“Plan de Seguridad Informático”

“Empresa [email protected]”

Por:

Hans Felipe Puerta.

Eloy Adolfo Usma.
Johan Camilo Monsalve.

Profesor:

Nathaly Arenas Parra.

Ingeniera Electrónica.
Especialidad Seguridad Redes de Datos.

Fernando Eliecer Ávila Berrio.

Ingeniero en Telecomunicaciones.

SENA
Centro de la Tecnología y la Manufactura Avanzada.
Medellín 2018.
 Introducción.

Sabemos entonces que el riesgo de que se ejecute un “Cyber Ataque”

es demasiado alto en el presente. Esto es susceptible para cada una de
las compañías registradas hoy en día incluso a grandes empresas bien
conocidas, que aparentemente están más que protegidas.
Es acá donde se genera la necesidad de realizar una correcta ejecución
e implementación de un “Plan de Seguridad Informático”.
Este plan nos permite entender e identificar en que área de nuestra
empresa “Emulada – Real”, tenemos vulnerabilidades sobre el sistema
informático, correctamente implementado y así cuando estén
identificadas, tengamos un mecanismo de acción para prevenir la
materialización de cada una de ellas.
 Objetivo General

Por medio del presente documento, queremos dar a conocer la

posibilidad y propuesta de la ejecución de un asertivo “Plan de
Seguridad Informático”.
Resaltando cada uno de los temas vistos en la primera fase de esta
“Especialización en Seguridad de Redes de Datos”, evidenciamos
algunas de las falencias básicas y no tan básicas, que poseen muchas de
las empresas que están o no constituidas en nuestro país.
En este resumiremos por áreas, el levantamiento de activos,
vulnerabilidades, amenazas y riesgos a los que están expuestos cada uno
de ellos, sin dejar de lado, la solución y/o porcentaje de solución para
que dichos riesgos puedan ser principalmente prevenidos.
 Objetivos Específicos.

 Identificación de vulnerabilidades en la empresa en la cual se

aplicará el presente “Plan de Seguridad”

 Proponer medidas de seguridad, que puedan ser legibles y

entendibles, para cada uno del personal corporativo

 Análisis y aplicación de un modelo de la “Seguridad de la

Información” debidamente establecido.

 Metodología para llevar acabo un “Plan de Acción” efectivo,

según los riesgos conocidos.

 Conocimiento de levantamiento de activos, llevado a cabo en

fase 1.

 Implementación de auditoria y herramientas básicas, para la

identificación de intrusos, testeo de puertos, valoración de
vulnerabilidades y ejecución de software, que prevenga
amenazas.
 Modelo de Seguridad de la Información.

Entendemos entonces que el “Modelo de Seguridad de la

Información” hace referencia al conjunto de “Procesos,
Procedimientos, Metodologías, Principios Políticas etc.” Que están
generadas básicamente en una compañía legalmente constituida. Este
modelo se encarga de aplicar correctamente los 3 pilares fundamentales
que lo constituyen, que son: la ejecución de “Confidencialidad,
Integridad y Disponibilidad” de la información.
Este modelo involucra todas las áreas de cada empresa incluyendo la
“Administrativa, Recursos Humanos y Personal de Soporte
Teleinformática”, donde cada empleado según su función dentro de la
organización será más que responsable “En Cierta Medida” de la
protección de la información que hace estable a cada empresa.
 Descripción de la Empresa
[email protected]

La empresa [email protected] pertenece al campo informático -

multimedia y ofrece servicios especializados en "Diseño Web y Diseño
Gráfico".
Es una empresa ubicada en la ciudad de Medellín y cuentan con una
experiencia de 8 años en el mercado del desarrollo del "sitio web,
tiendas virtuales, intranet, portales y aplicaciones enfocadas a la
web", así como creación de piezas gráficas, multimedia y demás
herramientas en publicidad web.
Como ofrecen su servicio:
 Hosting: "Alojamiento de un Website en servidor
 Dominio: "Nombre del Website en internet
 Diseño
 Programación y Desarrollo.

 Estos servicios y muchas más extensiones de los mismos, que

equivalen a un correcto servicio de soporte técnico.
 Alcance Del Plan de Seguridad.

Se debe tener en cuenta que el presente "Plan de Seguridad" es

totalmente aplicable en cada una de las áreas, que estén debidamente
estructuradas en organizaciones a nivel general.
Aunque es claro que, de manera inmediata, se hace la redacción y
aplicación para nuestra empresa "Simulada - Emulada" cuyo nombre
es "[email protected]"
Las políticas expresadas en este documento - Plan de Seguridad son de
obligatorio cumplimiento para cada una de las áreas y personal
perteneciente a ellas, teniendo en cuenta que puede ser posible la
rotación del mismo personal, ocluyendo empleados nuevos y asensos
internos que demandaran obligaciones adicionales.
 Vulnerabilidades Informáticas.

Es evidente que en el presente las organizaciones y las personas –

empleados dentro de ellas, para realizar una eficaz labor, necesitan la
utilización de dispositivos inteligentes, en los que se incluyen unidades
de almacenamiento y muchos más.
De acuerdo con lo antes descrito, lograr que los sistemas y topologías
de redes implementadas en las empresas operen con seguridad, es
primordial para su excelente funcionamiento.
Es por esto que identificar o clasificar las vulnerabilidades, nos
permitirá, tener mejor porcentaje de prevención a la hora de que se
materialice una amenaza, por sencilla y frágil que parezca.
De acuerdo con la empresa "[email protected]" y los activos
levantados en nuestra matriz, podemos clasificar algunas de ellas de la
siguiente manera.

 Vulnerabilidades Identificadas
 Vulnerabilidades Segundarias Conocidas
 Vulnerabilidades a un no Conocidas.

 Vulnerabilidades Identificadas: Son todas aquellas que ya

tienen un registro de conocimiento por parte de la compañía que
pretendemos auditar con dicho "Plan de Seguridad" y podríamos
afirmar, que varias de ellas, ya cuentan con una solución viable.

 Vulnerabilidades Segundarias Conocidas: Este tipo de

vulnerabilidad, hace referencia a todos los "Programas -
Aplicaciones" que se adquieren por parte de empresas
 desarrolladoras de las mismas. Aquí hacemos referencia como
ejemplo a los "Anti-Virus". Siempre accedemos a etas
conocidas soluciones de acción inmediata, pero estamos sujetos
y muchas veces expuestos, a que se encuentre una puerta abierta
que el programa no detecta y para solucionarlo dependemos de
actualizaciones y parches, que hagan más segura esta solución.

 Vulnerabilidades aun no Conocidas: Como su nombre lo indica,

hacemos referencia, a estos riesgos que no tenemos identificados,
pero pretendemos hacerlo, con una eficiente aplicación de este
plan de seguridad.
 Descripción de Sistema Informático De La Empresa
"[email protected]".

Después de mencionar, el tipo de vulnerabilidades clasificadas que

encontramos en esta organización, podemos dar por sentado el
levantamiento de activos realizado en la fase numero de la
especialización en seguridad de redes de datos.
Anunciaremos entonces la demostración en modo resumen de los
departamentos jerárquicos encontrados en ella y como se conectan entre
sí.
Podemos ver entonces que, en las anteriores imágenes, representamos
detalladamente el levantamiento de activos de la compañía a auditar con
este Plan de Seguridad.
Es evidente que, aunque sea una pequeña empresa, su implementación
jerárquica, está bien constituida.
 Área Administrativa
 Área de Informática.
 Área de Soporte Teleinformática.

Arquitectura y topología expuesta en clase.

Área Administrativa: En esta dependencia, encontramos el nivel más
alto, en cuanto a decisiones e información activa y pasiva se refiere,
pues de todo lo que se informe, actué y se decida, afectara bien o mal
las ramificaciones que dependen de ella.
Aunque existen variedad de "Planes de Seguridad" que incluso, solo
categorizan cierto plan de acción sobre determinadas aéreas, este tiene
definido un alcance total.
El riesgo de filtrado de información es muy alto, es por esto que la
decisión de realizar respaldos de "BackUp" tanto en nube, como en la
misma infraestructura de RED - Servidor FTP, es de vital importancia
para la seguridad de la misma.
No podemos dejar de lado, la implementación de software que se
ejecute en tiempo real, hacemos referencia al "S.O - Ejecutable -
Antivirus" con licencia Empresarial, pues aunque se ejecute sobre
dispositivos finales, es una ayuda más que inmediata, para prevenir e
incluso en algunos casos predecir materialización de amenazas.

 Recordemos que toda área, estructura, topología y administración de

software, está conectado por medio de troncal directa a la dependencia de
soporte Teleinformático.

Esta dependencia tiene subdivisiones importantes, que se deben

resaltar, pues de estas dependen el éxito empresarial y comercial que
se pueda constituir a futuro.
 Área Comercial: Todo el bien económico que se posee, tiene que
tener garantías en inversión y crecimiento, incluso si esta
pequeña empresa, garantiza la aprobación de esta
implementación en seguridad informática, de ellos dependerá el
éxito de la auditoria.
Todos los empleados tendrán a disposición equipo de cómputo,
con acceso a la intranet implementada en este plan de seguridad,
para que puedan por medio de ella acceder a los aplicativos de la
empresa y escalamiento de PQR"S, que, si tienen consecuencia
con el personal de informática, allí será resuelto.

 El plan de acción inmediata para ellos no es muy complicado,

pues el programar inducciones para enseñarle sobre estas nuevas
tecnologías, es de vital importancia, pero toda la información
manejada en el área comercial tiene que estar debidamente
respaldada en la "MDF" Que es donde se encuentran los
servidores de guardado de datos como lo es el FTP.

 Área de Recursos Humanos: Es muy importante la labor que

concede está sub - área, pues de ellos depende cual es el personal
existente en la empresa y más a un los que ingresan como
reemplazo o rotación de los mismos.
El alto tráfico de información que manejan es de alto valor para
la empresa, porque son quienes aprueban un ingreso de personal
y mucho más, pero esa información es más que identificable para
ser robada o modificada, hacemos referencia a "Hoja de Vida,
Colillas de pago, caras laborales" y muchas cosas más.

 La solución que presentamos para salvaguardar todos los datos

es muy similar al anterior, las copias de seguridad son de suprema
importancia, lo que constituye que el acceso a un servidor FTP
y guardado en servicio NUBE, hará que el respaldo de seguridad
sea muy eficiente.
Recordemos que toda área, estructura, topología y administración de software,
está conectado por medio de troncal directa a la dependencia de soporte
Teleinformático

Área de Informática: En esta dependencia, encontramos una de las

aéreas más importantes de la empresa "[email protected]". Hacemos
referencia a la zona de "Multimedia". De los empleados que son
semejantes a ella, recae una responsabilidad amplia, en cuanto a
confidencialidad y originalidad se refiere.

 Multimedia: Esta dependencia es muy importante como antes lo

mencionamos, es acá donde se realiza los bocetos de cada uno de
los diseños solicitados por uno a uno de los clientes que
pertenecen a la base de la empresa.
La responsabilidad que deben tener los empleados es alta, pues
entre más original e impactante sean los diseños, mejor
aceptación dentro del gremio, tendrán las ideas que se plasman.
Pero es muy posible que la integridad del personal falle algunas
ocasiones. Nos referimos al punto en que, si los diseños son
totalmente apetecibles, no solo para el cliente en propiedad si no
para otros, realizar una copia no autorizada, sería realmente fácil,
es solo conectar algún tipo de unidad de almacenamiento externo
y todo estaría hecho.

 La solución más inmediata para estos riesgos es generar una

obligación en el guardado de archivos. Para ser más exactos en
la idea de implementación es realizar un buen oso de la técnica
"Hardening", tanto en el dispositivo final "PC - Desktop",
como en el acceso al "Servidor Dedicado".
Al utilizar dicha técnica, podremos saber qué tipo de cuanta y
usuario tiene asignado el empleado, así, se realizarían "BackUp"
automáticos en el Servidor dedicado para esto sea en "FTP y/o
 NAS", lo que evitaría que, por políticas de seguridad, ninguno de
ellos ingrese a su puesto de trabajo, unidades de almacenamiento
sea "PenDrive - USB, Memorias SD, Discos IDE - Externos
etc."

 Es muy importante tener plenamente actualizados en cuanto a

configuración de Hardware y Software se refiere, todos los
Desktop disponibles para la zona de Multimedia para su eficaz y
perfeccionado trabajo tanto en el diseño como en el área de
desarrollo web.

 Acá encontramos los siguientes programas para diseño que se

implementan en la empresa "[email protected]"

 Adobe Photoshop.
 Adobe Ilustrator.
 Auto CAD.
 Estas son las licencias de Software utilizados para el desarrollo
WEB en "[email protected]"

 Adobe Dreamweaver.
 Incomedia Website - versión X5.
 Google Sites - Para Intarnet Basica.
Área de Soporte Teleinformático: Y siguiendo con las aéreas
encontradas en la empresa "[email protected]", terminamos con la
más importante, en cuanto a responsabilidades, integridad y
conocimiento certificable se refiere.

 Mesa de Ayuda T.I: Cuando empezamos a realizar la valoración

de cada una de las vulnerabilidades y riesgos que podría tener
constantemente eta organización, evidenciamos, que el área de
soporte técnico tiene falencias en cuanto a su estructura se
refiere, pues varios de los empleados que pertenecen a ella, no
están completamente actualizados y peor aún certificados, en las
nuevas tecnologías y procedimientos que logran que las tareas a
realizar sean más eficientes al ejecutarlas.
Y si a esto le sumamos, que las configuraciones en "Hardware"
de su MDF e IDF, están algo desbalanceadas, logran que un
posible ataque sea más fácil de materializarse.

 El administrador de red, muchas de las veces, encuentra fallos en

la fluidez del servicio interno, pero al no haberse exigido en etas
actualizaciones, tenía desconocimiento de que el desbalance en
hardware que tiene su "Centro de Datos", está generando un alto
"Cuello de Botella " que hace referencia a un mal "Acceso a la
intranet, Acceso a la Nube, Pobre respuesta a peticiones de
información alojada en el servidor dedicado, bloqueo de
usuarios y contraseñas incluso fueras de servicio de sus
dispositivo de seguridad dedicado, como lo es el Básico Firewall
que tienen configurado".

 Para mitigar este grave problema, hacemos sugerencia de

empezar con uno por uno de los empleados que realizan su labor
en esta área, para ingresarlos a capacitaciones niveladas, con el
fin de que eleven sus conocimientos y competencias, para que
 este plan de seguridad sea realmente aplicado sin inconvenientes.
Hoy en día encontramos "Universidades" de muy alto nivel
como el SENA, que firman convenios con empresas PYMES, y
así lograr que sus trabajadores estén mejor capacitados y
calificados en cuanto a T.I se refiere.

Estas son algunas sugerencias para actualización de Software y

Hardware en los Desktop del Área de Soporte Teleinformático.

Equipo para los técnicos de T.I

Micro
Procesador Memoria Unidad de Sistema
CPU RAM Almacenamiento Operativo.

Intel Core i3
Octava Ideal Mínimo Win 7 pro
Generación 8G Disco Duro HDD - Ideal Win 10 pro
mínimo Arquitectur IDE 1TB 64bts
"8100" a DDR4 a 7200RPM
4 cores 4 2300Mhz
hilos 3.6GHZ
GPU
Integrada
AMD A12
Séptima Mínimo Mínimo Win 7 pro
Generación 8G Disco uro HDD - Ideal Win 10 pro
Mínimo Arquitectur IDE 1TB g4bts
"9800" a DDR4 a 7200RPM
4 Cores 4 2400 MHz
Hilos 2.8Ghz
GPU
Integrada.
 Equipo para el administrador de la Red T.I
Micro
Procesador Memoria Unidades de Sistema
CPU RAM Almacenamiento Operativo
Intel Core i5
Octava Mínimo Disco Duro HDD - Win 10 pro
Generación 8G IDE 1TB 64bts
Mínimo Arquitectura 7200RPM
"8400B" DDR4 a Distribución
6 Cores 6 2600Mhz Unidad de Estado de LINUX
Hilos Solido Opcional
2.8Ghz SSD UBUNTU
GPU 256GB
Integrada
AMD Ryzen 5
"2600E" Mínimo Disco Duro HDD - Win 10 pro
6 Cores 12 8G IDE 1TB 64bts
hilos Arquitectura 7200RPM
3.1Ghz DDR4 a Distribución
GPU 2600Mhz Unidad de Estado de LINUX
Integrada Solido Opcional
SSD UBUNTU.
256GB
 Información Adicional.

Tenemos que tener en cuenta que las anteriores tablas, hacen referencia
a las sugerencias hechas en este plan de seguridad, para una
configuración básica de los equipos puestos a disposición por la
empresa para su eficaz utilidad, pues si no se corrigen a tiempo, los
problemas de accesibilidad y rendimiento de la red y todas sus demás
componentes, seguirán siendo críticas para toda la "Topología"
existente en ella.
después de describir lo básico en "Hardware y Software", tendremos
que entrar a describir, programas ejecutables que son de vital
importancia para que este plan funcione a la perfección.
En este punto hacemos referencia a toda la topología lógica que se debe
utilizar para hacer más amena esta implementación. realizaremos un
resume general que se debe tener muy en cuenta.
Descripción de Dispositivo Activos y de Enlace en Topología de Red.

Como informamos en la parte de "Descripción de Sistema

Informático", en la fase número 1 de esta especialización, incluimos
en la socialización del grupo, un tipo de topología que es totalmente
aplicable a cualquier empresa constituida o no constituida.
En especial para la organización "[email protected]" aplicaremos las
siguientes configuraciones.

Dispositivos Dispositivos Servidores

Activos De seguridad de
Acceso
Router Router Servidor
Dedicado De Dominio
para Firewall DNS
Switch Switch Capa Servidor
3 para WEB
soporte de HTTP
Router
Modem"s Servidor FTP
Access Point Servidos NAS
Soporte al
FTP

Concluimos entonces, haciendo referencia a la anterior tabla, cuáles son

las mejores recomendaciones, hechas por nosotros, para que en la parte
física del sistema informático que posee eta empresa, sea mucho más
eficiente a la hora de ponerlo en marcha.
Acá haremos nuestras recomendaciones a modo general, sobre que
licencias de software, se deben implementar, para que la parte de
"Seguridad Informática" tenga un excelente porcentaje de éxito.
 Implementación de ambientes de Sistemas Operativos con
licencia "Windows" en este caso mínimo Win Server 2012 y
como recomendación Win Server 2019

 También realizamos recomendación para la implementación de

ambientes con núcleo "LINUX" proponemos el código
"Ubuntu, Red Hat - Fedora, Debían y Solaris". Estas son muy
buenas alternativas, para la administración de los "Servidores"

 En la parte de Dispositivos Dedicados en Seguridad, tenemos

como sugerencia software con núcleo BSD Y Microsoft ISA.

 En el aspecto de ambientes con núcleo BSD, proponemos

distribución GNU/LINUX "Endian" y Pf-sense"
 Auditoria en seguridad informática [email protected]

La primera pregunta que debemos responder antes de adentrarnos en el

proyecto es: ¿Que es una auditoría de seguridad? ¿Qué es un test de
intrusión?

Una auditoría de seguridad es el análisis y estudio de un sistema, para

intentar conocer las limitaciones de un sistema (vulnerabilidades,
debilidades, preocupaciones etc. según OSSTMM), para
posteriormente poder corregirlas.

Un test de intrusión se considera como un tipo de auditoría de

seguridad, donde las vulnerabilidades que se buscan son aquellas que
permitirían el acceso al sistema de alguien no autorizado, para
comprobar la resistencia que ofrece el sistema ante este tipo de ataques.
 Breve descripción de auditoria

El testeo metódico de seguridad es distinto de los test de penetración.

Es una combinación de creatividad, el constante conocimiento de
nuevas buenas prácticas y de amenazas conocidas. Es llevar las cosas
hasta el extremo, a los “peores casos”, para asegurarnos de que esas
“buenas prácticas” son realmente buenas prácticas. Es el conocer que
sucedería con situaciones que damos por controladas, y que
generalmente, prevemos que no van a ir mal, y llevarlas al extremo. Se
trata de asegurarnos de que en esos extremos, el sistema sigue
comportándose tal y como esperaríamos que lo hiciera. Comprobar qué
sucede si un intruso se hiciera pasar por alguien de la organización,
cómo se comportaría un sistema ante la llegada masiva de datos, qué
sucede si se cortase el suministro eléctrico... Debemos preguntarnos qué
sucede si forzamos la seguridad al máximo, y comprobar donde
aparecen las mayores deficiencias o debilidades.

Cuando testear es tan importante como qué y por qué

Testear: No es lo mismo comprobar que has cerrado la puerta de tu casa
antes de salir de vacaciones que al volver. Lo mismo sucede con las
auditorias de seguridad informática. Debemos hacerlas antes de que las
cosas malas sucedan. Es mejor prevenir que curar.

Preocuparse de los detalles, porque todo está en los detalles: Es en los

detalles donde se encuentran los mayores fallos de seguridad. Quizás
un solo detalle no sea especialmente determinante, pero la suma de
todos ellos hace de ellos un gran problema. Además, son estos pequeños
detalles (por ejemplo, que un programa no compruebe una entrada de
datos), que no son visibles, donde un hacker malintencionado
encontrará la puerta de entrada, ya que todo aquello que no son
“detalles” son fácilmente encontrados, y por tanto, solucionados.
Eficiencia y creatividad: Aunque el presupuesto sea bajo, debemos
intentar que el poco tiempo que podamos dedicar al testeo sea lo más
eficiente posible. Así podremos justificar bien nuestro trabajo. Las
organizaciones verán que lo que han pagado por los servicios prestados
realmente sirven de algo, y muchas más organizaciones querrán
hacerlo. Hay que trabajar de forma ordenada, tenerlo todo preparado
para antes de empezar, y trabajar de forma profesional y rápida. Muchas
empresas ven las auditorías como un gasto, quizás no inútil, pero no tan
importante como lo pueda ver un auditor, y suelen invertir poco dinero
en ello.
 “Una breve reseña del modelo a implementar OSSTMM”

La OSSTMM comenzó allá por finales del año 2000, y creció

rápidamente gracias a la experiencia de miles de personas que
contribuyeron al proyecto. Gracias al hecho de ser una metodología
libre,los testeadores participan en un gran plan contribuyendo al
movimiento open-source, y estandarizando una metodología que todo
el mundo pudiera acceder, o a mejorar, por lo que creció enormemente
hasta convertirse en uno de los principales referentes en su campo hoy
en día. Originariamente, perteneció al dominio ideahamster.org, que
más adelante pasó a ser el actual ISECOM (Institute for Security and
Open Methodologies). En 2003, ISECOM estuvo registrada como
como una organización sin ánimo de lucro en España y en los EEUU.
Hasta ahora, la OSSTMM trataba solamente una forma de hacking
ético, pero en 2005, pasó a ser una forma de verificar que la seguridad
se estaba tratando de forma correcta a nivel operacional, y en 2006, este
manual pasó a ser el estándar para aquellos que necesitaran una
seguridad más allá del que la legislación y regulaciones ofreciesen. Un
punto importante de la OSSTMM es el tener en cuenta que el objetivo
del manual es crear un solo método para realizar pruebas de seguridad
en profundidad. Es un conjunto de pasos que deben ser realizados una
y otra vez, hasta que los resultados esperados se obtengan. No es la idea
(ni se encontrará en ninguna otra parte) el recomendar al auditor el
utilizar esta metodología como un diagrama de flujos o utilizarla como
una serie de pasos con un cierto orden formal, sino simplemente haber
completado y revisado todos los pasos que se contemplan, en el tiempo
establecido.
Algo en lo que esta metodología hace hincapié, es el hecho de que
muchos testeadores de seguridad
creen que los tests de seguridad son una “fotografía” del punto actual
de seguridad en el sistema. El tener una visión actual y puntual de cómo
es el sistema en ese momento. Pero... ¿es esta “fotografía” suficiente?
La metodología intenta enriquecerlas con los llamados Risk
Assessment Values o Valores de Evaluación de Riesgos (de ahora en
adelante RAVs), que proporcionarán información extra en contextos
tales como frecuencias y tiempos al test de seguridad. La “fotografía”
se convertirá en un perfil o Profile abordando un rango de variables a
lo largo de un periodo de tiempo antes de degradarse por debajo de los
niveles de riesgo aceptable. Estos RAVs y Profiles se explicarán con
detalle en su sección correspondiente. Por último, otro de los objetivos
de la metodología es que pueda evitarse, que el estilo personal,
asunciones falsas, o prejuicios de los testeadores intervengan en los
resultados del test. El uso de una metodología igual para todo el mundo,
conseguirá la imparcialidad de los test, y por lo tanto que tengamos una
base comparable entre sistemas, pudiendo así comparar unos con otros,
y graduarlos.
 Ámbito o Alcance dentro de la empresa [email protected]

El principal objetivo o propósito es el ofrecer una metodología

científica a los tests de seguridad, pero, además, ofrece una guía a los
auditores para realizar una auditoria OSSTMM certificada. Esta guía
existe para asegurar que:
 La prueba se ha realizado con detalle.
 La prueba incluye todos los canales necesarios.
 Que se haya realizado con concordancia con los derechos
civiles
 Que los resultados sean cuantificables.
 Que los resultados sean consistentes y repetibles.
 Que los resultados contengan sólo hechos derivados de los
mismos tests y nada más.

Acreditación
Como hemos dicho, se puede realizar una auditoria OSSTMM
certificada. Para ello, se requiere un informe de auditoría de la
OSSTMM firmada por el testeador o analista que cumpla los requisitos
de informes. Estos informes, junto con una versión anónima del informe
de auditoría remitida a ISECOM para revisión proporcionará una
certificación, que entre otras ventajas, hará responsable al auditor y
servirá de prueba del test, y por tanto algo que probará que el sistema
ha superado el control de calidad de seguridad de OSSTMM, lo cual
siempre será deseable para cualquier empresario.
Uno de los pasos más importantes al implementar la auditoria son los
contratos y negociaciones.
De los cuales podríamos decir lo siguiente:

Según la OSSTMM, y en la mayoría de las demás metodologías, el

auditor de seguridad debe de mantener un compromiso fuerte con el
cliente. Es de suponer, que el tratar una cuestión tan delicada como es
la seguridad, haya que definir y dejar muy claro todo lo que se va a
realizar. Por ejemplo, se le exige al auditor, confidencialidad y la no
revelación de secretos (lógico). Revelar contraseñas, infraestructuras
etc.. sería peor que no realizar la propia auditoría. Por otra parte, los
contratos deberían incluir limitaciones en la responsabilidad del auditor
(teniendo en cuenta el coste de la auditoría, claro), a menos que hay
claros indicios de mala fe. Es lógico suponer, pues, que para que se
incluya esto, el auditor debería de informar (y por supuesto esto debería
de reflejarse en el contrato) los límites y peligros del test que se va a
realizar (además de la información de desde donde se va a realizar los
tests, IPs, etc). Además, en el contrato se debería incluir personas de
contacto, o un teléfono de emergencia. Otra cuestión importante, es el
que deba incluirse permiso específico para tests relacionados con
denegaciones de servicio, fallos en la supervivencia, análisis de
proceso, o ingeniería social. Estos son muy delicados, ya que pueden
implicar paradas de sistemas de producción, o interrumpir el
funcionamiento normal del sistema. Por último, y algo que podría no
parecer importante, debería de incluirse también, el futuro proceso de
contrato, y cambios de condiciones de trabajo. Como vemos, el auditor,
debería de asegurarse bien de que el cliente entiende lo que va a realizar,
y asegurarse de que en caso de suceder un imprevisto, todo haya sido
escrito en el contrato.
 Metodología

Los tests de seguridad empiezan con una entrada que es, en su forma
más precaria, las direcciones de los sistemas a auditar. Los tests,
terminan con el principio de la fase de análisis, y la elaboración del
informe final. La metodología no afecta a la forma, tamaño, estilo o
contenido del informe final y no especifica como debe de ser analizado.
Esto es tarea del tester y/o la organización. La OSSTMM se divide en
secciones, las cuales se dividen a su vez en módulos, y éstos, en tareas
concretas. Se debe distinguir, entre recolección de datos, y la
verificación de los mismos. Es decir no solamente se deberá buscar
fallos, vulnerabilidades etc, sino que además, se deberá comprobar
efectivamente, que existen. Es por ello, que una metodología no debe
de compararse con un simple escaneo de vulnerabilidades o puertos.
Para realizar la OSSTMM, además, hay que comprobar los resultados
obtenidos. Al definir la metodología a seguir, es importante no delimitar
la creatividad del tester: habrá casos en los que estándares o
formalismos hagan que la calidad del test pueda mitigar, por lo que
siempre será el tester el que tenga la última palabra, y podrá realizar los
tests según su experiencia y creatividad. Cabe añadir, además, que
muchas de las tareas son poco concretas y abiertas, previniendo el que
nuevas tecnologías o características dejen obsoletas estas tareas. Es
comparable pues, a las leyes jurídicas, donde suelen ser vagas y libres
de interpretarse, para que puedan abarcar más casos, ya que sería
completamente imposible definir toda situación posible y futura. Cada
módulo, está relacionad con el anterior y el siguiente, y entre secciones
ocurre de forma similar. Los datos y conclusiones obtenidas en un
módulo pueden servir para la realización de la siguiente tarea. Por
ejemplo, se pueden descubrir nuevos hosts para comprobar.
 Inicio de proceso auditoria

Sección A – Seguridad de la información

1. Levantamiento de activos

Este módulo, quizás sea el menos valorado de todos a la hora de realizar

un test de penetración, ya que no es intrusivo, y se puede realizar sin
ningún tipo de conocimiento técnico en tests de intrusión. Básicamente,
se trata de recabar toda la información posible de la empresa auditada.
Nos interesas obre todo, el poder encontrar información para poder
crear un mapa y estructura de las instalaciones informáticas. Buscar la
presencia en Internet que tiene la empresa. Es decir, se trata de encontrar
toda la información disponible que nos revele datos (sensibles o no)
sobre la empresa. Muchas veces, nos daremos cuenta de que mucha
información puede ser recabada de forma legal en páginas webs, en la
prensa, etc...Resulta interesante, por ejemplo, recabar toda información
relacionada a los servicios que pudiera ofrecer la compañía (tales como
números de teléfono, emails junto con personas de contacto, páginas
web, servidores FTP etc..), así como muchos otros de carácter menos
técnico, aunque puedan ser utilizados para, por ejemplo, ingeniería
social.

Cabe notar, que a la hora de realizar la auditoría, hemos de tener muy

claro que la información recogida en esta sección, puede estar tanto
dentro, como fuera del alcance de nuestro contrato. Como sugerencia
de un software para realizar esta sección de forma ordenada.
Pero en nuestro caso ya contamos con un documento de levantamiento
de activos y en el se evidencia que todos los equipos de usuario están
basadnos en Windows 10 64 bits y los servidores en Windows server
2012.
Además, contamos dentro de dicha matriz, con datos para realizar
una correcta auditoria. Tales como departamentos, ubicación,
responsable, etc.

2. Revisión de la privacidad
La revisión de la privacidad, se encarga de las partes éticas y legales
referentes al almacenaje transmisión y control de datos de empleados y
clientes. Se encarga de que se cumplan los derechos de las personas
dentro de una empresa, para que sus datos personales no queden al
descubierto de todo el mundo. Se refiere también, a como se distribuyen
las contraseñas. No es lo mismo transmitirlas mediante palabra, que por
escrito, vía mail etc... Esto puede ser muy comprometedor tanto para la
empresa como para la persona afectada. Es común, encontrar muchas
contraseñas escritas en, por ejemplo post-its pegados en el borde del
monitor del puesto de trabajo.
A pesar de que muchas leyes son locales, todas se aplican a Internet, y
por tanto, afectan a los
security testers internacionalmente. Es necesario pues, tener un
conocimiento básico de estas leyes y las medidas necesarias para que la
empresa pueda cumplirlas.
En [email protected] se evidenciaron las siguientes falencias:

1. Los usuarios comparten verbalmente sus contraseñas y no

demuestran mucho interés en entender de que esto es un fallo
grave a la seguridad de la empresa.
2. Algunos de los empleados se conectan remotamente desde sus
casas y dejan la autentificación automática activada.
3. Algunos usuarios han caído en la trampa del phishing y esto a
causado graves problemas en la compañía.
4. Los servidores tienen un antivirus free y las conexiones remotas
a él, están abiertas para los usuarios.

3. Recolección de documentos
En esta sección, se enfoca, en aspectos más pequeños y concretos, se
busca fortalecer la seguridad en los mismos documentos y no dejar que
el uso de estos sea abierto al público, para estas falencias en
[email protected] se debe colocar contraseñas, compartirlos solo con
personal corporativo, cifrar el contenido de los documentos
vulnerables.
Por ello se han estipulado las siguientes reglas:
1- Reglas mínimo de 8 caracteres que incluyan valores alfanuméricos
y mayúsculas.
2- Unidades de red estrictamente configuradas para compartir entre
personal de la empresarial
3- Los documentos más importantes serán ingresados a un servidor
cifrado y solo personal con la contraseña podrá visualizarlo.
 Sección B – Seguridad de los procesos

1. Testeo de Solicitud
Este tipo de testeo, es una rama de lo que se conoce como ingeniería
social. En este caso, tratamos,.
de ganar acceso solicitando permiso al personal encargado de dar
permisos de acceso, mediante el uso de sistemas de comunicación
(email, teléfono, etc...) haciéndonos pasar por otra persona.
Uno de los principios básicos de la ingeniería social dice, que “los
usuarios son el eslabón débil”. Y esto es muchas veces cierto. Muchas
veces, los fallos de seguridad de la información no provienen de la mala
programación o configuración del sistema, sino de la gente no
entrenada, poco precavida o simplemente indiscreta. Esto muchas veces
se resuelve como una persona que utilizará Internet, o el teléfono
fingiendo ser, por ejemplo, un empleado de algún banco, una tercera
empresa, cliente etc.. en busca de algún tipo de información que le
permita el acceso al sistema. Es por esto que habrá algunas pruebas en
las que los usuarios no estén enterados de que están siendo auditados,
esto con el fin de crear un reglamento para cada departamento dentro
de la empresa y sus políticas de navegación y seguridad.
Dentro de esta sección se encontraron las siguientes falencias:
1- La navegación es abierta y libre, por lo que los empleados se
desvían fácilmente de sus labores
2- Los empleados no tienen idea de seguridad informática, por lo que
aceptan solicitudes sin verificación y crean una brecha para
informáticos de malas intenciones.
Para combatir estas falencias se ha instalado un servidor squid con
políticas de navegación y se ha instalado el antivirus karspescky con su
respectiva consola.
2. Testeo de sugerencia guiada
Este módulo, también es una rama de la ingeniería social. En muchos
aspectos, coincidirá con el módulo anterior, es decir, que no son
mutuamente excluyentes. La diferencia básica entre ellos, es que en este
caso, el atacante se hace pasar por otra persona, e invita a otra a visitar
un lugar externo (por ejemplo, una página web, o cuenta de email). Uno
de los primeros ejemplos que se pueden ver, es el phishing. Puede ser,
simplemente, que esa persona envíe los datos al atacante, o que la
víctima visite una web que el atacante indique, donde tendrá preparada
algún sistema para atacar/engañar a la víctima. Se procederá a invitar
a la víctima a una página web que es completamente idéntica a la oficial
(supongamos la página web de un banco), donde se le pide al usuario
que introduzca sus datos(usuario, contraseña, PIN de la tarjeta de
crédito etc...), y le haga clic en enviar/confirmar. Entonces, la página
web envía los datos al atacante, que puede leer los datos, y utilizarlos.
Una forma de evitar esto, sería el mirar la dirección web, y asegurarse
de que no es extraña, y que pertenece a la web oficial. Esto último, da
pie a hablar de un fallo de seguridad que surgió el verano pasado: el
fallo del DNS. El fallo fue descubierto por Dan Kaminsky, conocido
investigador en seguridad que trabaja para IOActive. Fue muy
aplaudido por su forma de tratar su descubrimiento, alertando a las
autoridades pertinentes, y tras unos meses, explicar el fallo a la
comunidad. El fallo en cuestión, permitía a un atacante, redirigir
clientes a servidores alternativos de su elección, los cuales podía utilizar
con fines fraudulentos. A continuación se describe con detalle cómo
funcionaba el supuesto fallo: Suponiendo que el lector sepa cómo
funciona una consulta DNS correcta, pasamos a recordar los campos
más importantes de un paquete DNS.
3. Testeo de las Personas Confiables
Este es el tercero de los módulos que trata sobre ingeniería social. En
este último, se distingue de los demás, en el hecho de que en éste, lo
que se busca es información privilegiada. No tiene por qué ser un
password, o conseguir permisos. Muchas veces, la mayoría de las
personas no tiene ninguna dificultad en revelar información sensible, lo
cual, para una persona malintencionada puede ser muy útil. Como
ejemplo, muestro una situación ficticia, que aunque no está enfocada al
mundo empresarial, bien puede mostrar el alcance de este tipo de
adquisición de información. El ejemplo fue escrito por Antonio
Villalón, en el blog perteneciente a la empresa S2 Grupo:
¿Qué hacer cuando dispones únicamente de un número de teléfono
móvil, sin más datos? Puedes poner un anuncio en coches
estacionados en diferentes zonas de la ciudad, pegado al cristal con
un precio atractivo y ese número de teléfono. Pero eso no supone
ningún reto; sí que puede ser un reto tratar de conseguirla
información de esa persona; un poco de ingeniería social nunca viene
mal, y por suerte o desgracia, en este país si oímos la palabra
“GRATIS” damos hasta nuestra partida de nacimiento…A partir del
prefijo móvil se puede determinar con un alto nivel de probabilidad la
operadora de comunicaciones a la que pertenece con lo que una
promoción de dicha operadora siempre es una buena excusa; si ha
habido una migración, pues la promoción se convierte
automáticamente en una oportunidad para antiguos clientes. El
resumen podría ser: — “Le llamamos de XXXX para ofrecerle, una
vez cotejados sus datos, una promoción de llamadas a 0 pesos,
GRATIS, durante todo el mes de agosto, sin letra pequeña”. — Ah,
dígame. — ¿Es usted don Luis López, de Salamanca?
— No, me parece que se ha equivocado. — Vaya, lo siento, entonces
no puede acceder a la promoción… en cualquier caso, es usted cliente
de XXXX, ¿verdad? — Sí, sí, dígame… — ¿Dispone usted de correo
electrónico? — Claro. — Si me lo facilita, le enviaremos un e-mail y,
simplemente por responder al mismo y rellenar nuestro cuestionario,
tendrá acceso exclusivo a esta promoción. — Claro, mi correo es
[email protected]. — En breve recibirá el correo; una vez obtenida
su respuesta, en el plazo de una semana nos pondremos en contacto
con usted para confirmarle el acceso y tendrá llamadas gratis durante
todo el mes de agosto. — Ah, muchas gracias, muchas gracias…A
partir de aquí, no hay más que enviar un correo al individuo en
cuestión desde una dirección que parezca creíble; aunque para el
99% del personal es creíble cualquier dirección de Hotmail, mucho
más elaborado es utilizar algo del
tipo“[email protected]”, donde XXXX es obviamente el
nombre dela operadora. En ese correo, con logos oficiales y
formalismos que le den credibilidad, le pedimos amablemente su
nombre, código postal —por aquello de la estadística— y el número
de teléfono que quiere asociar a la promoción (aunque ya lo sepamos,
nunca está demás). Et voilà, tenemos enseguida cómo se llama la
persona y dónde vive.
Como vemos, este mismo modelo se implementara en la auditoria de
seguridad y veremos las reglas que se habrán de crear para que no sean
tan sensibles los usuarios en estas situaciones.
Ya existen algunas propuestas, tales como conferencias, correos
informativos y ejemplos prácticos.
Sección C – Seguridad en las Tecnologías de Internet

1. Sondeo de la Red
Este módulo, es muchas veces no considerado como tal. Sucede, que
muchas veces no se realiza, ya que el cliente puede dar directamente un
rango de IPs a comprobar. Además, muchas veces, los resultados
obtenidos en este módulo son completados en módulos posteriores. Este
módulo, es el primer punto de reconocimiento de la red. Se trata de
averiguar todo lo que podamos sobre ella de forma no invasiva. Lo
haremos desde fuera, intentando averiguar todo lo que podamos de ella,
como rangos de IPs que tiene la compañía, subdominios etc...Este
módulo es bastante similar a los de la sección A, solo que ahora estamos
intentando recolectar información más concreta, sobre mapeos de red,
bloques de IP. El buscar IPs individuales será tarea de bloques
posteriores. Si encontrásemos una IP individual, incluiríamos su rango
en lugar de la IP. Muchas veces esto podría ser una suposición falsa,
pero en este punto, estamos intentando recabar toda la información
posible, que ya filtraremos más tarde. Es mejor que nos sobre que el
que nos falte. Se han utilizado los siguientes programas para realizar
este testeo y se adjuntan los resultados
 1. Ip Scanner

2. Escaneo de Puertos - Nmap

Aquí comienza la primera parte del test intrusivo. En este módulo, se
intenta comprobar qué servicios están activos actualmente, a la escucha
de que un cliente se conecte a ellos. El escaneo de puertos se sondea los
puertos del sistema en el nivel de transporte y de red, y se comprueba
también si el firewall está correctamente configurado. Todo sistema
conectado a la red, tiene 65536 puertos (incluyendo el puerto 0). Sin
embargo, no hace falta comprobarlos todos siempre. El seleccionar qué
puertos comprobar lo deciden el propio equipo de la auditoría. Además
de comprobar los puertos más importantes, si que se recomienda
escanear por puertos poco comunes de vez en cuando, pues es una
forma común de detectar servicios conectados, pero no deseables, por
ejemplo, algún troyano que esté a la escucha. ZenMAP es el escáner de
puertos por excelencia y estos fueron los resultados

Como puede notarse hay gran variedad de puertos abiertos y se ha

demostrado al cliente dicha falencia y la solución. La cual consta de una
implementación de servidor firewall y darle una optimización a dichos
puertos
3. Identificación de Servicios
En este módulo, se comprueba los resultados obtenidos del escaneo de
puertos. Muchas veces, es posible que los escáneres de puertos
obtengan resultados erróneos, que sea otro servicio el que está a la
escucha (por ejemplo, un troyano a la escucha en un puerto conocido,
como por ejemplo 53,que generalmente está asociado a DNS). Es por
ello que hay que verificarlo. Para realizar las comprobaciones, se puede
conectar mediante algún programa que envíe cadenas de texto, e
intercambiar comandos con aquellos servicios que queremos
comprobar. Si responden a los comandos de forma esperada (se puede
comprobar que comandos admite cada protocolo en los RFC), entonces,
ese servicio está a la escucha en el puerto encontrado, y por lo tanto Se
utilizo Netcat para dicho procedimiento.

Se comprueba que todos los puertos se encuentran hasta el momento

sin novedades y se toman las medidas estrictas de cerrar puertos
abiertos y solo dejar habilitados los puertos para correo. Luego de
seguir con el análisis se empezaran a gestionar más puertos para que el
usuario pueda acceder a internet sin que pueda ser peligrosa su
navegación para la organización.
Identificación del Sistema
En este módulo, se comprueba el sistema operativo de las máquinas.
Esto se realiza mediante el análisis de la respuesta de las máquinas ante
determinados paquetes que se le envían. Por ejemplo, NMAP (escáner
de puertos que además detecta el sistema operativo y versión), lo
identifica en base a la comprobación de huellas TCP/IP. Nmap envía
una serie de paquetes TCP y UDP al sistema remoto y analiza
prácticamente todos los bits de las respuestas. Nmap compara los
resultados de una docena de pruebas como puedan ser el análisis de ISN
(Initial Secuence Number o número inicial de secuencia) de TCP, el
soporte de opciones TCP y su orden, el análisis de IPID y las
comprobaciones de tamaño inicial de ventana, con su base de datos
nmap-os-fingerprints. Esta base de datos consta de más de 1500 huellas
de sistema operativo y cuando existe una coincidencia se presentan los
detalles del sistema operativo. Cada huella contiene una descripción en
texto libre del sistema operativo, una clasificación que indica el nombre
del proveedor (por ejemplo, Sun), el sistema operativo subyacente (por
ejemplo, Solaris), la versión del SO (por ejemplo, 10) y el tipo de
dispositivo (propósito general, encaminador, conmutador, consola de
videojuegos, etc.).Aunque el programa que utilicemos para adivinar el
sistema operativo y versión que utiliza,debemos de tener cuidado,
puesto que muchas veces, se suelen equivocar, y aunque acierten,
mucha gente suele buscar exploits para un determinado sistema
operativo y versión, sin contar con que éste, podría haber sido
parcheado o configurado para solucionar el fallo de seguridad que se
tiene documentado.
5. Búsqueda de Vulnerabilidades y Verificación

Aquí es donde se va a realizar el ataque en cuestión: se va a buscar y

explotar los fallos que se encuentren en las máquinas que haya en la
red. Generalmente, se suele utilizar programas automatizados, que
buscan fallos de seguridad documentados sobre las versiones de los
programas y sistema operativo que usan las máquinas. Cabe añadir, que
la OSSTMM exige que se utilice al menos 2 programas automatizados
distintos, para comprobar las consistencias entre ambos, y así poder
tener más información con menor probabilidad de equivocarnos.
Seguidamente, habrá que comprobar que esos fallos existen
efectivamente, y que no sean falsos positivos. Aquí es donde entran los
exploits:
Hay que tener en cuenta, que todos los programas que existen en el
mundo, contienen errores, ya que el ser humano no es perfecto. Siempre
encontraremos fallos con cada versión nueva de software que pretenda
corregir los de la anterior, y pueden ser de muchos tipos, por ejemplo:
desbordamiento de búfer (buffer overflow), condición de carrera (race
condition), errores de validación de variables,etc, etc.Por ejemplo,
puede darse el caso, de que se construya un programa, donde en un
determinado momento se pida al usuario algo por teclado, y no se
compruebe el tamaño de la entrada, y cause un buffer overflow.
Siempre se puede programar un programa que se aproveche de esto, y
escriba en las posiciones de memoria referentes al UID y se haga con el
control de la máquina. Podría igualmente ser este mismo ejemplo, pero
en un programa con el patrón cliente-servidor, donde el servidor espera
algo del cliente sin comprobar la longitud de entrada. Hay dos tipos de
exploits:
 0-day:
son trozos de código privados, que aquella persona que los implementó
no desea hacer públicos (ya sea por no causar alarma, o para usarlos en
beneficio propio).
 Públicos:
son trozos de código cuyo propietario ha decidido poner a disposición
de todo el mundo. Existen múltiples webs donde gente comparte los
exploits como www.milw0rm.com,www.securityfocus.com,
www.packetstormsecurity.org por ejemplo. Normalmente, una vez han
sido hechos públicos, es cuando los fabricantes conocen estos fallos y
tratan de solucionarlos.
Para este sondeo se utilizo Armitage y aunque encontramos algunas
vulnerabilidades para windows 10, se pudieron solucionar con la
actualización y descarga de parches actualizados en el sistema.
6. Testeo de Aplicaciones de Internet
En este tipo de testeo, se analizan los programas propietarios de la
empresa que estamos auditando. Se comprueba su robustez, y se tratará
de buscar fallos, y explotarlos. A diferencia del apartado anterior, aquí
deberemos de implementar nosotros mismos nuestro propio exploit. Es
interesante el ver una herramienta que facilita la tarea, como es
Metasploit Framework (MSF).
Metasploit Framework es una herramienta para desarrollar y ejecutar
exploits contra máquinas remotas.

El ciclo de vida típico de una vulnerabilidad y su explotación es la

siguiente:

 Descubrimiento:
un investigador de seguridad o vendedor descubre una vulnerabilidad
de seguridad crítica en el software.

 Divulgación:
el investigador de seguridad se mantiene fiel a la política de privacidad
e informa al vendedor, o bien lo divulga en una lista de correo pública.
En ambos casos, el vendedor debe desarrollar un parche para solucionar
la vulnerabilidad.

 Análisis:
el investigador o cualquier otra persona de cualquier punto del mundo,
empiezan a analizar la vulnerabilidad para determinar su explotabilidad.
¿Puede ser explotado?¿Puede ser explotado remotamente?¿Resultará su
explotación en una ejecución remota de código, o colgará el sistema?
Esta fase incluye también la depuración de la aplicación vulnerable
mediante la introducción de código malicioso en las partes vulnerables
del código.

 Desarrollo del exploit:

una vez las respuestas a las preguntas clave han sido determinadas, el
proceso de desarrollo del exploit comienza. Esto ha sido considerado
normalmente como “artes oscuras”, requiriendo un conocimiento
profundo de los registros del procesador, código ensamblador, offsets y
payloads (payloads, en su significado de acciones a tomar par garantizar
un acceso remoto a la máquina, como por ejemplo vnc).

 Pruebas:
esta es la fase donde el programador comprueba el exploit contra varias
plataformas service packs, o parches, y posiblemente contra distintos
procesadores.

 Liberación:
una vez el exploit ha sido testeado, y los parámetros específicos
requeridos para su ejecución con éxito han sido determinados, el
programador libera el exploit, ya sea de forma privada, o en un foro
público. Muchas veces, el exploit es modificado para que no funcione
tal cual,sino que haya que realizar unos pequeños cambios. Esto se
hace, para que los conocidos como“script-kiddies” no sepan utilizarlo,
y que solamente aquella gente que sabe lo que hace y como funciona el
exploit, puedan utilizarlo.
Ejecutamos el exploit realvnc client , el cual se encarga de realizar una
conexión remota a un equipo con dicha falencia y extraer información;
pero con las actualizaciones del sistema fue imposible acceder; por lo
que hemos encontrado muchas de las soluciones a las brechas abiertas,
solo con actualizar nuestros sistemas.
7. Testeo del Router
En este módulo, tratamos de averiguar todo lo posible sobre el Router
que separa la red de la empresa, del resto del mundo, de Internet.
Intentamos averiguar cuales son las ACLs (AccessControl List ) que se
encargan de aceptar o denegar paquetes.
Una técnica interesante para conseguir esto, es la denominada
Firewalking:
Es una técnica que puede ser utilizada para recoger información de una
red remota protegida por un firewall. Para comprender esta técnica, es
necesario comprender cómo funciona la herramienta Traceroute.
Traceroute es una herramienta de depuración de redes utilizada para
poder realizar un mapa de todos los hosts que están en la ruta hasta un
destino indicado. Envía paquetes UDP, o ICMP de tipo
Echo a un host destino, y va incrementando poco a poco su time tu live
(TTL) cada ronda (por defecto, una ronda consiste de 3 paquetes o
sondas). Si se utiliza UDP, el puerto de destino se incrementará en uno
por cada sonda. Como bien sabemos, el TTL es un campo de un
datagrama IP utilizado para limitar el número de nodos por los que se
desea que viaje el datagrama antes de ser descartado o devuelto a su
origen por la IP, ya que cada vez que pasa por un nodo, se decrementa
en uno. Si vamos incrementando en uno este campo cada vez (el TTL
inicial), nos irá devolviendo un mensaje de error ICMP cada vez que el
TTL sea cero, y por lo tanto el host origen conocerá en qué router expiró
el paquete.
Se ha colocado a modo de ejemplo la dirección de google y pudimos
encontrar la dirección de nuestro router, en este caso 192,168,1,254.
8. Testeo de Sistemas de Confianza
Este módulo es un poco confuso, y realmente podría englobarse
dentro de el testeo de vulnerabilidades y el testeo de firewall/ACL. Se
intenta poner a prueba las relaciones de confianza entre distintas
máquinas, mediante spoofing por ejemplo. Se comprueba también si
es posible averiguar estas relaciones mediante la recogida de
inteligencia competitiva, comprobar que no haya filtraciones hacia
internet, por ejemplo Google hacking.

9. Testeo de Firewall
en vista de que la empresa no cuenta con dicho servicio de seguridad
se ha optado por implementar Pfsense.

10. Testeo de Sistemas de Detección de Intrusos

Este módulo se encarga de revisar el correcto funcionamiento de un
sistema de detección de intrusos (IDS).Un IDS, es una herramienta
informática que se utiliza para detectar accesos no autorizados a una
red. Son programas que están a la escucha de lo que sucede en la red,
funcionando de forma similar a un sniffer, analizando todo lo que pasa
por una determinada sección de la red en busca de tráfico
“sospechoso”, que pudiera significar un uso indebido de la red. Por
indebido, podemos entender tanto el ataque de un hacker, spam, uso
indebido de la red por parte de usuarios etc. Una de las funciones más
comunes dentro de un IDS, es la detección de patrones. El IDS incluye
una base de datos de patrones (conocidos como firmas) de ataques
conocidos, y cuando detecta uno en la red, hace saltar una alarma, de
tal forma que los administradores del sistema puedan realizar las
acciones pertinentes. Por ejemplo, podría ser una política de una
empresa el que los usuarios de la red no deban visitar páginas de
pornografía. Por lo tanto, el IDS podría configurarse de tal forma que,
cuando detecte la palabra sexo, pornografía etc... bloquee el acceso.
Con la detección de patrones en URL (como en el ejemplo anterior),
me resulta interesante comentar, una técnica para tratar de evitar que
el IDS alerte de un uso fraudulento. Dentro de la nuestra auditoria
hemos sugerido instalar Snart, una herramienta standar para sistemas
de detección de intrusiones y que cuenta con un amplio apoyo y
constante monitero y actualizaciones dentro de la comunidad libre.

11. Testeo de Medidas de Contención

Se comprueban todas las medidas existentes de respuesta que existen
en el sistema, para actuar ante un virus, troyanos, programas con
código malicioso. Por lo tanto, se comprobará cómo actúan los
programas y políticas existentes en el sistema para mantenerlo limpio
de estas amenazas. Soluciones tales como aislamiento o cuarentena de
los mismos, copias de seguridad, antivirus etc.
12. Password Cracking
El password cracking es el proceso de comprobación de cuan difícil es
de descifrar una contraseñas. Se trata de obtener las contraseñas,
aprovechándonos de fallos ya sea en el sistema de cifrado, o en
debilidades introducidas por factor humano. En el fallo introducido por
factor humano, podemos destacar:
 Contraseñas demasiado cortas
 Uso de una misma contraseña en varios sitios
 Utilización de palabras conocidas, existentes en diccionarios
 Uso de contraseñas comunes (Dios, sol, Ra etc..) que se
encuentren también en diccionarios
Utilización del login como contraseña (login: Paco Pass: Paco)El tipo
de ataque más común para aprovecharnos de estos fallos, es el uso de
ataques de fuerza bruta o diccionario, de los cuales se muestra un
ejemplo en la parte técnica del documento.
Para poder mejorar la robustez de nuestras contraseñas, se aconseja,
evitar los fallos descritos antes y además:
 Uso de mayúsculas y minúsculas
 Utilización de letras y números
 Utilización de símbolos y acentos
 Cambiar regularmente de contraseña
Si seguimos estos consejos, el proceso se ralentiza considerablemente,
hasta el punto de hacer que no sea útil el tiempo invertido para descifrar
la contraseña, y se intente entrar al sistema por otros medios. Por la
parte de fallos del propio algoritmo de compresión, la mayoría se basan
en fallos de origen matemático o puramente criptográfico, lo cual se
escapa de la intención del documento.
En medio de la auditoria y utilizando el software “John the Ripper”
hemos comprobado algunas contraseñas muy deficientes y por ello se
ha sugerido implementar el metodo que hemos mencionado antes.
No obstante, se expone un ejemplo que ha sido bastante comentado, el
fallo de MD5, que está documentado en wikipedia :

A pesar de haber sido considerado criptográficamente seguro en un

principio, ciertas investigaciones han revelado vulnerabilidades que
hacen cuestionable el uso futuro del MD5. En agosto de 2004,
Xiaoyun Wang, Dengguo Feng, Xuejia Lai y Hongbo Yu
anunciaron el descubrimiento de colisiones de hash para MD5. Su
ataque se consumó en una hora de cálculo con un clúster IBM
P690. Aunque dicho ataque era analítico, el tamaño del hash (128
bits)es lo suficientemente pequeño como para que resulte vulnerable
frente a ataques de «fuerza bruta» tipo «cumpleaños». El proyecto
de computación distribuida MD5CRK arrancó en marzo de 2004
con el propósito de demostrar que MD5 es inseguro frente a uno de
tales ataques, aunque acabó poco después del aviso de la
publicación de la vulnerabilidad del equipo de Wang. Debido al
descubrimiento de métodos sencillos para generar colisiones de
hash, muchos investigadores recomiendan su sustitución por
algoritmos alternativos tales como SHA-1 oRIPEMD-160.
13. Testeo de Denegación de Servicio
La denegación de servicio (Denial of Service o DoS), es una situación
en la que el sistema deja de funcionar correctamente, colapsando,
saturando y/o sobrecargando el servicio víctima y pudiendo, incluso,
provocar la caída total del sistema. Es decir, aquí no se obtiene una
ventaja directa de su funcionamiento incorrecto, sino que simplemente
hace que deje de funcionar correctamente. Es un tipo de situación
bastante común ya que es bastante fácil de provocar, y muchas veces se
lee por la red, de internautas que están en desacuerdo con una decisión
que ha tomado un determinado colectivo, y han provocado un DoS. La
denegación de servicio puede darse tanto intencionada como
accidentalmente. Por ejemplo, un servidor web puede verse envuelto en
una situación en la que no es capaz de dar servicio a tantos clientes
como los que lo piden, y esto es una situación completamente legítima,
y sin ninguna intención de causar el daño. Debemos de tener en cuenta,
que este tipo de comprobaciones (testeo de Dos), son muy susceptibles
de causar daños al sistema, por lo que se debe de pedir permiso expreso
a la empresa a la cual se esté realizando la auditoría.
Es por ello que se sugiere revisar la configuración de Routers y
Firewalls para detener IPs inválidas así como también el filtrado de
protocolos que no sean necesarios. Algunos firewalls y routers proveen
la opción de prevenir inundaciones (floods) en los protocolos
TCP/UDP. Además es aconsejable habilitar la opción de logging (logs)
para llevar un control adecuado de las conexiones que existen con
dichos routers.
Cómo medida de respuesta es muy importante contar con un plan de
respuesta a incidentes. Si ocurre algún hecho de este tipo, cada persona
dentro de la organización debería saber cuál es su función específica.
Otras de las alternativas que se deben tener en cuenta es la solicitud
ayuda al Proveedor de Servicios de Internet (ISP). Esto puede ayudar a
bloquear el tráfico más cercano a su origen sin necesidad de que alcance
a la organización.
En caso de contar con IDS/IPS (intrusión-detection/prevention system),
estos pueden detectar el mal uso de protocolos válidos como posibles
vectores de ataque. Se debe tener en cuenta, además, la configuración
de estas herramientas. Esto debe realizarse con el tiempo necesario y
mediante personal capacitado, intentando en lo posible mantener
actualizadas las firmas de estos dispositivos. Cabe destacar que es de
suma importancia analizar los casos de falsos positivos para llevar a
cabo una posible reconfiguración de este tipo de herramientas.
Algunos consejos un poco más técnicos que pueden ayudar son:

 Limitar la tasa de tráfico proveniente de un único host.

 Limitar el número de conexiones concurrentes al servidor.
 Restringir el uso del ancho de banda por aquellos hosts que
cometan violaciones.
 Realizar un monitoreo de las conexiones TCP/UDP que se
llevan a cabo en el servidor (permite identificar patrones de
ataque).
14. Revisión de las Políticas de Seguridad
Las políticas de seguridad son la versión escrita y documentada de todas
las medidas que tiene la empresa en lo referente a la seguridad de los
sistemas. Este módulo debería realizarse una vez se han revisado todas
las secciones técnicas y vulnerabilidades, ya que, si no, los resultados
obtenidos aquí, no serían comparables con las políticas de seguridad
que deberían de cumplirse. Primeramente, debe de comprobarse que las
políticas de seguridad sobre papel, están justificadas, tanto dentro del
negocio (por ejemplo, no utilizar servicios innecesarios), como legal y
éticamente. Hay que prestar especial atención a que se cumplan las
normativas de privacidad de los empleados, y que, además, todo lo
revisado esté conforme a las leyes locales. Una de las funciones
principales en este módulo (y quizás más importante también) sea la
comparación de las medidas que hay sobre papel, y las implementadas
y en funcionamiento. Por lo tanto, se debería de comprobar que las
políticas de seguridad diseñadas están correctamente implementadas y
configuradas.
El diseño e implementación de una política de seguridad acorde con los
estándares internacionales de buenas prácticas de TI, permitirá a la
organización mitigar riesgos y prevenir amenazas a los sistemas de
información, mediante directrices que orienten sobre el correcto uso de
los servicios tecnológicos de la compañía y recomendaciones para
obtener un mayor beneficio de ellos y evitar su uso inadecuado.
Partiendo desde un análisis de los riesgos existentes, la política de
seguridad surge como una herramienta que permitirá sensibilizar al
personal en general de la compañía acerca de la importancia de
garantizar la disponibilidad, confidencialidad e integridad de la
información, siendo ésta el núcleo vital de cualquier negocio, y siempre
enmarcada dentro de la mejora continua, lo cual asegura la
competitividad de la organización. La política de seguridad se compone
de una serie de procedimientos, esto se hace investigando cuáles son los
potenciales problemas que podrían afectar la información (es decir, la
evaluación de riesgos) y luego definiendo lo que es necesario hacer para
evitar que estos problemas se produzcan (es decir, mitigación o
tratamiento del riesgo). Por lo tanto, la filosofía principal de la norma
ISO 27001 se basa en la gestión de riesgos: investigar dónde están los
riesgos y luego tratarlos sistemáticamente.

La característica principal de las políticas de seguridad es asegurar el

buen funcionamiento y facilitar los procesos para los usuarios tanto
internos como externos con el trabajo realizado se establecerán los
requisitos para la elaboración de las políticas adecuadas que garanticen
la seguridad de la información.

Política General En Seguridad de la Información:

El área de sistemas es el ente encargado de velar por la seguridad
informática, Estas políticas van dirigidas a todo el personal, contratistas
y visitantes de la Compañía. Se espera que permitan definir los
comportamientos esperados, para reducir la manifestación de riesgos
que afecten la seguridad de la información de la empresa. Los Gerentes
y coordinadores de cada área son responsables de velar por el
cumplimiento de estas políticas. En caso de no entendimiento de las
mismas, tramitar consulta al área de seguridad de la información de la
empresa.
Política de Respaldo y Recuperación de la Información.
La información es un activo
La información almacenada en los servidores, equipos de
comunicaciones y en general cualquier sistema de información de la
compañía, debe respaldarse para evitar perdida de información o para
recuperar el estado anterior en caso de fallas. Se debe definir el sistema,
el contenido a respaldar, el tipo de respaldo, el medio, la frecuencia y
la ubicación. Esta información la define el líder de proceso/proyecto,
con el apoyo de la coordinación de plataforma.

La destrucción o reutilización de los medios de almacenamiento debe

realizarse de manera segura.
Explicación: Se deben establecer procedimientos formales para la
destrucción o reutilización segura de los medios que contengan
información confidencial. Los procedimientos de eliminación deben ser
proporcionales a la sensibilidad de la información, definidos por el Área
Seguridad de la Información.

El acceso a las instalaciones y medios de almacenamiento de los

backups debe ser restringido.
Explicación: Las instalaciones donde se almacenan los backups son
consideradas áreas seguras. Por ningún motivo debe ingresar personal
no autorizado. Los medios donde se almacenan los backups no deben
ser manipulados por personal sin la debida autorización.

Antes de realizar cambios sobre algún sistema de información, debe

realizarse un backup.
Explicación: Es necesario realizar un backup de cualquier sistema de
información antes de cualquier cambio. Esto debe estar incluido en el
proceso de gestión de cambios de la organización.
Antes de realizarse cualquier renovación tecnológica sobre las
plataformas de backup, debe migrarse la información al nuevo
sistema.
Explicación: En caso de renovación tecnológica sobre plataformas que
realizan backups y/o almacenamiento o sobre los sistemas de
información en sí, debe asegurarse que la información que se encuentra
en el sistema obsoleto, sea trasferida al nuevo sistema. Esto con el fin
de evitar pérdidas de información en las transiciones tecnológicas

Política de Uso de Estaciones de Trabajo

Estas políticas van dirigidas a todo el personal, contratistas y visitantes
de la Compañía. Se espera que permitan definir los comportamientos
esperados, para reducir la manifestación de riesgos que afecten la
seguridad de la información de la empresa. Los Gerentes y
Coordinadores de cada área son responsables de velar por el
cumplimiento de estas políticas. En caso de no entendimiento de las
mismas, tramitar consulta al área de seguridad de la información de la
empresa.

Las estaciones de trabajo entregadas a los colaboradores deberán estar

plenamente identificadas, para ser usadas única y exclusivamente para
el desarrollo de las actividades propias de su cargo; se prohíbe el
almacenamiento de información personal en los equipos. El
colaborador es el propietario responsable por la protección y cuidado
de su equipo

Acceso a las estaciones de trabajo

Explicación: El acceso a estaciones de trabajo deberá realizarse
mediante el usuario y contraseña propia de cada colaborador. El
préstamo de usuarios y contraseñas está estrictamente prohibido bajo
cualquier circunstancia. Se debe hacer buen uso de estas contraseñas,
evitando su divulgación y además se deben cambiar cada quince (15)
días calendario cumpliendo con las políticas de seguridad para tales,
teniendo en cuenta que deben ser mínimo de 10 caracteres, debe
contener al menos una letra mayúscula, una minúscula y un número. No
debe contener el número de identificación ciudadana y debe contener
caracteres especiales (Ej: $&@·#%!)

El uso de la solución corporativa de protección contra el Malware, es

de carácter obligatorio para toda estación de trabajo asignada a
cualquier colaborador de la compañía
Explicación: Toda estación de trabajo, deberá ejecutar una versión
actualizada del software corporativo de protección contra el malware.
Este software deberá ser capaz de proteger al sistema operativo en
tiempo real y de actualizarse de forma automática.
Ningún usuario deberá desinstalar, desactivar y/o manipular
ninguna pieza de software que no haya sido instalada por soporte
técnico; esto podría ocasionar un riesgo alto de seguridad.
Explicación: Se debe proteger la configuración instalada del software
en cada estación de trabajo. Por lo tanto, se prohíbe realizar cambios en
estaciones de trabajo que permitan instalar nuevas piezas de software
que no hayan sido autorizadas por la Coordinación de Soporte y
Mantenimiento. También se exige la no manipulación por parte del
usuario, de la configuración de la solución de protección contra el
malware, para mantener para el nivel óptimo de seguridad a cada
estación de trabajo.

}
Ningún usuario deberá manipular las piezas internas de hardware
que compongan una estación de trabajo.
Explicación: Se debe proteger la configuración instalada del hardware
en cada estación de trabajo. Por lo tanto, se prohíbe realizar cambios en
estaciones de trabajo que modifiquen su integridad a nivel de hardware.
Por ningún motivo está permitida la creación y/o difusión de software
malicioso.
Explicación: Bajo ninguna circunstancia los usuarios podrán escribir,
compilar, copiar, propagar o ejecutar de forma intencionada en
dispositivos tecnológicos, códigos o programas diseñados para
replicarse, dañar o entorpecer el desempeño de cualquier sistema de
información.
Buen uso del servicio de navegación a internet.
Explicación: La finalidad de entregar el servicio de navegación en
internet a los colaboradores y visitantes desde estaciones de trabajo, es
para apoyar la realización de labores definidas en sus responsabilidades
de cargo. Por lo anterior, se promueve el autocontrol por parte del
colaborador para hacer buen uso de este servicio. En caso que se
identifique mal uso del mismo, el colaborador será monitoreado,
restringido y en caso que haya lugar sancionado.
Buen uso del servicio de correo electrónico.
Explicación: La finalidad de entregar el servicio de correo electrónico
es habilitar la comunicación interna y externa de colaboradores de la
empresa. Se restringe su uso para propósitos personales, repartir
cadenas de correos, o generar actividades no autorizadas por la
empresa. Se utilizarán mecanismos para monitorear el buen uso del
correo electrónico. En caso que el colaborador tenga cuentas de correo
electrónico personales, estas no podrán:
1) Ser accedidas desde la red de la empresa.
2) Ser utilizadas para propósitos laborales.
Las directrices y lineamientos para el uso del correo electrónico
corporativo para el desempeño de sus funciones dentro de la
organización. La presente política aplica a todos los procesos de la
entidad, a todos sus servidores y colaboradores, así como contratistas y
personal externo o temporal que esté autorizado para hacer uso del
correo corporativo.
Tipos de cuentas de correo. Todas las cuentas de correo que existen en
la Compañía son propiedad de la entidad y se clasifican de la siguiente
manera:
Cuentas individuales: Los servidores y colaboradores tendrán una
cuenta de correo para el uso diario de sus actividades laborales. El
nombre de dicha cuenta se ajustará al formato
[email protected], que variará según las
circunstancias que eviten la duplicidad en su conformación.
Cuentas Grupales: Estas cuentas son creadas para las necesidades de
comunicación Interna de la entidad entorno a la gestión de áreas
específicas. Deben ser solicitadas directamente por el líder de grupo o
área interesada. El nombre de la cuenta de correo se conformará en el
formato nombre [email protected], El titular del área será
responsable del uso que se dé a dicha cuenta.
Restricciones y prohibiciones. Están completamente prohibidas las
siguientes actividades:
Utilizar el correo electrónico para propósitos personales, económicos o
comerciales ajenos a las actividades propias del cargo
Participar en la propagación de mensajes en “cadenas”, o esquemas
piramidales dentro y fuera de la Compañía
Distribuir de forma masiva mensajes con contenidos que desborden el
ámbito de competencias de la Empresa o que pongan en riesgo la
operación de la entidad.
Divulgar mensajes con datos o información institucional no autorizada.
Enviar o reenviar mensajes con contenido difamatorio, ofensivo,
irrespetuoso, racista u obsceno.
Copiar o reenviar mensajes sin la autorización del remitente original.
Enviar mensajes anónimos, así como aquellos que consignen
seudónimos, títulos, cargos o funciones no oficiales.
Utilizar mecanismos y sistemas que intenten ocultar o suplantar la
identidad del emisor de correo.
Enviar correos SPAM de cualquier índole. Se consideran correos
SPAM aquellos enviados de forma masiva no relacionados con las
funcione específicas y generales del cargo y con los procesos y misión
general de la compañía
Utilizar el correo electrónico de otro funcionario sin su consentimiento,
para el envío o recepción de mensajes e información.
Enviar por correo electrónico a personas o entidades ajenas a la
Compañía, información de carácter interna o confidencial sin la debida
autorización expresa de su superior inmediato.

Atención de requerimientos relacionados con el uso de estaciones de

trabajo.
Explicación: En caso de presentarse inestabilidad, degradación o fallas
en las estaciones de trabajo, se deberá contactar al soporte técnico de la
empresa a través de la mesa de servicio.
Política de seguridad Física y del Entorno
La seguridad física y del entorno juega un rol fundamental en la
protección de la información y de los sistemas involucrados en el
procesamiento de la misma. Debido a esto es importante definir unos
lineamientos para garantizar que todos los colaboradores velen por la
integridad y buen uso de los controles implementados.
En búsqueda de la alineación a las iniciativas desarrolladas por la
organización en este campo de la seguridad, a continuación, se
menciona la política general que referencia las directrices definidas que
establecen las políticas, el compromiso para diseñar estrategias y
mantener los niveles más altos posibles de Seguridad Física,
propendiendo por la mitigación del riesgo que pueda atentar contra sus
trabajadores y/o su planta física e infraestructura. El personal directivo,
será el responsable de asegurar el más alto nivel posible de Seguridad
Física al interior de la compañía, teniendo en cuenta el cumplimiento a
la normatividad vigente de la Superintendencia de Vigilancia y
Seguridad Privada de la República de Colombia. Será obligación
contractual de todos los colaboradores y contratistas el estricto
cumplimiento a la normatividad, Política de Seguridad Física y
Consignas Particulares diseñadas para la protección del Recurso
Humano, Planta Física e Infraestructura de la entidad.

Diseño y mantenimiento plan de seguridad física.

Explicación: La empresa debe diseñar y gestionar un plan de seguridad
física que sea revisado y actualizado anualmente. Este plan debe
considerar la implementación y administración de los controles de
seguridad física que busquen proteger las personas, los activos de
información y los sistemas informáticos de las instalaciones físicas de
la empresa, de amenazas de índole natural, generadas por el hombre o
circunstanciales.
Control de acceso utilizando carnets de identificación.
Explicación: El acceso de colaboradores a las instalaciones debe ser
controlado mediante la exigencia del uso a toda hora de un carnet
visible. El personal de seguridad debe monitorear la presencia de
individuos sin carnet y solicitar la presentación del mismo. La lista de
colaboradores debe ser revisada mensualmente y ajustada acorde al
ingreso y salida de personal. Si un colaborador olvida su carnet, puede
usar un carnet temporal después de haberse identificado. Se debe tener
una bitácora de ingresos.
Identificar y limitar el acceso a áreas restringidas.
Explicación: Las áreas restringidas deben estar plenamente
identificadas en el plan de seguridad física de las instalaciones de la
empresa. Los colaboradores no autorizados no deben entrar a áreas
restringidas. Se deben implementar controles de acceso independientes
para estas áreas. No se debe utilizar los privilegios de acceso con el fin
de permitir que entre una persona no autorizada.
Eliminación de carnet de identificación y contraseñas de acceso en la
desvinculación del personal.
Explicación: Cuando un colaborador finalice su contrato de trabajo,
todos los códigos de acceso físico conocidos por esta persona deben ser
desactivados. El carnet de identificación debe ser entregado a la entidad
para ser destruido.
Controles de acceso a los visitantes/proveedores: identificación,
registro y acompañamiento.
Explicación: La llegada de un visitante o proveedor debe ser anticipada
por los empleados de la empresa. El visitante debe llenar la bitácora de
registro y reportar el ingreso de equipos de cómputo, los cuales deberán
ser registrados por parte del personal de seguridad. La identificación de
esta persona debe ser con un documento con foto. Los visitantes deben
ser acompañados siempre por un colaborador de la entidad.
Registro de acceso a áreas seguras.
Explicación: El trabajo en áreas seguras debe realizarse por personal
autorizado. Por lo tanto, se debe mantener una bitácora para registrar
cada vez que un colaborador o visitante ingresa o sale a áreas seguras.
Este registro debe detallar la fecha y hora de ingreso y debe mantenerse
un mínimo de 3 meses.
Inspección de maletines.
Explicación: Los guardias de seguridad deben chequear los maletines
de los colaboradores y visitantes, tanto al ingreso como a la salida de la
empresa para identificar posibles situaciones de fuga de activos de
información.

Control de ingreso y salida de dispositivos de almacenamiento

extraíbles.
Explicación: Todo dispositivo de almacenamiento extraíble (memorias
USB, discos duros externos, entre otros) deberá ser registrado al
ingresar a las instalaciones de la empresa. Su autorización de uso será
temporal y deberá ser aprobada por la gerencia respectiva de área, con
el visto bueno del Área de Seguridad de la Información. Esto con la
finalidad de verificar su justificación de uso y posibles riesgos
asociados.
Pautas de seguridad en oficinas: escritorios limpios y bajo llave.
Explicación: Las oficinas de los empleados deben permanecer bajo
llave cuando no se usen. No se deben dejar ningún elemento sobre los
escritorios referente a información de trabajo. Los portátiles deben
permanecer con guayas de seguridad y utilizar candados de llave o
clave.
Pautas de seguridad en áreas seguras: uso equipos de cómputo y
monitoreo.
Explicación: Las estaciones de trabajo y equipos de computación en
áreas seguras deben estar ubicados y protegidos adecuadamente, según
la naturaleza de la confidencialidad del proceso y de la información que
se maneja. Estos equipos deben tener implementados procedimientos
de seguridad que certifiquen su adecuado uso, y evitar así fugas de 45
información. Los colaboradores deben estar monitoreados mediante
CCTV de forma permanente.

Administración de equipos de CCTV.

Explicación: Las grabaciones de video con uso de CCTV deben ser
monitoreadas y almacenadas con los mecanismos de seguridad y
disponibilidad adecuados para su revisión. Las cintas deben almacenar
grabaciones por un periodo mínimo de 2 meses.

Seguridad en la recepción de correspondencia y/o envíos.

Explicación: Los documentos y/o envíos recibidos se deben almacenar
en un área restringida (solo ingresa personal autorizado) y deben estar
debidamente identificados y señalizados, con el fin de evitar fuga de
información y perdida de activos. La llegada de un transportador debe
ser anticipada para disponer el personal y el espacio requerido. El
personal de seguridad física y de inventario debe registrar la novedad
de ingreso o salida de elementos en la bitácora, realizando las
inspecciones necesarias.
Política de control de acceso Lógico
Objetivo. Controlar el acceso a la información de la Compañía, de
forma segura.
La siguiente política aplica a Todo tipo de acceso lógico a los activos
de información que hacen parte de los sistemas de información. Se hace
referencia al acceso lógico de los activos de información de los sistemas
de información cuando se autoriza el acceso a
Las bases de datos o La documentación o Los programas y servicios
prestados o La administración o Las redes y el sistema operativo o
Todos los usuarios internos y externos, que se encuentran autorizados
para acceder a los sistemas de información y cualquiera de sus
aplicaciones.

Responsabilidades de los propietarios de los activos de información.

Los propietarios de los activos de información son los responsables de
Identificar toda la información que corresponda a su área de
responsabilidad dentro de los sistemas de información cualquiera que
sea su forma y medio de conservación.
Clasificar toda la información de su propiedad de acuerdo con el grado
de criticidad de los mismos y mantener un registro actualizado de la
información más sensible.
Autorizar el acceso a la información de los sistemas de información al
personal interno y terceros (proveedores y contratistas) de acuerdo con
sus respectivas funciones.
Autorizar cualquier transmisión, envío, impresión y destrucción de
información sensible que comprometa los sistemas de información.
Definir los eventos de seguridad que considere necesario para la
protección de la información.
Evaluar los riesgos a los cuales se expone la información con el objeto
de: o Determinar los controles de accesos, autenticación y utilización a
ser implementados en cada caso.
Definir los eventos y actividades de usuarios a ser registrados en los
sistemas de información y la periodicidad de revisión de los mismos.
Aprobar y solicitar la asignación de privilegios sobre la información a
los diferentes usuarios, ya sea en situaciones rutinarias como
excepcionales.
Revisar en forma periódica las autorizaciones de acceso para asegurar
que éstas sean aún válidas.

Requerimientos para el control de acceso.

Todas las áreas responsables de aplicar controles de acceso deberán
tener en cuenta los siguientes aspectos al momento de aplicar los
controles de acceso sobre las aplicaciones:
Identificar los requerimientos de seguridad para los sistemas de
información y sus aplicaciones.
Crear los perfiles de acceso a los sistemas de información y a los datos
acorde con los roles y responsabilidades del personal.
Identificar la legislación aplicable y obligaciones contractuales con
respecto a la protección del acceso a datos y servicios de información
que hacen parte de los sistemas de información.
Definir perfiles de acceso de usuarios estándar, especiales y
administradores, comunes a cada categoría de cargos y funcionarios que
hacen parte de los sistemas de información.
Administrar y controlar los derechos de acceso a los sistemas de
información en un ambiente distribuido y de red, que reconozcan todos
los tipos de conexiones disponibles.
Reglas de control de acceso.
Las medidas de control de acceso para los sistemas de información
especificadas, deberán contener los siguientes aspectos como mínimo:
Autorización de acceso a los sistemas de información: Todas las áreas
responsables de aplicar controles de acceso deberán aplicar el
procedimiento formal de autorización que permite a los usuarios
(internos y externos) el acceso a los sistemas de información. La
autorización es dada por parte del propietario de la información, una
vez el usuario haya hecho la solicitud mediante los formatos o
mecanismos definidos para tal fin. Luego de su aprobación, ésta es
radicada en la herramienta de gestión de incidentes y requerimientos,
quienes tramitarán su solicitud a través de los administradores de los
sistemas de información.

Administración de acceso de usuarios a los sistemas de información:

Todas las áreas responsables de la administración de los sistemas de
información deberán hacer uso de los procedimientos formales para
controlar la asignación de derechos de acceso. Los procedimientos
comprenden todas las etapas del ciclo de vida de los accesos de usuario
como el registro de usuarios, la administración de privilegios,
administración de contraseñas y revisión de derechos de acceso.
Control de acceso a la red que utilizan los sistemas de información:
El área de TI controla el acceso a los servicios de red que se relacionan
con los sistemas de información tanto internos como externos. Esto es
necesario para garantizar que los usuarios que tengan acceso a las redes
y a los servicios de red no comprometan la seguridad de estos servicios
que hacen parte de los sistemas de información. Se tiene en cuenta la
utilización de los servicios de red, la autenticación de usuarios para
conexión externa, la utilización de los servicios de red, la protección de
los puertos de diagnóstico remoto, las segmentaciones que se realicen a
la red, el control de conexión a la red y el control de ruta en la red.
Monitoreo y uso de los sistemas de información: Los sistemas de
información core del negocio y las que se consideren necesarias podrán
ser monitoreados con el fin de:
Detectar desviaciones
Registrar eventos para suministrar evidencia en caso de producirse
incidentes relativos a la seguridad.
Generar registros de auditoría que contengan excepciones y otros
eventos relativos a seguridad. Estos se mantienen durante un período
definido para acceder en futuras investigaciones y en el monitoreo de
control de acceso.
Establecer procedimientos para monitorear el uso de las instalaciones
de procesamiento de la información. Dichos procedimientos son
necesarios para garantizar que los usuarios solo estén desempeñando
actividades que hayan sido autorizadas explícitamente.
Establecer un nivel de monitoreo requerido para cada una las
instalaciones donde se encuentran ubicados los sistemas de
información. Se determina mediante una evaluación de riesgo.
Revisar periódicamente el resultado de las actividades de monitoreo. La
frecuencia de la revisión depende de los riesgos involucrados.
Política de protección contra el Malware
Cada día los sistemas de información son más propensos a la amenaza
creciente llamada Malware. Por tanto, es relevante definir las directrices
mínimas de control, que permitan mantener protegidos los sistemas de
almacenamiento y/o procesamiento de información.

DEFINCÓN Malware: Es un tipo de software que tiene como objetivo

infiltrarse o dañar una computadora o sistema de información sin el
consentimiento de su propietario.
La Empresa dispondrá de la solución corporativa de protección contra
el Malware que considere apropiada para la protección de sus activos
de información, teniendo en cuenta lo siguiente:

Se debe diseñar, documentar, socializar e implementar

procedimientos de protección contra el Malware.
Explicación: Los usuarios serán garantes de la primera línea de
protección de los sistemas de información con los cuales interactúan.
Por tanto, es necesario suministrar instructivos que les oriente acerca de
las acciones a tomar, cuando se evidencia malware en los sistemas de
información. Estos instructivos deben definir claramente las fases de
prevención, contención y erradicación del malware.
El administrador de la solución de protección contra el Malware
deberá diseñar y aplicar manuales y procedimientos de operación.
Explicación: Se debe desarrollar y/o identificar documentación
actualizada y práctica en relación con la administración de la solución
de protección contra el Malware. Esta documentación debe contemplar
aspectos tales como: guías de instalación, configuración,
administración, atención de problemas y escalamiento con terceros. El
administrador debe demostrar competencia en su uso y entendimiento.

Las estaciones de trabajo de la empresa deben estar equipadas de la

solución corporativa de protección contra el Malware.
Explicación: Al momento de alistar una estación de trabajo se debe
instalar, configurar y actualizar la solución corporativa de protección
contra el malware.
Los servidores de la empresa deben contemplar los mecanismos de
protección contra el Malware.
Explicación: Al momento de alistar un servidor se debe considerar la
instalación, configuración y actualización de la solución corporativa de
protección contra el malware. En caso de no instalación de esta
solución, se deben desarrollar las actividades de aseguramiento
necesarias para la protección contra el malware
La solución corporativa de protección contra el malware debe ser
capaz de proteger al S.O. en tiempo real y de actualizarse de forma
automática.
Explicación: Los sistemas de información de la empresa, deben estar
bajo el alcance de la solución corporativa de protección contra el
malware; por ningún motivo los usuarios modificaran los parámetros
de configuración de esta solución. Solo se podrá realizar bajo
autorización del área encargada de la administración del servicio.
Todos los usuarios de los sistemas de información, serán garantes del
óptimo funcionamiento del sistema de protección contra el malware
Explicación: Cuando se evidencie cualquier anomalía referente al tema
aquí descrito, deberá ser reportado de manera inmediata al área de
seguridad de la información por medio de los canales establecidos;
quienes se encargarán de la atención oportuna del evento.

Política de Gestión de Incidentes en la Seguridad de la Información.

La gestión de respuesta a incidentes en Seguridad de la Información es
un componente primordial en los programas de TI, el cual es el servicio
base de Equipo de Respuesta ante Emergencias Informáticas
organizacional, para su funcionamiento.

Compromiso de la alta dirección en la gestión de incidentes en

seguridad de la información.
Explicación: La alta dirección de la empresa reconoce y respalda la
importancia de gestionar los incidentes en seguridad de la información
y declara su compromiso en el cumplimiento de los objetos
contractuales, la normatividad y legislación aplicable para la atención
de estos incidentes.
Detección de eventos en seguridad de la información.
Explicación: Los sistemas informáticos de la empresa deben tener la
capacidad de registrar y permitir la recolección de información
pertinente para determinar las causas de un posible incidente en
seguridad de la información con la finalidad de conservar la trazabilidad
de un evento ocurrido.
Comunicación de incidentes y/o anomalías en seguridad de la
información.
Explicación: Los eventos relativos que conduzcan a una incidencia en
seguridad de la información serán comunicados a través de la Mesa de
Ayuda de la empresa, describiendo la situación presentada y se trataran
con la mayor confidencialidad. Ésta establecerá los mecanismos de
escalamiento necesarios para su atención y respuesta.
Priorización de incidentes en seguridad de la información.
Explicación: Basados en la valoración de impacto y urgencia en
seguridad de la información, se dará priorización a los incidentes
presentados con la finalidad de brindar la atención y respuesta
apropiada.

Contactos y asesoramiento de atención y respuesta a incidentes en

seguridad de la información.
Explicación: Identificadas las capacidades necesarias que requieran la
atención y respuesta a incidentes en seguridad de la información, se
establecerán contactos y acuerdos con organizaciones especializadas
para su tratamiento, con la finalidad de brindar capacidades de respuesta
competentes y diligentes según la magnitud del incidente.
Recolección de evidencia legal aplicable ante incidentes en seguridad
de la información.
Explicación: Con la finalidad de identificar responsable(s) y un
resarcimiento del daño ocasionado para aplicar una acción jurídica, se
propenderá recolectar, mantener y presentar evidencia cumpliendo con
la normatividad legal aplicable.

Política de Seguridad para la Gestión de la Red de Datos.

Para la adecuada administración de la red de datos de la Compañía, es
necesaria la declaración de reglas a nivel de seguridad, que permitan
establecer consideraciones mínimas aceptables para garantizar la
disponibilidad, confidencialidad e integridad de la información que es
transportada por la misma. La infraestructura de red de datos y la
seguridad de la información son componentes que deben ir
acompañados de la mano, a fin de dar cumplimiento a la política. Esta
política aplica para toda la infraestructura de networking administrada
por el proceso de soporte de servicios organizacional, donde se busca
la definición, implementación, monitoreo, soporte y mantenimiento de
una arquitectura de red de datos que brinde niveles aceptables de
seguridad, la cual garantice los controles y niveles autoritativos de
conectividad.
Para la adecuada protección de los sistemas de información
conectados a la red de datos de La Empresa, se debe desarrollar y
mantener de una arquitectura perimetral por capas donde se
establezcan normas de configuración para la inspección y control del
tráfico.
Explicación: Con la finalidad de gestionar la seguridad de la red de
datos administrada, se debe implementar y mantener una arquitectura
perimetral que permita por medio de la segmentación física y lógica, la
definición de zonas (Internet, DMZ, Granja de Servidores) y capas de
seguridad a través de cortafuegos (firewalls), el control del tráfico
entrante y saliente necesario del entorno de datos de los sistemas de
información.

Se debe deshabilitar todos aquellos servicios, parámetros y puertos de

red que no sean necesarios para el funcionamiento de la
infraestructura de red, garantizando los criterios mínimos de
seguridad.
Explicación: Para mitigar los riesgos de seguridad asociados a los
dispositivos de red de La Empresa, se deben deshabilitar aquellos
servicios, parámetros y puertos de red que por defecto traen activos y
que no se requieren para el funcionamiento del servicio, al igual que las
interfaces que no estén operativas. Se deben garantizar los criterios
mínimos de configuración segura establecidos en modelo de seguridad
de la organización.
La configuración de enrutadores, switchs, firewalls, sistemas de
detección y prevención de intrusos de intrusos y otros dispositivos de
seguridad de red; debe ser documentada, respaldada por copia de
seguridad y mantenida por la administración de la red de datos.
Explicación: Los administradores de la red de datos deben mantener un
adecuado registro documental que permita tener trazabilidad de la
gestión de la red de datos de La Empresa. De igual forma conforme a
los cambios desarrollados se debe generar y administrar backups de la
configuración activa para la restauración en caso de fallas.

Todo dispositivo de networking deberá ser revisado, registrado y

aprobado por la administración del área de plataforma antes de
conectarse a la red de datos de La Empresa.
Explicación: Para el correcto registro y permisos de conectividad
necesarios de los dispositivos que necesiten conectarse a la red de datos
de La Empresa, se debe notificar la necesidad al Área de Plataforma
para su autorización. Dicha área, debe desconectar aquellos dispositivos
que no están aprobados y reportar tal conexión como un incidente en
seguridad de la información a ser investigado.

El acceso a la red de datos de La Empresa y conectividad a los

sistemas de información soportados por la misma es de carácter
restringido. Se concederán permisos en base a “la necesidad de
conocer” y los criterios de seguridad de la información contemplados
en la presente política.
Explicación: Los permisos de acceso a la red de datos y los recursos
respaldados por la solución perimetral de La Empresa, se concederán
en base a los criterios definidos en la arquitectura de seguridad definida
y la “necesidad de conocer”. Dichos permisos serán administrados por
las áreas de plataforma y seguridad de la información, la cuales
desarrollarán una revisión periódica de cada seis (6) meses a fin de
garantizar las necesidades organizacionales y la integridad del modelo
de seguridad de la información.

La transmisión de datos corporativa a través de redes públicas, se

debe desarrollar por medio de mecanismos de cifrado a fin de
garantizar la confidencialidad e integridad de la información.
Explicación: La información confidencial y sobre la cual debe
garantizarse su integridad, (basados en su criticidad y sensibilidad) se
debe cifrar por medio de mecanismos seguros (Ej. SSL/TLS, IPSEC)
durante su transmisión a través de las redes donde el acceso es abierto
y/o sin restricción.
La supervisión y monitoreo de la red de datos de La Empresa, debe
ser respaldada a través de mecanismos de registro de actividades, para
prevención, detección o minimización de impacto de riesgos
asociados a la seguridad de la información.
Explicación: Se deben implementar mecanismos de registro y
monitoreo para la supervisión del tráfico transportado por las redes de
datos administradas por La Empresa. Esto permitirá el rastreo, análisis
y generación de reportes ante eventos adversos que atenten contra la
seguridad de la información de la organización.

Las conexiones de acceso remoto deberán ser estrictamente

controladas bajo el esquema avalado por el área de Seguridad de la
Información y gestionado por la administración del área de
plataforma de La Empresa.
Explicación: Para la adecuada gestión de las conexiones remotas (Ej.
VPN, RDP) estas deberán ser suministradas a través de las soluciones
adquiridas formalmente por La Empresa para su estricto control. Se
prohíbe la utilización de clientes de conexión remota que no están
avalados por el área de Seguridad de la Información para este tipo de
actividad y cuya gestión este por fuera de los ámbitos de administración
del área de gestión de plataforma de La Empresa. Las conexiones
remotas que se efectúen por fuera de la red corporativa, es
responsabilidad del funcionario y/o colaborador al cual se le ha
otorgado permisos de acceso, el garantizar el nivel mínimo aceptable
de seguridad de la información para la adecuada utilización del recurso.
El uso de analizadores de red (sniffers), es permitido única y
exclusivamente para el Área de Seguridad de la Información y los
administradores de la red de datos de La Empresa.
Explicación: Para monitorear la funcionalidad de las redes que están
bajo la gestión administrativa, el uso de software que permite analizar
tráfico de red (sniffers), debe ser utilizado única y exclusivamente por
el personal de seguridad de la información y los administradores de
redes que la organización designe para dicho rol, enfocados a la
consolidación del modelo de seguridad de La Empresa y la resolución
de incidencias.
Política de Identificación y Control de Activos de la Empresa.
El control de activos de información constituye uno de los puntos más
importantes a tener en cuenta en la construcción de un modelo de
seguridad. Debido a la criticidad que estos tienen dentro de la operación
y a la sensibilidad de los datos que manejan, cualquier robo, perdida o
fuga puede representar un riesgo de alto impacto para la empresa.

DIRECTRICES

Definición de lineamientos para la identificación de activos de

información.
Explicación: El área de seguridad de la información debe definir y
comunicar los lineamientos para la identificación y control de los
activos de información de la empresa. Estableciendo así el nivel de
profundidad y alcance en la identificación de los activos de
información. Especificando los que se consideren de principal atención
por parte de la gestión en seguridad de la información.

Realización de inventario de activos información, asignación de

propietarios y custodios.
Explicación: Cada Jefe de Área con el acompañamiento del área de
seguridad de la información semestralmente deberá tipificar,
inventariar y clasificar los activos de información que son utilizados por
la empresa. El área de seguridad comunicará las responsabilidades de
los propietarios y custodios de estos activos de información. Este
inventario será notificado al área de seguridad de la información, que
se encargará de validar el cumplimiento de estas responsabilidades. En
caso de modificaciones o traslados de estos activos de información,
estas deberán ser notificadas al área de seguridad de la información para
la actualización del registro correspondiente.
Clasificación y Etiquetamiento de Activos de Información.
Explicación: Cada activo de información deberá ser clasificado y
etiquetado según su valor, criticidad y sensibilidad. Este nivel de
clasificación se establecerá conforme a unos parámetros generales de
disponibilidad y confidencialidad del activo de información.

Entrega de activos de información

Explicación: La entrega de activos de información a los colaboradores
deberá realizarse únicamente bajo autorización del jefe inmediato y
previa evaluación de la necesidad. Se deberá realizar un acta para
registrar la entrega y la responsabilidad de custodia y protección por
parte del colaborador.
 CONCLUSIONES Y RECOMENDACIONES

Como recomendaciones adicionales a las ya planteadas anteriormente

se sugiere lo siguiente:

 La entidad considere a largo plazo hacer un plan de migración

de datos a una base de datos más robusta, ya que la utilizada
actualmente puede servir como de respaldo en el sector para así
obtener beneficios en su producción.

 Se podría considerar tener un departamento de desarrollo y

conocimiento donde la empresa pueda explotar aún más las
ideas de sus empleados y puedan llegar a ser líderes en calidad
de sus productos.

 En el área de gestión humana, a largo plazo al tener

implementadas las recomendaciones que se dieron
anteriormente se pueden hacer planes de retención del mejor
personal para tener competitividad de cargos profesionales y
empezar a atraer al personal más capacitado, ya que, al contar
con un personal idóneo, la entidad se vuelve más competitiva e
innovadora en cuanto a procesos, productos y seguridad.