Actividad_inicial_jorge_leonardo_ramirez_restrepo_grupo25.docx

ACTIVIDAD INICIAL DE RECONOCIMIENTO

1

ACTIVIDAD INICIAL DE RECONOCIMIENTO, PRESENTACIÓN Y ORGANIZACIÓN DE GRUPOS

Presentado por: JORGE LEONARDO RAMIREZ RESTREPO

TUTOR JOHN FREDY QUINTERO

ACTIVIDAD INICIAL

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA SEGURIDAD EN SISTEMAS OPERATIVOS PALMIRA FEBRERO DE 2016

ACTIVIDAD INICIAL DE RECONOCIMIENTO

2

TABLA DE CONTENIDO

1.

INTRODUCCION ............................................................................................................. 3

2.

OBJETIVOS ...................................................................................................................... 4 2.1

Objetivo General: ....................................................................................................... 4

2.2

Objetivos Específicos: ................................................................................................ 4

3.

DESARROLLO DE LA ACTIVIDAD ............................................................................. 5

4.

CONCLUSIONES ........................................................................................................... 14

5.

REFERENCIAS .............................................................................................................. 15

ACTIVIDAD INICIAL DE RECONOCIMIENTO 1.

3

INTRODUCCION

Es conocido que la seguridad en los sistemas de información se ha convertido en una necesidad que no da espera en la actualidad, todo sistema debe brindar al usuario las garantías y parámetros que le permitan depositar y almacenar su información con la confidencialidad y acceso establecido. Las frecuentes apariciones de vulnerabilidades en los sistemas, las cuales conllevan a accesos no deseados, afectando incluso el software vital para el funcionamiento de las redes por medio de distantes clases de virus, las cuales pueden pretender solamente hacer daño a la red hasta el robo total de la información. Es por lo anterior que la seguridad de la información pasa a ser elemento fundamental en la actual sociedad digital de negocios. En la siguiente actividad de reconocimiento, se realizara una contextualización del caso de vulnerabilidad en la información de la multinacional PyR, llevando a cabo un análisis de su situación actual e indicando con esto las metodologías que se pueden implementar para llevar a cabo un Ethical Hacking , logrando a futuro con sus resultados darle el punto de credibilidad, confiabilidad y estabilidad en cada una de las operaciones que realice la empresa en sus sistemas de información, mediados por diferentes sistemas operativos en cada una de sus sedes.

ACTIVIDAD INICIAL DE RECONOCIMIENTO 2. 2.1

OBJETIVOS

Objetivo General: Reconocer los conceptos necesarios para llevar a cabo la solución a la problemática planteada

2.2

Objetivos Específicos: -

Analizar la situación de seguridad de información en la que se ve inmersa la multinacional PyR

-

Establecer los parámetros a tener en cuenta dentro de un esquema de seguridad en sistemas operativos.

-

Brindar diferentes alternativas de solución utilizadas por los hackers éticos.

-

Determinar las bases necesarias para dar continuidad a la temática en los siguientes momentos de evaluación del curso.

4

ACTIVIDAD INICIAL DE RECONOCIMIENTO 3.

5

DESARROLLO DE LA ACTIVIDAD

Análisis de la situación Multinacional “PyR Latín Corporation”

Parámetros a tener en cuenta: - El negocio está siendo afectado por la pérdida de información -La información se ha filtrado a la competencia -La indisponibilidad de sus sistemas afecta el tiempo de respuesta hacia los clientes. -Las caídas o fallos en el sistema afecta la productividad de sus áreas de producción afecta el cumplimiento de las metas de ventas trimestrales.

¿Que se busca? Realizar un auditoria a los sistemas y presentar una metodología donde se desarrolle internamente un Ethical Hacking enfocado en los sistemas informáticos que corren sobre los diferentes sistemas operativos que ha implementado la empresa, con los resultados llevar a cabo las mejoras y controles al sistema.

ACTIVIDAD INICIAL DE RECONOCIMIENTO

6

Análisis de los riesgos: Al pretender implementar un sistema que proteja la información, se deben considerar las partes que lo componen, identificar sus vulnerabilidades, de esta manera considerar el impacto de cada amenaza dentro del sistema. Se deben considerar cada uno de los siguientes elementos durante la etapa de análisis:

Activos: Conformados por los datos, software, hardware, redes, soportes, instalaciones, personal y servicios. Amenazas: Existen amenazas de tipo físico (fallas eléctricas, daños en el hardware o peligros ambientales), fallos de usuario, software malicioso, pérdida o robo de la información. Riesgos: Aquí se miden las vulnerabilidades del sistema, se determinan las acciones a realizar que van desde asumirlo sin llevar acción alguna, aplicar medidas de acción frente a la vulnerabilidad o contratar a un tercero para que se ha cargado de la situación. Vulnerabilidades: Aquí se mide las posibilidades de que las amenazas hagan efecto sobre los activos del sistema Ataques: Cuando hace efecto una amenaza se considera que el ataque esta o ha sido realizado. Estos se clasifican en: activos (cuando se edita, daña, elimina o adicionan datos, también cuando se satura o colapsan los sistemas de comunicación) o pasivos (cuando se ingresa al sistema solamente, sin tomar medida alguna el atacante). Impactos: Aquí se conoce la magnitud de los ataques.

El proceso de análisis de riesgos consta de un esquema lógico el cual está conformado por parámetros tales como: -

Realizar el inventario y valoración los activos que conforman el sistema.

ACTIVIDAD INICIAL DE RECONOCIMIENTO -

Identificar y clasificar las medidas de protección.

-

Reconocer y medir las amenazas que pongan en peligro la seguridad de cada uno de los

7

activos. -

Considerar las medidas de seguridad existentes y hacer su respectiva evaluación.

-

Saber cuáles son los parámetros de seguridad que busca de la organización.

-

Identificar y valorar las vulnerabilidades de los activos a las amenazas que les afectan.

-

Establecer sistemas de medición de riesgos existentes.

-

Indicar el alcance y consecuencias que produciría un ataque.

Metodologías de “Ethical Hacking” que se pueden implementar para evaluar los riesgos y vulnerabilidades en el sistema:

Luego de evaluar los diferentes parámetros por parte del equipo auditor, se debe definir cual de las metodologías Ethical Hacking será implementada, de acuerdo a los objetivos que se plantea el equipo de trabajo y la empresa. A continuación se exponen las metodologías mas utilizadas:

ISSAF (Information Systems Security Assessment Framework): Utilizado principalmente para el cumplimento de los requisitos de evaluación de las organizaciones y sus resultados pueden utilizarse como punto de partida para implementar todo lo relacionado con la seguridad de la información. Esta metodología estructurada, realiza análisis de seguridad en diferentes dominios y especificaciones de pruebas para cada uno de ellos. Tiene como objetivo brindar detalladamente los procedimientos para el testing en los sistemas de información antes situaciones reales. Su metodología fue diseñada para

ACTIVIDAD INICIAL DE RECONOCIMIENTO

8

evaluar los sistemas, redes de trabajo y control en las aplicaciones. Por otra parte se considera a esta metodología capaz de obtener un panorama completo de las vulnerabilidades presentes en el sistema, mediante una matriz de riesgos donde se verifica la efectividad de los controles a implentar.

OWASP (Open Web Application Security Project): Su metodología está basada en la seguridad de aplicaciones, permitiendo costos que trae implementar un software inseguro y el impacto que este tiene sobre los sistemas de información de la organización. Las principales características del modelo OWASP son: Pruebas de firma digital de aplicaciones Web. Comprobaciones del sistema de autenticación. Pruebas de Cross Site Scripting. Inyección XML Inyección SOAP HTTP Smuggling Sql Injection LDAP Injection Polución de Parámetros Cookie Hijacking Cross Site Request Forgery

ACTIVIDAD INICIAL DE RECONOCIMIENTO

9

OFFENSIVE SECURITY: Siendo la metodología para el desarrollo de pruebas de penetración más usada en el mundo, se indican los métodos que permiten la aplicación de los estudios de seguridad enfocados en la seguridad ofensiva. Independiente de los riesgos o vulnerabilidades posibles, esta metodología abarca todos los aspectos del sistema. Sus principales características son: -

Enfoque sobre la explotación real de las plataformas.

-

Enfoque altamente intrusivo.

-

Enfoque orientado a resultados tangibles y no a estadísticas generadas por herramientas.

OSSTMM (Open-Source Security Testing Methodology Manual). En esta metodología se las evalúan diferentes las áreas de la organización, permitiendo conocer los niveles de seguridad presentes en la infraestructura que será auditada, estos análisis buscan establecer los siguientes criterios: -

Visibilidad

-

Acceso

-

Confianza

-

Autenticación

-

Confidencialidad

-

Privacidad

-

Autorización

-

Integridad

-

Seguridad

-

Alarma

ACTIVIDAD INICIAL DE RECONOCIMIENTO 4.

10

TABLA DE ROLES

Participante Jorge Leonardo Ramirez Kevin David Martínez Contreras Rafael Augusto Guarín José Divino Sánchez John Fredy Quintero

Rol de trabajo colaborativo Líder : Comunicador Dinamizador del Proceso Vigía del Tiempo Relator Utilero

ACTIVIDAD INICIAL DE RECONOCIMIENTO 5.

EVIDENCIAS DE APORTES EN EL FORO

11

ACTIVIDAD INICIAL DE RECONOCIMIENTO

12

ACTIVIDAD INICIAL DE RECONOCIMIENTO

13

ACTIVIDAD INICIAL DE RECONOCIMIENTO 6. -

14

CONCLUSIONES

Al reconocer que un sistema posee riesgos en la seguridad de su información, es el primero paso para concientizar y evaluar cuáles serán las medidas a tomar, de acuerdo a las políticas de la empresa y el análisis de los resultados por parte de los equipo de hackers éticos.

-

Es de suma importancia reconocer las partes involucradas en el manejo de la información (usuarios, hardware, software y demás), con el fin de llevar a cabo el plan de acción sobre las vulnerabilidades que se puedan presentar en un sistema de información.

-

Evaluar las diferentes tipos de metodologías de Ethical Hacking permite al equipo de profesionales aplicar el procedimiento acorde al análisis previo realizado y al plan de acción y contingencia que se pretenda realizar.

-

Asignar los respectivos roles de trabajo colaborativo, permite una dinámica de trabajo coherente a la metodología de estudio basada en e-learning.

ACTIVIDAD INICIAL DE RECONOCIMIENTO 7.

15

REFERENCIAS

Blog La Seguridad Informática hoy. Metodologías y Herramientas de Ethical Hacking. Disponible en: http://seguridadinformaticahoy.blogspot.com.co/2013/02/metodologias-yherramientas-de-ethical.html

Universidad Nacional Abierta y a Distancia. ISSAF. Disponible en: http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/leccin_29_issaf.html

Revistas Bolivianas. Metodologías Ethical Hacking. Disponible en: http://www.revistasbolivianas.org.bo/pdf/rits/n8/n8a12.pdf

Universidad Nacional Abierta y a Distancia. Seguridad Informática. Disponible en: http://campus03.unad.edu.co/ecbti04/pluginfile.php/3840/mod_page/content/1/526/Unidad_ 1_tema_2/Seguridad_informatica_Aguilera_Lopez_8-27.5-23.pdf

Monografías. Ethical hacking: Test de intrusión. Principales metodologías. Disponible en: http://www.monografias.com/trabajos71/ethical-hacking-test-intrusion-metodologias/ethicalhacking-test-intrusion-metodologias.shtml