Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TALLER DE
PROYECTOS 1
DISEO E IMPLEMENTACIN DE UN
ESQUEMA DE SEGURIDAD DE REDES EN
BASE A CONCEPTOS DE ETHICAL
HACKING PARA LA EMPRESA VIRTUAL IT
EXPERT
PROJECT CHARTER
VERSIN
5.1
HACKING
Preparado por:
Jefe de
Proyecto:
Especialidad
:
Oscar Guillinta
Jos Luis Merino
Empresa:
IT Expert
Historial de Revisiones
Versi
n
Fecha
Autor
1.0
23/11/2014
Rev. 2.0
25/11/2014
2.1
28/11/2014
Rev. 3.0
24/03/2015
3.1
25/03/2015
Rev. 4.0
28/03/2015
4.1
29/03/2015
Rev 5.0
31/03/2015
Rev 5.1
01/04/2015
Rev 6.0
20/04/2015
Oscar
Guillinta
Jos Luis
Merino
Ing. Marcela
Escobar
Oscar
Guillinta
Jos Luis
Merino
Ing. Marcela
Escobar
Oscar
Guillinta
Jos Luis
Merino
Ing. Jessica
Echenique
Oscar
Guillinta
Jos Luis
Merino
Ing. Jessica
Echenique
Oscar
Guillinta
Jos Luis
Merino
Ing. Jessica
Echenique
Descripcin
2015I
HACKING
Rev 6.1
20/04/2015
Oscar
Guillinta
Jos Luis
Merino
2015I
HACKING
ndice de Contenidos
RESUMEN EJECUTIVO
MARCO TERICO 5
POSICIONAMIENTO
Objetivos
6
Objetivo General
6
Objetivos Especficos 6
Indicadores de xito
Restricciones 7
Impacto en la organizacin (opcional) 7
ORGANIZACIN DEL PROYECTO
Equipo del Proyecto
Stakeholders 8
Recursos requeridos
Riesgos y Mitigacin
GLOSARIO 10
SIGLARIO
10
BIBLIOGRAFA
10
APROBACIN
10
ANEXOS
11
2015I
HACKING
2015I
RESUMEN EJECUTIVO
PwC1, en la Encuesta global de Seguridad de la Informacin 2014, muestra que los
incidentes de seguridad detectados se han incrementado en un 25% respecto al
ao anterior y los costos financieros de los incidentes han aumentado un 18%. 2
Adems, revela que, durante los ltimos aos, las organizaciones han realizado una
importante inversin de capital en la implementacin de tecnologas que les
permitan identificar vulnerabilidades y amenazas a las que se encuentran
expuestas. A partir de esta informacin, se puede inferir que para las
organizaciones ms importantes a nivel mundial, la seguridad de la informacin ya
es un tema que demanda una especial atencin dentro de las gestiones que se
realizan a nivel empresarial. En ese sentido, el presente proyecto tiene como
propsito realizar el aseguramiento de la infraestructura de TI de la empresa virtual
IT Expert, a partir de la identificacin de vulnerabilidades y amenazas existentes.
Por tal motivo, se elaboran los siguiente entregables: Reporte de vulnerabilidades,
Polticas y Procedimientos, Mapeo de riesgos alineados a vulnerabilidades y Matriz
de controles.
IT Expert, empresa virtual que forma parte de la Escuela de Ingeniera de
Computacin y Sistemas, realiza el anlisis, diseo e implementacin de soluciones
y servicios innovadores en tecnologas de informacin para las dems empresas
virtuales de la escuela. Para ello, realiza el despliegue de proyectos y/o aplicativos
en los servidores que son parte de la universidad y gestiona equipos en los centros
de cmputo. En este sentido, las vulnerabilidades que existen en la empresa IT
Expert la exponen a amenazas que pueden generar un impacto considerable en la
imagen que proyecta a sus clientes y en la calidad de los servicios que brinda. Esta
situacin se origina debido a que la empresa no cuenta con controles, polticas y
procedimientos orientados a proteger la informacin que almacena y la
disponibilidad de los servicios que brinda.
Por ltimo, como parte final de los entregables a desarrollar, se realiza la propuesta
de un esquema de seguridad de redes para asegurar la informacin de la empresa
virtual IT Expert. La aplicacin de tcnicas de Ethical Hacking resulta importante, en
la medida que se utilizan las herramientas y tcnicas de un atacante informtico
para identificar amenazas y vulnerabilidades presentes en la infraestructura de TI.
De esta forma, esta perspectiva diferente genera un valor agregado al momento de
realizar los entregables planificados para el presente proyecto.
En sntesis, la consolidacin de todos los entregables del presente proyecto, se
traduce en la reduccin de tiempo, costos y recursos en las actividades que se
realizan como parte de las funciones de IT Expert.
PwC es una de las firmas de auditora y consultora ms importantes a nivel mundial, que
brinda servicios orientados al asesoramiento legal y fiscal, auditora y consultora a sus
clientes.
2
PwC 2014: 2
HACKING
2015I
MARCO TERICO
En la actualidad, el gran avance realizado en el mbito tecnolgico junto con el
crecimiento exponencial de internet ha proporcionado una gran cantidad de
posibilidades y beneficios para las empresas que han decidido aplicar los conceptos,
previamente mencionados, como soporte para sus principales operaciones. Es
decir, las empresas han cambiado la forma en la que brindan sus servicios y
almacenan la informacin referente a sus transacciones e incluso de sus propios
clientes. Sin embargo, las computadoras son susceptibles a ser atacadas por
crackers o hackers que cuentan con los conocimientos y la capacidad suficiente
para ingresar a los sistemas informticos y robar informacin valiosa de una
empresa o incluso eliminarla total o parcialmente. Debido a esta situacin, se hace
indispensable poder conocer si los sistemas y redes de datos pertenecientes a una
empresa se encuentran protegidos de cualquier tipo de intrusin que pueda intentar
realizarse sin el concentimiento o la aprobacion necesaria. Por ello, en los ltimos
aos, los conceptos relacionados a seguridad de la informacin han empezado a ser
aplicados en diversas organizaciones a nivel mundial, en especial el concepto de
Ethical Hacking o Hacker tico como herramienta indispensable para poder
identificar las posibles vulnerabilidades existentes en los sistemas de informacin. 3
Ethical Hacking es un proceso que consiste en poder llevar a cabo una simulacin
de las acciones que son realizadas por atacantes (hackers o crackers), con el fin de
poder detectar los puntos donde debe aplicarse mejoras en beneficio de la
seguridad informtica que forma parte de la empresa 4. Este proceso se realiza
mediante las denominadas pruebas de intrusin, las cuales permiten realizar una
verificacin y evaluacin de la seguridad fisica y lgica no solo de los sistemas, sino
tambin de las redes, aplicaciones web, bases de datos, servidores y otros recursos
tecnolgicos pertenecientes a la empresa.
Las etapas definidas para poder llevar a cabo las pruebas de intrusin estn
basadas en las mismas que realizan los hackers maliciosos dentro de una empresa,
los cuales son mencionadas a continuacin.
3
4
HACKING
2015I
HACKING
2015I
POSICIONAMIENTO
PLANTEAMIENTO DEL PROBLEMA
Problema
La infraestructura
tecnolgica de la
empresa
virtual
Expert
se
encuentra
expuesta
a
amenazas
que
comprometen los
servicios
que
brinda para la
Escuela
de
Ingeniera
de
Computacin
y
Sistemas
Causas
HACKING
2015I
OBJETIVOS
OBJETIVO GENERAL
OG: Proteger la informacin de la empresa IT-Expert en base a la aplicacin de la
metodologa OSSTMM
OBJETIVOS ESPECFICOS
OE1: Realizar el diagnstico de la situacin actual de riesgos y vulnerabilidades en
la empresa IT-Expert
OE2: Identificar, integrar y monitorear la implementacin de controles, polticas y
procedimientos para la empresa IT-Expert
OE3: Disear y monitorear la implementacin de un esquema de seguridad de
redes para la empresa IT-Expert
INDICADORES DE XITO
IE1: Diagnstico de la situacin actual de riesgos y vulnerabilidades de la empresa
aprobado por el cliente y gerente profesor de IT-Expert
IE2: Controles, polticas y procedimientos aprobados por el cliente y gerente
profesor de IT-Expert
IE3: Informe final de resultados post-implementacin de la solucin propuesta
aprobado por el cliente y gerente profesor de IT-Expert
IE4: Certificado de calidad emitido por la empresa Quality Services en relacin a los
entregables del proyecto
HACKING
2015I
RESTRICCIONES
Restricciones
El proyecto debe
finalizar en un plazo
no mayor a un ao
acadmico
El tiempo mximo
para la entrega de
artefactos a la
empresa virtual
Quality Services es
hasta la semana
13.
Cualquier
modificacin a
realizarse en el
cronograma del
proyecto debe ser
Descripcin
El proyecto debe llevarse a cabo en un periodo no mayor a un
ao acadmico. Por ello, al culminar el ciclo acadmico 201502 , se debe presentar ante el comit la Memoria Final, Paper
y entregables del presente proyecto
La verificacin y validacin de los artefactos realizados en el
presente proyecto son recepcionados por la empresa Quality
Services, solo hasta la semana 13 de los ciclos 2015-01 y
2015-02 respectivamente. De manera que, en las semanas
posteriores, se puedan expedir las certificaciones
respectivas.
En caso se decida realizar alguna modificacin en el
cronograma del presente proyecto, sta debe ser aprobada
previamente por el gerente de la empresa IT Expert, con el fin
de poder llevar a cabo las coordinaciones necesarias.
10
HACKING
coordinada
previamente con el
gerente de la
empresa IT Expert.
Los servidores
pertenecientes a la
empresa IT Expert
no son habilitados
para realizar las
respectivas pruebas
de vulnerabilidad.
Las herramientas
que son utilizadas
para llevar a cabo
las pruebas de
vulnerabilidad del
proyecto son
nicamente Open
Source.
2015I
HACKING
2015I
Miembro
Responsabilidades
Gerente General de la
Empresa Virtual IT
Expert
Marcela
Escobar
Gerente de Proyectos,
Recursos y Servicios
Cliente
Karen
Panduro
Jessica
Echenique
Jefe de Proyecto
Oscar
Guillinta
Jos Luis
Merino
Recursos de TDP
12
HACKING
2015I
STAKEHOLDERS
Stakeholders
Necesidades
Gerente General
IT Expert
Gerente de
Recursos y
Proyectos
Entregables
Obtener
informacin
con
respecto al avance del proyecto
para su posterior evaluacin
Cliente de
proyecto
Comit de
proyectos
Project Charter
Cronograma de
Actividades
Memoria del
Proyecto
Project Charter
Cronograma de
Actividades
Reporte de
vulnerabilidades.
Mapeo de riesgos
alineados a las
vulnerabilidades.
Matriz de controles
implementados que
permitan identificar
riesgos y amenazas
en la red.
Polticas y
procedimientos
para cubrir las
vulnerabilidades
identificadas.
Propuesta de un
esquema de
seguridad de redes
Memoria final del
proyecto.
Paper de
Investigacin
Project Charter
Memoria final del
proyecto.
Paper de
Investigacin
RECURSOS REQUERIDOS
Recursos
Descripcin
Servidor de
Pruebas
Sistema
HACKING
Operativo Kali
Linux
2015I
Maltego
Nessus
Nexpose
Metasploit/Arm
itage
Nmap/Zenmap
SQLMap
VMware Player
Suite de
ofimtica de
Microsoft
Office
Adobe Reader
X o superior
Fase del
Proyecto
Hito del
proyecto
Inicio
Project Charter
Fecha
Estimad
a
Entregables
incluidos
Semana
Project Charter
1 (20151)
14
Prioridad
Alta
HACKING
Planificacin
Entregables de
gestin
2015I
Semana
Plan de Gestin de Alta
2 (2015- Alcance
1)
Diccionario EDT
Matriz de Trazabilidad
de Requerimientos
Plan de Gestin de
RRHH
Descripcin de Roles y
Responsabilidades
Matriz RAM
Plan de Gestin de
Comunicaciones
Registro
de
interesados
Plan de Gestin de
Riesgos
Matriz de riesgos
Semana
Plan de Gestin del Alta
3 (2015- Cronograma
1)
Cronograma
del
Proyecto
Ejecucin del
Proyecto
2015-1
Semana
Captulo 1 la Memoria Alta
3 (2015- del Proyecto
1)
Avance de la
Memoria
Semana
Captulo 2 de la
9 (2015- Memoria del Proyecto
1)
Elaboracin
de
Reporte
de
vulnerabilidades
Semana
Reporte
9 (2015- vulnerabilidades
1)
Elaboracin
de
Matriz de Riesgos
alineados a las
vulnerabilidades
Semana
11
(2015-1)
Matriz
de
Riesgos Alta
alineados
a
las
vulnerabilidades
Avance
de
Memoria
la
Semana
12
(2015-1)
Captulo 3 de la Alta
Memoria del Proyecto
Elaboracin
de
Matriz
de
controles
para
identificar riesgos
y amenazas en la
Semana
13
(2015-1)
15
de Alta
HACKING
2015I
red
Cierre del
Proyecto
2015-1
Ejecucin del
Proyecto
2015-2
Cierre del
Proyecto
2015-2
Cierre
proyecto
del
Semana
15
(2015-1)
Memoria final
Alta
Elaboracin
de
Polticas
y
procedimientos
para
cubrir
vulnerabilidades
Semana
Polticas
y Alta
2 (2015- procedimientos para
2)
cubrir
vulnerabilidades
Elaboracin
Esquema
seguridad
redes
de
de
de
Semana
Esquema
de Alta
4 (2015- seguridad de redes
2)
Cierre
proyecto
del
Semana
15
(2015-2)
Memoria final
Lecciones aprendidas
Alta
HACKING
2015I
Ejecucin
La fase de ejecucin inicia con la investigacin de las herramientas necesarias para
realizar la identificacin de vulnerabilidades, las cuales son seleccionados de
acuerdo al alcance del proyecto y prespupuesto del mismo. A partir de
conocimientos slidos sobre el uso de herramientas obtenidos en la investigacin,
se procede a realizar la identificacin de vulnerabilidades, a travs de la ejecucin
de herramientas como: Nessus, Nmap, Nexpose y OpenVas. Es preciso destacar que
se realiza la explotacin de vulnerabilidades con el propsito de agregar valor al
primer entregable, pues se muestra evidencia sobre el impacto que podra generar
un ataque real a la infraestructura tecnolgica de la empresa.
En relacin a la Matriz de riesgos, se debe mencionar que es realizada en base a las
mejores prcticas definidas por el Framework Cobit 5. El anlisis de riesgos ser
realizado en base a la identificacin de riesgos inherentes y residuales, controles
implementaciones y aineamiento a las vulnerabilidades identificadas.
En relacin a la Matriz de controles, es preciso mencionar que es realizada tomando
como referencia la ISO 27001 Y 27033, las cuales hacen referencia a seguridad de
la informacin y seguridad de redes informticas respectivamente. De esta forma,
se asegura el desarrollo de una Matriz de controles que est alineada a estndares
de calidad y que permiten identificar riesgos y amenazas presentes en la red. Por
otra parte las Polticas y procedimientos son realizadas en base a las mejores
prcticas, lo cual garantiza que permitan cubrir las vulnerabilidades identificadas
previamente. De esta forma, se van consolidando los pilares que sern soporte de
la solucin final propuesta en el proyecto.
Por timo, se realiza el diseo de un esquema de seguridad de redes, en base a
todas las fases realizadas dentro de la metodologa ISAAF, las cuales aseguran que
la solucin del proyecto salvaguarde la informacin de una organizacin que la
implemente.
Se debe acotar que durante la fase de ejecucin, se realizan avances de la Memoria
del proyecto, la cual ser presentada hasta el captulo 3 en el ciclo 2015-1 y la
Memoria final en el ciclo 2015-2.
17
HACKING
2015I
Control
En esta fase se verifica que los entregables realizados hasta el momento estn
alineados a los requerimientos y expectativas del cliente del proyecto. De no ser
as, se toman las acciones correctivas del caso, con el propsito de cumplir con los
objetivos y negociaciones planteadas al inicio del proyecto. Adems, se realiza el
envo de entregables a la empresa Quality Services, con el propsito de que
atraviesen un proceso de control de calidad.
Cierre
En esta fase final del proyecto, se realiza la entrega del Paper, Lecciones
Aprendidas, Acta de Cierre de Proyecto y la Memoria Final.
RIESGOS Y MITIGACIN
Riesgo
Probabilidad
Impacto
Cambios en
el
alcance
del proyecto
Alta
Alto
Estrategia de mitigacin
Prdida
de
informacin
relacionada
al proyecto
Media
Medio
18
Se realiza la evaluacin
del impacto que genera
el
cambio
en
el
cronograma del proyecto.
A partir de ello, se toman
las acciones necesarias
para alinear las variables
afectadas
(tiempo
y
costo)
al
cambio
especificado.
Se solicita la asignacin
de recursos de TDP para
el proyecto
Para
el
presente
proyecto,
toda
la
informacin
es
almacenada
en
las
siguientes
plataformas:
Google Drive, Dropbox y
One
Drive.
Las
dos
primeras son
nuestro
HACKING
Riesgo
Probabilidad
Impacto
Estrategia de mitigacin
Recursos
asignados
con
conocimiento
insuficiente
sobre Ethical
Hacking
Media
Medio
Falta
de
fuentes
de
informacin
con respecto
a
Ethical
Hacking
Media
Alto
19
2015I
repositorio principal y,
cada fin de mes, toda la
informacin
es
almacenada
en
One
Drive, como parte de
nuestro
plan
de
contingencia.
Se realiza una gestin
eficiente de contraseas,
con el objetivo de no
presentar inconvenientes
al momento de acceder a
la informacin que forma
parte de los repositorios.
Se proporciona a los
recursos
asignados
ebooks u otro tipo de
material sobre Ethical
Hacking, con el objetivo
de
mejorar
su
productividad en relacin
a las tareas asignadas.
Se realiza una breve
capacitacin
a
los
recursos asignados en
relacin a Ethical Hacking
e informacin relevante
acerca del proyecto.
Realizar, en coordinacin
con el Gerente Alumno
de Quality Services, la
evaluacin del perfil de
los
recursos
a
ser
asignados al proyecto.
Se realiza la consulta a
docentes de la carrera
especializados
en
Seguridad
de
la
Informacin y Redes con
respecto
a
material
acadmico sobre Ethical
Hacking.
Realizar la bsqueda de
informacin
en
Bibliotecas
de
otras
universidades
de
la
ciudad de Lima.
HACKING
Riesgo
Probabilidad
Impacto
Falta
de
disponibilida
d del cliente
Media
Alto
2015I
Estrategia de mitigacin
Cambio de
cliente en el
proyecto
Media
Medio
Se realiza el registro de
toda la documentacin
que forma parte del
proyecto, con el objetivo
de
proporcionar
informacin detallada a
la persona que asuma el
nuevo
cargo
en
la
empresa.
Avances
tecnolgcos
sobre
Seguridad de
la
Informacin.
Alta
Medio
Se
realiza
la
investigacin de nuevas
herramientas basadas en
conceptos
de
Ethical
Hacking y se toma la
decisin de aplicarlas en
caso brinden mayores
beneficios
de
las
herramientas
definidas
para
el
presente
proyecto.
Retraso en la
revisin de
entregables
a cargo de
los analistas
de Quality
Services (QS)
Media
Alto
Monitorear el avance de
los entregables a cargo
de
los
analistas
asignados por el Lder de
Lnea de Quality Services.
Comunicar al Gerente
Alumno
de
Quality
Services
sobre
el
desempeo
de
los
analistas asignados.
Realizar los entregables
del proyecto dentro de
los plazos establecidos.
Cambios en
la Gerencia
actual de IT
Expert
Media
Medio
20
Se realiza el registro de
toda la documentacin
que forma parte del
proyecto, con el objetivo
de
proporcionar
HACKING
Riesgo
Probabilidad
Impacto
2015I
Estrategia de mitigacin
informacin detallada a
la persona que asuma el
nuevo
cargo
en
la
empresa.
10
Cambios en
el
cronograma
definido por
el Comit de
Proyectos
Media
Medio
21
Se realiza la evaluacin
del impacto que genera
el
cambio
en
el
cronograma del proyecto.
A partir de ello, se toman
las acciones necesarias
para alinear las variables
afectadas
(tiempo
y
costo)
al
cambio
especificado.
HACKING
2015I
GLOSARIO
E
Ethical Hacking: Ethical Hacking es el proceso por el cual, se utilizan las mismas
tcnicas y herramientas de un Hacker malicioso para atacar a una organizacin de
una manera controlada; esta filosofa resulta de la prctica probada: "para atrapar a
un ladrn debes pensar como un ladrn.
S
Stakeholders: Son todas aquellas personas u organizaciones que afectan o son
afectadas por el proyecto, ya sea de forma positiva o negativa
Seguridad de la Informacin: La seguridad de la informacin es el conjunto de
medidas preventivas y reactivas de las organizaciones y de los sistemas
tecnolgicos que permiten resguardar y proteger la informacin buscando mantener
la confidencialidad, la disponibilidad e integridad de la misma.
SIGLARIO
PwC (PricewaterhouseCoopers)
BIBLIOGRAFA
Astudillo, Karina (2013) Hacking 101: Reviews
Cibertec (2014) (http://www.cibertec.edu.pe/) Sitio web oficial de Ciberte; contiene
informacin importante en relacin a Ethical Hacking (Consulta: 28 de Noviembre
del 2014)
Deloitte (2014) (http://www.deloitte.com/) Sitio web oficial de Deloitte; contiene
informacin importante en relacin a Ethical Hacking (Consulta: 24 de Noviembre
del 2014).
Engebretson, Patrick (2011) The Basics of Hacking and Penetration Testing : Elsevier
Ethical Hacking (2014) (http://www.seguridad.unam.mx/ ) Sitio web de la
Universidad Autnoma de Mxico; contiene informacin importante sobre conceptos
relacionados a Ethical Hacking.
PricewaterhouseCoopers (PwC) (2014) Resultados de la Encuesta Global de la
Seguridad de la Informacin (http://www.pwc.com.ar/es_AR/ar/publicaciones-porindustria/assets/resultados-de-la-encuesta-global-de-seguridad-de-la-informacion2014-final.pdf )(Consulta: 24 de Noviembre del 2014)
22
HACKING
2015I
APROBACIN
Nombre
Cargo
23
Firma
Fecha
HACKING
ANEXOS
Ninguno
24
2015I