Post on 07-Nov-2015
description
67
ltimo, la forma de contribuir con la lucha contra el robo de celulares al
identificar de qu forma estos, al ser hurtados, se puedan dejar inservibles.
Los desafos del Cloud Computing: Esta infografa muestra a travs de 5
pasos, los retos para los usuarios y administradores de plataformas que
hacen uso del Cloud Computing en sus Sistemas de Informacin, hace
referencia los desafos en las fases y como deben ser abordados para obtener
resultados ideales y con la menor cantidad de riesgo existente.
7.3. PGINA WEB WWW.EXPLOITSABANATEAM.COM
Se ha creado el portal www.ExploitSabanaTeam.com, este ser el medio por el
cual se publicarn Noticias, Tutoriales, Actualizaciones, Legislacin, Estndares
y dems relacionado con Seguridad de La Informacin especialmente a Nivel
Nacional, recopila informacin de fuentes confiables que se identificaron en el
trascurso de la investigacin, como Portales de Noticias, Compaas
desarrolladoras de software de seguridad, entre otros.
Figura 3. Pgina www.ExploitSabanaTeam.com
http://www.exploitsabanateam.com/http://www.exploitsabanateam.com/68
7.4. TWITTER @EXPLOITUSTEAM
FACEBOOK.COM/EXPLOITSABANATEAM
Por medio de las redes sociales populares como Twitter y Facebook, se dar a
conocer las novedades relacionadas con el mundo de la Seguridad de La
Informacin, ser un Feed de noticias, aparicin en los medios, eventos y todo lo
que gira alrededor del mundo de la Seguridad de la Informacin.
Figura 4. Facebook Exploit Sabana Team
Figura 5.Twitter @ExploitUSTeam
69
8. CONCLUSIONES
Al empezar este trabajo de investigacin se parti con la idea de que se
necesitaba un anlisis del estado actual de la seguridad de la informacin en
cuanto a legislacin, estndares y normatividad, sin embargo se identificaron otras
partes en el proceso de aseguramiento de Sistemas de Informacin que son muy
importantes, como las iniciativas del gobierno a travs de estrategias y grupos de
apoyo para incidentes relacionados con seguridad de la informacin, a pesar que
Colombia est lejos de los pases lderes en Seguridad Informtica como
mecanismo de Ciberdefensa, es uno de los destacados en la regin por este tipo
de iniciativas y la gestin de uno de los mejores ministerios, como es el MinTIC,
el vaco identificado en este aspecto es la falta de proliferacin de la informacin.
A lo largo del Proyecto de Investigacin la frontera de consulta se expandi debido
a la cantidad de procesos, datos, informacin y componentes involucrados,
especialmente en el anlisis de las vulnerabilidades y sus impactos en el proceso
de definicin, gestin e implementacin de una estrategia efectiva para
contrarrestar las amenazas por parte de los ataques maliciosos a Sistemas de
Informacin expuestos a internet, se concluye que para realizar un trabajo en
produccin aplicando lo visto en la Investigacin, se necesita la participacin
activa de todos los involucrados en los procesos de presupuesto, diseo,
implementacin y puesta en marcha de un servicio web y/o aplicativo.
Con el anlisis realizado se pudo identificar que a nivel mundial la tendencia se
mantiene, a travs de los aos las vulnerabilidades y su esencia no ha cambiado,
a pesar de la evolucin de las tecnologas, sin embargo se ha visto un avance en
las tcnicas de penetracin y ataque por parte de delincuentes, por esto se llega
a la conclusin que el Profesional de la Seguridad de La Informacin debe estar
siempre actualizado aplicando los ltimos mecanismos de defensa para mantener
un nivel de aseguramiento de los Sistemas de Informacin adecuado.
70
A travs de la gua metodolgica se logr identificar un factor muy importante, que
es la contextualizacin del problema, es posible que esta sea la causa de
procedimientos errneos en cuanto a remediacin de vulnerabilidades
informticas, ya que el profesional tiene una referencia de por qu, por cul
agujero y de qu forma puede ser atacado, sino simplemente se limita a aplicar
las herramientas y parches sugeridos, sin saber con certeza si los procedimientos
son los adecuados para el tipo de vulnerabilidad, esto deriva a que el conocimiento
por parte de Profesional de la Seguridad de la informacin debe tener una visin
global acerca de su infraestructura, la gua no reemplaza una auditora de
seguridad de la informacin, pero si puede mostrar el estado actual de la
organizacin objetivo a muy bajo costo.
Las empresas, sin importar su tamao e infraestructura encontrarn en el trabajo
de investigacin una referencia importante en su accionar y traza de objetivos en
cuanto a niveles de aseguramiento de la informacin, se concluye que la teora es
muy importante pero que nada vale si no se inculca una consciencia y se asume
una responsabilidad sobre el uso y las buenas prcticas en diferentes ambientes,
como la tecnologa mvil, cloud computing, aplicativos web y relacionados; en
cada uno de los involucrados en los procesos de las compaas. Se debe dar la
importancia necesaria a la Seguridad de la Informacin, tanto en esfuerzo humano
como en presupuesto por parte de la alta gerencia. En este punto es cuando toma
valor la implementacin de campaas de sensibilizacin con relevancia social
sobresaliente.
Para finalizar, el Trabajo de Investigacin, presenta un escenario para los
profesionales de las TIC y los estudiantes que motiva a profundizar ms en el
tema de la Seguridad de la Informacin, a nivel acadmico son las primeras
piedras para el avance en este campo, para retomar esta iniciativa, especialmente
71
a la que tiene que ver con el Grupo de Investigacin; se concluye que a pesar de
los esfuerzos de limitar este tema, el campo de conocimiento es muy amplio y
necesario entender, que requiere de un estudio a profundidad para cubrir todos
los componentes involucrados para la Ciberdefensa a nivel empresarial.
9. RECOMENDACIONES
El profesional de la seguridad de la informacin no se debe limitar con las
herramientas presentadas en este trabajo de investigacin, se sugiere la
bsqueda de tcnicas y metodologas que complementen lo presentado
anteriormente, esto en pro de motivar e incentivar el aprendizaje y el inters en
este campo.
Se recomienda consultar no solo el Top. 5 de vulnerabilidades que ms impacto
generen, si no todos los fallos posibles, porque en realidad una vulnerabilidad
representa una debilidad que puede ser trasformada en riesgo inmediatamente,
da a da las bases de datos de ataques y vulnerabilidades se estn actualizando
evidenciando un crecimiento notable en los ltimos aos debido a la facilidad de
acceso por parte del pblico en general a la tecnologa, esto los hace objetivos y
blancos fciles para ser atacados.
A nivel gubernamental, se destacan las iniciativas en pro de la seguridad, sin
embargo se sugiere que se publicite, informe y se realicen campaas que
publiciten dichas iniciativas, que hagan participe a la comunidad en general en
todos los niveles socio-econmicos del pas, se enteren del qu, el por qu y el
para qu y as se convierta la Seguridad de la Informacin en poltica defensa
nacional.
72
Para finalizar, se recomienda la capacitacin y certificacin de los profesionales
de la seguridad y/o Administradores de sistemas en cuanto a lo mencionado en el
trabajo de investigacin, realizar procesos de aseguramiento y defensa a
amenazas requiere un nivel de destreza y conocimiento bastante amplio.
73
10. BIBLIOGRAFA
PCI Security Standards Council. (12 de Enero de 2014). Acerca del PCI Security Standards
Council. Obtenido de https://es.pcisecuritystandards.org/minisite/en/about.php
27001 Academy. (20 de Enero de 2013). 27001Academy. Obtenido de
http://www.iso27001standard.com/es/que-es-iso-27001/
Aguilera Lpez, P. (2010). Seguridad informtica. Madrid.
Almanza, A. (2014 de Junio de 2014). ACIS: Revista Sistemas. Recuperado el 8 de Octubre de
2014, de http://acis.org.co/revistasistemas/index.php/component/k2/item/164-
tendencias-2014-encuesta-nacional-de-seguridad-inform%C3%A1tica
lvarez Huerta, L. (30 de Mayo de 2014). OpenWebinars.net. Obtenido de
https://openwebinars.net/openvas-en-linux-explorando-nuestros-sistemas/
Arias, R. (1 de Enero de 2013). Seguro de Estar Seguro. Obtenido de
http://segurodeestarseguro.blogspot.com/2013/01/metodologias-de-hacking-
etico_1.html
Balanta, H. (15 de Junio de 2014). DerechoInformtico.co. Obtenido de
http://derechoinformatico.co/legislacion-que-protege-la-informacion-en-colombia/
Benjumea, O. (10 de Noviembre de 2010). Sabes diferenciar la ISO 27001 y la ISO 27002?:
RedSeguridad.com. Recuperado el 8 de Octubre de 2014, de
http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la-iso-27001-y-
la-iso-27002
Bloomberg Businessweek. (12 de Enero de 2014). Company Overview of The MITRE
Corporation.
CERT SEI. (s.f.). About Us: CERT. Obtenido de http://www.cert.org/about/
CLAD. (1 de Junio de 2007). Centro Latinoamericano de Administracin para el Desarrollo.
Recuperado el 9 de Junio de 2014, de http://programa.gobiernoenlinea.gov.co/apc-
aa-files/92e2edae878558af042aceeafd1fc4d8/cartagobelec.pdf
CRC, C. d. (23 de Diciembre de 2009). Resolucin 2258 de 2009. Recuperado el 2014 de
Octubre de 2014, de
http://www.etb.com.co/guiadeconsulta/contratos/Resolucion_2258.pdf
DISA. (s.f.). Our Work: DISA 101. Obtenido de http://www.disa.mil/About/Our-Work
74
El Espectador. (17 de Mayo de 2014). De Andrmeda a los 'hackers'. Obtenido de
http://www.elespectador.com/noticias/investigacion/de-andromeda-los-hackers-
articulo-492933
Enter.CO. (05 de Febrero de 2014). Buggly, la comunidad en la que el ejrcito camufl a sus
hackers. Obtenido de http://www.enter.co/chips-bits/seguridad/asi-es-la-presunta-
fachada-de-la-central-de-hackeo-del-ejercito/
Gallardo, S. (2014). Ms All de las TIC en MinDefensa. Revista Sistemas, 20-22.
Gonzlez Prez, P., Snchez Garcs, G., & Soriano de la Cmara, J. M. (2013). Pentesting con
Kali. Madrid: 0xWord.
Gonzlez Prez, P., Snchez Garcs, G., & Soriano, J. M. (2013). Pentesting con Kali. Madrid:
0xWord.
Hernandez, A. (1 de Agosto de 2011). InfoSecurity: InSeguridad de la Informacin en la
Empresa Colombiana. Recuperado el 7 de Octubre de 2014, de
http://www.infosecurityvip.com/newsletter/estadisticas_ago11.html
ISACA. (s.f.). Acerca de. Obtenido de http://www.isaca.org/spanish/Pages/default.aspx
Lozano Vila, A. (14 de Febrero de 2008). Sistema de Administracin del Riesgo de Lavado de
Activos y de la Financiacin del Terrorismo. Recuperado el 6 de Octubre de 2014, de
https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rj
a&uact=8&ved=0CB0QFjAA&url=http%3A%2F%2Fwww.sarlaft.com%2Fhtml%2FRES
UMEM%2520NORMA%2520TECNICA%2520COLOMBIANA%2520NTC%252052541.d
oc&ei=52c5VOL8JrWCsQTmpICgBg&usg=AFQjCNHAWxS8LZh9QN8Q
Marcela Daz Sandoval. (21 de Marzo de 2014). El Espectador. Obtenido de
http://www.elespectador.com/tecnologia/colombia-lider-inseguridad-informatica-
latina-articulo-482097
Martnez Rodrguez, J. C. (27 de Noviembre de 2014). La desmitificacin de los hacker.
Obtenido de http://www.elespectador.com/noticias/investigacion/los-hackers-
contexto-articulo-530053
Mifsud, E. (Lunes de Marzo de 2012). Datateca Universidad Nacional Abierta y a Distancia.
Obtenido de
http://datateca.unad.edu.co/contenidos/233001/Material/Unidad%20I/Proteccion_
seguridad_infomatica.pdf
MinTic. (Julio de 14 de 2011). Ministerio TIC. Obtenido de
http://www.mintic.gov.co/portal/604/articles-3510_documento.pdf
MinTIC. (1 de Diciembre de 2011). MinTIC: Gobierno en Lnea. Recuperado el 8 de Octubre
de 2014, de http://programa.gobiernoenlinea.gov.co/apc-aa-
75
files/da4567033d075590cd3050598756222c/Modelo_Seguridad_Informacion_2_0.
OWASP. (2014 de Noviembre de 2014). Sobre OWASP. Obtenido de
https://www.owasp.org/index.php/Sobre_OWASP
OWASP, F. (2013). OWASP Project Top 10 - 2013.
Pacheco, F. (10 de Septiembre de 2013). ESET: WeLiveSecurity. Recuperado el 7 de Octubre
de 2014, de http://www.welivesecurity.com/la-es/2010/09/10/la-importancia-de-
un-sgsi/
Pacheco, F., & Jara, H. (2012). Ethical Hacking . Buenos Aires: USERS.
Piraquive, F. N. (2008). Principales estndares para la seguridad de la informacin IT. Revista
EOS, 77-109.
RAE. (1 de Septiembre de 2013). Diccionario panhispnico de dudas. Obtenido de
http://lema.rae.es/dpd/srv/search?key=hacker
Red, H. e. (15 de Agosto de 2012). Tipos de Hackers, Hackers en La Red. Obtenido de
https://hackersenlared.wordpress.com/2012/08/15/tipos-de-hackers/
SANS. (s.f.). About Us: SANS. Obtenido de http://www.sans.org/about/
Santos, P. J. (7 de Febrero de 2014). Agencia Nacional de Seguridad Ciberntica. (R. Radio,
Entrevistador)
Superfinanciera, C. (25 de Octubre de 2007). Circular Externa 052 de 2007. Recuperado el 25
de Octubre de 2014, de
https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rj
a&uact=8&ved=0CCEQFjAB&url=https%3A%2F%2Fwww.superfinanciera.gov.co%2F
descargas%3Fcom%3Dinstitucional%26name%3DpubFile7553%26downloadname%
3Dce05207.docx&ei=d4k-VK7HC_j8sAS924GgCA&usg
SYMANTEC CORP. (1 de Junio de 2014). Obtenido de Informe sobre las amenazas para la
seguridad de los sitios web: 2014: https://www.symantec-
wss.com/campaigns/15106/cala4/assets/symantec-wstr-2014-cala.pdf
SYMANTEC. (s.f.). Glosario de Seguridad 101. Obtenido de
http://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad
UNAD. (21 de Enero de 2014). Universidad Nacional Abierta y a Distancia: Test de
Penetracin. Obtenido de
http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/leccin_26_test_de_pen
etracin.html
Witigo's Blog. (8 de Enero de 2014). Witigo's Blog. Obtenido de
http://witigo.wordpress.com/seguridad/nessus/%C2%BFque-es-nessus/
76
11. ANEXOS
11.1. ANEXO No. 1 LEGISLACIN COLOMBIANA
Ley 527 de 1999: Por medio de la cual se define y reglamenta el
acceso y uso de los mensajes de datos, del comercio electrnico y
de las firmas digitales, y se establecen las entidades de certificacin
Ley 1032 de 2006: Modifica el Cdigo Penal en especial, sobre la
prestacin, acceso o uso ilegales de los servicios de
telecomunicaciones y Violacin a los mecanismos de proteccin de
derecho de autor y derechos conexos, y otras defraudaciones
Ley 1266 de 2008: Se dictan las disposiciones generales del
hbeas data y se regula el manejo de la informacin contenida en
bases de datos personales, en especial la financiera, crediticia,
comercial, de servicios y la proveniente de terceros pases
Ley 1273 de 2009: Se modifica el Cdigo Penal, se crea un nuevo
bien jurdico tutelado denominado de la proteccin de la
informacin y de los datos- y se preservan integralmente los
sistemas que utilicen las tecnologas de la informacin y las
comunicaciones, entre otras disposiciones.
Ley 1581 de 2012: Se dictan disposiciones generales para la
proteccin de datos personales
Decreto 1377 de 2013: Por el cual se reglamenta parcialmente la
Ley 1581 de 2012 habeas data.
Ley 1712 de 2014: Se crea la ley de transparencia y del derecho
de acceso a la informacin pblica nacional.
Conpes 3701 de 2011
http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-527-de-1999/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1032-de-2006/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1266-de-2008/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1273-de-2009/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1581-de-2012/http://derechoinformatico.co/centro-de-documentacion/legislacion/decreto-1377-de-2013/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1712-de-2014/http://www.mintic.gov.co/portal/604/articles-3510_documento.pdf77
11.2. ANEXO No.2 SEGURIDAD DE LA INFORMACIN EN
LEGISLACIN
LEY / RESOLUCIN CIRCULAR TEMA
Ley 527 de 1999 - COMERCIO
ELECTRNICO
Por medio de la cual se define y reglamenta el
acceso y uso de los mensajes de datos, del
comercio electrnico y de las firmas digitales, y
se establecen las entidades de certificacin y se
dictan otras disposiciones
Ley 599 DE 2000
Por la cual se expide el Cdigo Penal. En esta
se mantuvo la estructura del tipo penal de
violacin ilcita de comunicaciones, se cre el
bien jurdico de los derechos de autor y se
incorporaron algunas conductas relacionadas
indirectamente con el delito informtico, tales
como el ofrecimiento, venta o compra de
instrumento apto para interceptar la
comunicacin privada entre personas. Se tipific
el Acceso abusivo a un sistema informtico,
as: Art. 195. El que abusivamente se
introduzca en un sistema informtico protegido
con medida de seguridad o se mantenga contra
la voluntad de quien tiene derecho a excluirlo,
incurrir en multa.
78
Ley 962 de 2005
Por la cual se dictan disposiciones sobre
racionalizacin de trmites y procedimientos
administrativos de los organismos y entidades
del Estado y de los particulares que ejercen
funciones pblicas o prestan servicios pblicos.
Prev el incentivo del uso de medios
tecnolgicos integrados para disminuir los
tiempos y costos de realizacin de los trmites
por parte de los administrados.
Ley 1150 de 2007
Por medio de la cual se introducen medidas para
la eficiencia y la transparencia en la Ley 80 de
1993 y se dictan otras disposiciones generales
sobre la contratacin con Recursos Pblicos.
Especficamente, se establece la posibilidad de
que la administracin pblica expida actos
administrativos y documentos y haga
notificaciones por medios electrnicos, para lo
cual prev el desarrollo del Sistema Electrnico
para la Contratacin Pblica, Secop.
Ley 1273 de 2009
Por medio de la cual se modifica el Cdigo
Penal, se crea un nuevo bien jurdico tutelado -
denominado de la proteccin de la informacin
y de los datos- y se preservan integralmente los
sistemas que utilicen las tecnologas de la
informacin y las comunicaciones, entre otras
disposiciones.
Ley 1341 de 2009
Por la cual se definen principios y conceptos
sobre la sociedad de la informacin y la
organizacin de las tecnologas de la
Informacin y las Comunicaciones TIC, se crea
79
la Agencia Nacional del Espectro y se dictan
otras disposiciones.
Resolucin de la Comisin de
Regulacin de Comunicaciones
2258 de 2009
Sobre seguridad de las redes de los
proveedores de redes y servicios de
telecomunicaciones. Esta resolucin modifica
los artculos 22 y 23 de la Resolucin CRT 1732
de 2007 y los artculos 1,8 y 2,4 de la Resolucin
CRT 1740 de 2007. Esta regulacin establece la
obligacin para los proveedores de redes y/o
servicios de telecomunicaciones que ofrezcan
acceso a Internet de implementar modelos de
seguridad, de acuerdo con las caractersticas y
necesidades propias de su red, que contribuyan
a mejorar la seguridad de sus redes de acceso,
de acuerdo con los marcos de seguridad
definidos por la UIT, cumpliendo los principios de
confidencialidad de datos, integridad de datos y
disponibilidad de los elementos de red, la
informacin, los servicios y las aplicaciones, as
como medidas para autenticacin, acceso y no
repudio. As mismo, establece obligaciones a
cumplir por parte de los proveedores de redes y
servicios de telecomunicaciones relacionadas
con la inviolabilidad de las comunicaciones y la
seguridad de la informacin.
Circular 052 de 2007
(Superintendencia Financiera
de Colombia)
Fija los requerimientos mnimos de seguridad y
calidad en el manejo de informacin a travs de
medios y canales de distribucin de productos y
servicios para clientes y usuarios.
80
Ley 1581 de 2012
Se reglamentan aspectos relacionados con la
autorizacin del Titular de la Informacin para el
Tratamiento de Sus datos personales, las
polticas de Tratamiento de los Responsables y
Encargados, el ejercicio de los derechos de los
titulares de informacin y las transferencias de
datos personales.
81
11.3. ANEXO No.3 PRINCIPIOS DE LA SEGURIDAD Y LA
INFORMACIN: NORMATIVIDAD Y ESTNDARES
12. NORMATIVIDAD Y ESTNDARES
CO
NF
IDE
NC
IAL
IDA
D ISO
/IE
C 2
7001
A.11.2 Gestin del acceso de usuarios
A.15.1 Cumplimiento de los requisitos legales
A.11.3 Responsabilidades de los usuarios
A.11.6 Control de acceso a las aplicaciones y a la informacin
A.12.3 Controles criptogrficos
A.12.4 Seguridad de los archivos del sistema
A.5.1 Poltica de seguridad de la informacin
A.10.6 Gestin de la seguridad de las redes
A.10.8 Intercambio de la informacin
NT
C 5
254
3.2.2 Establecimiento del contexto externo
3.3 IDENTIFICACIN DE LOS RIESGOS
3.4.3 Consecuencias y posibilidad
3.6 TRATAMIENTO DE LOS RIESGOS
RF
C 2
196
Poltica de Privacidad
Poltica de Acceso
Poltica de Autenticacin
Declaracin de Disponibilidad
Poltica de informes de incidentes o violaciones de seguridad
DIS
PO
NIB
ILID
AD
ISO
/IE
C 2
7001
A.10.10 Monitoreo
A.11.2 Gestin del acceso de usuarios
A.11.7 Computacin mvil y trabajo remoto
A.13.1 Reporte sobre los eventos y las debilidades de la seguridad de la
informacin
A.10.9 Servicios de comercio electrnico
A.10.5 Respaldo
A.5.1 Poltica de seguridad de la informacin
82
A.10.4 Proteccin contra cdigos maliciosos y mviles
A.12.6 Gestin de la vulnerabilidad tcnica
A.12.5 Seguridad en los procesos de desarrollo y soporte N
TC
5254
3.2.2 Establecimiento del contexto externo
3.2.5 Desarrollo de los criterios del riesgo
3.3 IDENTIFICACIN DE LOS RIESGOS
3.4.2 Evaluacin de los controles existentes
3.6 TRATAMIENTO DE LOS RIESGOS
3.7 MONITOREO Y REVISIN
RF
C 2
196
Declaracin de Disponibilidad
INT
EG
RID
AD
ISO
/IE
C 2
7001
A.12.3 Controles criptogrficos
A.10.5 Respaldo
A.12.4 Seguridad de los archivos del sistema
A.5.1 Poltica de seguridad de la informacin
A.10.8 Intercambio de la informacin
A.10.4 Proteccin contra cdigos maliciosos y mviles
NT
C 5
254
3.2.5 Desarrollo de los criterios del riesgo
3.3 IDENTIFICACIN DE LOS RIESGOS
3.4.3 Consecuencias y posibilidad
3.6 TRATAMIENTO DE LOS RIESGOS
RF
C 2
196
Poltica de Responsabilidad
AU
TE
NT
ICA
CI
N
ISO
/IE
C 2
7001
A.11.2 Gestin del acceso de usuarios
A.11.4 Control de acceso a las redes
A.11.6 Control de acceso a las aplicaciones y a la informacin
A.5.1 Poltica de seguridad de la informacin
83
NT
C 5
254
3.3 IDENTIFICACIN DE LOS RIESGOS
3.6 TRATAMIENTO DE LOS RIESGOS R
FC
2196
Poltica de Privacidad
Poltica de Acceso
Poltica de Responsabilidad
Poltica de Autenticacin
84
11.4. ANEXO No.4 HERRAMIENTAS PENTESTING Y DESCRIPCIN
HERRAMIENTA DESCRIPCIN
NetScan Tools
http://www.netscantools.com/
Conjunto de herramientas de
internet en un solo paquete para
plataformas Windows.
Nmap
http://nmap.org/
Es un programa por consola de
comandos que sirve para efectuar
rastreo de puertos y se usa para
evaluar la seguridad de sistemas
informticos. (Gonzlez Prez,
Snchez Garcs, & Soriano de la
Cmara, Pentesting con Kali,
2013)
Ncat
http://nmap.org/ncat/
Es la herramienta considerada
como la evolucin de Netcat, es un
utilidad que permite leer y escribir
datos a travs de conexiones de
red usando la pila
de protocolos TCP/IP. (Gonzlez
Prez, Snchez Garcs, & Soriano
de la Cmara, Pentesting con Kali,
2013)
Metasploit Framework
http://www.metasploit.com/
Provee informacin y herramientas
tiles para pruebas de
penetracin, investigadores de
seguridad y desarrolladores de
IDSs
.
85
Retina Network Security Scanner
http://www.beyondtrust.com/
Poderosa solucin para la
administracin de vulnerabilidades
diseada para ayudar a
las organizaciones de cualquier
tamao en la identificacin,
proteccin mitigacin de
Vulnerabilidades.
John The Ripper
http://www.openwall.com/john/
Software para password cracking,
actualmente disponible para varios
sistemas Unix, Windows, DOS,
BeOS y OpenVMS.
OpenVAS
http://www.openvas.org/
OpenVAS es una herramienta
diseada para ayudar a los
administradores de red/sistemas
en la identificacin de
vulnerabilidades, deteccin de
intrusiones y por tanto, amplio
abanico en la prevencin de
ataques. (lvarez Huerta, 2014)
Burp Suite
http://portswigger.net/burp/
Es una herramienta escrita
ntegramente en Java que permite
realizar test de intrusin en
aplicaciones web, permitiendo
combinar tcnicas manuales y
automticas para analizar,
detectar, atacar y explotar
aplicaciones web. (Gonzlez
Prez, Snchez Garcs, & Soriano
de la Cmara, Pentesting con Kali,
2013)
86
Maltego
https://www.paterva.com/web6/
Es una aplicacin de minera y
recoleccin de informacin
utilizada durante la fase de Data
Gathering, proceso en el cual se
trata de obtener el mayor nmero
de informacin posible sobre un
objetivo para su posterior ataque.
(Gonzlez Prez, Snchez
Garcs, & Soriano de la Cmara,
Pentesting con Kali, 2013)
Nessus
http://www.tenable.com/
Es un programa de escaneo de
vulnerabilidades. Consiste en dos
partes nessusd, el daemon
Nessus, que es el encargado de
realizar el escaneo en el sistema
objetivo, y nessus, el cliente
(basado en consola o grfico) que
muestra el avance y resultados de
los escaneos. (Witigo's Blog, 2014)
Wireshark
https://www.wireshark.org/
Es un analizador de paquetes que
permite examinar datos de una red
viva o de un archivo de captura
salvado en disco. (Gonzlez
Prez, Snchez Garcs, & Soriano
de la Cmara, Pentesting con Kali,
2013)
87
11.5. ANEXO 5 - CUNTOS TIPOS DE HACKERS CONOCES?
88
11.6. ANEXO 6 - ALERTA PROFESIONALES DE LAS TIC! TIPS:
SEGURIDAD = TRANQUILIDAD
89
11.7. ANEXO 7 - SEGURIDAD MVIL: UN PASO DELANTE DE LOS
DELINCUENTES
90
11.8. ANEXO 8 - LOS DESAFOS DEL CLOUD COMPUTING
91
11.9. ANEXO 9 GUA METODOLGICA PARA EL TOP 5 DE ATAQUES
MALICIOSOS VAINLEEC-
(Hacer Clc en la imagen para acceder a la gua)
http://www.mediafire.com/view/2d2e3dv9amaoxtn/Guia_Metodol%C3%B3gica_VAINLEEC_David_Alonso.pdf