Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Presentación Grupo

    Enviado por

    Orlando Lemaitre
    15 visualizações15 páginas
    Prsentación Sobre Seguridad en un Escenario

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Prsentación Sobre Seguridad en un Escenario

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    15 visualizações15 páginas

    Presentación Grupo

    Enviado por

    Orlando Lemaitre
    Prsentación Sobre Seguridad en un Escenario

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 15

    IINFORME EJECUTIVO

    HACKING ÉTICO Y ANÁLISIS DE VULNERABILIDADES A


    INFRAESTRUCTURAS DEL BANCO UNIPILOTO 1

    Banco Piloto

    Expertos Analistas en Seguridad Informática


    Ing. Esp. JENNIFER ALZATE
    Ing. Esp. JOHANA LIZARAZO
    Ing. Esp. JULIO BENAVIDES
    Ing. Esp. ORLANDO LEMAITRE
    Introducción
    Objetivos Generales 2

    El Banco Unipiloto, desea cumplir con la circular 042 en el ítem 4.9. Que requiere que se desarrolle
    un Plan de Pruebas de Vulnerabilidades y Pruebas de Penetración de la Infraestructura De
    Servidores con la que cuenta el BanUnipiloto. Este informe Ejecutivo Presentará los resultados y
    hallazgos encontrados al efectuar dichas Pruebas.

    Objetivo 1 Objetivo 5
    Encontrar las vulnerabilidades en la Red de Servidores del Cumplir con la solicitado en la normativa de la
    BanUnipiloto, y una vez encontradas y catalogadas efectuar SuperBancaria 042 en el ítem 4.9. y las Políticas de
    pruebas de penetración para lograr definir el nivel de Riesgo Seguridad Informática de BanUnipiloto.
    en el que se encuentra la Red de Servidores.

    Objetivo 2 Objetivo 5
    Encontrar las vulnerabilidades de los equipos de Entregar las Recomendaciones a los niveles
    usuarios del BanUnipiloto y una vez catalogadas Directivos y de Alta Gerencia a través del Mapa de
    efectuar pruebas de penetración para definir el nivel Riesgos y el Manejo de los mismos con base en la
    de Riesgo. evidencia obtenida en los Objetivos 1 y 2.

    Objetivo 3 Objetivo 6
    Con Base en los Resultados encontrados en los Con Base en el Objetivo 4 y adicionalmente a las
    Objetivos 1 y 2 Generar un Mapa de Riesgos tomado características de BanUnipiloto generar con todos
    la evidencia encontrada y analizada los involucrados un Plan de Acción para la
    Mitigación y/o erradicación de los Riesgos
    evidenciados en el Objetivo 3
    Objetivos Específicos - Servidores de Bases de
    Datos
    Análisis de Vulnerabilidades, Pruebas de Penetración - Reporte de Resultados 3

    Análisis de Vulnerabilidades - Red de Servidores de Bases de Datos de


    BanUnipiloto

    Descripción: Efectuar por medio de Herramientas de Software especializadas y avaladas con certificaciones
    internacionales un análisis de vulnerabilidades.

    Descripción: Con Base en el Análisis de Vulnerabilidades, efectuar pruebas de penetración de seguridad explotando las
    vulnerabilidades encontradas.

    Descripción: Generar una Gráfica sobre el Nivel de Riesgo para Banco uNIPILOTO usando la información evidenciada en
    el análisis Vulnerabilidades Encontradas y en las pruebas de Penetración.

    Descripción: Generar un Plan de Acción para el Manejo de los Riesgos Catalogados y la forma como se van a medir los
    controles aplicados.
    .
    Descripción: Generar un Análisis de Costo - Beneficio - Pérdidas, con Base en la incidencia de las 3 principales
    . vulnerabilidades identificadas en el Mapa de Riesgos, asumiendo ficticiamente que se materializan.
    Objetivos Específicos - Servidor en Web en DMZ
    Análisis de Vulnerabilidades, Pruebas de Penetración - Reporte de Resultados 4

    Análisis de Vulnerabilidades - Servidor en Web en BanUnipiloto

    Descripción: Efectuar por medio de Herramientas de Software especializadas y avaladas con certificaciones
    internacionales un análisis de vulnerabilidades.

    Descripción: Con Base en el Analisi de Vulnerabilidades, efectuar pruebas de penetración de seguridad explotando las
    vulnerabilidades encontradas.

    Descripción: Generar una Gráfica sobre el Nivel de Riesgo para Uni usando la información evidenciada en el analisis
    Vulnerabilidades Encontradas y en las pruebas de Penetración.

    Descripción: Generar un Plan de Acción para el Manejo de los Riesgos Catalogados y la forma como se van a medir los
    controles aplicados.
    .
    Descripción: Generar un Análisis de Costo - Beneficio - Pérdidas, con Base en la incidencia de las 3 principales
    . vulnerabilidades identificadas en el Mapa de Riesgos, asumiendo ficticiamente que se materializan.
    Objetivos Específicos - Computadores en Red LAN
    Análisis de Vulnerabilidades, Pruebas de Penetración - Reporte de Resultados 5

    Análisis de Vulnerabilidades - Computadores que Conforman la Red LAn


    de BanPiloto

    Descripción: Efectuar por medio de Herramientas de Software especializadas y avaladas con certificaciones
    internacionales un análisis de vulnerabilidades.

    Descripción: Con Base en el Analisi de Vulnerabilidades, efectuar pruebas de penetración de seguridad explotando las
    vulnerabilidades encontradas.

    Descripción: Generar una Gráfica sobre el Nivel de Riesgo para Uni usando la información evidenciada en el analisis
    Vulnerabilidades Encontradas y en las pruebas de Penetración.

    Descripción: Generar un Plan de Acción para el Manejo de los Riesgos Catalogados y la forma como se van a medir los
    controles aplicados.
    .
    Descripción: Generar un Análisis de Costo - Beneficio - Pérdidas, con Base en la incidencia de las 3 principales
    . vulnerabilidades identificadas en el Mapa de Riesgos, asumiendo ficticiamente que se materializan.
    Nivel de Activos Criticos - BanUnipiloto
    Detalle en Porcentaje del Nivel de Importancia del Activo y Diagrama de Red LAN 6

    Nivel de Activos Críticos

    Diagrama de Red LAN


    Metodología
    Procesos Efectuados Para el Logro de los Resultados Obtenidos 7

    Afectación Afectación A Afectación a Afectación


    Para los los Servicios los Servidores para el Banco
    Usuarios DMZ - Web de Bases de Unipiloto
    Datos
    Número de Vulnerabilidades Encontradas
    Gráfica de Número de Vulnerabilidades Por Servidor 8

    BAJAS: 9 ALTAS: 8

    MEDIAS: 20 CRITICAS: 9
    Análisis de Riesgo Servidor de Base de Datos
    Gráfica por Nivel de las Principales Vulnerabilidades Encontradas 9

    Con Base en la Información Recopilada en los Escaneos sobre el


    Servidor de Base de Datos, estas con las Principales Vulnerabilidades
    Encontradas.

    5 => Criticas 4=> Altas 3 => Medias


    Análisis de Riesgo Servidor de DMZ y APP
    Gráfica por Nivel de las Principales Vulnerabilidades Encontradas 10

    Con Base en la Información Recopilada en los Escaneos sobre el


    Servidor de Base de Datos, estas con las Principales Vulnerabilidades
    Encontradas.

    5 => Criticas 4=> Altas 3 => Medias


    Nivel de Afectación Empresarial
    Gráfica de Nivel Afectación 11

    Economica Colaboradores
    45% 15%

    Clientes10% Reputacional
    30%
    Pérdidas Económicas Estimadas en 100 K
    Gráfica de Pérdidas Proyectadas 12

    En caso de que cualquiera de las Tres (03) Principales Vulnerabilidades


    Encontradas, logren ser explotadas por criminales cibernéticos con basándose en
    la evidencia que presentan las Pruebas de Penetración.

    Pérdidas Económicas
    Calculadas en un valor de 45,225

    Pérdidas Reputacionales
    Calculadas en un valor de 30,15

    Pérdidas para Empleados y Colaboradores


    Calculadas en un valor de 15,075
    .

    Pérdidas para Clientes Externos


    Calculadas en un valor de 10,05

    TOTAL PROYECTADO EN PÉRDIDAS: 100,5 K


    Plan de Trabajo Recomendado
    Con Base en un Ciclo PHBA 13

    Porque la Seguridad Informática es un Proceso Continuo en que


    se Involucra todo el Banco Unipiloto

    1. Crear un Comité de Seguridad 2. Generar un Mapa de Riesgos.


    Informática Tomando como base la Información del
    Conjuntamente con la Gerencia, el OSI, y area de Reporte Técnico Adjunto, y generar los
    TIC, SGC y los Usuarios Líderes de los Procesos. Controles y medidas de Mitigación.

    4. Reevaluar el Mapa de Riesgos


    Con Base en la Nueva Información 3. Efectuar un Análisis de
    obtenida generar un analisis de brecha Vulnerabilidades con Pruebas de
    para retomar el Mapa de Riesgos y
    Penetración.
    Reiniciar el Proceso PHBA.
    Tal como lo recomienda la Circular,
    Objetivo del Presente Informe al ,menos 2
    veces al año.
    Conclusiones y Recomendaciones
    Con Base en la Información y Estudio efectuados 14

    0 Se recomienda no utilizar password


    por default e instalar un WAF en la red
    5 del BanUnipiloto.

    0 Se recomienda realizar la remediación de las


    4 vulnerabilidades críticas lo más pronto posible de acuerdo
    con las soluciones técnicas propuestas para cada una.

    0
    Se recomienda utilizar certificados SSL en los sitios transaccionales.
    3

    0 Se recomienda utilizar versiones de sistemas operativos que cuenten con el


    2 respectivo soporte técnico

    0 Se recomienda realizar la instalación de parches críticos y de seguridad regularmente de acuerdo con


    las actualizaciones provistas por cada fabricante.
    1
    FIN
    Muchas Gracias.

    Você também pode gostar