULNERABILIDADES : Para la identificacin de vulnerabilidades sobre la plataforma de tecnologa, se utilizan herramientas como listas de verificacin y herramientas de software que determinan vulnerabilidades a nivel del sistema operativo .

Seguridad Fsica:
Control de acceso Desastres naturales Control de incendios

Seguridad en la infraestructura de comunicaciones:

Routers Switches Firewall Hubs

Seguridad en las aplicaciones Crticas: Se define las aplicaciones que son crticas para la organizacin y por cada una de ellas se obtendr una matriz de riesgo. Es importante considerar que las aplicaciones estn soportadas por: Sistemas operativos, hardware servidor, redes LAN y WAN, y el Centro de cmputo. IDENTIFICACIN DE AMENAZAS: Una vez conocemos los recursos que debemos proteger y de identificar las vulnerabilidades es hora de identificar de igual manera las amenazas que se ciernen contra ellos. Desastres del entorno: Dentro de este grupo se incluyen todos los posibles problemas relacionados con la ubicacin del entorno de trabajo informtico o de la propia organizacin, as como con las personas que de una u otra forma estn relacionadas con el mismo. Por ejemplo, se han de tener en cuenta desastres naturales (terremotos, inundaciones...), desastres producidos por elementos cercanos, como los cortes de fluido elctrico, y peligros relacionados con operadores, programadores o usuarios del sistema. Amenazas en el sistema: Bajo esta denominacin se contemplan todas las vulnerabilidades de los equipos y su software que pueden acarrear amenazas a la seguridad, como fallos en el sistema operativo, medidas de proteccin que ste ofrece, fallos en los programas, copias de seguridad.

Amenazas en la red: Cada da es menos comn que una mquina trabaje aislada de todas las dems; se tiende a comunicar equipos mediante redes locales, intranets o la propia Internet, y esta interconexin acarrea nuevas - y peligrosas - amenazas a la seguridad de los equipos, peligros que hasta el momento de la conexin no se suelen tener en cuenta. Por ejemplo, es necesario analizar aspectos relativos al cifrado de los datos en trnsito por la red, a proteger una red local del resto de internet, o a instalar sistemas de autenticacin de usuarios remotos que necesitan acceder a ciertos recursos internos a la organizacin. NOTA: No siempre hemos de contemplar a las amenazas como actos intencionados contra nuestro sistema. Priorizacin De Riesgos: En este paso de la estimacin de riesgos, se estiman su prioridad de forma que se tenga forma de centrar el esfuerzo para desarrollar la gestin de riesgos. Cuando se realiza la priorizacin (elementos de alto riesgo y pequeos riesgos), estos ltimos no deben ser de gran preocupacin, pues lo verdaderamente crtico se puede dejar en un segundo plano. Sin importar cual sea el proceso que se siga, el anlisis de riesgos comprende los siguientes pasos: 1. Definir los activos informticos a analizar. 2. Identificar las amenazas que pueden comprometer la seguridad de los activos. 3. Determinar la probabilidad de ocurrencia de las amenazas. 4. Determinar el impacto de las amenaza, con el objeto de establecer una priorizacin de las mismas. 5. Recomendar controles que disminuyan la probabilidad de los riesgos. 6. Documentar el proceso.

GLOSARIO Activos: Los recursos del sistema de informacin o relacionados con ste, necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su direccin. Autenticidad: (de quin hace uso de los datos o servicios), que no haya duda de quin se hace responsable de una informacin o prestacin de un servicio, tanto a fin de confiar en l como de poder perseguir posteriormente los incumplimientos o errores. Contra la autenticidad se dan suplantaciones y engaos que buscan realizar un fraude. La autenticidad es la base para poder luchar contra el repudio y, como tal, fundamenta el comercio electrnico o la administracin electrnica, permitiendo confiar sin papeles ni presencia fsica. Anlisis de riesgos: proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una Organizacin. Amenazas: las amenazas siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa. Comnmente se indican como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso inadecuado de software, los desastres ambientales como terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc. Confidencialidad: Caracterstica de la informacin por la que la misma slo puede ser revelada a los usuarios autorizados. Disponibilidad: disposicin de los servicios a ser usados cuando sea necesario. La carencia de disponibilidad supone una interrupcin del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones. Gestin de riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Integridad: mantenimiento de las caractersticas de completitud y correccin de los datos. Contra la integridad, la informacin puede aparecer manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeo de las funciones de una Organizacin. Impactos: las consecuencias de la ocurrencia de las distintas amenazas son siempre negativas. Las prdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo. Malware informtico: es el trmino para el cdigo malicioso diseado para molestar o destruir un sistema informtico.

 Magerit: es una metodologa de Anlisis y Gestin de Riesgos de los Sistemas de informacin elaborada por el Consejo Superior de Administracin Electrnica para minimizar los riesgos de la implantacin y uso de las Tecnologas de la Informacin, enfocada a las Administraciones Pblicas. Probabilidad: prediccin calculada de la ocurrencia de un accidente en un cierto periodo de tiempo. Riesgo: estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la Organizacin. Seguridad: es la capacidad de las redes o de los sistemas de informacin para resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. Virus informtico: es un programa de ordenador que puede infectar otros programas modificndolos, para incluir una copia de si mismo tambin Programa que se duplica a s mismo en un sistema informtico incorporndose a otros programas que son utilizados por varios sistemas. Vulnerabilidades: son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables. Mediante el uso de las debilidades existentes es que las amenazas logran materializarse, o sea, las amenazas siempre estn presentes, pero sin la identificacin de una vulnerabilidad no podrn ocasionar ningn impacto.