Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INFORME EJECUTIVO
Auditoria interna (Red)
Johnatan Mazo
Tatiana Vasquez
Edith Palacios
Juan Carlos Valencia
Jaime Soto
Especialización de Seguridad en
redes en computadores
Mayo del 2019
CONFIDENCIAL Página |2
Información de evaluación
Evaluadores Cliente
Johnatan Mazo Ramírez
4398 31.05.19
revisión histórica
CONTENIDO
INTRODUCCION .......................................................................................................................................... 4
OBJETIVO GENERAL ................................................................................................................................. 5
OBJETIVOS ESPECIFICOS ........................................................................................................................ 5
GLOSARIO ..................................................................................................................................................... 6
Resumen Ejecutivo.......................................................................................................................................... 8
Resumen de Fortalezas ................................................................................................................................... 8
Resumen de los puntos débiles ....................................................................................................................... 8
Recomendaciones estratégicas ....................................................................................................................... 8
1. Resumen vulnerabilidades ......................................................................................................................... 8
3. Gráfico de vulnerabilidades ..................................................................................................................... 10
4. Proceso y Metodología .............................................................................................................................. 12
RECOMENDACIONES............................................................................................................................... 13
CONFIDENCIAL Página |4
INTRODUCCION
Este informe se realiza con el fin de conocer, entender y evaluar los riesgos, amenazas y
vulnerabilidades que existen dentro de la empresa, de igual forma se hará un estado inicial de la
seguridad de la información e infraestructura TI, teniendo en cuenta que es un ambiente totalmente
virtualizado.
CONFIDENCIAL Página |5
OBJETIVO GENERAL
OBJETIVOS ESPECIFICOS
• Diseñar un matriz de análisis de riesgos para detectarlas amenazas y debilidades en los sistemas de
información de la empresa.
• Investigar sobre los diferentes planes de tratamientos y definiciones de políticas para contrarrestar las
vulnerabilidades, riesgos y amenazas de los sistemas de información.
• Documentar y socializar las medidas a tomar una vez se detecten las vulnerabilidades en la red de la
empresa.
• Mantener documentados las vulnerabilidades detectadas y las soluciones al realizar los test de
vulnerabilidades dentro de la red de la empresa.
CONFIDENCIAL Página |6
GLOSARIO
• Certificación: Confirmación del resultado de una evaluación y de que los criterios de la evaluación
utilizados fueron correctamente aplicados.
• Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a
la información y a sus activos asociados.
• Estado de riesgo: Caracterización de activos por riesgo residual. “Lo que puede pasar tomando en
consideración que las salvaguardas han sido desplegadas”.
• Evento de seguridad: Momento en que la amenaza existe y pone en riesgo activos, procedimientos o
información.
• Evaluación de Medidas de Seguridad: Evaluación de las medidas de seguridad existentes con relación
al riesgo que enfrentan.
• Impacto residual: Impacto remanente en el sistema tras la implantación de las medidas de seguridad
determinadas en el plan de seguridad de la información.
• Insider: Empleado desleal quien por motivos de desinterés, falta de capacidad intelectual y/o analítica,
problemas psicológicos o psiquiátricos, corrupción, colusión u otros provoca daños en forma
deliberada en la empresa en que trabaja, incumpliendo concientemente con normas y procedimientos
establecidos, robando o hurtando activos (físicos o información) con objetivos económicos o
simplemente de daño deliberado.
• Mapa de riesgos: Relación de las amenazas a que están expuestos los activos.
• Plan de seguridad: Conjunto de programas de seguridad que permiten materializar las decisiones de
gestión de riesgos.
• Programa de seguridad: Conjunto de tareas orientadas a afrontar el riesgo del sistema. Esta agrupación
se debe a que en singular las tareas carecerían de eficacia ya que todas tienen un objetivo común y
porque competen a una única unidad de acción.
CONFIDENCIAL Página |7
• Proyecto de seguridad: Programa de seguridad cuya envergadura es tal que requiere una planificación
específica.
• Riesgo: Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos
causando daños y / o perjuicios a la Organización.
• Riesgo acumulado: Toma en consideración el valor propio de un activo y el valor de los activos que
dependen de él. Este valor se combina con la degradación causada por una amenaza y la frecuencia
estimada de la misma.
• Seguridad: Capacidad de las redes o de los sistemas de información de resistir, con un determinado
nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la
disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y
de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
• Trazabilidad: Aseguramiento de que en todo momento se podrá determinar quien hizo qué y en qué
momento.
• Valor de un activo: Estimación del costo inducido por la materialización de una amenaza.
• Valor acumulado: Considera tanto el valor propio de un activo como el valor de los activos que
dependen de él.
Resumen Ejecutivo
Se llevó a cabo una prueba de análisis de Vulnerabilidades a la red interna e infraestructura TI. Esta
prueba se realizó para evaluar la postura defensiva y proporcionar asistencia de seguridad a través de
la identificación de las vulnerabilidades de forma proactiva, validando su gravedad, y la
disponibilidad para los pasos de corrección.
Resumen de Fortalezas
La tarea de encontrar los problemas y vulnerabilidades relacionados con el medio tecnológico actual
es útil saber cuándo aparecen resultados positivos. La comprensión de los puntos fuertes del entorno
actual puede reforzar las mejores prácticas de seguridad y proporcionar la estrategia y la dirección
hacia una postura defensiva sólida. Los siguientes rasgos fueron identificados como puntos fuertes
en el entorno del desarrollo de dicho análisis.
Recomendaciones estratégicas
No todos los fallos de seguridad son de carácter técnico, ni pueden todos ser remediados por personal
de seguridad. Las empresas a menudo tienen que centrarse en los problemas de seguridad de la raíz
y resolverlos en su núcleo. Estos pasos estratégicos son los cambios en la política operativa de la
organización. Y se recomienda las siguientes medidas estratégicas para mejorar la seguridad de la
empresa.
1. Resumen vulnerabilidades
CONFIDENCIAL Página |9
Los analistas de Cy Cremalleras S.A llevna a cabo una prueba de analisis de vulnerabilidades (En la
red) desde el 15/05/2019 hasta el 31/05/2019. Esta evaluación utiliza herramientas tanto comerciales
como propietarias para la asignación inicial y de reconocimiento de la infraestructua, así como
herramientas personalizadas y scripts para vulnerabilidades únicas. Durante el análisis automatizado
y manual, los evaluadores trataron de aprovechar las vulnerabilidades descubiertas y prueba de los
fallos de seguridad clave. Las siguientes vulnerabilidades estaban decididas a ser de alto riesgo, sobre
la base de varios factores, incluyendo la criticidad de los activos, la probabilidad de amenazas, y la
gravedad de la vulnerabilidad.
Resumen
Un análisis a la infraestructura y red de Cy Cremalleras S.A. Se encontraron las siguientes
vulnerabilidades, lo que indica la calificación de riesgo global de las redes en el ámbito de aplicación
es Alto.
C= Critico
H=Alto
M=Medio
L=Bajo
En la siguiente tabla se describen los riesgos más destacados y comunes entre las estaciones de trabajo
y servidores analizados
aprobados) o superior
en su lugar.
C8 Detección de puerta Critico
trasera de concha de
enlace Verifique si el host
remoto ha sido
comprometido y
vuelva a instalar el
sistema si es
necesario.
C10 Detección de puerta Critico Vuelva a descargar el
trasera UnrealIRCd software, verifíquelo
utilizando las sumas
de comprobación
MD5 / SHA1
publicadas y vuelva a
instalarlo.
C14 Sistema operativo Critico Actualice a una
Unix Detección de versión del sistema
versión no compatible operativo Unix que
actualmente es
compatible
3. Gráfico de vulnerabilidades
➢ Topología
➢ Cantidad de servidores
CONFIDENCIAL P á g i n a | 11
4. Proceso y Metodología
Se utilizo una metodología integral para proporcionar una revisión de seguridad web confiable. Este
proceso comienza con la exploración detallada y la investigación en la arquitectura y el medio
tecnológico, con el rendimiento de la prueba automatizada para vulnerabilidades conocidas. Manual
de la explotación de las vulnerabilidades sigue, con el fin de detectar los fallos de seguridad web.
Reconocimiento
Previo al análisis de vulnerabilidades, el primer paso para una prueba de penetración en la red es
recabar la mayor información posible acerca de los sistemas en su alcance. El objetivo principal de
este proceso es posible localizar los datos cruciales acerca de los sistemas operativos y sus servicios
proporcionando la base para una prueba de penetración a medida. Reconocimiento se lleva a cabo a
través de los escáneres automáticos (tales como Nessus), así como las huellas digitales del servidor
y el descubrimiento.
.
Exploración y Verificación
Los resultados de la exploración automatizada, junto con su conocimiento experto y experiencia, para
llevar a cabo finalmente un análisis de seguridad manual de la infraestructura de red del cliente.
Nuestros asesores intentan explotar y obtener acceso no autorizado a los datos remota y sistemas.
Los resultados detallados de tanto el análisis de vulnerabilidades y la prueba manual se muestran en
las tablas siguientes
CONFIDENCIAL P á g i n a | 13
RECOMENDACIONES
Debido al impacto en la organización general como al descubierto por esta prueba de penetración,
deben asignarse recursos para asegurar que los esfuerzos de remediación se lograran de manera
oportuna.
• Aplicar y hacer cumplir la aplicación de control de cambios en todos los sistemas: Error de
configuración y problemas de implementación inseguros fueron descubiertos a través de los
diferentes sistemas. Las vulnerabilidades que se presentaron pueden ser mitigados mediante el uso
de procesos de control de cambio en todos los sistemas de servidor.
• Implementar un programa de gestión de parches: Operar un programa de gestión de revisión
consistente. Esto ayudará a limitar la superficie de ataque que resulta de ejecutar sin parchear
servicios internos.
• Llevar a cabo evaluaciones de vulnerabilidad: Así permitirá a la organización a determinar si los
controles de seguridad están instalados correctamente,