INSTITUTO PROFESIONAL DuocUC

Guías de Apoyo
Taller de Seguridad en Redes

Guía Nro.1 Evaluación y cuantificación de riesgos por medio de herramientas.

Introducción

Evaluación de Vulnerabilidades

El objetivo de esta evaluación es el de conocer los puntos de exposición de los sistemas de

información del negocio que puedan degenerar en un riesgo para los activos de información del
mismo.

Para conocer de las vulnerabilidades que pudiesen presentar los sistemas es necesario realizar
un análisis completo de la infraestructura de TI del negocio, para así proceder a revisar los
sistemas críticos, entre otros puntos se revisan: la disposición de la red de datos, la
configuración de los sistemas operativos, los dispositivos de red (ruteadores, switches) que
sean relevantes al análisis, la condición de los "parches" de los sistemas operativos críticos, la
configuración de dispositivos de seguridad (firewall, IDS, etc) etcétera.

Como entregable de la evaluación de vulnerabilidades se proporcionan tanto los hallazgos de la

misma y sus posibles impactos como las recomendaciones para mitigar los riesgos que
conllevan las vulnerabilidades encontradas.

Pruebas de penetración

Las pruebas están enfocadas en su totalidad a la infraestructura de información del negocio,

por consiguiente, según la información que deba ser protegida, se determinan las estructuras y
las herramientas de seguridad; no a la inversa.

Las pruebas de penetración o "ethical hacking", son un conjunto de metodologías y técnicas

para realizar una evolución integral de las debilidades de los sistemas informáticos.
Consiste en un modelo que reproduce intentos de acceso a cualquier entorno informático de un
intruso potencial desde los diferentes puntos de exposición que existan, tanto internos como
externos.

El objetivo general del ethical hacking es acceder a los equipos informáticos de la organización
analizada e intentar obtener los privilegios del administrador del sistema, logrando así realizar
cualquier tarea sobre esos equipos. También se podrán definir otros objetivos secundarios que
permitan realizar pruebas puntuales sobre algunos ámbitos particulares de la empresa.

Orlando Ulloa Escobar

 INSTITUTO PROFESIONAL DuocUC
Guías de Apoyo
Taller de Seguridad en Redes

Análisis de riesgo

Este tipo de análisis, a diferencia de las pruebas de penetración o la evaluación de

vulnerabilidades, el enfoque es de carácter estratégico ya que independientemente de los
riesgos particulares, fruto de una vulnerabilidad y exposición de un sistema específico existen
riesgos inherentes a gestionar información crítica del negocio en sistemas informáticos.

Entre los beneficios de llevar a cabo un análisis de riesgo esta el de conocer las implicaciones
en términos financieros de manejar la infamación del negocio en un determinado sistema de
información, así como conocer de las posibles mejoras y acciones preactivas para reducir el
riesgo al mínimo posible.

Desarrollo e implementación de políticas de seguridad

El contar con políticas adecuadas es primordial en cualquier negocio, es así que para poder
implementar un plan de seguridad de la información es necesario contar con políticas que
normen la actividad de los usuarios, sistemas, y demás actores que manejan información a
través de los sistemas electrónicos.

Las políticas de uso de los sistemas de información son la base, guía y justificación de todos
los demás esfuerzos que se realizan en esta materia.

En esta clase de compromisos, nuestros consultores realizan una tarea conjunta con la gente
clave del negocio así como con la dirección general ya que el desarrollo de estas políticas debe
contar con el apoyo de todas las áreas de la compañía.

Diseño de arquitecturas de seguridad

En el diseño de un arquitectura de seguridad se tiene como objetivo el contemplar el flujo de

información del negocio en su totalidad, para así desplegar controles tanto preventivos como
correctivos tocando puntos que van desde la clasificación de la información, de los usuarios y
sistemas, hasta la plantación de la implementación de controles por medio de herramientas.

Análisis e implementación del estándar de seguridad ISO 177991

El estándar ISO 17779 es un compendio de las "mejores practicas" en seguridad de la

información. Un estándar genérico de seguridad reconocido internacionalmente.

La implementación de estas prácticas proporciona a las empresas la certeza de que se esta

homologado con las prácticas de las entidades lideres en el mundo lo que proporciona una
ventaja competitiva a la hora de hacer negocios en el mundo.

Análisis forense

La investigación forense en computación es el conjunto de herramientas y técnicas que son

necesarias para encontrar, preservar y analizar pruebas digitales que resulten de un incidente
que comprometa la confidencialidad, integridad o disponibilidad de un sistema.

El resultado de los hallazgos pueden contribuir a deslindar responsabilidades después de un

evento dañino para el negocio.

Diseño de Plan de Recuperación en caso de desastre(DRP) )

Orlando Ulloa Escobar

 INSTITUTO PROFESIONAL DuocUC
Guías de Apoyo
Taller de Seguridad en Redes

El implementar un plan de recuperación tiene como propósito el asegurar que el negocio pueda
seguir operando aun cuando sus activos, personal, o entorno hallan sufrido daños o
perturbaciones consecuencia de un evento extraordinario natural o humano.

En el diseño del plan es preciso que se involucre a todos los ámbitos de la organización para
diseñar planes, procedimientos, equipos de trabajo y herramientas para preservar la operación
de los sistemas de información.

Ejercicio Nro. 1 Evaluación de Vulnerabilidades

 Instalar una herramienta que nos ayude a determinar cuales son las
vulnerabilidades de nuestros equipos en la red para lo cual se recomienda
instalar en un equpo con Windows XP o Server 2003 Security Center Pro
1.3.2 descargado desde http://www.lan-secure.com/downloads.htm

 Instalar el Software Languard Network Security Scanner en un equipo

con Sistema operativo Windows, la cual puede ser descargado desde el sitio
http://www.gfi.com/downloads/downloads.aspx?pid=LANSS&lid=EN

 Realizar el análisis de vulnerabilidades sobre varios equipos con estas dos

herramientas y posteriormente compararlos.

Orlando Ulloa Escobar

 INSTITUTO PROFESIONAL DuocUC
Guías de Apoyo
Taller de Seguridad en Redes

Ejercicio Nro. 2 Corrección de Vulnerabilidades

 Las herramientas de detección de vulnerabilidades además de dar el

diagnostico de la vulnerabilidades encontradas dan la alternativa para
solucionar el problema encontrado, en el presente ejercicio se deben
implementar las medidas correctivas a las vulnerabilidades encontradas.

 Posteriormente se deben volver a ejecutar las herramientas de análisis hasta

que estas no encuentres vulnerabilidades que mejorar.

Es importante mencionar que en seguridad existe una frase muy importante, la cual hay
que considerar cuando se trata de mantener la seguridad en las redes la frase es “La
seguridad es una forma de vida, una practica permanente, ya que lo que hoy es seguro
mañana no lo es”. Lo que implica que los análisis en busca de vulnerabilidades deben
ser periódicos ya que dia a dia se encuentran nuevas vulnerabilidades y aparecen nuevos
códigos maliciosos que explotan vulnerabilidades nuevas.

Ejercicio Nro. 3 Pruebas de penetración

 Realizar una prueba de penetración en un servidor web utilizando la

herramienta collapse la cual puede ser descargada desde
http://www.syhunt.com/section.php?id=collapse
 Instalar esta herramienta en un equipo con sistema operativo Microsoft, el
cual puede ser Windows 95, 98, ME, NT, 2000, 2003 or XP.
 Ejecutar la aplicación sobre un equipo con servidor web Internet Information
Service. IIS
 Ejecutar la aplicación sobre un equipo con servidor web apache 1.3.23

 Ejecutar la aplicación sobre un equipo con servidor web apache 2.x.x

Orlando Ulloa Escobar