1

Fase 1 - Evaluar presaberes y reconocimiento del problema

Yair Alejandro Sosa Barreto.

Seguridad en Sistemas Operativos 2020.

Universidad Nacional Abierta y a Distancia.

Escuela de Ciencias Básicas, Tecnología e Ingeniería.
 2

Tabla de Contenidos

Análisis de la situación........................................................................................................3
Metodologías de Intrusión y testing....................................................................................5
NIST SP 800-115.................................................................................................................5
OWASP...............................................................................................................................6
ISSAF..................................................................................................................................6
OSSTMM 3.........................................................................................................................7
PTES....................................................................................................................................8
WASC-TC...........................................................................................................................9
Selección y Justificación de la Metodología.......................................................................9
Lista de referencias............................................................................................................11
 3

Análisis de la situación

Para garantizar la alianza con los nuevos partners se debe operar una auditoria de

los sistemas de las dos organizaciones ya que se ven directamente implicadas en la

operatividad de sus funciones, donde se logre evidenciar la calidad y seguridad de sus

sistemas.

La condición de seguridad de los sistemas informáticos y las mismas apps web

que se desarrollan, deben contemplar las mejores practicas de seguridad ya que estas son

la base fundamental para ejecutar sus labores; La interconexión por medio del uso de

redes amplia los horizontes de productividad y operación, pero igualmente conllevan a

amenazas para los sistemas y operaciones de las organizaciones, para ello se debe

implementar normas, procedimientos y estándares que permitan mitigar esas amenazas o

riesgos, para ello es necesario realizar un estudio o metodología de análisis de

vulnerabilidades el cual develara el estado actual de los sistemas y desarrollos

informáticos y como impactarían al negocio. Un ejemplo de ello puede ser:

Activo Vulnerabilidad Amenazas Control

Infraestructura No existe un Pérdida o alteración Aprobar, publicar y

Tecnológica modelo de de información. comunicar a todos

seguridad Pérdida de la los empleados y

implementado en la productividad. entidades externas

organización. Perdida de Ventaja un documento de

competitiva. política de
 4

Repercusión seguridad.

Económica.
Gestión de No tiene un control Suplantación de Elegir una técnica

Usuarios para autenticación identidad. de autenticación

de usuarios. Daño a la adecuada para

infraestructura verificar la

tecnológica. identidad del

Pérdida o alteración usuario.

de información.

Denegación de

Servicios.
DB No existe un Pérdida o alteración Desarrollar e

cifrado de la de información. implementar una

información en la Pérdida de la política sobre el uso

base de datos. productividad. de controles

Fuga de criptográficos para

Información la protección de

Pérdida de ventaja información.

competitiva.
AppWEB No se cuenta con Daño a la Implementar o

una codificación de infraestructura adecuar un

datos para el tecnológica. ambiente de

contenido web Pérdida o alteración computo asilado y

de información. seguro.
 5

Denegación de Usar frameworks

Servicios. seguro que

Pérdida de la codifiquen

productividad. automáticamente el

Pérdida de ventaja contenido web

competitiva.

Metodologías de Intrusión y testing

Este tipo de metodologías son procedimientos o practicas que buscan

simular ataques reales en los cuales se puedan explotar vulnerabilidades e identificar

falencias y permiten determinar qué medidas o acciones correctivas se pueden ejecutar

para solventar o controlar el fallo de seguridad expuesto.

NIST SP 800-115

Es una guía técnica del Instituto Nacional de Estándares y Tecnologías la cual

valida la eficacia de una organización frente a la seguridad, evaluando redes,

procedimientos, personas, equipos. Se basa en 5 Fases:

Identificar: Entendimiento de la organización

Proteger: Aprovisiona servicios críticos.

Detectar: Actividades para identificar eventos de seguridad.

Responder: Acciones frente a eventos identificados.

 6

Recuperar: Planes para reactivar servicios detenidos

OWASP

Open Web Application Security Project investiga específicamente a la seguridad

de apps web, pero se puede aplicar como referencia para otras pruebas. Esta se basa en

dos modos uno activo donde se recopila información de la app y la segunda con pruebas

específicas a:

Recopilación de información: Pruebas de Firma digital, códigos de error,

configuración, inspeccionador de páginas.

Comprobación de lógica: Flujos de trabajo, tareas.

Autenticación: Fuerza bruta, contraseñas, diccionario.

Sesiones: Abuso de sesión, inyección SQL, LDAP, XML

Denegación de servicio: Desbordamientos, entradas de bucle, almacenamiento

Servicio web: SOPA maliciosos, parámetros HTTP

ISSAF

(Information Systems Security Assessment Framework) Evalúa controles ya

establecidos para la red, sistema y aplicaciones, esta metodología se ejecuta en tres fases:

Planificación preparación: Alcance, enfoque y pruebas a realizar, acuerdos

bilaterales
 7

Evaluación: Enfoque central de la metodología desarrollando capas para la

evaluación de la siguiente forma:

Recopilación de Información Numeración de las

Mapeo de Red Vulnerabilidades

Identificación de Vulnerabilidad Compromiso usuario y lugares

Penetración pentest Remotos

Escalado de Privilegios Mantener Acceso

Cubrir Huellas

Reporte: Presentación de informes, limpieza y destrucción de la información

hallada, restablecimiento de configuraciones, se presentan avances, hallazgos de la

operación realizada.

OSSTMM 3

(Open Source Security Testing Methodology) Esta metodología aplica para

penetración, seguridad y vulnerabilidades, está compuesta por 4 fases de la siguiente

forma:

Inducción: Revisión de políticas, reglas, normas referentes a los objetivos,

limitación es y márgenes de resultados.

Interacción: Mediciones de controles y los procesos para verificar los niveles de

seguridad igualmente las restricciones apruebas y verificación de confianza.

 8

Investigación: Pruebas de stress para identificar la estabilidad del sistema,

validación de propiedad intelectual, clasificación de información y búsqueda libre de ella

y si esta influye en las decisiones de la operación.

Intervención: Determinación controles de autenticación, escalamiento de

privilegios, validación de recuperación y continuidad de servicio igualmente el estudio

final de las actividades de la auditoria.

PTES

(Penetration Testing Excecution Standar) Otorga una guía para seguridad y

alcance para pruebas de penetración divido en 7 fases de esta forma:

Interacción Previa: Reglas de trabajo y alcance acuerdos bilaterales

Recolección de Información: Simple: forma automática o con herramientas.

Media: análisis profundo y conocimiento del negocio. Compleja: Conocimiento completo

del core de la organización.

Modelamiento de Amenazas: Representación de las amenazas y capacidad de

ataque.

Análisis de Vulnerabilidades: Detección de vulnerabilidades en las diferentes

capas y análisis de metadatos para recolección de información.

Explotación: Determinar accesos de entrada saltado arquitectura de seguridad.

Post Explotación: Mostrar evidencia a la organización de las modificación o

interacciones realizadas en la auditoria.

 9

Reporte: Informe de pruebas y gestión de la penetración puesta en contexto

evidenciando la clasificación de los riesgos y como mitigarlos.

WASC-TC

(Web Application Security Consortium Threat Classification) Analiza las

aplicaciones web clasificando ataques y vulnerabilidades por medio del uso de tres

enfoques:

Vista de enumeración: Base para ataques y debilidades de apps web

referenciándolos y clasificándolos.

Vista de desarrollo: Análisis de apps de diseño que no cumplen con la seguridad

respectiva

Taxonomía y referencia Cruzada: Referenciar varios estándares y

comparándolos para aumentar el cálculo de los riesgos.

Selección y Justificación de la Metodología

Para el estudio del caso se selecciona la metodología NIST SP 800-115 la cual,

por ser una guía técnica del Instituto Nacional de Estándares y Tecnologías, se presenta

como una metodología internacional y globalmente conocida la cual, valida la eficacia

de una organización frente a la seguridad, evaluando redes, procedimientos, personas,

equipos. Ya que presenta un orden estandarizado para realizar el proceso basada en 5

Fases: identificar, proteger, detectar, responder, recuperar

 10

Fuente: https://www.linkedin.com/pulse/implementando-el-cybersecurity-framework-del-
nist-g%C3%B3mez-morales

Identificar Gestión de Activos Inventario de activos

Objetivos Organizacionales Políticas de seguridad
Manejo de Riesgo Gestión del riesgo
Funciones criticas Gobierno
Proteger Autenticación y control de Repositorios, autenticación
acceso multifactorial
Seguridad de datos Normas de Seguridad (27001)
Protección de información Políticas de seguridad
Detectar Eventos Pen testing
Monitoreo Cruce de Herramientas de
monitoreo
Responder Análisis Analítica de Resultados
Plan de Respuesta Mejora continua del plan
Mitigación Reducción de impactos
Recuperar Plan recuperación DRP
Mejoras Mejora continua del plan
Comunicaciones Difundir y Publicar
 11

Lista de referencias

Calvo, F. A. C. N. C., & Matarrita, J. C. Cumplimiento en Regulación de Seguridad

NIST 800-171 Compliance NIST Security Regulations 800-171.

Castro Vasquez, C. A. (2019). Pruebas de penetración e intrusión.

Pinzón, L. C., Talero, M., & Jaime, J. A. B. (2013). Pruebas de intrusión y metodologías
abiertas. Ciencia, innovación y tecnología, 1, 25-38.

Pintos, F. J. (2014). Auditorías y continuidad de negocio (UF1895). Madrid, ES: IC

Editorial. (pp. 61 – 72). Recuperado de
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/detail.action?
docID=11148758&p00=seguridad+en+sistemas+operativos