ANÁLISIS DE RIESGOS Y DE VULNERABILIDADES

YADFARY MONTOYA H
NATALIA HERNÁNDEZ R

JULIAN CIRO RAMIREZ

GESTIÓN DE REDES DE COMPUTADORES

FICHA 230490

SENA

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL

MEDELLÍN

2012
 INTRODUCCIÓN

Los requerimientos de seguridad que involucran las tecnologías de la

información, en pocos años han cobrado un gran auge, y más aún con las de
carácter globalizador como los son la de Internet y en particular la relacionada
con el Web, la visión de nuevos horizontes explorando más allá de las fronteras
naturales, situación que ha llevado la aparición de nuevas amenazas en los
sistemas computarizados.
Llevado a que muchas organizaciones gubernamentales y no
gubernamentales internacionales desarrollen políticas que norman el uso
adecuado de estas destrezas tecnológicas y recomendaciones para
aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas
en los bienes y servicios de las entidades.
De esta manera, las políticas de seguridad en informática las empresas
emergen como el instrumento para concientizar a sus miembros acerca de
la importancia y sensibilidad de la información y servicios críticos, de la
superación de las fallas y de las debilidades, de tal forma que permiten a esta
con su misión.
 OBJETIVOS

Objetivo General:

Determinar diversos factores que intervienen para lograr mejorar la seguridad

de la información en una empresa.

Objetivos específicos:

Conocer de forma detallada la metodología que se implementara para realizar

una correcta consultoría de seguridad para una empresa.

Implementar de forma correcta y eficiente la Metodología de Análisis y Gestión

de Riesgos de los Sistemas de Información.

Brindar un informe detallado en el cual se brindaran soluciones específicas

para aplacar con los riesgos o amenazas con el fin de minimizar los ataques a
los que enfrenta la empresa.

Realizar un planteamiento de análisis de Riesgos de seguridad con miras a

identificar vulnerabilidades así como también los riesgos potenciales
1. Haga un recorrido por LA ENTIDAD e identifique todos los activos
tangibles que existan, de igual forma observe y enumere todos los activos
intangibles que pueda identificar.

Lista de los activos tangibles e intangibles

2. Realice una descripción detallada de cada uno de los activos

identificados y clasifíquelos en una tabla comparativa asignando un valor
de importancia dentro de LA ENTIDAD.

GRADO DE IMPORTANCIA
Muy Alta Alta Media Baja Muy Baja
5 4 3 2 1

ACTIVOS TANGIBLES Grado de importancia

Dispositivos Activos 5
Infraestructura Equipos 4
Cámaras 4
Televisores 3
Materiales Tableros Acrílicos 3

ACTIVOS INTANGIBLES Grado de importancia

Marcas 2
Activos de mercado Licencias 5
Diseño 1
Activos Humanos Capacidad de Gestión 4
Contraseñas 5
Derechos de Autor Propiedad intelectual 5
Servicios 5
Canales de Distribución Plataformas 4

Explicación orden de importancia de activos:

Muy Alta 5 Son de vital importancia para acceso a servicios por los usuarios
Alta 4 Son herramientas fundamentales para el usuario y departamentos externos
Media 3 Son de gran importancia pero de menor prioridad
Baja 2 Son necesarias pero no implica mayor interacción con los usuarios
Muy Baja 1 No son tan necesarias
3. Elabore un mapa/diagrama mental/conceptual del escenario a evaluar,
esto es, un mapa donde se representen todos los activos tangibles e
intangibles identificados en las actividades previas. Es muy importante no
dejar pasar detalles, pues de esta información depende el éxito del
análisis de riesgos.

4. Construya una tabla comparativa donde se comparen 10 aspectos

fundamentales entre dos de las metodologías más importantes para el
análisis de riesgos existentes a las fecha, como anexo a la tabla justifique
con evidencias porque seleccionó las metodologías usadas en la tabla.

METODOLOGIA OWASP METODOLOGIA OCTAVE

Generador de cadenas – Cree cadenas de Es una técnica de planificación y
caracteres de casi cualquier longitud. consultoría estratégica en seguridad
basada en el riesgo
Búsqueda Scroogle – Un buscador amigo Desmitifica la falsa creencia: La
de la privacidad con los resultados de Seguridad Informática es un asunto
Google con operadores avanzados. meramente técnico
Consejos para pruebas – Colección de Divide los activos en dos tipos: Sistemas,
ideas de pruebas para evaluaciones (Hardware. Software y Datos)y personas
Peticiones Http- Crear manualmente y Maneja tres métodos: auto-dirigido,
enviar peticiones HTTP hacia flexibles y evolucionado
servidores.GET, POST, HEAD, TRACE,
TRACK,OPTIONS, CONNECT, PUT,
DELETE, COPY,LOCK, MKCOL, MOVE,
PROPFIND,PROPPATCH, SEARCH y
UNLOCK son los métodos soportados
Lista de pruebas – Siga el progreso de Presenta los principios básicos y la
sus esfuerzos de prueba y registre sus estructura de las mejores prácticas-
hallazgos. Las categorías de la lista internacionales que guían los asuntos no
difícilmente se correlacionan con las técnicos
técnicas de pruebas
Codifica y decodifica los siguientes tipos: Se especializa en el riesgo organizacional
URL, Hexadecimal Standard, y el foco son los temas relativos a la
Unicode,Html(Named), Html(Decimal), estrategia y la práctica.
Html(Hex),Html(Hex Long), Javascript
Escapado, XML Escapado, Straight
Decimal, Straight Hex, IEHex, IE Unicode,
Base64 y MD5. Codifica solo con MD4 y
SHA1. Especificar
mayúsculas/minúsculas, Delimitadores de
caracteres.
Procesado de texto seleccionado – Le Desarrollar una estrategia de protección
permite procesar el texto seleccionado basada en la práctica así como planes de
dentro de un área de texto en lugar del migración de riesgos para mantener la
contenido completo misión y prioridades de la organización
Guardar/Restaurar – Temporalmente Identifican las vulnerabilidades tanto
retenga y recupere el contenido de áreas organizativas como tecnológicas que
de texto y campos de texto exponen a las amenazas creando un
riesgo a la organización
Editor de auto ataque – Identifica los elementos críticos y las
Cree/Edite/Salve/Borre las listas de amenazas para los activos
autoataque que son usadas para llevar a
cabo las capacidades multi petición
automáticas en la pagina de Peticiones
HTTP
Guardar/Cargar estado – Le permite Consolidación de la información y
salvarlos contenidos de áreas de texto y creación de perfiles de amenazas
campos de texto de CAL9000 y
recargarlos cuando este listo para
continuar con las pruebas

5. Investigue sobre los diferentes tipos de análisis de vulnerabilidades y las

metodologías existentes, reúnase con sus compañeros y discutan las
diferencias de la terminología: análisis de vulnerabilidades, hacking ético y
pruebas de intrusión (pen testing).

Análisis de riesgo

Es un proceso que comprende la identificación de activos informáticos, sus

vulnerabilidades y amenazas a los que se encuentran expuestos así como su
probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación
de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de
análisis con criterios de riesgo establecidos previamente.

Hacking ético

Consiste en un ataque controlado a los sistemas informáticos y/o de comunicaciones

de una empresa u organización empleando los mismos medios que un usuario
malicioso.

Se llama “Hacking Ético” debido a que las técnicas y metodologías usadas son
similares a las empleadas por los hackers, pero el único objetivo es comprobar el
estado real y actual de la seguridad.
Prueba de intrusión

Las pruebas de intrusión (abreviado como pen tests [penetration tests, pruebas de
penetración]) consisten en probar los métodos de protección del sistema de
información sometiendo el sistema a una situación real.
Es una prueba realizada sobre los sistemas conectados a la red pública (Internet) o
privada del CLIENTE; se intenta obtener acceso, escalar privilegios y determinar si
existen más sistemas que puedan ser comprometidos de forma remota desde Internet.

METODOLOGIAS EXISTENTES

 OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad)

Es un conjunto de reglas y lineamientos para CUANDO, QUE y CUALES eventos son
testeados. Esta metodología cubre únicamente el testeo de seguridad externo, es
decir, testear la seguridad desde un entorno no privilegiado hacia un entorno
privilegiado, para evadir los componentes de seguridad, procesos y alarmas y ganar
acceso privilegiado. Está también dentro del alcance de este documento proveer un
método estandarizado para realizar un exhaustivo test de seguridad de cada sección
con presencia de seguridad (por ejemplo, seguridad física, seguridad inalámbrica,
seguridad de comunicaciones, seguridad de la información, seguridad de las
tecnologías de Internet, y seguridad de procesos) de una organización.

 ISSAF
Constituye un framework detallado respecto de las prácticas y conceptos relacionados
con todas y cada una de las tareas a realizar al conducir un testeo de seguridad. La
información contenida dentro de ISSAF, se encuentra organizada alrededor de lo que
se ha dado en llamar "Criterios de Evaluación", cada uno de los cuales ha sido escrito
y/o revisado por expertos en cada una de las áreas de aplicación. Estos criterios de
evaluación a su vez, se componen de los siguientes elementos:
Una descripción del criterio de evaluación
Puntos y Objetivos a cubrir
Los pre-requisitos para conducir la evaluación
El proceso mismo de evaluación
El informe de los resultados esperados
Las contramedidas y recomendaciones
Referencias y Documentación Externa.

 OTP(OWASP Testitng Project)

OTP promete convertirse en uno de los proyectos más destacados en lo que al testeo
de aplicaciones web se refiere. La metodología consta de 2 partes, en la primera se
abarcan los siguientes puntos:
Principios del testeo
Explicación de las técnicas de testeo.
Explicación general acerca del framework de testeo de OWASP.
De este modo, y teniendo en cuenta que un programa efectivo de testeo de
aplicaciones web, debe incluir como elementos a testear: Personas, Procesos y
Tecnologías, OTP delinea en su primera parte conceptos claves a la vez que introduce
un framework específicamente diseñado para evaluar la seguridad de aplicaciones
web a lo largo de su vida.
 OCTAVE
(Operationally Critical Threat, Asset, and Vulnerability Evaluation)(Amenaza de vista operativo
crítico, activo, y la vulnerabilidad de Evaluación) se encuentra disponible gratuitamente
(en inglés) y es un conjunto de herramientas, técnicas y métodos para desarrollar
análisis de riesgos basados en gestión y la planeación estratégica de la organización.
Son todas las acciones que necesitan ser llevadas a cabo dentro de la organización
para realizar la gestión de activos, conocer posibles amenazas y evaluar vulnerabilidades.

 MAGERIT
Magerit es la metodología de análisis y gestión de riesgos elaborada
por el Consejo Superior de Administración Electrónica, como respuesta a la percepción
de la Administración, y, en general, toda la sociedad, dependen de forma creciente de las
tecnologías de la información para el cumplimiento de sumisión.

 MEHARI
Es la metodología de análisis y gestión de riesgos desarrollada por la CLUSIF (CLUb
de la Sécurité de l’Information Français) en 1995 y deriva de las metodologías
previas Melissa y Marion. La metodología ha evolucionado proporcionando una guía
de implantación de la seguridad en una entidad a lo largo del ciclo de vida. Del mismo
modo, evalúa riesgos en base a los criterios de disponibilidad, integridad y
confidencialidad.

 ANÁLISIS HOLANDÉS A&K.

Es método de análisis de riesgos, del que hay publicado un manual, que ha sido
desarrollado por el Ministerio de Asuntos Internos de Holanda, y se usa en el gobierno
y a menudo en empresas holandesas.

 CRAMM.
Es un método de análisis de riesgos desarrollado por el gobierno británico y cuenta
con una herramienta, ya que es un método difícil de usar sin ella. Está basado en las
mejores prácticas de la administración pública británica, por lo que es más adecuado
para organizaciones grandes, tanto públicas como privadas.

 EBIOS.
Es un juego de guías mas una herramienta de código libre gratuita, enfocada a
gestores del riesgo de TI. Desarrollada en un principio por el gobierno francés, ha
tenido una gran difusión y se usa tanto en el sector público como en el privado no sólo
de Francia sino en otros países.

TIPOS DE ANÁLISIS DE VULNERABILIDAD

TEST DE PENETRACION.
En este el analista simula ser un atacante, desde esta posición se realizan intentos de
ataques a la red, buscando debilidades y vulnerabilidades:-estudio de la red externa-
análisis de servicios disponibles-estudio de debilidades-análisis de vulnerabilidades en
dispositivos de red-análisis de vulnerabilidades de implementaciones y
configuraciones-denegación del servicio.

CAJA NEGRA:
Es una unidad la cual su estructura interna se desconoce, pero la función está
documentada. Los diseñadores de hardware y de software utilizan este término para
hacer referencia a los circuitos o al código de programación que ejecutan determinada
función. La mecánica interna de la función no es algo que interese al diseñador que
utiliza una caja negra para obtener una función. Por ejemplo, un chip de memoria
puede considerarse una caja negra. Muchas personas utilizan chips de memoria, e
incluso los diseñan para los equipos informáticos, pero por lo general sólo los
diseñadores de chips de memoria necesitan comprender su funcionamiento interno.
Existe un analista al cual solo se le da la información para acceder a la red o al
sistemas esta puede ser una dirección IP, por lo tanto este analista debe obtener toda
la información posible.

CAJA BLANCA.
Es el Método de prueba del software que pone a prueba las estructuras internas o el
funcionamiento de una aplicación en lugar de su funcionalidad (pruebas de caja
negra).En las pruebas de caja blanca el código fuente o un binario compilado se
evalúa desde un punto de vista interno para buscar vulnerabilidades de seguridad
errores de programación. Generalmente se utiliza en fases tempranas del desarrollo,
mientras el código y los módulos son creados .El analista puede tener acceso a toda la
red q va a analizar, tiene el privilegio de entrar a todos los equipos de la red como
súper usuario, lo cual permite que sea mas completo.

ANÁLISIS DE VULNERABILIDADES INTERNO

Se trata de pruebas de penetración

desde la red interna que identifican los riesgos de las redes y sistemas internos,
demostrando lo que podría hacer un usuario que ha ganado acceso a la red,
simulando ser un usuario interno malintencionado. Este tipo de pruebas son muy
interesantes pues estudios realizados sobre la seguridad de la información
demuestran que alrededor del 80 al 90% de las violaciones de seguridad se originan
desde usuarios internos.

ANÁLISIS DE VULNERABILIDADES EXTERNO

se trata de pruebas de penetración desde internet que identifican los riesgos de la red
perimetral (es una red local que se ubica entre la red interna de una organización y
una red externa, generalmente internet.) y analizan si estos pueden ser utilizados para
acceder a su red, violando sus medidas de seguridad, y en tal caso examinar si se
produce el debido registro de lo que está sucediendo y si se accionan o no las alertas
apropiadas, verificando la efectividad de los firewalls, de los sistemas de detección
de intrusos (IDS), de los sistemas operativos y de los dispositivos de comunicaciones
visibles desde Internet.

ANÁLISIS DE VULNERABILIDADES DE APLICACIONES WEB

Identifica los riesgos de las Aplicaciones Web, verificando los esquemas de

autenticación y probando las tecnologías utilizadas en la implementación de las
mismas. Los análisis de vulnerabilidades deben efectuarse periódicamente,
pues a diario se descubren nuevas vulnerabilidades debido a su carácter evolutivo.
6. Porque es necesario incluir los resultados de un análisis de vulnerabilidades
en el informe final de un análisis de riesgos.

En el mundo de la seguridad informática, la información es uno de los temas más

importantes, porque para las personas lo más valioso es todo lo que puedan obtener
de dicha información. Por tal motivo muchas personas pretenden robar nuestra
confidencialidad, ya que estamos en un mundo donde la gente quiere obtener toda
clase de información sin importar el daño que están causando a un activo o persona
como tal, por eso en las empresas u organizaciones para no ser atacados fácilmente
deben realizar un análisis de vulnerabilidades donde muestren dicha información.

Viendo la situación de las empresas, cada día aumenta más las vulnerabilidades, por
lo que es un desafío diario luchar contra ellas.

Con este ensayo tengo como fin dar una clara definición acerca de la importancia que
tiene un análisis de riesgo junto con un análisis de vulnerabilidades, también a prevenir
dichos ataques que originan un gran impacto para las empresas u organizaciones a fin
de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo. Es por ello que dentro de las empresas se debe tener en cuenta
la realización de un análisis para implementar un plan que sirva para disminuir la
vulnerabilidad de los métodos que den respuesta al impacto una vez ocurrida la
amenaza para defender la continuidad y la calidad para poder garantizar un buen
servicio. Por último nos parece importante que el análisis de vulnerabilidad no se
emplee solo a las organizaciones físicas del sistema si no también a la formación y
administración de las empresas para establecer sus debilidades y plantear las
medidas correctivas que deban efectuarse para disminuir o eliminar la vulnerabilidad.

Debido a los riesgos, se plantea una metodología de evaluación que distingue

amenazas y vulnerabilidades. Muchas veces las escasez de datos no nos permite
hacer bien un levantamiento de información y así no podremos encontrar las posibles
amenazas, para permitir una eficiente gestión del riesgo es generalmente más
importante identificar bien las causas más profundas, como que causa el riesgo y que
influye sobre su dinámica. Para las amenazas como para las vulnerabilidades
debemos de tener datos exactos en los que se plantea una metodología de trabajo
basada en el análisis.

Es de vital importancia la realización del informe final, puesto que este es el resultado
del análisis de riesgos y a la vez es un instrumento técnico para la prevención de
daños, está dirigido básicamente a un uso administrativo en la empresa ya que
pretende servir como la base para considerara los planes de desarrollo integrando las
amenazas como factor potencial. De igual manera proporcionara información
importante para ser utilizada en la supervisión de la empresa a nivel de susceptibilidad
de amenazas. El informe final debe ser presentado usando un lenguaje claro y sencillo
que no sea tan técnico, concreto y fácil de comprender ya que esto no siempre se le
presentan a personas que saben del tema. Y sería difícil de comprender. El documento
puede contener recomendaciones análisis y propuestas. Las recomendaciones deben
orientarse a propuestas concretas, tras hacer una descripción al activo, un análisis de
cómo trabaja y las posibles consecuencias potenciales. Al momento de proponer
soluciones de prevención debemos de tomar en cuenta las posibles formas de ataque
y la forma financiera de la empresa y el nivel de riesgo existente que tiene, una
propuesta costosa o muy complicada no podría ser aplicada si no cuenta con los
recursos necesarios.
7. Investigue sobre las matrices, tablas, plantillas existentes para plasmar
la información obtenida en los análisis de vulnerabilidades y de riesgos,
adapte, diseñe o elija una que le permita presentar su información de
forma clara y concisa.

ANALISIS DE VULNERABILIDADES,AMENAZAS Y RIESGOS

ACTIVOS TANGIBLES ACTIVOS INTANGIBLES
Dispositivos Activos ISP
Servidores Bases de Datos
Equipos Aplicaciones
Estación de trabajo Software - Hardware
Herramientas Contraseñas
Soportes de Informacion Plataformas

DETALLES DE VULNERABILIDADES, RIESGOS DETECTADOS Y

AMENAZAS

Incendio: Existe el riesgo de que un corto circuito provoque un incendio por la

mala distribución del cableado.

 No existen sensores de humo o alarma contra incendios

 No existen suficientes extintores de incendios, o no están distribuidos en los sitios
claves de manejo de información.

Corte del Suministro Eléctrico: El que haya un corte permanente o corto de

energía eléctrica.

 Cortes de energía prolongados requerirán que los equipos de misión crítica de la

institución sean apagados.
 No existirá disponibilidad de los servicios de información en la institución durante
el lapso que dure el corte de energía.

Deficiencias en la climatización: excede los márgenes de trabajo de los equipos

(excesivo calor).

 Existe la posibilidad de que haya filtración de agua por los conductos de aire
acondicionado en los lugares donde se encuentran los equipos informáticos.

Degradación de los soportes de almacenamiento de la información: como

consecuencia del paso del tiempo.

Manipulación de la Configuración: Prácticamente todos los activos dependen de

su configuración y el manejo del administrador: privilegios de acceso, flujos de
actividades, registro de actividad, encaminamiento, contraseñas etc.

Suplantación de la Identidad del Usuario: Cuando un atacante consigue hacerse

pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines
propios. Esta amenaza puede ser cometida por personal interno, por personas
 ajenas a la empresa.

 No hay restricciones sobre la cantidad de sesiones que un usuario puede iniciar.

Abuso de Privilegios de Acceso: cada usuario disfruta de un nivel de privilegios

para un determinado propósito; cuando un usuario abusa de su nivel de privilegios
para realizar tareas que no son de su competencia, hay problemas.

Difusión de software dañino: Propagación intencionada de virus, espías,

gusanos, troyanos, bombas lógicas, etc.

 No mantienen un control para el uso de memorias USB, discos duros externos.

Destrucción de la información: eliminación intencional de información, con ánimo

de obtener un beneficio o causar un perjuicio.

Robo: a sustracción de información empresarial se puede dar mediante el robo

que pueda hacer personal interno no personal ajeno a la compañía.

 Los controles y mecanismos de seguridad física orientados a prevenir el robo de

activos de información en la institución son mínimos.

EQUIVALENCIA PUNTAJE
Insignificante 1
Bajo 2
Medio 3
Alto 4

TASACIÓN DE ACTIVOS
ACTIVOS
DISPONIBILIDAD INTEGRIDAD CONFIDENCIALIDAD
Dispositivos Activos 2 4 4
Servidores 4 4 4
Equipos 4 3 3
Estación de trabajo 4 3 1
Herramientas 3 3 3
Soportes de Informacion 4 4 4
ISP 4 4 4
Bases de Datos 4 4 4
Aplicaciones 4 3 3
Software - Hardware 4 3 4
Contraseñas 1 4 4
Plataformas 3 3 3
8. ENTREVISTA

¿Cuáles cree usted que son los beneficios de implementar un sistema de

seguridad informática?

¿Cuáles son las consecuencias de un incidente de pérdida de confidencialidad,

integridad o disponibilidad de información?

¿tiene conocimiento si en la institución o torre se ha implementado

anteriormente algún sistema de prevención de riesgos? ¿Cuál?

Sabemos que la vulnerabilidad más grande que puede tener una empresa es
el factor humano, por ataques como la ingeniería social, y otras técnicas. ¿Que
contra medidas hay para este factor y cuales nos aconseja?

Audio de la entrevista

9. Elabore una presentación donde explique cual es la relación entre las

diferentes amenazas y vulnerabilidades existentes para los diferentes
activos y compártala con el grupo.

Amenazas y vulnerabilidades

10. Investigue acerca de las herramientas existentes para realizar un análisis de

Vulnerabilidades en entornos reales, identifique cuales de estas herramientas
puede usar para la ejecución de sus pruebas en esta fase del proyecto.

 TRACEROUTE/PING/TELNET

Estas son utilidades que básicamente _todas_ las máquinas con UNIX ya tienen. De
hecho, incluso Windows NT las tiene (pero el comando `traceroute' se llama `tracert')

 NESSUS

Auditor de Seguridad Remoto. El cliente "The Nessus Security Scanner" es una

herramienta de auditoría de seguridad. Hace posible evaluar módulos de seguridad
intentando encontrar puntos vulnerables que deberían ser reparados. Está compuesto
por dos partes: un servidor, y un cliente. El servidor/daemon, "nessusd" se encarga de
los ataques, mientras que el cliente, "nessus", se ocupa del usuario por medio de una
linda interfaz para X11/GTK+. Este paquete contiene el cliente para GTK+1.2, que
además existe en otras formas y para otras plataformas.

 NETCAT

Una navaja multiuso para TCP/IP. Una utilidad simple para Unix que lee y escribe
datos a través de conexiones de red usando los protocolos TCP o UDP. Está diseñada
para ser una utilidad del tipo "back-end" confiable que pueda ser usada directamente o
fácilmente manejada por otros programas y scripts. Al mismo tiempo, es una
herramienta rica en características útil para depurar (debug) y explorar, ya que puede
crear casi cualquier tipo de conexión que puedas necesitar y tiene muchas
características incluidas.
 SATAN

Herramienta de Auditoría de Seguridad para Analizar Redes (Security Auditing Tool for
Analysing Networks). Ésta es una poderosa herramienta para analizar redes en
búsqueda de vulnerabilidades creada para administradores de sistema que no pueden
estar constantemente chequeando bugtraq, rootshell y ese tipo de fuentes de
información.

 FIREWALK

Firewalking es una técnica desarrollada por MDS y DHG que emplea técnicas del
estilo de `traceroute' para determinar las reglas de filtrado que se están usando en un
dispositivo de transporte de paquetes (ndelt: quise traducir "packet forwarding device").
La última versión de esta herramienta, fierwalk/GTK incluye la opción de usar una
interfaz gráfica y nuevos arreglos a errores.

 OPENSSH / SSH

Un reemplazo seguro para rlogin/rsh/rcp. Openssh deriva de la versión de ssh de

openbsd, que a su vez deriva del código de ssh pero de tiempos anteriores a que la
licencia de ssh se cambiara por una no libre. Ssh (secure shell) es un programa para
loggearse en una máquina remota y para ejecutar comandos en una máquina remota.
Provee de comunicaciones cifradas y seguras entre dos hosts no confiables
("untrusted hosts") sobre una red insegura. También se pueden redirigir conexiones de
X11 y puertos arbitrarios de TCP/IP sobre este canal seguro. La intención de esta
herramienta es la de reemplazar a `rlogin', `rsh' y `rcp', y puede ser usada para proveer
de `rdist', y `rsync' sobre una canal de comunicación seguro.

 PERL

Un muy poderoso lenguaje de scripting que es usado frecuentemente para crear

`exploits' con el propósito de verificar vulnerabilidades de seguridad. Por supuesto,
también es utilizado para todo tipo de otras cosas.

 NMAP ("NETWORK MAPPER")

Es un servicio gratuito y de código abierto (licencia) de utilidad para la exploración de

red o de auditoría de seguridad. A muchos sistemas y administradores de red también
les resulta útil para tareas como la red de inventario, gestión de horarios de servicio de
actualización, seguimiento y tiempo de actividad o servicio de acogida.

 BACKTRACK

Es una distribución GNU/Linux en formato livecd pensada y diseñada para la auditoría

de seguridad y relacionada con la seguridad informática en general. Actualmente tiene
una gran popularidad y aceptación en la comunidad que se mueve en torno a
la seguridad informática.

 NAT (NETBIOS AUDITING TOOL)

La herramienta de auditoría de NetBIOS está diseñada para explorar los servicios de

NetBIOS que ofrece un sistema que permiten compartir archivos. Implementa un
enfoque paso a paso para recolectar información e intenta obtener acceso a archivos
con permisos de sistema (`system-access') como si se fuera un cliente local legítimo.
 ETTERCAP

Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta

direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como
SSH y HTTPS). También hace posible la inyección de datos en una conexión
establecida y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su
poder para establecer un Ataque Man-in-the-middle (Spoofing).

13. Realice un análisis de riesgos tomando como base la información

recopilada hasta el momento y los resultados del análisis de
vulnerabilidades, como resultado de esta actividad, debe generar una
matriz, plantilla, tabla donde se enumere uno a uno todos los activos
evaluados.

GRADO DE RIESGO VALOR

Alto 3
Medio 2
Bajo 1

TABLA DE RIESGOS
ACTIVOS Grado de Riesgo
Dispositivos Activos 3
Servidores 3
Equipos 2
Estación de trabajo 2
Herramientas 1
Soportes de Información 3
ISP 3
Bases de Datos 2
Aplicaciones 2
Software - Hardware 2
Contraseñas 3
Plataformas 1

17. Escriba un informe ejecutivo y un informe técnico donde se resuma y

se detallen respectivamente los análisis realizados hasta este punto
(riesgos y vulnerabilidades), comparta la documentación creada con el
grupo de instructores expertos para recibir retroalimentación y realizar
las correcciones pertinentes.
 MANUAL DE SEGURIDAD INFORMÁTICA

AMENAZAS Y VULNERABILIDADES

Una vulnerabilidad es cualquier situación que pueda desembocar en un

problema de seguridad, y una amenaza es la acción específica que aprovecha
una vulnerabilidad para crear un problema de seguridad; entre ambas existe
una estrecha relación: sin vulnerabilidades no hay amenazas, y sin amenazas
no hay vulnerabilidades.

IDENTIFICACIÓN DE VULNERABILIDADES :
Para la identificación de vulnerabilidades sobre la plataforma de tecnología, se utilizan
herramientas como listas de verificación y herramientas de software que determinan
vulnerabilidades a nivel del sistema operativo .

Seguridad Física:
 Control de acceso
 Desastres naturales
 Control de incendios

Seguridad en la infraestructura de comunicaciones:

 Routers
 Switches
 Firewall
 Hubs

Seguridad en las aplicaciones Críticas:

Se define las aplicaciones que son críticas para la organización y por cada una
de ellas se obtendrá una matriz de riesgo. Es importante considerar que las
aplicaciones están soportadas por: Sistemas operativos, hardware servidor,
redes LAN y WAN, y el Centro de cómputo.

IDENTIFICACIÓN DE AMENAZAS:
Una vez conocemos los recursos que debemos proteger y de identificar las
vulnerabilidades es hora de identificar de igual manera las amenazas que se
ciernen contra ellos.

Desastres del entorno:

Dentro de este grupo se incluyen todos los posibles problemas relacionados
con la ubicación del entorno de trabajo informático o de la propia organización,
así como con las personas que de una u otra forma están relacionadas con el
mismo. Por ejemplo, se han de tener en cuenta desastres naturales
(terremotos, inundaciones...), desastres producidos por elementos cercanos,
como los cortes de fluido eléctrico, y peligros relacionados con operadores,
programadores o usuarios del sistema.

Amenazas en el sistema:
Bajo esta denominación se contemplan todas las vulnerabilidades de los
equipos y su software que pueden acarrear amenazas a la seguridad, como
fallos en el sistema operativo, medidas de protección que éste ofrece, fallos en
los programas, copias de seguridad.
Amenazas en la red:

Cada día es menos común que una máquina trabaje aislada de todas las
demás; se tiende a comunicar equipos mediante redes locales, intranets o la
propia Internet, y esta interconexión acarrea nuevas - y peligrosas - amenazas
a la seguridad de los equipos, peligros que hasta el momento de la conexión no
se suelen tener en cuenta. Por ejemplo, es necesario analizar aspectos
relativos al cifrado de los datos en tránsito por la red, a proteger una red local
del resto de internet, o a instalar sistemas de autenticación de usuarios remotos
que necesitan acceder a ciertos recursos internos a la organización.

NOTA: No siempre hemos de contemplar a las amenazas como actos

intencionados contra nuestro sistema.

Priorización De Riesgos:
En este paso de la estimación de riesgos, se estiman su prioridad de forma que
se tenga forma de centrar el esfuerzo para desarrollar la gestión de riesgos.
Cuando se realiza la priorización (elementos de alto riesgo y pequeños
riesgos), estos últimos no deben ser de gran preocupación, pues lo
verdaderamente crítico se puede dejar en un segundo plano.
Sin importar cual sea el proceso que se siga, el análisis de riesgos comprende
los siguientes pasos:

1. Definir los activos informáticos a analizar.

2. Identificar las amenazas que pueden comprometer la seguridad de los
activos.
3. Determinar la probabilidad de ocurrencia de las amenazas.
4. Determinar el impacto de las amenaza, con el objeto de establecer una
priorización de las mismas.
5. Recomendar controles que disminuyan la probabilidad de los riesgos.
6. Documentar el proceso.
 GLOSARIO

 Activos: Los recursos del sistema de información o relacionados con

éste, necesarios para que la Organización funcione correctamente y
alcance los objetivos propuestos por su dirección.

 Autenticidad: (de quién hace uso de los datos o servicios), que no haya
duda de quién se hace responsable de una información o prestación de
un servicio, tanto a fin de confiar en él como de poder perseguir
posteriormente los incumplimientos o errores. Contra la autenticidad se
dan suplantaciones y engaños que buscan realizar un fraude. La
autenticidad es la base para poder luchar contra el repudio y, como tal,
fundamenta el comercio electrónico o la administración electrónica,
permitiendo confiar sin papeles ni presencia física.

 Análisis de riesgos: proceso sistemático para estimar la magnitud de

los riesgos a que está expuesta una Organización.

 Amenazas: las amenazas siempre existen y son aquellas acciones que

pueden ocasionar consecuencias negativas en la operativa de la
empresa. Comúnmente se indican como amenazas a las fallas, a los
ingresos no autorizados, a los virus, uso inadecuado de software, los
desastres ambientales como terremotos o inundaciones, accesos no
autorizados, facilidad de acceso a las instalaciones, etc.

 Confidencialidad: Característica de la información por la que la misma

sólo puede ser revelada a los usuarios autorizados.

 Disponibilidad: disposición de los servicios a ser usados cuando sea

necesario. La carencia de disponibilidad supone una interrupción del
servicio. La disponibilidad afecta directamente a la productividad de las
organizaciones.

 Gestión de riesgos: selección e implantación de salvaguardas para

conocer, prevenir, impedir, reducir o controlar los riesgos identificados.

 Integridad: mantenimiento de las características de completitud y

corrección de los datos. Contra la integridad, la información puede
aparecer manipulada, corrupta o incompleta. La integridad afecta
directamente al correcto desempeño de las funciones de una
Organización.

 Impactos: las consecuencias de la ocurrencia de las distintas amenazas

son siempre negativas. Las pérdidas generadas pueden ser financieras,
no financieras, de corto plazo o de largo plazo.

 Malware informático: es el término para el código malicioso diseñado

para molestar o destruir un sistema informático.
 Magerit: es una metodología de Análisis y Gestión de Riesgos de los
Sistemas de información elaborada por el Consejo Superior de
Administración Electrónica para minimizar los riesgos de la implantación
y uso de las Tecnologías de la Información, enfocada a las
Administraciones Públicas.

 Probabilidad: predicción calculada de la ocurrencia de un accidente en

un cierto periodo de tiempo.

 Riesgo: estimación del grado de exposición a que una amenaza se

materialice sobre uno o más activos causando daños o perjuicios a la
Organización.

 Seguridad: es la capacidad de las redes o de los sistemas de

información para resistir, con un determinado nivel de confianza, los
accidentes o acciones ilícitas o malintencionadas que comprometan la
disponibilidad, autenticidad, integridad y confidencialidad de los datos
almacenados o transmitidos y de los servicios que dichas redes y
sistemas ofrecen o hacen accesibles.

 Virus informático: es un programa de ordenador que puede infectar

otros programas modificándolos, para incluir una copia de si mismo
también Programa que se duplica a sí mismo en un sistema informático
incorporándose a otros programas que son utilizados por varios
sistemas.

 Vulnerabilidades: son ciertas condiciones inherentes a los activos o

presentes en su entorno que facilitan que las amenazas se materialicen
llevan a esos activos a ser vulnerables. Mediante el uso de las
debilidades existentes es que las amenazas logran materializarse, o sea,
las amenazas siempre están presentes, pero sin la identificación de una
vulnerabilidad no podrán ocasionar ningún impacto.