MODELO BPM PARA LA GESTIÓN DE INCIDENTES …

MODELO BPM PARA LA GESTIOacuteN DE INCIDENTES INFORMAacuteTICOS EN LA

UNIVERSIDAD LIBRE

JOHN FERNEY CHAVES CELIS

ELBER NUacuteNtildeEZ ARAGOacuteN

UNIVERSIDAD PILOTO DE COLOMBIA

FACULTAD DE INGENIERIacuteA ESPECIALIZACIOacuteN EN SEGURIDAD INFORMAacuteTICA

BOGOTAacute DC

2016

MODELO BPM PARA LA GESTIOacuteN DE INCIDENTES INFORMAacuteTICOS EN LA UNIVERSIDAD LIBRE

JOHN FERNEY CHAVES CELIS ELBER NUacuteNtildeEZ ARAGOacuteN

Trabajo de grado para optar al tiacutetulo de Especialista en Seguridad Informaacutetica

Asesor JUAN CARLOS ALARCOacuteN SUESCUacuteN

Magister en Ingenieriacutea de Sistemas

UNIVERSIDAD PILOTO DE COLOMBIA FACULTAD DE INGENIERIacuteA

ESPECIALIZACIOacuteN EN SEGURIDAD INFORMAacuteTICA BOGOTAacute DC

2016

Nota de aceptacioacuten

_________________________________

_________________________________

_________________________________

Firma del presidente del jurado

Firma del jurado

Firma del jurado

Bogotaacute DC 12 de septiembre de 2016

DEDICATORIA

A nuestros Seres queridos Familia y a la Universidad que nos brindoacute los conocimientos necesarios para que luchaacuteramos y dieacuteramos lo mejor para aplicar lo aprendido en la vida real finalmente a todas aquellas personas que de una manera u otra me apoyaron para terminar satisfactoriamente este proyecto

John Ferney Chaves Celis

Dedico la presente tesis a ti esposa miacutea que con tu amor y apoyo siempre me acompantildeas en el cumplimiento de mis suentildeos objetivos y nuevas metas incondicionalmente A ti hijo que eres la luz de mis ojos el ser que mueve mi vida A mis padres que me ensentildearon y forjaron el ser humano que soy ahora y a Dios que por gracia y voluntad me ofrece la oportunidad cada diacutea de tener salud vida y amor de mis seres maacutes queridos

Elber Nuacutentildeez Aragoacuten

AGRADECIMIENTOS

Agradecemos a la Universidad Piloto de Colombia que por su labor de forjar nuevos especialistas y profesionales nos brindoacute la posibilidad de ser parte de su alma mater en especial al Ingeniero Juan Carlos Alarcoacuten que con su conocimiento experiencia y tutoriacutea dimos finalidad a nuestro trabajo de grado y por encima de todo adquirir y apersonarnos de un conocimiento que eacutel nos ofrecioacute

6

CONTENIDO

paacuteg

INTRODUCCION 18

1 PROBLEMA 19

11 ANTECEDENTES DEL PROBLEMA 19 12 FORMULACIOacuteN DEL PROBLEMA 19 13 DESCRIPCIOacuteN DEL PROBLEMA 19

2 JUSTIFICACIOacuteN 21

3 OBJETIVOS 22

31 OBJETIVO GENERAL 22 32 OBJETIVOS ESPECIacuteFICOS 22

4 ALCANCE 23

5 DIAGNOacuteSTICO 24

6 MARCO TEOacuteRICO 26

61 DEFINICIONES BAacuteSICAS 26

611 NTC-ISO-IEC 27035 - Tecnologiacutea de la informacioacuten 26

7

62 ETAPAS DE ATENCIOacuteN DE UN INCIDENTE DE SEGURIDAD DE LA INFORMACIOacuteN 26

621 Planificacioacuten y preparacioacuten 27

622 Deteccioacuten y reporte 27

623 Seguimiento y cierre 27

624 Mejora continua 27

63 CONTEXTO DE LA SEGURIDAD EN LA UNIVERSIDAD LIBRE 27

631 Normas de seguridad en la Universidad Libre 28

6311 Normas Dirigidas a 28 632 Poliacutetica Global de Seguridad de la Informacioacuten 28 6321 Poliacuteticas de uso de las comunicaciones electroacutenicas 28 6322 Poliacuteticas de asignacioacuten de responsabilidades operativas 29 6323 Poliacuteticas de intercambio de informacioacuten 29 6324 Poliacuteticas de administracioacuten y proteccioacuten de la Informacioacuten 29 64 IDENTIFICACIOacuteN DE ROLES 29

7 DISENtildeO DEL PROCEDIMIENTO 32

71 PROCEDIMIENTO DE PLANIFICACIOacuteN Y PREPARACIOacuteN 32 711 Jefe de Sistemas 32 712 Coordinador de Sistemas 33 72 ACTIVIDADES DE SENSIBILIZACIOacuteN 35 73 DEFINICIOacuteN DE PROCEDIMIENTOS 36

8

731 Procedimiento de ingreso al centro de coacutemputo y centros de cableado 36 732 Procedimiento de aseguramiento de servidores 36 733 Procedimiento de implementacioacuten de backups en estaciones de trabajo 37 734 Metodologiacutea de ethical hacking 37 7341 Levantamiento de informacioacuten 37 7342 Inventario 34

7343 Verificacioacuten 38 7344 Aprovechamiento 38 7345 Fundamentacioacuten 39 74 PROCEDIMIENTO DETECCIOacuteN Y REPORTE 39 741 Advertir de la posibilidad de un incidente de seguridad de la informacioacuten 39 742 Documentacioacuten del incidente de seguridad de la informacioacuten 40 743 Categorizacioacuten de incidentes de seguridad de la informacioacuten 41 75 VALORACIOacuteN DE CRITICIDAD DE INCIDENTES DE SEGURIDAD DE LA 45 INFORMACIOacuteN 45 76 EQUIPOS DE RESPUESTA DE SEGURIDAD DE LA INFORMACIOacuteN (CSIRT) 48 77 MITIGACIOacuteN DE DANtildeOS Y DISMINUCIOacuteN DE RIESGOS 48 78 PROCEDIMIENTO DE SEGUIMIENTO Y CIERRE 49

781 Asignar equipo 50

79 RECOLECCIOacuteN DE EVIDENCIAS 51

791 Capturar una imagen del sistema tan precisa como sea posible 51

9

792 Orden de volatilidad 51

793 Acciones que deben evitarse 52

794 Consideraciones sobre la privacidad 52

7941 Recoleccioacuten 52

7942 Transparencia 52

7943 Almacenamiento de evidencias 53

7944 Controlar incidente 53

710 PROCEDIMIENTO DE MEJORA CONTINUA 54

8 PRUEBAS 56

81 CAPACITACIOacuteN DE INSTALACIOacuteN Y RESOLUCIOacuteN DE PROBLEMAS DEL ANTIVIRUS KASPERSKY 56 82 INFORME ANAacuteLISIS DE VULNERABILIDADES DE SERVIDORES DE LA UNIVERSIDAD LIBRE 57 821 Niveles de gravedad 57 83 PERFIL DE ANAacuteLISIS 58 831 Nivel de seguridad general Cat 1 (Critical Level) 58 84 RESUMEN DE VULNERABILIDADES 62 85 METODOLOGIacuteA DEL ANAacuteLISIS DE VULNERABILIDADES 62 86 MEDIDAS DE MITIGACIOacuteN 63

10

9 CONCLUSIONES 65

BIBLIOGRAFIacuteA 66

11

LISTA DE FIGURAS

paacuteg

Figura 1 Organigrama direccioacuten de sistemas Universidad Libre 31

Figura 2 Metodologiacutea Ethical Hacking 37

Figura 3 Reporte Evento seguridad 40

Figura 4 Reporte Incidente Informaacutetico 41

Figura 5 Lista Asistencia capacitacioacuten 56

12

LISTA DE GRAacuteFICAS

Paacuteg

Graacutefica 1 Vulnerabilidades 59

Graacutefica 2 Vulnerabilidades de IP 1011027 64

13

LISTA DE TABLAS

paacuteg

Tabla 1 Direccioacuten IP de prueba 58

Tabla 2 Traza 59

Tabla 3 Puertos y servicios 60

14

LISTA DE CUADROS

paacuteg

Cuadro 1 Categorizacioacuten de Incidentes 42

Cuadro 2 Valoraciones criticidad de Incidentes 46

Cuadro 3 Niveles de criticidad 47

Cuadro 4 Niveles de urgencia 47

Cuadro 5 Banner identificado 61

15

GLOSARIO

ATAQUES CIBERNEacuteTICOS Symantec se basa en las distintas definiciones de crimen ciberneacutetico para describirlo de forma precisa como cualquier delito cometido en el que se haya utilizado un equipo una red o un dispositivo de hardware El equipo o el dispositivo pueden ser el agente el facilitador o la viacutectima del crimen1

BACKUPS se define como laquocopia de seguridadraquo y permite guardar y almacenar los ficheros archivos y aplicaciones disponibles en un soporte informaacutetico como un teleacutefono moacutevil o un ordenador y tiene el objetivo de permitir la recuperacioacuten de estos datos a posteriori2

BPM busca identificar disentildear ejecutar documentar monitorear controlar y medir los procesos de negocios que una organizacioacuten implementa El enfoque contempla tanto procesos manuales como automatizados y no se orienta a una implementacioacuten de software3

COacuteDIGO MALICIOSO software capaz de realizar un proceso no autorizado sobre un sistema con un deliberado propoacutesito de ser perjudicial Virus gusanos troyanos son algunos ejemplos de coacutedigo malintencionado 4

CONFIABILIDAD Un sistema es maacutes confiable si es tolerante a errores La tolerancia a errores es la capacidad de un sistema para seguir funcionando cuando se produce un error en parte del sistema Para conseguir tolerancia a errores hay que disentildear el sistema con un alto grado de redundancia de hardware Si se produce un error en un uacutenico componente el componente redundante asumiraacute su funcioacuten sin que se produzca un tiempo de inactividad apreciable5

CONFIDENCIALIDAD aseguramiento de que la informacioacuten es accesible solo para aquellos autorizados a tener acceso6

1 NORTON iquestQueacute es un ataque ciberneacutetico [en liacutenea [consultado el 15 de Junio de 2016]

Disponible en httpconortoncomcybercrime-definitionpromo 2 ABC TECNOLOGIacuteA iquestQueacute es Backups [en liacutenea [consultado el 15 de Junio de 2016]

Disponible en httpwwwabcestecnologiaconsultorio20150203abci-backup-definicion-que-es-201502031524html 3 IBM iquestQueacute es un BPM [en liacutenea [consultado el 17 de Junio de 2016] Disponible en httpswwwibmcomdeveloperworksssalocalwebsphereintroduccion-bpm 4 ESET iquestQueacute es un coacutedigo malicioso [en liacutenea [consultado el 23 de mayo de 2016] Disponible en wwweset-lacomkbSOLN186 5 MICROSOFT iquestQueacute es confiabilidad [en liacutenea [consultado el 15 de Junio de 2016]

Disponible en httpstechnetmicrosoftcomes-eslibraryaa996704(v=exchg65)aspx

16

CRACKER la palabra cracker se lleva usando desde los antildeos 80 Se refiere a personas con altos conocimientos de informaacutetica que se aprovechan de agujeros de seguridad (bugs vulnerabilidades errores de disentildeo puntos deacutebiles) para sacar provecho propio haciendo actividades que normalmente son ilegales7

CSIRT significa Computer Security Incident Response Team (equipo de respuesta a incidentes de seguridad informaacutetica) El teacutermino CSIRT es el que se suele usar en Europa en lugar del teacutermino protegido CERT registrado en EEUU por el CERT Coordination Center (CERTCC) En general viene a definir a un equipo de personas dedicado a la implantacioacuten y gestioacuten de medidas tecnoloacutegicas con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se proporciona el servicio8

DISPONIBILIDAD es una caracteriacutestica cualidad o condicioacuten de la informacioacuten que se encuentra a disposicioacuten de quien tiene que acceder a esta bien sean personas procesos o aplicaciones9 FIREWALL Un firewall actuacutea a modo de proteccioacuten de un ordenador local frente a virus gusanos troyanos y ataques de hackers10 FreeBSD es un avanzado sistema operativo para arquitecturas x86 compatibles (incluyendo Pentiumreg y Athlontrade) amd64 compatibles (incluyendo Opterontrade Athlontrade64 y EM64T) AlphaAXP IA-64 PC-98 y UltraSPARCreg FreeBSD es un derivado de BSD la versioacuten de UNIXreg desarrollada en la Universidad de California Berkeley11

HACKERS pirata informaacutetico Persona que accede ilegalmente a sistemas informaacuteticos ajenos para apropiaacuterselos u obtener informacioacuten secreta12

6 ARCHIVOS Y GESTIOacuteN iquestQueacute es confidencialidad [en liacutenea [consultado el 23 de mayo de

2016] Disponible en archivosygestioncomgarantiacuteasconfidencialidad 7 INFORMAacuteTICA HOY iquestQueacute es un Cracker [en liacutenea [consultado el 23 de mayo de 2016]

Disponible en wwwinformatica-hoycomaraprender-informaticaQue-es-un-Crackerphp 8 CENTRO DE COORDINACIOacuteN SEGURIDAD INFORMAacuteTICA COLOMBIA iquestQueacute es CSIRT

Equipo de respuestas ante emergencias informaacuteticas [en liacutenea [consultado el 23 de mayo de 2016] Disponible en wwwcsirt-ccitorgco 9 SGSI iquestQueacute es disponibilidad [en liacutenea [consultado el 23 de mayo de 2016] Disponible en

httpwwwpmg-ssicom201505iso-27001-que-significa-la-seguridad-de-la-informacion 10

KASPERSKY iquestQueacute es firewall [en liacutenea [consultado el 23 de mayo de 2016] Disponible en

httpwwwkasperskyesinternet-security-centerdefinitionsfirewall 11

FREEBSD iquestQueacute es FreeBSD [en liacutenea [consultado el 23 de mayo de 2016] Disponible en

httpswwwfreebsdorgesabouthtml 12

DEFINICIONES ABC iquestQueacute significa hacker [en liacutenea [consultado el 23 de mayo de 2016] Disponible en wwwdefinicionabccomtecnologiahacker-2php

17

IDS es un proceso o dispositivo activo que analiza la actividad del sistema y de la red por entradas no autorizadas yo actividades maliciosas 13 INFORMAacuteTICA FORENSE seguacuten el FBI la informaacutetica (o computacioacuten) forense es la ciencia de adquirir preservar obtener y presentar datos que han sido procesados electroacutenicamente y guardados en un medio computacional14

INTEGRIDAD garantiacutea de la exactitud y completitud de la informacioacuten de la informacioacuten y los meacutetodos de su procesamiento15

NESSUS Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos16

OPERACIOacuteN es el conjunto de medios que se ponen en accioacuten para conseguir un resultado previamente determinado mediante una estrategia Un plan operativo de anaacutelisis de riesgos brinda informacioacuten para el mejoramiento de una estructura17 SNIFFER En informaacutetica un analizador de paquetes es un programa de captura de las tramas de una red de computadoras18

13

MIT iquestQueacute es un IDS [en liacutenea [consultado el 23 de mayo de 2016] Disponible en

httpwebmitedurhel-doc4RH-DOCSrhel-sg-es-4ch-detectionhtml 14

INFORMAacuteTICA FORENSE COLOMBIA (sf) iquestQueacute son los ordenadores cuaacutenticos iquestQueacute

aplicaciones tendraacuten iquestEs la informaacutetica del futuro [en liacutenea [consultado el 23 de mayo de 2016] Disponible enhttpwwwinformaticaforensecomcoindexphpla-informatica-forense 15

MICROSOFT iquestQueacute es integridad informaacutetica [en liacutenea [consultado el 23 de mayo de 2016] Disponible en httpsmsdnmicrosoftcomes-eslibraryaa291812(v=vs7

16 NESSUS (sf) monitoreo continuo [En liacutenea [consultado el 23 de mayo de 2016] Disponible

en httpwwwtenable comproductsnessus-vulnerability-scanner 17

CIDBIMENA iquestQueacute es una operacioacuten [en liacutenea [consultado el 23 de mayo de 2016] Disponible en cidbimenadesastreshndocumopspublicaciones0470477 18

MUNDOCISCO iquestQueacute es un sniffer [en liacutenea [consultado el 23 de mayo de 2016] Disponible

en httpwwwmundociscocom200908que-es-un-snifferhtml

18

INTRODUCCION

La informacioacuten como parte integral de los activos de una entidad el intercambio y difusioacuten de la misma dentro y fuera de ella hacen que la seguridad informaacutetica cobre un aspecto relevante para el cumplimiento de los objetivos de negocio propuestos en su razoacuten de ser

Cuando se integra la seguridad informaacutetica a las organizaciones muchas veces se pasa por alto la alineacioacuten de los objetivos de negocio con las estrategias lineamientos poliacuteticas y mejores praacutecticas percibiendo un enfoque no claro de los intereses que la organizacioacuten busca a traveacutes de las necesidades del negocio

La Universidad Libre es una universidad colombiana de caraacutecter privada y con una presencia en seis ciudades del paiacutes por tal motivo la informacioacuten es un eje que constantemente se encuentra en movimiento y actualizacioacuten Es por eso que la gestioacuten de los incidentes informaacuteticos debe contemplar una estructura que soporte las operaciones del negocio y brindar a la Universidad Libre importantes beneficios como dar respuesta sistemaacutetica a los incidentes prevenir que ocurran reiteradamente cumplir con la confidencialidad disponibilidad e integridad de la informacioacuten para no afectar el funcionamiento y cumplimiento de los objetivos trazados

19

1 PROBLEMA

11 ANTECEDENTES DEL PROBLEMA

La Universidad Libre tiene varios problemas en cuanto al manejo de la informacioacuten debido a que ha ido creciendo progresivamente y no se ha tomado conciencia de la importancia de asegurar la informacioacuten existente a medida que avanza es necesario adoptar y crear procedimientos de atencioacuten de incidentes de seguridad que normalicen las buenas praacutecticas en cada uno de los procesos transacciones y recursos relacionados con la informacioacuten y para esto es preciso efectuar la verificacioacuten de riesgos de la seguridad de la informacioacuten incluyendo los activos que de forma directa e indirecta estaacuten atados a estos procesos

Si no se integran dentro de la institucioacuten buenas praacutecticas y recomendaciones de seguridad de la informacioacuten es probable que puedan ser viacutectimas de delitos informaacuteticos que obstaculicen su normal funcionamiento como lo pueden ser intrusiones modificacioacuten yo robo de informacioacuten denegacioacuten de servicios entre otros

Debido al nivel muy bajo de madurez en los procesos y metodologiacuteas internos de la Universidad Libre es preciso primero establecer un procedimiento de atencioacuten de incidentes informaacuteticos con el objetivo de implantar unas bases soacutelidas que a futuro le sea posible implementar una metodologiacutea bpm

12 FORMULACIOacuteN DEL PROBLEMA

Con el presente trabajo se quiere responder a la pregunta iquesten la actualidad la Universidad Libre en la direccioacuten de sistemas cuenta con un modelo de procesos procedimientos tareas y actores establecido para una adecuada y sistemaacutetica atencioacuten de los incidentes de seguridad informaacutetica Incidentes que se puedan presentar de acuerdo con las actividades de la comunidad educativa comunidad docente y aacutereas administrativas que pueden poner en riesgo la confidencialidad integridad y disponibilidad de la informacioacuten

13 DESCRIPCIOacuteN DEL PROBLEMA

De acuerdo con la pregunta planteada se realiza la correspondiente investigacioacuten evidenciando que la Universidad Libre dentro de sus estrategias de negocio la seguridad de la informacioacuten no tiene un mayor protagonismo debido a que la direccioacuten de sistemas no tiene implantado un procedimiento que permita responder a los incidentes de seguridad de la informacioacuten de forma sistemaacutetica no cuenta con un plan de concientizacioacuten sostenible los recursos con los que cuenta

20

actualmente no son suficientes ni con las competencias debidamente adquiridas para soportar la proteccioacuten de la informacioacuten e infraestructura

Estas responsabilidades las delega a terceros que brindan un soporte teacutecnico pero no se encuentran dentro de un marco de referencia normativo solo intervienen en la etapa de deteccioacuten y reporte pero en las etapas de planificacioacuten preparacioacuten seguimiento y cierre y mejora continua no participan y no brindan el apoyo suficiente a la Universidad Libre

Tambieacuten la Universidad Libre hace su aporte con el poco intereacutes de tener actualizada las poliacuteticas y de no tener redactado un procedimiento para la atencioacuten de incidentes de la informacioacuten el cual es el objetivo del presente trabajo de grado

21

2 JUSTIFICACIOacuteN

En cada una de las instituciones empresas u organizaciones la seguridad de la informacioacuten ha empezado a tomar un lugar muy importante con respecto a la manera de gestionar procedimientos de atencioacuten de incidentes de seguridad de la informacioacuten y se ha transformado en un elemento fundamental en la estrategia de negocio con los objetivos de obtener metas significativas al interior de cada organizacioacuten

En ese orden de ideas las empresas advierten la necesidad de definir procedimientos efectivos que avalen una gestioacuten segura de los meacutetodos del core del negocio a fin de darle mayor seguridad a la informacioacuten y de igual manera evitar tropiezos para adecuarse a los continuos cambios de la organizacioacuten como resultado de las exigencias del mercado

La Seguridad de la Informacioacuten se ha convertido en una necesidad que ha provocado nuevos planteamientos de la administracioacuten de tecnologiacuteas de la informacioacuten fundada en poliacuteticas y procedimientos A su vez ha orientado el establecimiento de normas pautas buenas praacutecticas a razoacuten de proteger uno de los activos maacutes valiosos de las empresas como es la informacioacuten

Con la llegada de las organizaciones a Internet se han desplegado un sinnuacutemero de oportunidades de apertura de nuevos negocios La proteccioacuten de la informacioacuten es un tema que se ha vuelto muy habitual para las organizaciones ya que es un escenario que comprende desde las actividades maacutes faacuteciles hasta las situaciones maacutes complicadas relacionadas con el negocio Asiacute mismo emerge la obligacioacuten de consolidar juicios con respecto a la seguridad de la informacioacuten por lo que precisamente nace la necesidad de certificar que los contextos de seguridad son oacuteptimos tanto para las organizaciones como para los usuarios

El actual proyecto estaacute orientado especialmente a disentildear y probar un procedimiento para la atencioacuten de incidentes de seguridad de la informacioacuten dirigido a la direccioacuten de sistemas de la Universidad Libre basado en la norma ISO 27035 con el fin de que la direccioacuten de sistemas obtenga una estructura maacutes estaacutendar para atender los incidentes al interior de la Universidad Libre

22

3 OBJETIVOS

31 OBJETIVO GENERAL Disentildear y probar un procedimiento para la atencioacuten de incidentes de seguridad de la informacioacuten dirigidos a la direccioacuten de sistemas de la Universidad Libre apoyados en la norma ISO 27035 con el propoacutesito de que la Universidad Libre en todas sus aacutereas pueda mitigar vulnerabilidades de seguridad de la informacioacuten al interior de la entidad

32 OBJETIVOS ESPECIacuteFICOS

Definir las actividades y roles del equipo de atencioacuten de incidentes de seguridad

Disentildear un plan de concientizacioacuten de la seguridad de la informacioacuten para la Universidad Libre

Disentildear las actividades para el procedimiento de atencioacuten de incidentes de la informacioacuten para la Universidad Libre

Efectuar pruebas sobre el procedimiento de atencioacuten de incidentes de seguridad de la Universidad Libre

23

4 ALCANCE

Disentildear un procedimiento que le permita a la direccioacuten de sistemas de la Universidad Libre atender un incidente de seguridad de la informacioacuten en todas las aacutereas que pueda presentarse

Este procedimiento se disentildearaacute apoyado en la norma GTC-ISOIEC 27035 y constaraacute de las etapas de planificacioacuten y preparacioacuten deteccioacuten y reporte seguimiento y cierre mejora continua y pruebas

Para la etapa de planificacioacuten y preparacioacuten se incluye la identificacioacuten del equipo actual que integra la direccioacuten de sistemas de la Universidad Libre se identifican las actividades que se tienen asignadas actualmente y se propone una nueva estructura de organizacioacuten con la finalidad de mejorar la atencioacuten de los incidentes de seguridad de la informacioacuten Disentildear un programa de capacitacioacuten que le permita a la direccioacuten de sistemas velar por la disposicioacuten de los recursos en la atencioacuten de los incidentes

Para la etapa de deteccioacuten y reporte se incluye la identificacioacuten y gestioacuten de los elementos que pueden alertar sobre un incidente de seguridad de la informacioacuten asiacute mismo la creacioacuten de indicadores que nos muestren que ha ocurrido un incidente La recopilacioacuten de informacioacuten por medio de reportes que el usuario podraacute documentar de acuerdo con los indicadores expuestos que permitiraacute a la direccioacuten de sistemas de la Universidad Libre responder a los incidentes de forma sistemaacutetica

Para la etapa de seguimiento y cierre se incluye la creacioacuten de una estrategia que permita a la direccioacuten de sistemas tomar decisiones oportunamente para detener la propagacioacuten del incidente y evitar que la confidencialidad integridad y disponibilidad de la informacioacuten se vea comprometida

Para la etapa de mejora continua y pruebas se incluye la creacioacuten de los reportes lecciones aprendidas medidas disciplinarias registro en la base de conocimiento Para la etapa de pruebas se incluye la creacioacuten del plan de pruebas para el procedimiento creado para la atencioacuten de incidentes de seguridad de la informacioacuten en la Universidad Libre con la finalidad de comprobar si las actividades disentildeadas cumplen con los lineamientos de la norma GTC-ISOIEC 27035 y el problema planteado en la Universidad Libre

24

5 DIAGNOacuteSTICO

En el actual escenario de globalizacioacuten en el que se encuentra el mundo en donde las tecnologiacuteas de la informacioacuten han ocupado un papel importante y se han masificado su uso a traveacutes de Internet las organizaciones se ven sumergidas en ambientes de red hostiles donde el vulnerar perjudicar hurtar informacioacuten se convierten en retos para los ciber delincuentes maacutes conocidos como Hackers

Las tecnologiacuteas de la informacioacuten se han dispersado de forma acelerada por el mundo asimismo ha crecido el coacutedigo malicioso y los ataques ciberneacuteticos los que se han convertido en un constante riesgo que ha obligado a las compantildeiacuteas y organizaciones a establecer medidas de emergencia y poliacuteticas para neutralizar estos ataques maliciosos

El panorama en Colombia no es ajeno a este flagelo actualmente muchas instituciones gubernamentales y privadas han sido objeto de ataques de coacutedigo malicioso por esta razoacuten el tema de Seguridad de la Informacioacuten se ha convertido en una necesidad para muchas organizaciones hasta el punto de incluirla dentro de sus aacutereas administrativas y en algunas como parte de la mesa directiva

Realizada la revisioacuten del estado actual de la seguridad de la informacioacuten en la Universidad Libre se observoacute que en la institucioacuten no se tienen adelantos en el tema de atencioacuten de incidentes de seguridad Aunque se observa la existencia de normas y procedimientos que cubren distintos aspectos de la Seguridad de la Informacioacuten se necesita de forma general de una metodologiacutea o un plan de mitigacioacuten que soporte a la tipificacioacuten de riesgos y determinacioacuten de poliacuteticas con el fin de contrarrestar los mismos

Entre los diferentes temas a considerar en la Seguridad de la Informacioacuten se identificaron la falta de poliacuteticas de seguridad de la informacioacuten y una categorizacioacuten de seguridad de los activos de Informacioacuten de la Universidad Es de anotar que se identificoacute la existencia de controles en el caso de la seguridad loacutegica maacutes exactamente acerca de las autenticaciones a los sistemas de informacioacuten como tambieacuten los procedimientos establecidos para el consentimiento de dichas autenticaciones

Asiacute mismo se evidenciaron controles establecidos con respecto a la seguridad fiacutesica y de personal Sin embargo estos controles no estaacuten orientados a una norma de seguridad de la informacioacuten ni de una evaluacioacuten de riesgos a un nivel de una institucioacuten educativa Los controles establecidos a la fecha son producto de evaluaciones particulares realizadas por las aacutereas involucradas o bajo cuyo aacutembito de responsabilidad recae cierto aspecto de la Seguridad

25

Posterior al diagnoacutestico que se realizoacute en la Universidad Libre se encontroacute la falta de un inventario de los equipos y la infraestructura que se hallan en la institucioacuten lo cual hace difiacutecil su administracioacuten Por otra parte la falta de personal involucrado en la seguridad de la informacioacuten hace difiacutecil la concientizacioacuten la falta de visioacuten y las limitantes econoacutemicas han atrasado el plan de aseguramiento requerido

Uno de los objetivos principales de la oficina de Sistemas de la Universidad Libre es la de brindar a los usuarios los recursos informaacuteticos con la cantidad y calidad adecuada con el fin de que se tenga la continuidad del negocio y la disponibilidad del servicio De este modo la cantidad de recursos de coacutemputo y de telecomunicaciones con que cuenta el Centro son de consideracioacuten y se requiere que se protejan para garantizar su buen funcionamiento

La seguridad de las instituciones en muchos de los paiacuteses se ha convertido en cuestioacuten de seguridad nacional por ello contar con un documento de poliacuteticas de seguridad es imprescindible y debe de plasmar mecanismos confiables que con base en la poliacutetica institucional proteja los activos del centro educativo

En conclusioacuten ante este panorama surge el siguiente proyecto de poliacuteticas rectoras que haraacuten que la Oficina de Sistemas pueda disponer de los ejes de proyeccioacuten que en materia de seguridad la Institucioacuten requiere en particular a la gestioacuten de incidentes de seguridad de la informacioacuten

26

6 MARCO TEOacuteRICO

61 DEFINICIONES BAacuteSICAS

Cuando hacemos referencia al teacutermino disentildear un procedimiento nos referimos al conjunto de acciones u operaciones que tiene que realizarse de la misma forma para obtener un mismo resultado sobre las mismas circunstancias Cuando hacemos referencia a un incidente de seguridad de la informacioacuten es todo evento o serie de eventos de seguridad de la informacioacuten no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la informacioacuten

Al combinar las anteriores definiciones se quiere disentildear un procedimiento que le permita a la Universidad Libre atender un incidente de seguridad de la informacioacuten y para que este procedimiento pueda ser ejecutado de la misma forma en diferentes circunstancias se toma como apoyo la siguiente norma con la finalidad de seguir una pauta internacional

611 NTC-ISO-IEC 27035 - Tecnologiacutea de la informacioacuten Teacutecnicas de seguridad Gestioacuten de incidentes de seguridad de la informacioacuten La norma brinda orientacioacuten sobre la gestioacuten de incidentes de seguridad de la informacioacuten para empresas grandes y medianas Las organizaciones maacutes pequentildeas pueden usar un conjunto baacutesico de documentos procesos y rutinas descritos en la presente guiacutea de acuerdo con su tamantildeo y tipo de negocio en relacioacuten con la situacioacuten de riesgo de seguridad de la informacioacuten Tambieacuten brinda orientacioacuten para organizaciones externas que prestan servicios de gestioacuten de incidentes de seguridad de la informacioacuten19

62 ETAPAS DE ATENCIOacuteN DE UN INCIDENTE DE SEGURIDAD DE LA INFORMACIOacuteN

Dentro del procedimiento que se propone para la atencioacuten de incidentes de seguridad de la informacioacuten para la direccioacuten de sistemas de la Universidad Libre son necesarias abordar las siguientes etapas que comprenden su ciclo de vida

19

MINISTERIO DE LA TECNOLOGIacuteA INDUSTRIA Y COMERCIO Normas NTC-ISO-IEC 27035 -

Tecnologiacutea de la informacioacuten [en liacutenea [consultado el 23 de mayo de 2016] Disponible en wwwminticgovcogestionti615articles-5482_Continuidadpdf

27

621 Planificacioacuten y preparacioacuten La etapa de preparacioacuten incluye todas aquellas actividades que le permitan a la direccioacuten de sistemas de la Universidad Libre de forma proactiva tener las herramientas necesarias para responder y hacerle frente a un incidente de seguridad informaacutetica garantizando que los recursos infraestructura y miembros esteacuten definidos y apoyados por las directivas de la entidad en esta etapa se integran actividades de sensibilizacioacuten definicioacuten de procedimientos actividades de entrenamiento ensayos y evaluaciones de seguridad anaacutelisis de alertas y amenazas anaacutelisis de mejora continua de procesos y el planteamiento de un esquema de roles y funciones que llevaran a cabo la ejecucioacuten de las diferentes etapas

622 Deteccioacuten y reporte En esta etapa se realizan actividades encaminadas a la deteccioacuten e identificacioacuten de las diferentes anomaliacuteas que pueden estar presentes dentro de la infraestructura aplicaciones red y su comportamiento en general en esta etapa las actividades incluidas son recepcioacuten de reportes de incidentes categorizacioacuten de incidente valoracioacuten de impactos elaboracioacuten del plan de respuesta al incidente elaboracioacuten de medidas de contencioacuten y mitigacioacuten elaboracioacuten de informes

623 Seguimiento y cierre Esta etapa comprende la elaboracioacuten del anaacutelisis pos incidente el cual se deberaacute llevar una investigacioacuten que determine la magnitud del incidente y los mecanismos de prevencioacuten del impacto revisar las poliacuteticas con la finalidad de realizar los ajustes si aplican y documentar los hechos para alimentar la base de conocimiento

624 Mejora continua En esta etapa se revisaraacute la documentacioacuten generada y se llevaran a cabo las reuniones con el equipo conformado por la direccioacuten de sistemas de la Universidad Libre para realizar las diferentes retroalimentaciones que complementen la base de conocimiento y se afinen destrezas y se refuerce el conocimiento en la atencioacuten de los incidentes de seguridad de la informacioacuten

63 CONTEXTO DE LA SEGURIDAD EN LA UNIVERSIDAD LIBRE

Se muestra a continuacioacuten los procedimientos y poliacuteticas de seguridad de la informacioacuten instauradas por la Universidad Libre que se encuentran orientadas a la Confidencialidad Integridad y Disponibilidad de la informacioacuten20

17

UNIVERSIDAD LIBRE DE COLOMBIA Seguridad de la informacioacuten [en liacutenea [consultado el 23

de mayo de 2016] Disponible en httpswwwunilibregovcoPortals0Documentos

28

631 Normas de seguridad en la Universidad Libre Normas relacionadas con el ingreso de funcionarios la confidencialidad de la informacioacuten y la aceptacioacuten de las poliacuteticas de seguridad

6311 Normas Dirigidas a TODOS LOS USUARIOS Estaacute orientada a todos los usuarios de la Universidad la cual indica que se debe firmar un acuerdo de confidencialidad y otro de cumplimiento de poliacuteticas de seguridad de la informacioacuten esta labor debe realizarse antes de que la persona se vincule a la Universidad como empleado y se le suministren credenciales de acceso a los sistemas de informacioacuten

632 Poliacutetica Global de Seguridad de la Informacioacuten Para la universidad la informacioacuten es un activo preciado y tambieacuten tiene un valor criacutetico orientados a cumplir los objetivos de la razoacuten de ser de la entidad la informacioacuten es la base para definir las decisiones que preserven las ventajas competitivas de la institucioacuten

Todos los usuarios que tienen funciones sobre los repositorios y recursos de los sistemas de informacioacuten de la corporacioacuten deben ajustarse a las poliacuteticas del acuerdo de seguridad de la informacioacuten lo anterior para mantengan una discrecioacuten y confidencialidad con el fin de garantizar la integridad y disponibilidad de la informacioacuten de igual forma minimizar las vulnerabilidades de la misma

A su vez la Jefatura en conjunto con la Auditoriacutea interna de la Universidad con el fin de velar por la aplicacioacuten de los controles en los procedimientos de la institucioacuten con la finalidad de garantizar los tres pilares de la informacioacuten Confidencialidad Integridad y Disponibilidad

6321 Poliacuteticas de uso de las comunicaciones electroacutenicas (correo electroacutenico) La razoacuten de ser del correo electroacutenico se debe a que suministra la comunicacioacuten entre toda la comunidad administrativa y estudiantil asimismo como proveedores y terceros Es necesario avalar que su uso sea para fines institucionales siguiendo los lineamientos de la confidencialidad integridad y disponibilidad

29

6322 Poliacuteticas de asignacioacuten de responsabilidades operativas La Jefatura de Sistemas es el ente al interior de la Universidad que se encarga de la gestioacuten de la plataforma de infraestructura y tecnoloacutegica con el fin de apoyar los procesos del negocio de igual forma delega ocupaciones a los funcionarios quienes a su vez deben velar por los procedimientos orientados a las buenas praacutecticas gestioacuten de dicha plataforma

6323 Poliacuteticas de intercambio de informacioacuten Es necesario que cualquier tipo de intercambio de informacioacuten sensible entre las seccionales o unidades administrativas o acadeacutemicas de la Universidad o de igual forma con externos deba efectuarse siguiendo las poliacuteticas del Acuerdo de Seguridad de la Informacioacuten

6324 Poliacuteticas de administracioacuten y proteccioacuten de la Informacioacuten Los usuarios de la Universidad Libre y el personal externo como proveedores etc Se encuentran en la obligacioacuten de ser garantes en la integridad disponibilidad de la informacioacuten que manipulan y suministran Tambieacuten como el buen manejo de los

recursos tecnoloacutegicos de la institucioacuten 2118

64 IDENTIFICACIOacuteN DE ROLES

Actualmente en la direccioacuten de sistemas de la Universidad Libre se encuentra publicado el organigrama que se presenta en la Figura 1Organigrama direccioacuten de sistemas Universidad Libre este organigrama en la realidad no corresponde a los roles que se encuentran actualmente ejecutando las aacuterea de operaciones de la Institucioacuten

Dentro de la investigacioacuten se encontroacute los siguientes recursos los cuales soportan el aacuterea de operaciones

Jefe de Sistemas Es la persona encargada de proyectar estructurar y conservar los sistemas meacutetodos y procesos de informacioacuten Tambieacuten de administrar la poliacutetica de tecnologiacuteas de la comunicacioacuten para que se alinee los objetivos y lineamientos de la Universidad de igual forma indica el plan informaacutetico de acuerdo con los objetivos a corto mediano y largo plazo Por otro lado establece las soluciones informaacuteticas para resguardar las necesidades de los usuarios y de la Universidad

21

UNIVERSIDAD LIBRE DE COLOMBIA Poliacuteticas de seguridad de la administracioacuten y proteccioacuten

de la Informacioacuten en la Universidad Libre [en liacutenea [consultado el 23 de mayo de 2016] Disponible en wwwunilibreeducouniversitarias153-nuestro-sistema-de-gestion-de-seguridad

30

Coordinador de Sistemas Dentro de las funciones de esta persona se encuentra el de regularizar el soporte teacutecnico preventivo y correctivo de hardware software y comunicaciones del modo que se avale su considerada operacioacuten y funcionamiento Asiacute mismo estaacute el de atender las solicitudes de informacioacuten necesarias para la ejecucioacuten de las pruebas de sistemas de informacioacuten obtenidos a los proveedores a traveacutes de la realizacioacuten y la gestioacuten de los proyectos que estos soliciten

Administrador de Bases de Datos Eacutel es el encargado de responder por las solicitudes de informacioacuten necesarias para la ejecucioacuten de las pruebas de aplicaciones y de igual forma a los sistemas de informacioacuten obtenidos a proveedores a traveacutes de la produccioacuten de los programas que estos soliciten Ejecutar la actualizacioacuten de las aplicaciones adquiridas a terceros conforme con los paraacutemetros de datos e informacioacuten definidos previamente y a los cambios solicitados por las otras dependencias

Oficial de Seguridad Es la persona que debe estar preparada para plantear efectuar y conservar destrezas y componentes de seguridad que salvaguarden la disponibilidad y uso de los recursos informaacuteticos Gestionar la infraestructura de Red de Datos cableada e inalaacutembrica y de igual forma la de seguridad como Directorio Activo Firewall Antivirus etc

Web Master Gestionar y ejecutar el mantenimiento del portal web de la Universidad custodiar por la integracioacuten de las paacuteginas web de las seccionales y regularizar los proyectos de actualizacioacuten Evidenciar toda la operacioacuten del portal y los meacutetodos requeridos para su reajuste

A continuacioacuten en la figura 1 se describe el organigrama de la Universidad Libre

31

Figura 1 Organigrama direccioacuten de sistemas Universidad Libre

Fuente autores

32

7 DISENtildeO DEL PROCEDIMIENTO

71 PROCEDIMIENTO DE PLANIFICACIOacuteN Y PREPARACIOacuteN

Dentro de la planificacioacuten y preparacioacuten se iniciaraacute con el planteamiento del siguiente esquema de roles y las funciones que se deberiacutean implantar al interior de la direccioacuten de sistemas de la Universidad Libre

711 Jefe de Sistemas Aparte de las funciones designadas para el Jefe de Sistemas tambieacuten es necesario que se generen funciones y actividades relacionadas con la atencioacuten de incidentes de seguridad

La razoacuten de responder adecuadamente a los incidentes de seguridad tiene sus beneficios indudables Sin embargo tambieacuten pueden existir beneficios indirectos En el caso de las notas de los estudiantes si se puede demostrar que la Universidad estaacute en la capacidad de contrarrestar y manejar los ataques de manera aacutegil y eficaz esto genera confianza por parte de los usuarios que en este caso seriacutean los estudiantes de la institucioacuten y acrecentariacutea el prestigio y la credibilidad de la misma ya que esto muestra que la entidad estaacute alineada con las poliacuteticas de seguridad de la informacioacuten A continuacioacuten estos son los iacutetems que el Jefe de Sistemas debe tener en cuenta para atender manera apropiada un incidente

Establecer un grupo CSIRT (Computer Security Incident Response Team por sus siglas en Ingles)

Concretar un procedimiento de respuesta a incidentes

Disminuir la cuantiacutea y gravedad de los incidentes de seguridad

Contener los dantildeos y minimizar los riesgos

Ante la ausencia de un grupo que atienda los incidentes de seguridad se hace necesario que el jefe de Sistemas establezca un grupo CSIRT para el trato de los incidentes de seguridad de la Universidad Aunque la creacioacuten de un grupo como tal demanda una labor compleja y extensa en cuanto preparacioacuten de las personas tecnologiacutea infraestructura y presupuesto la direccioacuten de sistemas podraacute iniciar con un equipo conformado por un grupo de personas idoacuteneas para atender los incidentes de seguridad con la finalidad de sentar las bases que a futuro y en un estado de madurez avanzado puedan conformar el CSIRT que la Universidad Libre establece en sus lineamientos Los integrantes del equipo deben haber determinado claramente sus labores para afirmar que no quede ninguna dependencia o aacuterea de la respuesta sin cobijar

33

Se debe tener en cuenta que el equipo que se conforme debe realizar las siguientes funciones

Evidenciar y relacionar los incidentes de seguridad

Deben incrementar el nivel de conciencia en proporcioacuten a la seguridad al interior de la entidad con el fin de ayudar de impedir que se ocasionen incidentes en la Universidad

Facilitar las auditoriacuteas de sistemas con el fin de evaluar los procesos como y obtener las vulnerabilidades y pruebas de pentesting

Deben recolectar informacioacuten acerca de las nuevas vulnerabilidades y estrategias de ataque empleadas por los atacantes

Supervisar los sistemas en busca de infracciones de seguridad

Investigar acerca de nuevas revisiones de software

Investigar y desplegar nuevas tecnologiacuteas para disminuir los riesgos y de seguridad

Recolectar evidencias digitales Para casos de informaacutetica forense en que el jefe de sistemas tenga que realizar el direccionamiento este deberaacute seguir los procedimientos establecidos a la cadena de custodia la cual debe ser clara y suficiente El anaacutelisis debe ser solo sobre copias del material de la evidencia se debe registrar cuando y donde fue ejecutado el proceso de copiado quien realizo las actividades y que herramientas y programas fueron utilizados

Se proponen las anteriores funciones para la Universidad Libre como punto de inicio para un equipo de incidentes que apenas iniciariacutea las labores con miras a sentar unas bases de conocimiento y praacutectica que con el tiempo se iraacuten incrementando las actividades y el campo de accioacuten cada vez que su experiencia y madurez avance y se puedan establecer otros lineamientos maacutes profundos

712 Coordinador de Sistemas Junto con el Oficial de Seguridad son las personas que se deben preparar el equipo CSIRT para tratar los incidentes de seguridad Para conformar el equipo es necesario instruirlos acerca del uso apropiado y la utilizacioacuten de las herramientas de seguridad informaacutetica De igual forma es necesario suministrarles equipos de coacutemputo con estas herramientas de forma que puedan atender a los incidentes informaacuteticos Estos sistemas y las herramientas asociadas deben estar protegidos adecuadamente

34

El Coordinador de Sistemas es el encargado de administrar el aacuterea de soporte de TI por ende debe instituir visiblemente y poner en praacutectica todas las poliacuteticas y procedimientos al interior de la Universidad Diversos incidentes de seguridad estaacuten ocasionados de manera accidental por el personal de TI que en algunos casos no han seguido o no han entendido las poliacuteticas de administracioacuten de cambios o bien no han configurado adecuadamente los dispositivos de seguridad en el caso de firewall o los sistemas de autenticacioacuten De acuerdo a lo anterior es necesario que el coordinador establezca procedimientos y que a su vez se les pueda realizar pruebas exhaustivas a estos con el fin de garantizar que son praacutecticas y claras asimismo que ofrezcan el nivel de seguridad requerido 713 Oficial de Seguridad El Oficial de Seguridad debe preparar al equipo CSIRT Para eacutesta preparacioacuten del equipo se deben seguir los siguientes iacutetems

Es necesario reunir la informacioacuten de comunicacioacuten pertinente Debe confirmarse que cuenta con los nombres y nuacutemeros de teleacutefono de contacto de las personas de la Universidad a las que sea necesario avisar (incluso los integrantes del CSIRT) Asimismo se requiere informacioacuten del proveedor de servicios de Internet (ISP) y las autoridades locales y nacionales (CERT Centro Ciberneacutetico Policial entre otros) Tambieacuten se debe contar con la asesoriacutea legal para contactar a las autoridades locales pertinentes antes de que se materialice un incidente De eacutesta forma se contribuiraacute a afirmarse que se comprenden las operaciones convenientes para informar los incidentes y la constitucioacuten de pruebas En el caso de cualquier eventualidad es necesario avisar a la asesoriacutea legal de la autoridad que concierne

Ilustrar al grupo en la manipulacioacuten adecuada de las herramientas de seguridad criacuteticas De igual forma suministrarles equipos portaacutetiles configurados con estas herramientas para certificar que no se malgasta tiempo en la instalacioacuten y configuracioacuten de las herramientas de modo que puedan responder a los incidentes Estos sistemas y las herramientas asociadas deben estar protegidos adecuadamente cuando no se usen

Se debe publicar la informacioacuten del sistema de emergencia en un sitio central y que no posea conexioacuten de ninguna clase se debe transmitir en una carpeta fiacutesica o un equipo de coacutemputo que no tenga conexioacuten Esta informacioacuten de emergencia incluye las contrasentildeas de los sistemas las direcciones IP la informacioacuten sobre la configuracioacuten de los enrutadores las listas de conjuntos de reglas del firewall copias de las claves de entidad emisora de certificados los nombres y nuacutemeros de teleacutefono de contacto los procedimientos de extensioacuten etc Esta informacioacuten debe estar disponible con facilidad y se debe mantener en un lugar seguro Un meacutetodo para proteger y hacer esta informacioacuten faacutecilmente disponible consiste en cifrarla en un equipo portaacutetil de seguridad dedicado guardado en una caja fuerte con acceso limitado a ciertos individuos como el coordinador del CSIRT o el director del departamento informaacutetico o tecnoloacutegico Una vez definidos los roles y sus funciones se deberaacute continuar con una serie de actividades enmarcadas en una planificacioacuten y preparacioacuten que permitan el

35

seguimiento y soporte transversal a los procesos que se realizan dentro de la Universidad Libre con la finalidad de garantizar la informacioacuten en cada momento e integrar los diferentes actores al procedimiento de seguridad de la informacioacuten

72 ACTIVIDADES DE SENSIBILIZACIOacuteN

Se debe desarrollar planes relacionados con cultura en seguridad de la informacioacuten teniendo en cuenta elementos como concientizacioacuten entrenamiento y educacioacuten De acuerdo con lo anterior estos elementos hacen que las actividades relacionadas con la cultura de seguridad de la informacioacuten se interioricen y se ponga en praacutectica por parte del usuario final y las directivas Los contenidos estaacuten dirigidos a dos grupos directivos personal administrativo yo comunidad estudiantil A continuacioacuten los temarios deben contener la siguiente informacioacuten que se van a tratar en las charlas de sensibilizacioacuten

Charla sensibilizacioacuten para el Grupo Directivo y Jefes de Unidades Conocer los conceptos sobre seguridad de la informacioacuten

iquestPor queacute es importante la Seguridad de la Informacioacuten

iquestQueacute debo proteger

iquestDe quieacuten me debo proteger

Eventos de Seguridad

Por queacute son importantes las Poliacuteticas de Seguridad

Ronda de Preguntas

Charla Sensibilizacioacuten para la Comunidad Usuario final Conocer los conceptos sobre seguridad de la informacioacuten como denunciar y la legislacioacuten existente



iquestEventos de Seguridad

iquestCoacutemo debo actuar

iquestLegislacioacuten Colombiana

iquestRecordatorios

36

73 DEFINICIOacuteN DE PROCEDIMIENTOS

731 Procedimiento de ingreso al centro de coacutemputo y centros de cableado Se hace necesario definir un procedimiento que tenga como objetivo establecer el ingreso al centro de coacutemputo y centros de red para que sea uniforme tanto para funcionarios de la Universidad como para los contratistas

De igual forma se debe describir los mecanismos de control de acceso para visitantes que soliciten acceso a las aacutereas de TI y a los centros de red de la Universidad Libre esto es importante y necesario por tratarse lugares donde reside informacioacuten sensible

732 Procedimiento de aseguramiento de servidores El objetivo es detectar y corregir los problemas de seguridad sobre la institucioacuten que puedan poner en riesgo la seguridad de los mismos y por ende la seguridad de la informacioacuten

Se debe puntualizar los cambios a efectuar en los diferentes elementos de la institucioacuten con el fin de atenuar los problemas de seguridad Estos cambios se deben representar en una matriz de riesgos donde se detallan los problemas hallados los riesgos que se muestran el modo de solucionarlo y las observaciones pertinentes

Indicar en su totalidad las correcciones a efectuar de igual forma se debe validar previamente con los administradores de cada uno de los servidores de la Universidad a fin de evaluar los alcances de los cambios propuestos

Es necesario definir los cambios requeridos que se van a realizar en la institucioacuten con el fin de optimizar el nivel de seguridad Los cambios anteriormente requeridos se deben representar en la matriz mencionada anteriormente que contempla aspectos como

Actualizacioacuten de seguridad en los servidores

Verificacioacuten de permisos de archivos y carpetas

Comprobacioacuten de permisos de usuarios

Servicios innecesarios

Aplicaciones innecesarias

Archivos de inicio

Mecanismos de auditoria

Mecanismos de administracioacuten

Restricciones de acceso a los usuarios

Auditorias de contrasentildeas

Interaccioacuten con software de gestioacuten

37

Interaccioacuten con otros tipos aplicaciones de seguridad (Firewalls IDS backups etc)

733 Procedimiento de implementacioacuten de backups en estaciones de trabajo Tiene como finalidad realizar el almacenamiento de forma segura de toda la informacioacuten digital que dentro del desarrollo de las funciones se considere documental importante y criacutetica generada en cada una de las unidades acadeacutemicas y administrativas de la Universidad Libre

734 Metodologiacutea de ethical hacking Se hace necesario establecer una metodologiacutea de Ethical Hacking la cual se debe desarrollar de acuerdo con lo definido por las metodologiacuteas OSSTMM y OWASP (Metodologiacutea orientada a pruebas de intrusioacuten a aplicaciones) manifestada en el siguiente diagrama que describe las etapas para el levantamiento de informacioacuten inventario verificacioacuten aprovechamiento y fundamentacioacuten En la Figura 2 Metodologiacutea Ethical Hacking se ilustran las etapas

Figura 2 Metodologiacutea Ethical Hacking

Fuente autores

7341 Levantamiento de informacioacuten Se debe realizar un levantamiento de la informacioacuten al interior de la Universidad con el fin de encontrar objetivos como servidores enrutadores firewalls y demaacutes accesos en las redes Conforme al escenario seleccionado para realizar las pruebas se pueden encontrar las siguientes situaciones

Pruebas Ciegas son denominadas pruebas de caja negra de acuerdo a la metodologiacutea OSSTMM porque no se suministra ninguacuten tipo de informacioacuten y se

38

lleva a cabo la tarea de descubrimiento de la misma para la planeacioacuten del ataque En este tipo de escenarios las pruebas toman maacutes tiempo por cuanto se debe recolectar maacutes informacioacuten inicialmente a traveacutes de herramientas de buacutesqueda como Google Bing etc

Pruebas con Informacioacuten se definen de esta forma porque los administradores de infraestructura facilitan informacioacuten baacutesica de sus redes servidores etc y de esta forma se puede mejorar el tiempo de las pruebas orientaacutendolas a los objetivos maacutes especiacuteficos

Pruebas con cuenta creada y validacioacuten a nivel de un usuario nivel medio

Pruebas sin proteccioacuten de los dispositivos de proteccioacuten perimetrales (Resguardando todas las medidas para proteger los sitios a explorar)

7342 Inventario Se debe realizar un proceso de inventario en el cual se consiguen y cataloga informacioacuten importante de acuerdo con lo anterior se precisan los posibles vectores de ataque Como parte de esa informacioacuten esta

Enrutamiento

Nombres de usuarios

Servicios y aplicaciones

Puertos abiertos

Conexiones externas

7343 Verificacioacuten Radica en establecer problemas de seguridad de acuerdo con los resultados del inventario y el levantamiento de informacioacuten y los potenciales vectores de ataque Estos problemas de seguridad de la informacioacuten se pueden hallar utilizando software especializado o de manera manual La verificacioacuten de las vulnerabilidades encontradas puede demorar maacutes tiempo ya que para tener mayores posibilidades de eacutexito se requiere establecer los falsos positivos Como resultado de la verificacioacuten de vulnerabilidades se estipula la estrategia a seguir durante las pruebas de intrusioacuten

7344 Aprovechamiento Atacar los objetivos escogidos en la fase anterior aprovechando las vulnerabilidades descubiertas Dentro de la etapa del ataque se prueba la existencia real de las vulnerabilidades encontraras en las etapas anteriores para asiacute determinar el impacto de las mismas Al interior del desarrollo de la etapa de aprovechamiento pueden surgir nuevas vulnerabilidades no detectadas en las etapas anteriores las cuales seraacuten incluidas dentro de esta fase para su verificacioacuten

39

7345 Fundamentacioacuten Elaboracioacuten de un informe pormenorizado con los resultados logrados durante todo el proceso de ejecucioacuten de las pruebas de penetracioacuten con el correspondiente anaacutelisis de dicha informacioacuten para poder ser interpretada de manera correcta y entender las implicaciones a nivel de seguridad sobre la infraestructura informaacutetica de la Entidad Con las recomendaciones requeridas para solventar los problemas mencionados que se encuentran alineados seguacuten normas internacionales como la norma ISO 27002 -27001

74 PROCEDIMIENTO DETECCIOacuteN Y REPORTE

La deteccioacuten de incidentes se puede generar de forma automaacutetica por medio de sistemas de seguridad implantados dentro de la Universidad Libre caiacuteda de servidores sistemas de antivirus o de forma manual por medio de reportes realizados por funcionarios monitoreo revisioacuten de logs informacioacuten expuesta a funcionarios no autorizados Al momento de ocurrir una deteccioacuten de incidente es necesario seguir con las siguientes actividades

741 Advertir de la posibilidad de un incidente de seguridad de la informacioacuten Ante un posible incidente de seguridad se advertiraacute a la Mesa de Ayuda a traveacutes de los siguientes canales

bull Debe enviar un mensaje a traveacutes de correo electroacutenico a soportetiunilibreeduco bull A traveacutes de llamada telefoacutenica a la Mesa de Ayuda a la extensioacuten 1138

El funcionario que informe sobre el posible incidente de seguridad debe tener en cuenta los siguientes lineamientos en el momento de generar el reporte

bull Constituir por queacute se piensa que se estaacute tratando de un incidente de seguridad que afecta la confidencialidad integridad y disponibilidad

bull Integrar toda la informacioacuten que llevoacute a establecer que es un incidente informacioacuten que podraacute ser empleada en la investigacioacuten yo para iniciar a mitigar los dantildeos y menguar el riesgo Esta consolidacioacuten de la informacioacuten se emplearaacute a futuro para documentar el incidente (ya sea real o falso) La consolidacioacuten de la informacioacuten se realizaraacute por medio de la estructura descrita en la figura 3 Reporte Evento seguridad que contiene una informacioacuten del reporte fecha y hora informacioacuten del incidente fecha de deteccioacuten lugar y hora informacioacuten del contacto quien reporta el incidente informacioacuten de contacto y la dependencia a donde pertenece por uacuteltimo se relaciona una seccioacuten de descripcioacuten donde se relacione que es lo sucedido

40

En la figura 3 se describe el reporte de evento de seguridad

Figura 3 Reporte Evento seguridad

Fuente autores

742 Documentacioacuten del incidente de seguridad de la informacioacuten En el momento que se realice la recepcioacuten de la notificacioacuten de un incidente de seguridad la Mesa de Ayuda debe realizar la primera clasificacioacuten del Incidente en la Herramienta de Mesa de Ayuda para empezar con la atencioacuten del mismo alliacute se creara un Ticket

De igual forma se emplean definiciones como Incidente y Solicitud Inicial respectivamente los cuales pueden ser asociados a los tickets seguacuten corresponda a continuacioacuten se muestra las siguientes definiciones

Solicitud Inicial Se emplea cuando se genera un reporte de evento de seguridad porque puede generar varios tickets para su tratamiento siendo la solicitud inicial la que afianza la informacioacuten del incidente

Incidente Inicial Se emplea cuando el reporte de evento de seguridad es confirmado y es posible que sea compuesto por varios tickets que traten una misma situacioacuten

En el incidente inicial es necesario profundizar la informacioacuten contemplada en la solicitud inicial esta informacioacuten deberaacute ser consignada en la estructura de reporte

41

de incidente informaacutetico descrita en la Figura 4 Reporte Incidente Informaacutetico en este reporte se describe la fecha del incidente el nuacutemero de incidente la informacioacuten del contacto la informacioacuten del incidente esta informacioacuten es diligenciada de acuerdo a la categorizacioacuten de incidentes de seguridad que se establezca una descripcioacuten de lo sucedido y que componentes fueron afectados

Figura 4 Reporte Incidente Informaacutetico

Fuente autores La informacioacuten alliacute recopilada deberaacute ser almacena con la finalidad de alimentar la base de datos de incidentes presentados

743 Categorizacioacuten de incidentes de seguridad de la informacioacuten Para una apropiada administracioacuten todos los incidentes deberaacuten estar categorizados Un incidente que contenga muacuteltiples clases o tipologiacuteas debe ser clasificado por el evento de seguridad original

A continuacioacuten en el cuadro 1 categorizacioacuten de Incidentes se analiza la categorizacioacuten de incidentes para la Universidad Libre que contiene una categorizacioacuten de incidentes que se pueden presentar la clase a que corresponde y una definicioacuten del mismo

42

Cuadro 1 Categorizacioacuten de Incidentes

Categorizacioacuten Clase Definicioacuten

Ataques

Explotacioacuten de

Backdooro puertas

traseras

Perjuicios ausencias o puestas en riesgo

de la informacioacuten de la Universidad Libre

por explotacioacuten de Backdooro o puertas

traseras dejadas en los procesos de

disentildeo de aplicaciones y sistemas de

informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

Perjuicios ausencia opuestas en riesgo de

la informacioacuten de la Universidad Libre por

aprovechamiento de vulnerabilidades de los

sistemas de informacioacuten

Denegacioacuten de servicios

Perjuicios ausencia o puesta en

riesgo de la informacioacuten de la

Universidad Libre cuando se presentan

eventos que ocasionan perdida de un

servicio tecnoloacutegico en particular Los

siacutentomas para detectar un incidente de

esta categoriacutea son Tiempos de

respuesta muy bajos sin razones

aparentes servicios internos

inaccesibles sin razones aparentes

servicio(s) externo(s) inaccesibles sin

razones aparentes

Escaneo de redes

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por intentos de adivinar quebrantar yo violentar contrasentildeas

Intentos de acceso


Dantildeos fiacutesicos Interferencia

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por interferencias que obstruye las redes de computador de radio yo televisioacuten por cableado o inalaacutembrico a traveacutes de medios teacutecnicos

43

Continuacioacuten cuadro 1


Dantildeos fiacutesicos

Agua

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a agua dentro de las instalaciones de la Universidad Libre

Ambiente infortunado

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a contaminacioacuten polvo moho

Destruccioacuten de equipos

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a destruccioacuten de equipos o medios con informacioacuten

Incendio

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a incendios dentro de las instalaciones de la Universidad Libre

Desastre natural

Inundaciones naturales

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a inundaciones generadas por riacuteos quebradas etc

Terremotos

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a terremotos

Granizo

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a granizo

Dantildeo a

infraestructura

tecnoloacutegica

Dantildeo fiacutesico

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a dantildeos fiacutesicos

44




Error de funcionamiento del software

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a error de funcionamiento de un software

Quebrantamiento de mantenimiento

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a error en los mantenimientos establecidos por la Universidad Libre

Dantildeos a

infraestructura

fiacutesica

Dantildeo alimentacioacuten eleacutectrica

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a dantildeo en la alimentacioacuten eleacutectrica

Dantildeo en aire acondicionado

Perjuicios ausencia opuesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a inconvenientes en los aires acondicionados

Malware

Botnet

Perjuicio ausencia o puesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a Botnet

Gusano de red Perjuicio ausencia o puesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a programa(s) malicioso(s) diseminado(s) y replicado(s) en la red de la Universidad Libre

Paacutegina Web con coacutedigo malicioso

Perjuicio ausencia o puesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a paacuteginas web con coacutedigo malicioso

Sitio hosting con coacutedigo malicioso

Perjuicio ausencia o puesta en riesgo de la informacioacuten de la Universidad Libre por sitio de alojamiento de un coacutedigo malicioso descargado por usuarios objetivo

45



Malware

Troyanos

Perjuicio ausencia o puesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a troyanos

Virus informaacutetico

Perjuicio ausencia o puesta en riesgo de la informacioacuten de la Universidad Libre por causas asociadas a virus informaacuteticos

Interceptacioacuten

Interceptar una conversacioacuten de una parte externa sin que esta tenga conocimiento

Divulgacioacuten Dar a conocer puacuteblicamente informacioacuten confidencial o reservada

Puesta en riesgo

de la informacioacuten Fisgoneo

Recaudacioacuten secreta de informacioacuten y la divulgacioacuten de esta acerca de los procesos de la otra institucioacuten

Puesta en riesgo de la informacioacuten

Ingenieriacutea social Recoleccioacuten de informacioacuten de una persona utilizando medios no teacutecnicos

Interceptacioacuten Captura de datos antes de que puedan llegar a los usuarios previstos

Phishing Perjuicios ausencia o puesta en riesgo de la informacioacuten de la Universidad Libre por Phishing

Robo de

informacioacuten

Apropiacioacuten de datos sin previa autorizacioacuten

Fuente autores

75 VALORACIOacuteN DE CRITICIDAD DE INCIDENTES DE SEGURIDAD DE LA INFORMACIOacuteN

Para una adecuada administracioacuten todos los Incidentes de seguridad deberaacuten estar clasificados seguacuten su estado criacutetico y la afectacioacuten a la Universidad Libre el cuadro 2 valoraciones criticidad de Incidentes muestra una valoracioacuten de criticidad de acuerdo al inventario de activos de la Informacioacuten de la Universidad Libre

46

Cuadro 2 Valoraciones criticidad de Incidentes

Valoracioacuten Descripcioacuten

CRITICA

Es un suceso que simboliza una seria amenaza para la Universidad Libre que altera de forma inmediata a uno o maacutes recursos importantes pone en peligro informacioacuten confidencial de la Universidad Libre se considera de gran afectacioacuten para la misioacuten de la institucioacuten yo sistemas de misioacuten criacutetica En esta valoracioacuten cada uno de estos incidentes puede originar la peacuterdida total de sistemas de misioacuten criacutetica que estaacuten directamente relacionados con la continuidad del negocio de la Universidad Libre inclusive podriacutean afectar la seguridad fiacutesica de las personas causar una peacuterdida irreversible de recursos de la entidad yo resultar en cargos criminales

ALTA

Se categorizan en este nivel de criticidad los incidentes de los cuales se tiene constancia que son una amenaza que ha afectado o esta afectando los activos categorizados como muy altos en confidencialidad integridad yo disponibilidad para la Universidad Libre El incidente catalogado de alta criticidad tiene un impacto desmedido (afectacioacuten total a la confidencialidad disponibilidad o integridad) en la informacioacuten y se considera criacutetica para la misioacuten de la Universidad Libre esto incluye informacioacuten en diferentes medios yo sistemas criacuteticos Estos incidentes suelen causar la degradacioacuten de los servicios vitales para un gran nuacutemero de usuarios implican una grave violacioacuten de seguridad afectan a los equipos vitales o servicios o pueden dantildear la confianza en la administracioacuten puacuteblica o podriacutean afectar la seguridad fiacutesica de las personas causar una peacuterdida importante de recursos de la Universidad Libre

BAJA

Se categorizan con este nivel aquellos eventos que puedan ser una amenaza que afecta o estaacute afectando a activos de una amenaza que afecta o esta afectando a activos de informacioacuten de la Universidad Libre con una valoracioacuten de impacto limitado en tres pilares de la informacioacuten (confidencialidad disponibilidad o integridad La Universidad libre debe contar con controles de seguridad desplegados funcionales que contrarrestan adecuadamente estos eventos por lo tanto su impacto debe ser nulo o miacutenimo La Universidad Libre ya debe estar capacitada para gestionar estos incidentes y tener desplegados controles que elimine o limiten sus riesgos

Fuente autores

Para establecer el nivel de criticidad debemos tener en cuenta un impacto alto

medio o bajo la tabla 3 Niveles de criticidad explica loas significados

47

Cuadro 3 Niveles de criticidad

Impacto Descripcioacuten

ALTO El incidente de seguridad de la informacioacuten puede afectar la

continuidad del negocio de la Universidad Libre

MEDIO El incidente de seguridad de la informacioacuten afecta a todo o a

maacutes de una dependencia de funcionarios de la Universidad

Libre (en este caso Seccionales a nivel nacional)

BAJO El incidente afecta a un funcionario a un aacuterea de colaboradores

de la Universidad Libre

Fuente autores

Finalmente la cuadro 4 Niveles de urgencia muestra la combinacioacuten de las

variables antes descritas

Cuadro 4 Niveles de urgencia

Urgencia Descripcioacuten

ALTO

El incidente de seguridad debe tener un tiempo de respuesta de (0-2 horas)

MEDIO

El incidente de seguridad debe tener un tiempo de respuesta de 2 a 4 horas

BAJO


Fuente autores

48

76 EQUIPOS DE RESPUESTA DE SEGURIDAD DE LA INFORMACIOacuteN (CSIRT) Los equipos de respuesta a los Incidentes de Seguridad de la Informacioacuten que no se consideren criacuteticos estaraacuten liderados por el Gestor de Incidentes de seguridad de la informacioacuten de la Universidad Libre y se conformaran por el duentildeo y el custodio de la informacioacuten de acuerdo con la matriz de levantamiento de activos de la Universidad Libre En caso de que el incidente de seguridad de la informacioacuten se considere criacutetico el Gestor de Incidentes de seguridad de la informacioacuten de la Universidad Libre deberaacute proponer el equipo que considere deberaacute participar en el tratamiento del incidente el cual seraacute evaluado y aprobado por el CSIRT Los equipos que se conformen podraacuten solicitar informacioacuten o la participacioacuten de otros procesos macro procesos u operadores estrateacutegicos para la atencioacuten del incidente de seguridad de la informacioacuten

77 MITIGACIOacuteN DE DANtildeOS Y DISMINUCIOacuteN DE RIESGOS Es necesario proceder para minimizarlas consecuencias existentes de un incidente de acuerdo a lo anterior puede ser el diferenciador entre que el impacto sea menor o de mayor importancia La respuesta puntual obedeceraacute al origen del incidente al que se enfrente No obstante se sugieren las siguientes prioridades como punto de inicio

bull Resguardar la vida humana y la seguridad de las personas Debe ser siempre la maacutexima prelacioacuten

bull Resguardar la informacioacuten reservada y confidencial Como parte del plan de respuesta a incidentes se debe definir claramente queacute informacioacuten es Reservada o confidencial Esto le permitiraacute constituir las prioridades para dar respuesta a la proteccioacuten de datos bull Resguardar otra informacioacuten importante (por ejemplo propiedad intelectual o del aacutembito directivo) Hay otra informacioacuten de su entorno de trabajo que tambieacuten puede ser valiosa Debe Resguardar en primer lugar los datos maacutes valiosos antes de pasar a otros de baja prioridad bull Resguardarla infraestructura fiacutesica y tecnoloacutegica Esto incluye Resguardarlos contra peacuterdida yo modificacioacuten de los archivos de sistema y contra dantildeos fiacutesicos al hardware Los dantildeos en los sistemas pueden tener como consecuencia un alto tiempo de inactividad

49

bull Reducir la perturbacioacuten de los recursos informaacutetico Aunque el tiempo de produccioacuten sea muy importante en la mayoriacutea de los entornos el hecho de mantener los sistemas en funcionamiento durante un incidente puede tener como consecuencia problemas maacutes graves en el futuro Por este motivo la minimizacioacuten de la interrupcioacuten de los recursos informaacuteticos debe ser generalmente una prioridad relativamente baja

En la actualidad hay distintas medidas que se pueden tomar para contener el dantildeo y minimizar el riesgo en el entorno como miacutenimo se debe llevar a cabo las siguientes acciones

bull Impedir que los posibles ciber delincuentes conozcan los procesos es que se adelanten dentro del tratamiento De momento resulta difiacutecil porque algunas respuestas esenciales pueden alertar a los atacantes bull Comparar el impacto de dejar sin conexioacuten los sistemas en peligro y los sistemas relacionados con el riesgo de continuar funcionando bull Determinar los puntos de acceso usados por posibles atacantes e implementar las medidas adecuadas para evitar futuros accesos bull Considerar la opcioacuten de volver a crear un sistema con discos duros nuevos (se deben eliminar los discos duros existentes y almacenarlos ya que se pueden usar como prueba si se decide procesar a los posibles atacantes) Asegurar el cambio de las contrasentildeas locales de las cuentas de servicio y administrativas en todo el entorno

78 PROCEDIMIENTO DE SEGUIMIENTO Y CIERRE

En esta etapa es cuando los reportes de eventos que fueron previamente valorados y clasificados como incidentes y que obtuvieron una respuesta se procede a realizar el seguimiento oportuno este seguimiento es realzado por la mesa de ayuda la cual es el canal principal donde fueron recibidas las solicitudes y se les fue creado un ticket de atencioacuten

Durante el seguimiento se puede establecer si la respuesta al incidente es cerrarlo e impedir que no vuelva a ocurrir o mantenerlo y controlar su impacto de forma documental en el reporte de incidentes que relacione como fue contenido que acciones fueron las ejecutadas para mitigar los dantildeos esta informacioacuten se debe almacenar en la base de conocimiento que establezca las Universidad Libre como repositorio a la documentacioacuten generada

Si durante el seguimiento se determina que el incidente detectado requiere un tratamiento urgente se deberaacute proceder con la mayor celeridad posible Si la urgencia lo amerita se deberaacute informar al jefe del aacuterea de sistemas Para esta

50

informacioacuten se debe tener en cuenta tipo de Incidente nivel de criticidad queacute origino el incidente y como ocurrioacute

Durante el seguimiento al incidente es posible que se necesite una asignacioacuten de un equipo con miras a atender el caso y poder dar una respuesta

781 Asignar equipo El equipo para el caso de la Universidad Libre corresponderaacute a las personas que conforman la direccioacuten de sistemas debido a que son los encargados directos de dar respuesta a los incidentes

En el caso que la Universidad Libre determine ampliar su planta y crear varios equipos de repuesta se tomariacutea como referencia los siguientes puntos para realizar un escalamiento de soporte maacutes elevado que cumpla con un personal de

Mayor experiencia Recursos para solucionar temas maacutes complejos o difiacuteciles Mayor potestad para toma de decisiones Una vez clasificado y asignado el incidente el equipo registrara las acciones realizadas de forma procedimentalmente siguiendo los siguientes pasos ejecutados en este orden

Evaluar la situacioacuten inicial

Comunicar el incidente

Contener el dantildeo y minimizar el riesgo (se deben tener equipos pre configurados con las herramientas y programas necesarios para realizar el aislamiento del equipo en cuestioacuten)

Identificar el tipo y la gravedad del ataque

Proteger las pruebas

Notificar a los organismos externos si es necesario y pertinente

Recuperar los sistemas

Compilar y organizar la documentacioacuten del incidente

Valorar los dantildeos y costos del incidente

Revisar la documentacioacuten y actualizarla si es necesario

51

79 RECOLECCIOacuteN DE EVIDENCIAS

Si dentro de la atencioacuten es necesario realizar una recoleccioacuten de evidencia Esta verificacioacuten es realizada por el oficial de seguridad y corresponde a que si el incidente tuvo repercusiones graves acompantildeado de su criterio profesional tomara decisioacuten si ordena la recoleccioacuten de evidencia o no

Se debe tener en cuenta lo principios para la recoleccioacuten de evidencia consignados en el RFC322722

791 Capturar una imagen del sistema tan precisa como sea posible

Realizar notas detalladas incluyendo fechas y horas indicando si se utiliza

horario local o UTC

Minimizar los cambios en la informacioacuten que se estaacute recolectando y eliminar los

agentes externos que puedan hacerlo

En el caso de enfrentarse a un dilema entre recoleccioacuten y anaacutelisis elegir

primero recoleccioacuten y despueacutes anaacutelisis

Recoger la informacioacuten seguacuten el orden de volatilidad (de mayor a menor)

Tener en cuenta que por cada dispositivo la recogida de informacioacuten puede realizarse de distinta manera

792 Orden de volatilidad El orden de volatilidad hace referencia al periacuteodo de tiempo en el que estaacute accesible cierta informacioacuten Es por ello que se debe recolectar en primer lugar aquella informacioacuten que vaya a estar disponible durante el menor periacuteodo de tiempo es decir aquella cuya volatilidad sea mayor

De acuerdo a esta escala se puede crear la siguiente lista en orden de mayor a menor volatilidad

Registros y contenido de la cacheacute Tabla de enrutamiento cacheacute ARP tabla de procesos estadiacutesticas del kernel

memoria Informacioacuten temporal del sistema

22

RIVAS LOacutePEZ Luiacutes Anaacutelisis Forense de sistemas informaacuteticos 2008 [en liacutenea [consultado el

23 de mayo de 2016 Disponible en lrivaswebsuvigoesAnalisis20forense20de20 sistemas20informaticospdf

52

Disco Logs del sistema Configuracioacuten fiacutesica y topologiacutea de la red Documentos

793 Acciones que deben evitarse Se deben evitar las siguientes acciones con el fin de no invalidar el proceso de recoleccioacuten de informacioacuten ya que debe preservarse su integridad con el fin de que los resultados obtenidos puedan ser utilizados en un juicio en el caso de que sea necesario

No apagar el ordenador hasta que se haya recopilado toda la informacioacuten

No confiar en la informacioacuten proporcionada por los programas del sistema ya que pueden haberse visto comprometidos Se debe recopilar la informacioacuten mediante programas desde un medio protegido como se explicaraacute maacutes adelante

No ejecutar programas que modifiquen la fecha y hora de acceso de todos los ficheros del sistema

794 Consideraciones sobre la privacidad

Es muy importante tener en consideracioacuten las pautas de la Institucioacuten en lo que a privacidad se refiere Es habitual solicitar una autorizacioacuten por escrito de quien corresponda para poder llevar a cabo la recoleccioacuten de evidencias Este es un aspecto fundamental ya que puede darse el caso de que se trabaje con informacioacuten confidencial o de vital importancia para la empresa o que la disponibilidad de los servicios se vea afectada

No hay que entrometerse en la privacidad de las personas sin una justificacioacuten No se deben recopilar datos de lugares a los que normalmente no hay razoacuten para acceder como ficheros personales a menos que haya suficientes indicios

7941 Recoleccioacuten El procedimiento de recoleccioacuten debe de ser lo maacutes detallado posible procurando que no sea ambiguo y reduciendo al miacutenimo la toma de decisiones 7942 Transparencia Los meacutetodos utilizados para recolectar evidencias deben de ser transparentes y reproducibles Se debe estar preparado para reproducir con precisioacuten los meacutetodos usados y que dichos meacutetodos hayan sido testados por expertos independientes Pasos a seguir para garantizar la trasparencia

53

iquestDoacutende estaacute la evidencia Listar queacute sistemas estaacuten involucrados en el incidente y de cuaacuteles de ellos se deben tomar evidencias

Establecer queacute es relevante En caso de duda es mejor recopilar mucha informacioacuten que poca

Fijar el orden de volatilidad para cada sistema

Obtener la informacioacuten de acuerdo al orden establecido

Comprobar el grado de sincronizacioacuten del reloj del sistema

Seguacuten se vayan realizando los pasos de recoleccioacuten preguntarse queacute maacutes puede ser una evidencia

Documentar cada paso

No olvidar a la gente involucrada Tomar notas sobre queacute gente estaba alliacute queacute

estaban haciendo queacute observaron y coacutemo reaccionaron

7943 Almacenamiento de evidencias Cadena de custodia debe estar claramente documentada y se deben detallar los siguientes puntos

iquestDoacutende iquestcuaacutendo y iquestquieacuten descubrioacute y recolectoacute la evidencia iquestDoacutende iquestcuaacutendo y iquestquieacuten manejoacute la evidencia iquestQuieacuten ha custodiado la evidencia iquestcuaacutento tiempo y iquestcoacutemo la ha almacenado

En el caso de que la evidencia cambie de custodia indicar cuaacutendo y coacutemo se realizoacute el intercambio incluyendo nuacutemero de documento

Se debe almacenar la informacioacuten en dispositivos cuya seguridad haya sido demostrada y que permitan detectar intentos de acceso no autorizados

7944 Controlar incidente De acuerdo a la causa detectada el control se aplicaraacute si se detecta que la falla fue de Software o Hardware se comunicara con el proveedor pertinente si fue una vulnerabilidad detectada sede deberaacute actualizar para corregir la falla si ocurre servicios de credenciales se deberaacuten cambiar

Si el incidente no es controlado se convoca un comiteacute de seguridad donde participa el equipo o los liacutederes respectivos de acuerdo las directivas establecidas con el fin de tomar una decisioacuten frente al incidente que no se ha podido controlar

54

El comiteacute debe estar integrado por el oficial de seguridad el director de sistemas y el coordinador de sistemas del aacuterea de TI y sus funciones

Revisar y monitorear los incidentes de seguridad de la informacioacuten Revisar y aprobar los proyectos de seguridad de la informacioacuten Aprobar las modificaciones o nuevas poliacuteticas de seguridad de la informacioacuten

Realizar otras actividades de alto nivel relacionadas con la seguridad de la

informacioacuten

Como resultado de comiteacute se puede tomar la decisioacuten de solicitar a un proveedor que asuma el control del incidente si es necesario un apoyo maacutes especializado que se haga cargo

710 PROCEDIMIENTO DE MEJORA CONTINUA

Una vez sean ejecutadas las actividades de atencioacuten y tratamiento del incidente es necesario que se realice la fase procedimental de lecciones aprendidas las cuales se deberaacute retroalimentar sobre coacutemo fue atendido el incidente e identificar que se puede mejorar yo cambiar para que en el futuro el modelo tenga la madurez suficiente Tambieacuten se deben realizar actividades de

Llevar a cabo el anaacutelisis forense de seguridad de la informacioacuten seguacuten se requiera

Identificar las lecciones aprendidas de los incidentes y vulnerabilidades de seguridad de la informacioacuten

Revisar identificar y hacer mejoras a la implementacioacuten de controles de seguridad de la informacioacuten (controles nuevos yo actualizados) al igual que la poliacutetica de gestioacuten de incidentes de seguridad de la informacioacuten como resultado de las lecciones aprendidas

Revisar identificar y si es posible hacer mejoras a los resultados de la revisioacuten por la direccioacuten y la evaluacioacuten de riesgos para la seguridad de la informacioacuten existentes como resultado de las lecciones aprendidas

Revisar coacutemo fue la eficacia de los procesos los procedimientos los formatos de reporte yo la estructura organizacional para responder a la evaluacioacuten y la recuperacioacuten de cada incidente de seguridad de la informacioacuten y tratar las vulnerabilidades de seguridad de la informacioacuten y con base en las lecciones aprendidas identificar y hacer mejoras en el esquema de gestioacuten de incidentes de seguridad de la informacioacuten y su documentacioacuten

55

Actualizar la documentacioacuten

Comunicar y compartir los resultados de la revisioacuten dentro de una comunidad de confianza (si la Universidad Libre lo desea)

56

8 PRUEBAS

Dentro del levantamiento anaacutelisis de informacioacuten que se llevoacute a cabo en la Universidad Libre referente a al disentildeo de un procedimiento de atencioacuten de incidentes de la seguridad de informacioacuten se pudo establecer las siguientes pruebas siguiendo las recomendaciones propuestas

81 CAPACITACIOacuteN DE INSTALACIOacuteN Y RESOLUCIOacuteN DE PROBLEMAS DEL ANTIVIRUS KASPERSKY

Se realizoacute la capacitacioacuten sobre la resolucioacuten de problemas maacutes comunes presentados en el antivirus Kaspersky que corresponde a la herramienta que la Universidad Libre tiene instalada en sus equipos esta capacitacioacuten fue dirigida al equipo de soporte teacutecnico y a su coordinador La figura 5 Asistencia capacitacioacuten muestra evidencias del proceso de capacitacioacuten Figura 5 Lista Asistencia capacitacioacuten

Fuente autores

57

82 INFORME ANAacuteLISIS DE VULNERABILIDADES DE SERVIDORES DE LA UNIVERSIDAD LIBRE

Este informe efectuacutea una evaluacioacuten de vulnerabilidad en liacutenea elaborada por la Universidad Libre Este documento ha sido hecho y dispuesto para suministrar un informe raacutepido y faacutecil de entender para implicar la tarea de asegurar los sistemas informaacuteticos y equipos informaacuteticos conectados a Internet

Las vulnerabilidades del sistema son clasificadas dentro de cuatro categoriacuteas Riesgo Alto Riesgo Medio Riesgo Bajo Informacioacuten De acuerdo con lo anterior se realiza un resumen ejecutivo que compila la informacioacuten para una revisioacuten a nivel de gerencia Este resumen contiene tanto datos escritos como graacuteficos basados en el resultado del escaneo Estos resultados incluyen informacioacuten como cuando se realizoacute el anaacutelisis que realizoacute el anaacutelisis y la cantidad de vulnerabilidades del sistema que se encuentran en cada categoriacutea

Los detalles y los nombres de las vulnerabilidades descubiertas se encuentran en el capiacutetulo Resumen de vulnerabilidades Esto es seguido por las descripciones individuales para la correccioacuten de cada punto vulnerable detectado Cada vulnerabilidad descubierta en el sistema se suministra con una posible remediacioacuten

821 Niveles de gravedad

8211 Vulnerabilidades de Riesgo Alto Cuando se identifica una vulnerabilidad de riesgo alto significa que es posible que un intruso penetre y comprometa el sistema completamente yo acceda a la informacioacuten de alta sensibilidad del sistema Esto a su vez podriacutea conducir a la peacuterdida o robo de datos privados y sensibles 8212 Vulnerabilidades de Riesgo Medio La identificacioacuten de una vulnerabilidad de riesgo medio significa que un intruso puede obtener acceso a informacioacuten del sistema que podriacutea conducir a ataques maacutes especiacuteficos y posiblemente a un compromiso de todo el sistema Esto a su vez podriacutea conducir a la peacuterdida o robo de datos privados y sensibles 8213 Vulnerabilidades de Riesgo Bajo La identificacioacuten de una vulnerabilidad de riesgo bajo por lo general significa que un intruso puede obtener acceso a la informacioacuten del sistema que podriacutea ayudar y dar lugar a ataques maacutes especiacuteficos que resultan en la peacuterdida o robo de datos privados y sensibles

58

8214 Informacioacuten Todas las entradas de este nivel soacutelo tienen que proporcionar informacioacuten adicional a la ya disponible sobre el sistema analizado Esto no implica que el sistema sea o no vulnerable 8215 Resumen ejecutivo Este informe es un anaacutelisis de seguridad realizado por la Universidad Libre Contiene informacioacuten confidencial sobre el estado de su red El acceso a esta informacioacuten por parte de personas no autorizadas puede permitir que pongan en peligro la seguridad de su red Los detalles del objetivo evaluado se describen en la tabla 1 Direccioacuten IP de prueba Este anaacutelisis se llevoacute a cabo por el usuario Admin

Tabla 1 Direccioacuten IP de prueba

Country IP Addr Started at Ended at Duration

0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores

83 PERFIL DE ANAacuteLISIS

- Perfil de Anaacutelisis para IP 1011027 Normal Scan - 10000 Most Common Ports RECOMMENDED

831 Nivel de seguridad general Cat 1 (Critical Level)

- Vulnerabilidades Se identificaron Un total de 9 entre Vulnerabilidades potenciales e Informacioacuten Se han clasificado como sigue 1 Alto 0 Medio 4 Bajo 3 Informacioacuten La grafica 1 muestra la representacioacuten de las vulnerabilidades encontradas

59

Graacutefica 1 Vulnerabilidades

Fuente autores - Traza En la tabla 2Tabla de la Traza se presenta el resultado de un traceroute desde la cuenta Admin para los sistemas de destino traceroute to 1011027 (1011027) 15 hopsmaacutex 60 bytepackets

Tabla 2 Traza

Hop Name IP Location Avg (ms) Graph

1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60

- Puertos y Servicios Identificados En la tabla 3 Puertos y Servicios identificados se presentan los puertos y servicios se han identificado en los sistemas examinados

Ports y servicios para IP 1011027

Tabla 3 Puertos y servicios

Port Protocol Status Service

135 tcp open DCE endpoint resolution

139 tcp open NETBIOS Session Service

445 tcp open Microsoft DS

3389 tcp open WS WBT Server

8060 tcp open

8080 tcp open HTTP Alternate (seeport 80)

8081 tcp open Sun Proxy Admin Service

9000 tcp open CS listener

13000 tcp open

14000 tcp open SCOTTY High Speed File transfer

49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores

- Versioacuten Banner Identificado El cuadro 5 Banner identificado muestra la Versioacuten Banner de Servicio eran legibles en los sistemas examinados Se

61

recomienda volver a configurar estos banners con informacioacuten falsa o ninguna en absoluto

Versioacuten Banners para IP 1011027

Cuadro 5 Banner identificado

Banner name Http Versioacuten Banner

Port 8080tcp

Details Apache2410 (Win 32) Open SSL101 I modkscwc24

Solution It is highly recommended to configure thist output to return

boqus or notat ali it you have aiready done that please ignore

this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27


boqus or not at ali it you have aiready done that please ignore

this warning

Fuente autores

62

Cuadro 5 Continuacioacuten


Port 8080tcp




this warning

Fuente autores

84 RESUMEN DE VULNERABILIDADES

IP 1011027

Vulnerabilidades Altas

OpenSSLmemoryCorruption

Vulnerabilidades Bajas

It is possible to obtain remote NetBIOS name table

Informativas

AllProtocolsTested

85 METODOLOGIacuteA DEL ANAacuteLISIS DE VULNERABILIDADES

La metodologiacutea que se usa para identificar las vulnerabilidades de los componentes o estructuras brindadas por el cliente seraacuten los ataques mediante el uso de la herramienta Nessus

Una vez se han atacado se identificaraacuten las vulnerabilidades en un rango de 4 etapas desde la maacutes baja informativa que comprende informacioacuten con respecto a cosas baacutesicas y buenas praacutecticas hasta la maacutes alta a la cual se le haraacute una recomendacioacuten

63

Como resultado se realizaraacute un informe final en el cual se informaraacuten todas las vulnerabilidades con su respectivo detalle e informacioacuten

86 MEDIDAS DE MITIGACIOacuteN La determinacioacuten de las medidas de mitigacioacuten a partir de la estimacioacuten de la vulnerabilidad permite programar maacutes raacutepidamente acciones para reducir el efecto que tiene poseer esta vulnerabilidad en el sistema

Estas medidas son el fruto de los anaacutelisis realizados y ejecutados sobre ellas a continuacioacuten se describen los elementos que intervienen a la hora de la mitigacioacuten

Amenaza Se deberaacute identificar la amenaza con la cual se trabajaraacute

Estructuras fiacutesicas y equipos Esto en el que caso de que se necesite actuar sobre un elemento fiacutesico como lo es un equipo o una estructura

Organizacioacuten empresarial y componentes de soporte y servicio Este elemento de mitigacioacuten es no estructural necesario a la hora de fortalecer las actividades operativas y teacutecnicas se debe saber cuaacutendo es necesario un soporte por parte de un tercero para no caer en los riesgos de que se materialice la amenaza sobre la vulnerabilidad

Operacioacuten y mantenimiento Estas actividades son las maacutes recomendadas ya que son o deberiacutean ser parte de la vida cotidiana y tareas diarias tales como el soporte mantenimiento actualizacioacuten y parcheo de un sistema y de sus componentes

La grafica 2 muestra el porcentaje de las vulnerabilidades encontradas en la IP 1011027

64

Graacutefica 2 Vulnerabilidades de IP 1011027

Fuente autores Vulnerabilidad I Corrupcioacuten de memoria OpenSSL

OpenSSL Es un api que proporciona un entorno adecuado para encriptar los datos enviados a otra computadora dentro de una red y a su vez des encriptarlos adecuadamente por el receptor evitando asiacute el acceso a la informacioacuten por intrusos con la utilizacioacuten de sniffer

El conjunto de herramientas OpenSSL es una caracteriacutestica de FreeBSD que ofrece una capa cifrada de transporte sobre la capa normal de comunicacioacuten permitiendo la combinacioacuten con muchas aplicaciones y servicios de red

Impacto El Open SSL identificado en esta versioacuten es vulnerable a un ataque de corrupcioacuten de memoria Esto puede permitir ataques remotos y exponer el sistema y hacer que los datos no sean de confianza asn1_d2i_read_bio en OpenSSL contiene errores enteros al procesar datos de ASN1 Este puede ser explotado con datos no confiables con certificados como X509 o llaves puacuteblicas RSA El servicio tambieacuten estaacute corriendo sobre el puerto 8081

Solucioacuten Actualizar a la uacuteltima versioacuten del software identificado

65

9 CONCLUSIONES

Como resultado del presenta trabajo es posible concluir que la informacioacuten y las

tecnologiacuteas de la informacioacuten sugieren la necesidad de ser resguardadas bajo los

principios de la seguridad informaacutetica confidencialidad integridad y disponibilidad

Al aplicar estos principios a la informacioacuten como activo importante en la

Universidad Libre nos sugiere la creacioacuten e implementacioacuten de un modelo de

atencioacuten de incidentes informaacuteticos soportado en el disentildeo de procedimientos

apropiados con el fin de proteger y mitigar incidentes que se puedan presentar

El conocimiento de la norma ISOIEC 27035 y soportar los procedimientos

disentildeados sobre la norma le permitiraacute a la direccioacuten de sistemas de la

Universidad Libre abordar contener y corregir las debilidades encontradas

inicialmente y ofrecer una estructuracioacuten maacutes alineada a los principios de la

seguridad informaacutetica

Tener establecidos unos criterios de criticidad que permitan evaluar el impacto del incidente de seguridad que pueda tener sobre la informacioacuten se hacen necesarios para establecer las medidas que se deberaacuten aplicar para su mitigacioacuten yo solucioacuten La experiencia realizando el presente trabajo nos demostroacute que la falta de concientizar a la comunidad educativa docente y administrativa es parte de los riesgos importantes que puede sufrir la informacioacuten y que la preparacioacuten de la direccioacuten de sistemas es vital para contrarrestar adecuadamente el riesgo latente por las acciones que pueden generarse desde los diferentes actores que integran la Universidad Libre

66

BIBLIOGRAFIacuteA

CENTRO DE COORDINACIOacuteN SEGURIDAD INFORMAacuteTICA COLOMBIA iquestQueacute

es CSIRT Equipo de respuestas ante emergencias informaacuteticas [En liacutenea [consultado el 23 de mayo de 2016] Disponible en wwwcsirt-ccitorgco

Diccionario de la lengua espantildeola (sf) Diccionario de la lengua espantildeola |

Edicioacuten del Tricentenario [En liacutenea [consultado el 23 de mayo de 2016] Disponible en httpdleraeesid=T8ktrp2

INFORMAacuteTICA FORENSE COLOMBIA (sf) iquestQueacute son los ordenadores

cuaacutenticos iquestQueacute aplicaciones tendraacuten iquestEs la informaacutetica del futuro [En liacutenea [consultado el 23 de mayo de 2016] Disponible en httpwww Informaacutetica forensecomcoindexphpla-informaacutetica-forense

INSTITUTO COLOMBIANO DE NORMAS TEacuteCNICAS Guiacutea para la elaboracioacuten metodoloacutegica de un proyecto Bogotaacute ICONTEC

ESSUS (sf) Monitoreo continuo [En liacutenea [consultado el 23 de mayo de 2016] Disponible en httpwwwtenable comproductsnessus-vulnerability-scanner

MINISTERIO DE LA TECNOLOGIacuteA INDUSTRIA Y COMERCIO Normas NTC-

ISO-IEC 27035 - Tecnologiacutea de la informacioacuten [En liacutenea [consultado el 23 de mayo de 2016] Disponible en wwwminticgovcogestionti615articles-5482_Continuidadpdf

RIVAS LOacutePEZ Luiacutes Anaacutelisis Forense de sistemas informaacuteticos 2008 [en liacutenea

[consultado el 23 de mayo de 2016 Disponible en lrivaswebsuvigoes Anaacutelisis 20forense20de20 sistemas20informaticospdf

UNIVERSIDAD DE CALIFORNIA iquestQueacute es FreeBSD [En liacutenea [consultado el 23 de mayo de 2016] Disponible en httpseswikipediaorgwikiFreeBSD

UNIVERSIDAD LIBRE DE COLOMBIA Poliacuteticas de seguridad de la

administracioacuten y proteccioacuten de la Informacioacuten en la Universidad Libre [En liacutenea [consultado el 23 de mayo de 2016] Disponible en wwwunilibreeducouniversitarias153-nuestro-sistema-de-gestion-de-seguridad

_______ Seguridad de la informacioacuten [En liacutenea [consultado el 23 de mayo de 2016] Disponible en httpswwwunilibregovcoPortals0Documentos

MODELO BPM PARA LA GESTIOacuteN DE INCIDENTES INFORMAacuteTICOS EN LA UNIVERSIDAD LIBRE

JOHN FERNEY CHAVES CELIS ELBER NUacuteNtildeEZ ARAGOacuteN

Trabajo de grado para optar al tiacutetulo de Especialista en Seguridad Informaacutetica

Asesor JUAN CARLOS ALARCOacuteN SUESCUacuteN

Magister en Ingenieriacutea de Sistemas

UNIVERSIDAD PILOTO DE COLOMBIA FACULTAD DE INGENIERIacuteA

ESPECIALIZACIOacuteN EN SEGURIDAD INFORMAacuteTICA BOGOTAacute DC

2016


_________________________________

_________________________________

_________________________________


Firma del jurado

Firma del jurado


DEDICATORIA





AGRADECIMIENTOS


6

CONTENIDO

paacuteg

INTRODUCCION 18

1 PROBLEMA 19



3 OBJETIVOS 22


4 ALCANCE 23





7











8






9









8 PRUEBAS 56


10

9 CONCLUSIONES 65


11

LISTA DE FIGURAS

paacuteg






12


Paacuteg



13

LISTA DE TABLAS

paacuteg


Tabla 2 Traza 59


14

LISTA DE CUADROS

paacuteg






15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA


















_________________________________

_________________________________

_________________________________


Firma del jurado

Firma del jurado


DEDICATORIA





AGRADECIMIENTOS


6

CONTENIDO

paacuteg

INTRODUCCION 18

1 PROBLEMA 19



3 OBJETIVOS 22


4 ALCANCE 23





7











8






9









8 PRUEBAS 56


10

9 CONCLUSIONES 65


11

LISTA DE FIGURAS

paacuteg






12


Paacuteg



13

LISTA DE TABLAS

paacuteg


Tabla 2 Traza 59


14

LISTA DE CUADROS

paacuteg






15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















DEDICATORIA





AGRADECIMIENTOS


6

CONTENIDO

paacuteg

INTRODUCCION 18

1 PROBLEMA 19



3 OBJETIVOS 22


4 ALCANCE 23





7











8






9









8 PRUEBAS 56


10

9 CONCLUSIONES 65


11

LISTA DE FIGURAS

paacuteg






12


Paacuteg



13

LISTA DE TABLAS

paacuteg


Tabla 2 Traza 59


14

LISTA DE CUADROS

paacuteg






15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















AGRADECIMIENTOS


6

CONTENIDO

paacuteg

INTRODUCCION 18

1 PROBLEMA 19



3 OBJETIVOS 22


4 ALCANCE 23





7











8






9









8 PRUEBAS 56


10

9 CONCLUSIONES 65


11

LISTA DE FIGURAS

paacuteg






12


Paacuteg



13

LISTA DE TABLAS

paacuteg


Tabla 2 Traza 59


14

LISTA DE CUADROS

paacuteg






15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















6

CONTENIDO

paacuteg

INTRODUCCION 18

1 PROBLEMA 19



3 OBJETIVOS 22


4 ALCANCE 23





7











8






9









8 PRUEBAS 56


10

9 CONCLUSIONES 65


11

LISTA DE FIGURAS

paacuteg






12


Paacuteg



13

LISTA DE TABLAS

paacuteg


Tabla 2 Traza 59


14

LISTA DE CUADROS

paacuteg






15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















7











8






9









8 PRUEBAS 56


10

9 CONCLUSIONES 65


11

LISTA DE FIGURAS

paacuteg






12


Paacuteg



13

LISTA DE TABLAS

paacuteg


Tabla 2 Traza 59


14

LISTA DE CUADROS

paacuteg






15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















8






9









8 PRUEBAS 56


10

9 CONCLUSIONES 65


11

LISTA DE FIGURAS

paacuteg






12


Paacuteg



13

LISTA DE TABLAS

paacuteg


Tabla 2 Traza 59


14

LISTA DE CUADROS

paacuteg






15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















9









8 PRUEBAS 56


10

9 CONCLUSIONES 65


11

LISTA DE FIGURAS

paacuteg






12


Paacuteg



13

LISTA DE TABLAS

paacuteg


Tabla 2 Traza 59


14

LISTA DE CUADROS

paacuteg






15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















10

9 CONCLUSIONES 65


11

LISTA DE FIGURAS

paacuteg






12


Paacuteg



13

LISTA DE TABLAS

paacuteg


Tabla 2 Traza 59


14

LISTA DE CUADROS

paacuteg






15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















11

LISTA DE FIGURAS

paacuteg






12


Paacuteg



13

LISTA DE TABLAS

paacuteg


Tabla 2 Traza 59


14

LISTA DE CUADROS

paacuteg






15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















12


Paacuteg



13

LISTA DE TABLAS

paacuteg


Tabla 2 Traza 59


14

LISTA DE CUADROS

paacuteg






15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















13

LISTA DE TABLAS

paacuteg


Tabla 2 Traza 59


14

LISTA DE CUADROS

paacuteg






15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















14

LISTA DE CUADROS

paacuteg






15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















15

GLOSARIO











16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















16















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















17





13











18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















18

INTRODUCCION




19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















19

1 PROBLEMA









20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















20




21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















21







22

3 OBJETIVOS







23

4 ALCANCE







24

5 DIAGNOacuteSTICO







25





26








19



27







17



28







29









21



30






31


Fuente autores

32











33












34





35










Ronda de Preguntas







iquestRecordatorios

36













Archivos de inicio






37





Fuente autores



38






Enrutamiento

Nombres de usuarios


Puertos abiertos

Conexiones externas



39









40



Fuente autores






41






42



Ataques

Explotacioacuten de

Backdooro puertas

traseras






informacioacuten

Explotacioacuten de

debilidades

informaacuteticas

















razones aparentes

Escaneo de redes


Intentos de acceso




43




Agua






Incendio


Desastre natural



Terremotos


Granizo


Dantildeo a

infraestructura

tecnoloacutegica



44








Dantildeos a

infraestructura

fiacutesica





Malware

Botnet







45



Malware

Troyanos




Interceptacioacuten



Puesta en riesgo







Robo de

informacioacuten


Fuente autores



46



CRITICA


ALTA


BAJA


Fuente autores



47










Fuente autores





ALTO


MEDIO


BAJO


Fuente autores

48





49








50
















51






horario local o UTC











22



52










53
















54




informacioacuten









55



56

8 PRUEBAS




Fuente autores

57







58




0 1011027 20160428

2149

20160428

2149

00-00-00

Fuente autores





59



Tabla 2 Traza


1 192168712 0245

2 10211 2639

3 102631 3830

4 102552551 102552551 34170

5

6 1025525514 102552551 4041

7 1011027 1011027 8190

Fuente autores

60









8060 tcp open




13000 tcp open


49152 tcp open

49153 tcp open

49154 tcp open

49155 tcp open

49156 tcp open

49157 tcp open

49189 tcp open

49190 tcp open

Fuente autores


61





Port 8080tcp




this warning


Port 8081tcp




this warning


Port 14000tcp

Details qSOAP27



this warning

Fuente autores

62



Port 8080tcp




this warning

Fuente autores


IP 1011027





Informativas

AllProtocolsTested




63









64







65

9 CONCLUSIONES














66

BIBLIOGRAFIacuteA

















Documents

MODELO BPM PARA LA GESTIÓN DE INCIDENTES …