ACTIVIDAD INICIAL DE RECONOCIMIENTO 1

ACTIVIDAD INICIAL DE RECONOCIMIENTO, PRESENTACIÓN Y ORGANIZACIÓN

DE GRUPOS

Presentado por:

JORGE LEONARDO RAMIREZ RESTREPO

TUTOR
JOHN FREDY QUINTERO

ACTIVIDAD INICIAL

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA
SEGURIDAD EN SISTEMAS OPERATIVOS
PALMIRA
FEBRERO DE 2016
ACTIVIDAD INICIAL DE RECONOCIMIENTO 2

TABLA DE CONTENIDO

1. INTRODUCCION ............................................................................................................. 3

2. OBJETIVOS ...................................................................................................................... 4

2.1 Objetivo General: ....................................................................................................... 4

2.2 Objetivos Específicos: ................................................................................................ 4

3. DESARROLLO DE LA ACTIVIDAD ............................................................................. 5

4. CONCLUSIONES ........................................................................................................... 14

5. REFERENCIAS .............................................................................................................. 15
ACTIVIDAD INICIAL DE RECONOCIMIENTO 3

1. INTRODUCCION

Es conocido que la seguridad en los sistemas de información se ha convertido en una

necesidad que no da espera en la actualidad, todo sistema debe brindar al usuario las garantías y

parámetros que le permitan depositar y almacenar su información con la confidencialidad y

acceso establecido.

Las frecuentes apariciones de vulnerabilidades en los sistemas, las cuales conllevan a

accesos no deseados, afectando incluso el software vital para el funcionamiento de las redes por

medio de distantes clases de virus, las cuales pueden pretender solamente hacer daño a la red

hasta el robo total de la información. Es por lo anterior que la seguridad de la información pasa a

ser elemento fundamental en la actual sociedad digital de negocios.

En la siguiente actividad de reconocimiento, se realizara una contextualización del caso de

vulnerabilidad en la información de la multinacional PyR, llevando a cabo un análisis de su

situación actual e indicando con esto las metodologías que se pueden implementar para llevar a

cabo un Ethical Hacking , logrando a futuro con sus resultados darle el punto de credibilidad,

confiabilidad y estabilidad en cada una de las operaciones que realice la empresa en sus sistemas

de información, mediados por diferentes sistemas operativos en cada una de sus sedes.
ACTIVIDAD INICIAL DE RECONOCIMIENTO 4

2. OBJETIVOS

2.1 Objetivo General:

Reconocer los conceptos necesarios para llevar a cabo la solución a la problemática

planteada

2.2 Objetivos Específicos:

- Analizar la situación de seguridad de información en la que se ve inmersa la

multinacional PyR

- Establecer los parámetros a tener en cuenta dentro de un esquema de seguridad en

sistemas operativos.

- Brindar diferentes alternativas de solución utilizadas por los hackers éticos.

- Determinar las bases necesarias para dar continuidad a la temática en los siguientes

momentos de evaluación del curso.

ACTIVIDAD INICIAL DE RECONOCIMIENTO 5

3. DESARROLLO DE LA ACTIVIDAD

Análisis de la situación Multinacional “PyR Latín Corporation”

Parámetros a tener en cuenta:

- El negocio está siendo afectado por la pérdida de información

-La información se ha filtrado a la competencia

-La indisponibilidad de sus sistemas afecta el tiempo de respuesta hacia los clientes.

-Las caídas o fallos en el sistema afecta la productividad de sus áreas de producción afecta el

cumplimiento de las metas de ventas trimestrales.

¿Que se busca?

Realizar un auditoria a los sistemas y presentar una metodología donde se desarrolle

internamente un Ethical Hacking enfocado en los sistemas informáticos que corren sobre los

diferentes sistemas operativos que ha implementado la empresa, con los resultados llevar a

cabo las mejoras y controles al sistema.

ACTIVIDAD INICIAL DE RECONOCIMIENTO 6

Análisis de los riesgos:

Al pretender implementar un sistema que proteja la información, se deben considerar las

partes que lo componen, identificar sus vulnerabilidades, de esta manera considerar el

impacto de cada amenaza dentro del sistema. Se deben considerar cada uno de los siguientes

elementos durante la etapa de análisis:

Activos: Conformados por los datos, software, hardware, redes, soportes, instalaciones,

personal y servicios.

Amenazas: Existen amenazas de tipo físico (fallas eléctricas, daños en el hardware o peligros

ambientales), fallos de usuario, software malicioso, pérdida o robo de la información.

Riesgos: Aquí se miden las vulnerabilidades del sistema, se determinan las acciones a

realizar que van desde asumirlo sin llevar acción alguna, aplicar medidas de acción frente a

la vulnerabilidad o contratar a un tercero para que se ha cargado de la situación.

Vulnerabilidades: Aquí se mide las posibilidades de que las amenazas hagan efecto sobre los

activos del sistema

Ataques: Cuando hace efecto una amenaza se considera que el ataque esta o ha sido

realizado. Estos se clasifican en: activos (cuando se edita, daña, elimina o adicionan datos,

también cuando se satura o colapsan los sistemas de comunicación) o pasivos (cuando se

ingresa al sistema solamente, sin tomar medida alguna el atacante).

Impactos: Aquí se conoce la magnitud de los ataques.

El proceso de análisis de riesgos consta de un esquema lógico el cual está conformado por

parámetros tales como:

- Realizar el inventario y valoración los activos que conforman el sistema.

ACTIVIDAD INICIAL DE RECONOCIMIENTO 7

- Identificar y clasificar las medidas de protección.

- Reconocer y medir las amenazas que pongan en peligro la seguridad de cada uno de los

activos.

- Considerar las medidas de seguridad existentes y hacer su respectiva evaluación.

- Saber cuáles son los parámetros de seguridad que busca de la organización.

- Identificar y valorar las vulnerabilidades de los activos a las amenazas que les afectan.

- Establecer sistemas de medición de riesgos existentes.

- Indicar el alcance y consecuencias que produciría un ataque.

Metodologías de “Ethical Hacking” que se pueden implementar para evaluar los

riesgos y vulnerabilidades en el sistema:

Luego de evaluar los diferentes parámetros por parte del equipo auditor, se debe definir cual

de las metodologías Ethical Hacking será implementada, de acuerdo a los objetivos que se

plantea el equipo de trabajo y la empresa. A continuación se exponen las metodologías mas

utilizadas:

ISSAF (Information Systems Security Assessment Framework):

Utilizado principalmente para el cumplimento de los requisitos de evaluación de las

organizaciones y sus resultados pueden utilizarse como punto de partida para implementar

todo lo relacionado con la seguridad de la información. Esta metodología estructurada,

realiza análisis de seguridad en diferentes dominios y especificaciones de pruebas para cada

uno de ellos. Tiene como objetivo brindar detalladamente los procedimientos para el testing

en los sistemas de información antes situaciones reales. Su metodología fue diseñada para
ACTIVIDAD INICIAL DE RECONOCIMIENTO 8

evaluar los sistemas, redes de trabajo y control en las aplicaciones. Por otra parte se

considera a esta metodología capaz de obtener un panorama completo de las

vulnerabilidades presentes en el sistema, mediante una matriz de riesgos donde se verifica la

efectividad de los controles a implentar.

OWASP (Open Web Application Security Project):

Su metodología está basada en la seguridad de aplicaciones, permitiendo costos que trae

implementar un software inseguro y el impacto que este tiene sobre los sistemas de

información de la organización. Las principales características del modelo OWASP son:

Pruebas de firma digital de aplicaciones Web.

Comprobaciones del sistema de autenticación.

Pruebas de Cross Site Scripting.

Inyección XML

Inyección SOAP

HTTP Smuggling

Sql Injection

LDAP Injection

Polución de Parámetros

Cookie Hijacking

Cross Site Request Forgery

ACTIVIDAD INICIAL DE RECONOCIMIENTO 9

OFFENSIVE SECURITY:

Siendo la metodología para el desarrollo de pruebas de penetración más usada en el mundo,

se indican los métodos que permiten la aplicación de los estudios de seguridad enfocados en

la seguridad ofensiva. Independiente de los riesgos o vulnerabilidades posibles, esta

metodología abarca todos los aspectos del sistema. Sus principales características son:

- Enfoque sobre la explotación real de las plataformas.

- Enfoque altamente intrusivo.

- Enfoque orientado a resultados tangibles y no a estadísticas generadas por herramientas.

OSSTMM (Open-Source Security Testing Methodology Manual).

En esta metodología se las evalúan diferentes las áreas de la organización, permitiendo

conocer los niveles de seguridad presentes en la infraestructura que será auditada, estos

análisis buscan establecer los siguientes criterios:

- Visibilidad

- Acceso

- Confianza

- Autenticación

- Confidencialidad

- Privacidad

- Autorización

- Integridad

- Seguridad

- Alarma
ACTIVIDAD INICIAL DE RECONOCIMIENTO 10

4. TABLA DE ROLES

Participante Rol de trabajo colaborativo

Jorge Leonardo Ramirez Líder : Comunicador
Kevin David Martínez Contreras Dinamizador del Proceso
Rafael Augusto Guarín Vigía del Tiempo
José Divino Sánchez Relator
John Fredy Quintero Utilero
ACTIVIDAD INICIAL DE RECONOCIMIENTO 11

5. EVIDENCIAS DE APORTES EN EL FORO

ACTIVIDAD INICIAL DE RECONOCIMIENTO 12
ACTIVIDAD INICIAL DE RECONOCIMIENTO 13
ACTIVIDAD INICIAL DE RECONOCIMIENTO 14

6. CONCLUSIONES

- Al reconocer que un sistema posee riesgos en la seguridad de su información, es el

primero paso para concientizar y evaluar cuáles serán las medidas a tomar, de acuerdo a

las políticas de la empresa y el análisis de los resultados por parte de los equipo de

hackers éticos.

- Es de suma importancia reconocer las partes involucradas en el manejo de la información

(usuarios, hardware, software y demás), con el fin de llevar a cabo el plan de acción

sobre las vulnerabilidades que se puedan presentar en un sistema de información.

- Evaluar las diferentes tipos de metodologías de Ethical Hacking permite al equipo de

profesionales aplicar el procedimiento acorde al análisis previo realizado y al plan de

acción y contingencia que se pretenda realizar.

- Asignar los respectivos roles de trabajo colaborativo, permite una dinámica de trabajo

coherente a la metodología de estudio basada en e-learning.

ACTIVIDAD INICIAL DE RECONOCIMIENTO 15

7. REFERENCIAS

Blog La Seguridad Informática hoy. Metodologías y Herramientas de Ethical Hacking.

Disponible en: http://seguridadinformaticahoy.blogspot.com.co/2013/02/metodologias-y-

herramientas-de-ethical.html

Universidad Nacional Abierta y a Distancia. ISSAF. Disponible en:

http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/leccin_29_issaf.html

Revistas Bolivianas. Metodologías Ethical Hacking. Disponible en:

http://www.revistasbolivianas.org.bo/pdf/rits/n8/n8a12.pdf

Universidad Nacional Abierta y a Distancia. Seguridad Informática. Disponible en:

http://campus03.unad.edu.co/ecbti04/pluginfile.php/3840/mod_page/content/1/526/Unidad_

1_tema_2/Seguridad_informatica_Aguilera_Lopez_8-27.5-23.pdf

Monografías. Ethical hacking: Test de intrusión. Principales metodologías. Disponible en:

http://www.monografias.com/trabajos71/ethical-hacking-test-intrusion-metodologias/ethical-

hacking-test-intrusion-metodologias.shtml