David Hernando Alonso Torres (Tesis)

download David Hernando Alonso Torres (Tesis)

If you can't read please download the document

description

seguridad informatica, ataques

Transcript of David Hernando Alonso Torres (Tesis)

  • 67

    ltimo, la forma de contribuir con la lucha contra el robo de celulares al

    identificar de qu forma estos, al ser hurtados, se puedan dejar inservibles.

    Los desafos del Cloud Computing: Esta infografa muestra a travs de 5

    pasos, los retos para los usuarios y administradores de plataformas que

    hacen uso del Cloud Computing en sus Sistemas de Informacin, hace

    referencia los desafos en las fases y como deben ser abordados para obtener

    resultados ideales y con la menor cantidad de riesgo existente.

    7.3. PGINA WEB WWW.EXPLOITSABANATEAM.COM

    Se ha creado el portal www.ExploitSabanaTeam.com, este ser el medio por el

    cual se publicarn Noticias, Tutoriales, Actualizaciones, Legislacin, Estndares

    y dems relacionado con Seguridad de La Informacin especialmente a Nivel

    Nacional, recopila informacin de fuentes confiables que se identificaron en el

    trascurso de la investigacin, como Portales de Noticias, Compaas

    desarrolladoras de software de seguridad, entre otros.

    Figura 3. Pgina www.ExploitSabanaTeam.com

    http://www.exploitsabanateam.com/http://www.exploitsabanateam.com/
  • 68

    7.4. TWITTER @EXPLOITUSTEAM

    FACEBOOK.COM/EXPLOITSABANATEAM

    Por medio de las redes sociales populares como Twitter y Facebook, se dar a

    conocer las novedades relacionadas con el mundo de la Seguridad de La

    Informacin, ser un Feed de noticias, aparicin en los medios, eventos y todo lo

    que gira alrededor del mundo de la Seguridad de la Informacin.

    Figura 4. Facebook Exploit Sabana Team

    Figura 5.Twitter @ExploitUSTeam

  • 69

    8. CONCLUSIONES

    Al empezar este trabajo de investigacin se parti con la idea de que se

    necesitaba un anlisis del estado actual de la seguridad de la informacin en

    cuanto a legislacin, estndares y normatividad, sin embargo se identificaron otras

    partes en el proceso de aseguramiento de Sistemas de Informacin que son muy

    importantes, como las iniciativas del gobierno a travs de estrategias y grupos de

    apoyo para incidentes relacionados con seguridad de la informacin, a pesar que

    Colombia est lejos de los pases lderes en Seguridad Informtica como

    mecanismo de Ciberdefensa, es uno de los destacados en la regin por este tipo

    de iniciativas y la gestin de uno de los mejores ministerios, como es el MinTIC,

    el vaco identificado en este aspecto es la falta de proliferacin de la informacin.

    A lo largo del Proyecto de Investigacin la frontera de consulta se expandi debido

    a la cantidad de procesos, datos, informacin y componentes involucrados,

    especialmente en el anlisis de las vulnerabilidades y sus impactos en el proceso

    de definicin, gestin e implementacin de una estrategia efectiva para

    contrarrestar las amenazas por parte de los ataques maliciosos a Sistemas de

    Informacin expuestos a internet, se concluye que para realizar un trabajo en

    produccin aplicando lo visto en la Investigacin, se necesita la participacin

    activa de todos los involucrados en los procesos de presupuesto, diseo,

    implementacin y puesta en marcha de un servicio web y/o aplicativo.

    Con el anlisis realizado se pudo identificar que a nivel mundial la tendencia se

    mantiene, a travs de los aos las vulnerabilidades y su esencia no ha cambiado,

    a pesar de la evolucin de las tecnologas, sin embargo se ha visto un avance en

    las tcnicas de penetracin y ataque por parte de delincuentes, por esto se llega

    a la conclusin que el Profesional de la Seguridad de La Informacin debe estar

    siempre actualizado aplicando los ltimos mecanismos de defensa para mantener

    un nivel de aseguramiento de los Sistemas de Informacin adecuado.

  • 70

    A travs de la gua metodolgica se logr identificar un factor muy importante, que

    es la contextualizacin del problema, es posible que esta sea la causa de

    procedimientos errneos en cuanto a remediacin de vulnerabilidades

    informticas, ya que el profesional tiene una referencia de por qu, por cul

    agujero y de qu forma puede ser atacado, sino simplemente se limita a aplicar

    las herramientas y parches sugeridos, sin saber con certeza si los procedimientos

    son los adecuados para el tipo de vulnerabilidad, esto deriva a que el conocimiento

    por parte de Profesional de la Seguridad de la informacin debe tener una visin

    global acerca de su infraestructura, la gua no reemplaza una auditora de

    seguridad de la informacin, pero si puede mostrar el estado actual de la

    organizacin objetivo a muy bajo costo.

    Las empresas, sin importar su tamao e infraestructura encontrarn en el trabajo

    de investigacin una referencia importante en su accionar y traza de objetivos en

    cuanto a niveles de aseguramiento de la informacin, se concluye que la teora es

    muy importante pero que nada vale si no se inculca una consciencia y se asume

    una responsabilidad sobre el uso y las buenas prcticas en diferentes ambientes,

    como la tecnologa mvil, cloud computing, aplicativos web y relacionados; en

    cada uno de los involucrados en los procesos de las compaas. Se debe dar la

    importancia necesaria a la Seguridad de la Informacin, tanto en esfuerzo humano

    como en presupuesto por parte de la alta gerencia. En este punto es cuando toma

    valor la implementacin de campaas de sensibilizacin con relevancia social

    sobresaliente.

    Para finalizar, el Trabajo de Investigacin, presenta un escenario para los

    profesionales de las TIC y los estudiantes que motiva a profundizar ms en el

    tema de la Seguridad de la Informacin, a nivel acadmico son las primeras

    piedras para el avance en este campo, para retomar esta iniciativa, especialmente

  • 71

    a la que tiene que ver con el Grupo de Investigacin; se concluye que a pesar de

    los esfuerzos de limitar este tema, el campo de conocimiento es muy amplio y

    necesario entender, que requiere de un estudio a profundidad para cubrir todos

    los componentes involucrados para la Ciberdefensa a nivel empresarial.

    9. RECOMENDACIONES

    El profesional de la seguridad de la informacin no se debe limitar con las

    herramientas presentadas en este trabajo de investigacin, se sugiere la

    bsqueda de tcnicas y metodologas que complementen lo presentado

    anteriormente, esto en pro de motivar e incentivar el aprendizaje y el inters en

    este campo.

    Se recomienda consultar no solo el Top. 5 de vulnerabilidades que ms impacto

    generen, si no todos los fallos posibles, porque en realidad una vulnerabilidad

    representa una debilidad que puede ser trasformada en riesgo inmediatamente,

    da a da las bases de datos de ataques y vulnerabilidades se estn actualizando

    evidenciando un crecimiento notable en los ltimos aos debido a la facilidad de

    acceso por parte del pblico en general a la tecnologa, esto los hace objetivos y

    blancos fciles para ser atacados.

    A nivel gubernamental, se destacan las iniciativas en pro de la seguridad, sin

    embargo se sugiere que se publicite, informe y se realicen campaas que

    publiciten dichas iniciativas, que hagan participe a la comunidad en general en

    todos los niveles socio-econmicos del pas, se enteren del qu, el por qu y el

    para qu y as se convierta la Seguridad de la Informacin en poltica defensa

    nacional.

  • 72

    Para finalizar, se recomienda la capacitacin y certificacin de los profesionales

    de la seguridad y/o Administradores de sistemas en cuanto a lo mencionado en el

    trabajo de investigacin, realizar procesos de aseguramiento y defensa a

    amenazas requiere un nivel de destreza y conocimiento bastante amplio.

  • 73

    10. BIBLIOGRAFA

    PCI Security Standards Council. (12 de Enero de 2014). Acerca del PCI Security Standards

    Council. Obtenido de https://es.pcisecuritystandards.org/minisite/en/about.php

    27001 Academy. (20 de Enero de 2013). 27001Academy. Obtenido de

    http://www.iso27001standard.com/es/que-es-iso-27001/

    Aguilera Lpez, P. (2010). Seguridad informtica. Madrid.

    Almanza, A. (2014 de Junio de 2014). ACIS: Revista Sistemas. Recuperado el 8 de Octubre de

    2014, de http://acis.org.co/revistasistemas/index.php/component/k2/item/164-

    tendencias-2014-encuesta-nacional-de-seguridad-inform%C3%A1tica

    lvarez Huerta, L. (30 de Mayo de 2014). OpenWebinars.net. Obtenido de

    https://openwebinars.net/openvas-en-linux-explorando-nuestros-sistemas/

    Arias, R. (1 de Enero de 2013). Seguro de Estar Seguro. Obtenido de

    http://segurodeestarseguro.blogspot.com/2013/01/metodologias-de-hacking-

    etico_1.html

    Balanta, H. (15 de Junio de 2014). DerechoInformtico.co. Obtenido de

    http://derechoinformatico.co/legislacion-que-protege-la-informacion-en-colombia/

    Benjumea, O. (10 de Noviembre de 2010). Sabes diferenciar la ISO 27001 y la ISO 27002?:

    RedSeguridad.com. Recuperado el 8 de Octubre de 2014, de

    http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la-iso-27001-y-

    la-iso-27002

    Bloomberg Businessweek. (12 de Enero de 2014). Company Overview of The MITRE

    Corporation.

    CERT SEI. (s.f.). About Us: CERT. Obtenido de http://www.cert.org/about/

    CLAD. (1 de Junio de 2007). Centro Latinoamericano de Administracin para el Desarrollo.

    Recuperado el 9 de Junio de 2014, de http://programa.gobiernoenlinea.gov.co/apc-

    aa-files/92e2edae878558af042aceeafd1fc4d8/cartagobelec.pdf

    CRC, C. d. (23 de Diciembre de 2009). Resolucin 2258 de 2009. Recuperado el 2014 de

    Octubre de 2014, de

    http://www.etb.com.co/guiadeconsulta/contratos/Resolucion_2258.pdf

    DISA. (s.f.). Our Work: DISA 101. Obtenido de http://www.disa.mil/About/Our-Work

  • 74

    El Espectador. (17 de Mayo de 2014). De Andrmeda a los 'hackers'. Obtenido de

    http://www.elespectador.com/noticias/investigacion/de-andromeda-los-hackers-

    articulo-492933

    Enter.CO. (05 de Febrero de 2014). Buggly, la comunidad en la que el ejrcito camufl a sus

    hackers. Obtenido de http://www.enter.co/chips-bits/seguridad/asi-es-la-presunta-

    fachada-de-la-central-de-hackeo-del-ejercito/

    Gallardo, S. (2014). Ms All de las TIC en MinDefensa. Revista Sistemas, 20-22.

    Gonzlez Prez, P., Snchez Garcs, G., & Soriano de la Cmara, J. M. (2013). Pentesting con

    Kali. Madrid: 0xWord.

    Gonzlez Prez, P., Snchez Garcs, G., & Soriano, J. M. (2013). Pentesting con Kali. Madrid:

    0xWord.

    Hernandez, A. (1 de Agosto de 2011). InfoSecurity: InSeguridad de la Informacin en la

    Empresa Colombiana. Recuperado el 7 de Octubre de 2014, de

    http://www.infosecurityvip.com/newsletter/estadisticas_ago11.html

    ISACA. (s.f.). Acerca de. Obtenido de http://www.isaca.org/spanish/Pages/default.aspx

    Lozano Vila, A. (14 de Febrero de 2008). Sistema de Administracin del Riesgo de Lavado de

    Activos y de la Financiacin del Terrorismo. Recuperado el 6 de Octubre de 2014, de

    https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rj

    a&uact=8&ved=0CB0QFjAA&url=http%3A%2F%2Fwww.sarlaft.com%2Fhtml%2FRES

    UMEM%2520NORMA%2520TECNICA%2520COLOMBIANA%2520NTC%252052541.d

    oc&ei=52c5VOL8JrWCsQTmpICgBg&usg=AFQjCNHAWxS8LZh9QN8Q

    Marcela Daz Sandoval. (21 de Marzo de 2014). El Espectador. Obtenido de

    http://www.elespectador.com/tecnologia/colombia-lider-inseguridad-informatica-

    latina-articulo-482097

    Martnez Rodrguez, J. C. (27 de Noviembre de 2014). La desmitificacin de los hacker.

    Obtenido de http://www.elespectador.com/noticias/investigacion/los-hackers-

    contexto-articulo-530053

    Mifsud, E. (Lunes de Marzo de 2012). Datateca Universidad Nacional Abierta y a Distancia.

    Obtenido de

    http://datateca.unad.edu.co/contenidos/233001/Material/Unidad%20I/Proteccion_

    seguridad_infomatica.pdf

    MinTic. (Julio de 14 de 2011). Ministerio TIC. Obtenido de

    http://www.mintic.gov.co/portal/604/articles-3510_documento.pdf

    MinTIC. (1 de Diciembre de 2011). MinTIC: Gobierno en Lnea. Recuperado el 8 de Octubre

    de 2014, de http://programa.gobiernoenlinea.gov.co/apc-aa-

  • 75

    files/da4567033d075590cd3050598756222c/Modelo_Seguridad_Informacion_2_0.

    pdf

    OWASP. (2014 de Noviembre de 2014). Sobre OWASP. Obtenido de

    https://www.owasp.org/index.php/Sobre_OWASP

    OWASP, F. (2013). OWASP Project Top 10 - 2013.

    Pacheco, F. (10 de Septiembre de 2013). ESET: WeLiveSecurity. Recuperado el 7 de Octubre

    de 2014, de http://www.welivesecurity.com/la-es/2010/09/10/la-importancia-de-

    un-sgsi/

    Pacheco, F., & Jara, H. (2012). Ethical Hacking . Buenos Aires: USERS.

    Piraquive, F. N. (2008). Principales estndares para la seguridad de la informacin IT. Revista

    EOS, 77-109.

    RAE. (1 de Septiembre de 2013). Diccionario panhispnico de dudas. Obtenido de

    http://lema.rae.es/dpd/srv/search?key=hacker

    Red, H. e. (15 de Agosto de 2012). Tipos de Hackers, Hackers en La Red. Obtenido de

    https://hackersenlared.wordpress.com/2012/08/15/tipos-de-hackers/

    SANS. (s.f.). About Us: SANS. Obtenido de http://www.sans.org/about/

    Santos, P. J. (7 de Febrero de 2014). Agencia Nacional de Seguridad Ciberntica. (R. Radio,

    Entrevistador)

    Superfinanciera, C. (25 de Octubre de 2007). Circular Externa 052 de 2007. Recuperado el 25

    de Octubre de 2014, de

    https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rj

    a&uact=8&ved=0CCEQFjAB&url=https%3A%2F%2Fwww.superfinanciera.gov.co%2F

    descargas%3Fcom%3Dinstitucional%26name%3DpubFile7553%26downloadname%

    3Dce05207.docx&ei=d4k-VK7HC_j8sAS924GgCA&usg

    SYMANTEC CORP. (1 de Junio de 2014). Obtenido de Informe sobre las amenazas para la

    seguridad de los sitios web: 2014: https://www.symantec-

    wss.com/campaigns/15106/cala4/assets/symantec-wstr-2014-cala.pdf

    SYMANTEC. (s.f.). Glosario de Seguridad 101. Obtenido de

    http://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad

    UNAD. (21 de Enero de 2014). Universidad Nacional Abierta y a Distancia: Test de

    Penetracin. Obtenido de

    http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/leccin_26_test_de_pen

    etracin.html

    Witigo's Blog. (8 de Enero de 2014). Witigo's Blog. Obtenido de

    http://witigo.wordpress.com/seguridad/nessus/%C2%BFque-es-nessus/

  • 76

    11. ANEXOS

    11.1. ANEXO No. 1 LEGISLACIN COLOMBIANA

    Ley 527 de 1999: Por medio de la cual se define y reglamenta el

    acceso y uso de los mensajes de datos, del comercio electrnico y

    de las firmas digitales, y se establecen las entidades de certificacin

    Ley 1032 de 2006: Modifica el Cdigo Penal en especial, sobre la

    prestacin, acceso o uso ilegales de los servicios de

    telecomunicaciones y Violacin a los mecanismos de proteccin de

    derecho de autor y derechos conexos, y otras defraudaciones

    Ley 1266 de 2008: Se dictan las disposiciones generales del

    hbeas data y se regula el manejo de la informacin contenida en

    bases de datos personales, en especial la financiera, crediticia,

    comercial, de servicios y la proveniente de terceros pases

    Ley 1273 de 2009: Se modifica el Cdigo Penal, se crea un nuevo

    bien jurdico tutelado denominado de la proteccin de la

    informacin y de los datos- y se preservan integralmente los

    sistemas que utilicen las tecnologas de la informacin y las

    comunicaciones, entre otras disposiciones.

    Ley 1581 de 2012: Se dictan disposiciones generales para la

    proteccin de datos personales

    Decreto 1377 de 2013: Por el cual se reglamenta parcialmente la

    Ley 1581 de 2012 habeas data.

    Ley 1712 de 2014: Se crea la ley de transparencia y del derecho

    de acceso a la informacin pblica nacional.

    Conpes 3701 de 2011

    http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-527-de-1999/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1032-de-2006/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1266-de-2008/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1273-de-2009/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1581-de-2012/http://derechoinformatico.co/centro-de-documentacion/legislacion/decreto-1377-de-2013/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1712-de-2014/http://www.mintic.gov.co/portal/604/articles-3510_documento.pdf
  • 77

    11.2. ANEXO No.2 SEGURIDAD DE LA INFORMACIN EN

    LEGISLACIN

    LEY / RESOLUCIN CIRCULAR TEMA

    Ley 527 de 1999 - COMERCIO

    ELECTRNICO

    Por medio de la cual se define y reglamenta el

    acceso y uso de los mensajes de datos, del

    comercio electrnico y de las firmas digitales, y

    se establecen las entidades de certificacin y se

    dictan otras disposiciones

    Ley 599 DE 2000

    Por la cual se expide el Cdigo Penal. En esta

    se mantuvo la estructura del tipo penal de

    violacin ilcita de comunicaciones, se cre el

    bien jurdico de los derechos de autor y se

    incorporaron algunas conductas relacionadas

    indirectamente con el delito informtico, tales

    como el ofrecimiento, venta o compra de

    instrumento apto para interceptar la

    comunicacin privada entre personas. Se tipific

    el Acceso abusivo a un sistema informtico,

    as: Art. 195. El que abusivamente se

    introduzca en un sistema informtico protegido

    con medida de seguridad o se mantenga contra

    la voluntad de quien tiene derecho a excluirlo,

    incurrir en multa.

  • 78

    Ley 962 de 2005

    Por la cual se dictan disposiciones sobre

    racionalizacin de trmites y procedimientos

    administrativos de los organismos y entidades

    del Estado y de los particulares que ejercen

    funciones pblicas o prestan servicios pblicos.

    Prev el incentivo del uso de medios

    tecnolgicos integrados para disminuir los

    tiempos y costos de realizacin de los trmites

    por parte de los administrados.

    Ley 1150 de 2007

    Por medio de la cual se introducen medidas para

    la eficiencia y la transparencia en la Ley 80 de

    1993 y se dictan otras disposiciones generales

    sobre la contratacin con Recursos Pblicos.

    Especficamente, se establece la posibilidad de

    que la administracin pblica expida actos

    administrativos y documentos y haga

    notificaciones por medios electrnicos, para lo

    cual prev el desarrollo del Sistema Electrnico

    para la Contratacin Pblica, Secop.

    Ley 1273 de 2009

    Por medio de la cual se modifica el Cdigo

    Penal, se crea un nuevo bien jurdico tutelado -

    denominado de la proteccin de la informacin

    y de los datos- y se preservan integralmente los

    sistemas que utilicen las tecnologas de la

    informacin y las comunicaciones, entre otras

    disposiciones.

    Ley 1341 de 2009

    Por la cual se definen principios y conceptos

    sobre la sociedad de la informacin y la

    organizacin de las tecnologas de la

    Informacin y las Comunicaciones TIC, se crea

  • 79

    la Agencia Nacional del Espectro y se dictan

    otras disposiciones.

    Resolucin de la Comisin de

    Regulacin de Comunicaciones

    2258 de 2009

    Sobre seguridad de las redes de los

    proveedores de redes y servicios de

    telecomunicaciones. Esta resolucin modifica

    los artculos 22 y 23 de la Resolucin CRT 1732

    de 2007 y los artculos 1,8 y 2,4 de la Resolucin

    CRT 1740 de 2007. Esta regulacin establece la

    obligacin para los proveedores de redes y/o

    servicios de telecomunicaciones que ofrezcan

    acceso a Internet de implementar modelos de

    seguridad, de acuerdo con las caractersticas y

    necesidades propias de su red, que contribuyan

    a mejorar la seguridad de sus redes de acceso,

    de acuerdo con los marcos de seguridad

    definidos por la UIT, cumpliendo los principios de

    confidencialidad de datos, integridad de datos y

    disponibilidad de los elementos de red, la

    informacin, los servicios y las aplicaciones, as

    como medidas para autenticacin, acceso y no

    repudio. As mismo, establece obligaciones a

    cumplir por parte de los proveedores de redes y

    servicios de telecomunicaciones relacionadas

    con la inviolabilidad de las comunicaciones y la

    seguridad de la informacin.

    Circular 052 de 2007

    (Superintendencia Financiera

    de Colombia)

    Fija los requerimientos mnimos de seguridad y

    calidad en el manejo de informacin a travs de

    medios y canales de distribucin de productos y

    servicios para clientes y usuarios.

  • 80

    Ley 1581 de 2012

    Se reglamentan aspectos relacionados con la

    autorizacin del Titular de la Informacin para el

    Tratamiento de Sus datos personales, las

    polticas de Tratamiento de los Responsables y

    Encargados, el ejercicio de los derechos de los

    titulares de informacin y las transferencias de

    datos personales.

  • 81

    11.3. ANEXO No.3 PRINCIPIOS DE LA SEGURIDAD Y LA

    INFORMACIN: NORMATIVIDAD Y ESTNDARES

    12. NORMATIVIDAD Y ESTNDARES

    CO

    NF

    IDE

    NC

    IAL

    IDA

    D ISO

    /IE

    C 2

    7001

    A.11.2 Gestin del acceso de usuarios

    A.15.1 Cumplimiento de los requisitos legales

    A.11.3 Responsabilidades de los usuarios

    A.11.6 Control de acceso a las aplicaciones y a la informacin

    A.12.3 Controles criptogrficos

    A.12.4 Seguridad de los archivos del sistema

    A.5.1 Poltica de seguridad de la informacin

    A.10.6 Gestin de la seguridad de las redes

    A.10.8 Intercambio de la informacin

    NT

    C 5

    254

    3.2.2 Establecimiento del contexto externo

    3.3 IDENTIFICACIN DE LOS RIESGOS

    3.4.3 Consecuencias y posibilidad

    3.6 TRATAMIENTO DE LOS RIESGOS

    RF

    C 2

    196

    Poltica de Privacidad

    Poltica de Acceso

    Poltica de Autenticacin

    Declaracin de Disponibilidad

    Poltica de informes de incidentes o violaciones de seguridad

    DIS

    PO

    NIB

    ILID

    AD

    ISO

    /IE

    C 2

    7001

    A.10.10 Monitoreo

    A.11.2 Gestin del acceso de usuarios

    A.11.7 Computacin mvil y trabajo remoto

    A.13.1 Reporte sobre los eventos y las debilidades de la seguridad de la

    informacin

    A.10.9 Servicios de comercio electrnico

    A.10.5 Respaldo

    A.5.1 Poltica de seguridad de la informacin

  • 82

    A.10.4 Proteccin contra cdigos maliciosos y mviles

    A.12.6 Gestin de la vulnerabilidad tcnica

    A.12.5 Seguridad en los procesos de desarrollo y soporte N

    TC

    5254

    3.2.2 Establecimiento del contexto externo

    3.2.5 Desarrollo de los criterios del riesgo

    3.3 IDENTIFICACIN DE LOS RIESGOS

    3.4.2 Evaluacin de los controles existentes

    3.6 TRATAMIENTO DE LOS RIESGOS

    3.7 MONITOREO Y REVISIN

    RF

    C 2

    196

    Declaracin de Disponibilidad

    INT

    EG

    RID

    AD

    ISO

    /IE

    C 2

    7001

    A.12.3 Controles criptogrficos

    A.10.5 Respaldo

    A.12.4 Seguridad de los archivos del sistema

    A.5.1 Poltica de seguridad de la informacin

    A.10.8 Intercambio de la informacin

    A.10.4 Proteccin contra cdigos maliciosos y mviles

    NT

    C 5

    254

    3.2.5 Desarrollo de los criterios del riesgo

    3.3 IDENTIFICACIN DE LOS RIESGOS

    3.4.3 Consecuencias y posibilidad

    3.6 TRATAMIENTO DE LOS RIESGOS

    RF

    C 2

    196

    Poltica de Responsabilidad

    AU

    TE

    NT

    ICA

    CI

    N

    ISO

    /IE

    C 2

    7001

    A.11.2 Gestin del acceso de usuarios

    A.11.4 Control de acceso a las redes

    A.11.6 Control de acceso a las aplicaciones y a la informacin

    A.5.1 Poltica de seguridad de la informacin

  • 83

    NT

    C 5

    254

    3.3 IDENTIFICACIN DE LOS RIESGOS

    3.6 TRATAMIENTO DE LOS RIESGOS R

    FC

    2196

    Poltica de Privacidad

    Poltica de Acceso

    Poltica de Responsabilidad

    Poltica de Autenticacin

  • 84

    11.4. ANEXO No.4 HERRAMIENTAS PENTESTING Y DESCRIPCIN

    HERRAMIENTA DESCRIPCIN

    NetScan Tools

    http://www.netscantools.com/

    Conjunto de herramientas de

    internet en un solo paquete para

    plataformas Windows.

    Nmap

    http://nmap.org/

    Es un programa por consola de

    comandos que sirve para efectuar

    rastreo de puertos y se usa para

    evaluar la seguridad de sistemas

    informticos. (Gonzlez Prez,

    Snchez Garcs, & Soriano de la

    Cmara, Pentesting con Kali,

    2013)

    Ncat

    http://nmap.org/ncat/

    Es la herramienta considerada

    como la evolucin de Netcat, es un

    utilidad que permite leer y escribir

    datos a travs de conexiones de

    red usando la pila

    de protocolos TCP/IP. (Gonzlez

    Prez, Snchez Garcs, & Soriano

    de la Cmara, Pentesting con Kali,

    2013)

    Metasploit Framework

    http://www.metasploit.com/

    Provee informacin y herramientas

    tiles para pruebas de

    penetracin, investigadores de

    seguridad y desarrolladores de

    IDSs

    .

  • 85

    Retina Network Security Scanner

    http://www.beyondtrust.com/

    Poderosa solucin para la

    administracin de vulnerabilidades

    diseada para ayudar a

    las organizaciones de cualquier

    tamao en la identificacin,

    proteccin mitigacin de

    Vulnerabilidades.

    John The Ripper

    http://www.openwall.com/john/

    Software para password cracking,

    actualmente disponible para varios

    sistemas Unix, Windows, DOS,

    BeOS y OpenVMS.

    OpenVAS

    http://www.openvas.org/

    OpenVAS es una herramienta

    diseada para ayudar a los

    administradores de red/sistemas

    en la identificacin de

    vulnerabilidades, deteccin de

    intrusiones y por tanto, amplio

    abanico en la prevencin de

    ataques. (lvarez Huerta, 2014)

    Burp Suite

    http://portswigger.net/burp/

    Es una herramienta escrita

    ntegramente en Java que permite

    realizar test de intrusin en

    aplicaciones web, permitiendo

    combinar tcnicas manuales y

    automticas para analizar,

    detectar, atacar y explotar

    aplicaciones web. (Gonzlez

    Prez, Snchez Garcs, & Soriano

    de la Cmara, Pentesting con Kali,

    2013)

  • 86

    Maltego

    https://www.paterva.com/web6/

    Es una aplicacin de minera y

    recoleccin de informacin

    utilizada durante la fase de Data

    Gathering, proceso en el cual se

    trata de obtener el mayor nmero

    de informacin posible sobre un

    objetivo para su posterior ataque.

    (Gonzlez Prez, Snchez

    Garcs, & Soriano de la Cmara,

    Pentesting con Kali, 2013)

    Nessus

    http://www.tenable.com/

    Es un programa de escaneo de

    vulnerabilidades. Consiste en dos

    partes nessusd, el daemon

    Nessus, que es el encargado de

    realizar el escaneo en el sistema

    objetivo, y nessus, el cliente

    (basado en consola o grfico) que

    muestra el avance y resultados de

    los escaneos. (Witigo's Blog, 2014)

    Wireshark

    https://www.wireshark.org/

    Es un analizador de paquetes que

    permite examinar datos de una red

    viva o de un archivo de captura

    salvado en disco. (Gonzlez

    Prez, Snchez Garcs, & Soriano

    de la Cmara, Pentesting con Kali,

    2013)

  • 87

    11.5. ANEXO 5 - CUNTOS TIPOS DE HACKERS CONOCES?

  • 88

    11.6. ANEXO 6 - ALERTA PROFESIONALES DE LAS TIC! TIPS:

    SEGURIDAD = TRANQUILIDAD

  • 89

    11.7. ANEXO 7 - SEGURIDAD MVIL: UN PASO DELANTE DE LOS

    DELINCUENTES

  • 90

    11.8. ANEXO 8 - LOS DESAFOS DEL CLOUD COMPUTING

  • 91

    11.9. ANEXO 9 GUA METODOLGICA PARA EL TOP 5 DE ATAQUES

    MALICIOSOS VAINLEEC-

    (Hacer Clc en la imagen para acceder a la gua)

    http://www.mediafire.com/view/2d2e3dv9amaoxtn/Guia_Metodol%C3%B3gica_VAINLEEC_David_Alonso.pdf