colaborativo

FASE 2 LEVANTAMIENTO DE INFORMACIÓN PARA LA ELABORACIÓN DEL INFORME DE CUMPLIMIENTO ISO/IEC 27001 ELABORADO POR: EDWIN

Views 109 Downloads 1 File size 785KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories

Citation preview

FASE 2 LEVANTAMIENTO DE INFORMACIÓN PARA LA ELABORACIÓN DEL INFORME DE CUMPLIMIENTO ISO/IEC 27001

ELABORADO POR: EDWIN OMAR VALENCIA BUITRAGO JORGE ANDRES RODRIGUEZ CAMILA TRUJILLO LIYIS TATIANA RODRIGUEZ MABEL ROCIO BRAVO

GRUPO 233003_1

PRESENTADO A: EDUARD ANTONIO MANTILLA TORRES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA JULIO 2019

Actividades a desarrollar Para el desarrollo de la actividad colaborativa se debe considerar la información previa de los aportes del trabajo individual de cada estudiante y se debe realizar un documento que contenga lo siguiente: • El grupo debe revisar cada uno de los productos que fueron presentados de manera individual sobre los temas propuestos; y deben seleccionar cuál de estos es el mejor para su evaluación y consolidación en el documento final. • El grupo realiza la práctica de aplicación de pruebas basado en un supuesto para el tema de metodologías de análisis de riesgos. La guía se encuentra en el entorno de aprendizaje práctico. TRABAJO PRÀCTICO El presente documento presenta la actividad de tipo práctico basada en un supuesto proyectada para el curso de Sistema de gestión de seguridad informática, específicamente para las actividades del tema sobre las metodologías de riesgos contempladas en la fase 2: Levantamiento de información para la elaboración del informe de cumplimiento ISO/IEC 27001. A continuación, se describen las actividades y los pasos a seguir de manera detallada: Cada estudiante debe crear una carpeta donde se relacionen las pruebas sobre las vulnerabilidades y amenazas detectadas dentro de una organización mediante búsqueda realizada en internet. Las pruebas deben estar organizadas en subcarpetas con los nombres: Pruebas documentales, pruebas fotográficas, pruebas en video, pruebas con software, pruebas entrevistas digitales, otras pruebas. En cada una de estas subcarpetas el estudiante debe identificar cada una de las pruebas con una sigla para que posteriormente sean de fácil identificación de acuerdo al tipo de prueba que corresponda. Por ejemplo para la prueba fotográfica 1 sería (PF01). El estudiante debe recolectar las pruebas necesarias que puedan sustentar las vulnerabilidades y amenazas de seguridad informática detectadas. Una vez realizadas las pruebas y organizadas en carpetas y subcarpetas, los resultados deben publicarse en el foro de trabajo colaborativo de la fase de Análisis y Evaluación de riesgos, específicamente en el cuadro de vulnerabilidades para que cada estudiante pueda incluirlo como evidencia de las amenazas y vulnerabilidades existentes. Como es un trabajo de tipo colaborativo, deben tener en cuenta que cada uno de los estudiantes trabajará evaluando mínimo tres (3) dominios diferentes por lo que debe especificar las pruebas con la sigla correspondiente que soportan las vulnerabilidades y amenazas encontradas para el dominio evaluado. Para organizar las pruebas, se debe crear una carpeta principal de pruebas, y varias subcarpetas de acuerdo al tipo de prueba realizada con su respectiva identificación: Pruebas documentales, pruebas fotográficas, pruebas en video, pruebas con software, pruebas entrevistas digitales, otras pruebas.

De acuerdo a las pruebas que cada estudiante haya adjuntado en el proceso evaluado, se deben incluir en el documento de formato de hallazgos la respectiva prueba que sustenta la vulnerabilidad encontrada. El grupo colaborativo puede usar estas carpetas en el desarrollo del trabajo colaborativo correspondiente a la fase de Análisis y Evaluación de riesgos con los resultados de las pruebas con las siglas de las pruebas que soportan esas vulnerabilidades o amenazas. Los resultados de las pruebas servirán para determinar la existencia de vulnerabilidades o amenazas y a definir los controles dentro de las políticas y procedimientos SOLUCION Nombre de la organización: Multinacional especializada en gestión de clientes dentro del sector bussines process outsourcing (BPO) BPO de Administración y Finanzas: Incluye el análisis financiero, reporte y planeamiento financiero, contabilidad gerencial, gestión de tesorería y caja, pago y recibo de cuentas, administración de riesgos e impuestos. TIPOS DE ACTIVOS DE LA EMPRESA. Activo

Vulnerabilidades Que la información sea secuestrada o eliminada de los servidores.

D] Datos / Información

La página web no cuenta con el servicio https y lo hace mas vulnerable.

[SW] Software / Aplicativos

No se cuenta con políticas de seguridad.

Amenazas

Keyloger, software malicioso que se instale en los equipos Malware, envió de software por correos electrónicos, o enrutamiento a otras páginas.

Creación de puertas Hackers que se traseras para acceso dediquen al robo de remoto. información. [HW] Hardware informáticos

/

Windows Los computadores Equipos Servidor server 2012 manejan claves muy simples y estos no se bloquean si no están en uso lo que hace mas fácil su acceso.

[COM] Redes de comunicaciones

La red no cuenta con Ataques por negación los protocolos y los de servicios haciendo

router no cuentan con que la información no claves seguras fluya en la red. [L] Instalaciones

No se cuenta con Ingreso de personal identificación de ajeno y que ingresen a huellas en la entrada. los computadores.

[P] Personal

Personal no cuenta con Pueden ser víctimas de la capacitación ataques acoso en la red. requerida para proteger su información

Topología de red

Imagen consultada 7 de julio de 2019 https://core.ac.uk/download/pdf/47279344.pdf

Los 3 dominios elegidos son:

Etapa

11.1 Áreas segur as

Proceso 11.1.1 Perímetro de seguridad física

A11 seguridad física y ambiental Resultado Evidencia Se evidencio falta de control en la entrada a las oficinas ya que no se requiere ningún tipo de identificación para ingresar.

11.1.3 Seguridad de oficinas, recintos e instalacion es.

No se encuentran divisiones dentro de las oficinas por lo que cualquier persona puede verificar la información en las pantallas de los demás empleados.

11.1.4 Protección contra amenazas externas y ambientale s

Se cuenta con backup de información pero solo se actualiza de una manera mensual

11.2.1 Ubicación y protección de los equipos

La ubicación de los equipos no esta de una manera ordena ya que no se tiene los espacios estipulados para cada empleado.

11.2.9 No siguen estas políticas ya Política de que no se tiene orden dentro escritorio de los escritorios limpio y pantalla limpia.

Etapa

A12 seguridad en las operaciones. Proceso Resultado Evidencia 12.2 Protección Cuentan con contra código antivirus pero malicioso este se encuentra desactualizado.

12.4 Registro de actividad y supervisión

12. Segurida d en la operativa

12.6.1 Gestión de las vulnerabilidade s técnicas

12.6.1 Gestión de las vulnerabilidade s técnicas

Se cuenta con un técnico que se encarga que la seguridad de los equipos pero la empresa no cuenta con políticas claras para los empleados. Se evidencio que lo que lleva creada la empresa no se ha realizado ninguna auditoria ya que los dueños piensan que la seguridad informática no es tan importante. Al no tener presente las vulnerabilidade s no se pueden realizar Reducir los riesgos originados por la explotación de vulnerabilidade s técnicas publicadas

Etapa

A13 transferencia de información Proceso Resultado Existen 13.1.2 Seguridad de los puertos que servicios de red red que no están siendo usados por lo que genera que personas ajenas puedan ingresar. Los acuerdos que existen con la transferencia de información son básicamente los que realizan con las empresas a las que se ofrecen los servicios. 13.2.4 Acuerdos En este punto de existe actas confidencialida donde los d o de no empleados se divulgación compromete n a no divulgar información importante de la empresa pero algunos ítems de esta acta quedan sin un soporte legal razón por la cual no sirven para nada. 13.2.2 Acuerdos sobre transferencia de información

13. seguridad de las comunicacione s

Evidencia

PRUEBAS UTILIZADAS CON VULNERABILIDADES SON.

LA

QUE

SE

ENCONTRARON

LAS

CAAT´s”(técnicas de auditoria asistidas por computadoras) Las técnicas de auditoría asistidas por computadora son de suma importancia para el auditor, cuando realiza una auditoría. software utilitario, los datos de prueba y sistemas expertos de auditoría. Las CAAT se pueden utilizar para realizar varios procedimientos de auditoría incluyendo: Probar controles en aplicaciones Seleccionar y monitorear transacciones Verificar datos Analizar programas de las aplicaciones Auditar centros de procesamiento de información Auditar el desarrollo de aplicaciones Se realizó la verificación de cada uno de estos pasos para obtener una información valedera y eficaz. Se realizó escaneo de redes con la herramienta nmap de kali Linux para identificar los puertos identificar los equipos IP identificar el sistema operativo. Para la identificación de las vulnerabilidades físicas se realizó en gran parte con ingeniería social, y introduciendo alguien externo de la empresa que fue el que comprobó las vulnerabilidades existentes. • El grupo resuelve y presenta en conjunto la situación problema presentado de la fase No. 2 que está en el entorno de aprendizaje práctico Escenario problema 1 - fase 2: Cumplimiento de la norma ISO/IEC 27001 y 27002. Tras realizar la lectura y comprensión de la última versión disponible de las normas ISO/IEC 27001 e ISO/IEC 27002, ofrezca una solución adecuada y razonable a la siguiente situación problema: Ha sido elegido dentro de la empresa en la que trabajas para que lideres el proceso de certificarse según el estándar de la norma ISO/IEC 27001. Para ello, es necesario cumplir y afrontar con garantías el proceso de certificación mediante la realización de una preauditoría. Dentro de la documentación requerida y solicitada para llevar a cabo dicho proceso se ha solicitado: 1. Documento donde se defina el objetivo de negocio que justifique la necesidad de realizar un SGSI dentro de la empresa u organización. De igual forma se debe contextualizar la actividad de la compañía (mediante una introducción, explicando su misión y visión) y se debe justificar cómo el SGSI sustentaría dicho objetivo (beneficio, alineación con los objetivos estratégicos de la empresa).

funcionamiento eficiente los procesos críticos y las operaciones de la organización.

WEBUSSINES PBX: +57 (4) 509 9574 Móvil: +57 311 788 2517 Email: [email protected] Misión Somos WeBussines SAS una compañía pensada y creada para impulsar y dinamizar el Comercio Electrónico, el Marketing Digital, las Estrategias Web (páginas y desarrollos) y la Transformación Digital Empresarial enfocados en las Mipyme ofreciéndoles asesorías, consultorías, capacitación, acompañamiento y soporte permanente para incursionar en los negocios electrónicos utilizando estrategias individualizadas de e-commerce soportadas con carrito de compras y una pasarela de pagos. Visión Para el año 2022 crecer dentro de la industria y que nuestros clientes obtengan una mayor rentabilidad gracias a los buenos movimientos que realiza la empresa. Promesa de valor para su empresa Respaldo: Tiene el servicio y respaldo de WeBussines S.A.S, sus aliados y un extenso grupo de desarrolladores expertos de la comunidad que mantiene el frameworks, que garantizan su crecimiento. Uso y Acceso: Manejo sencillo. Es totalmente Web, no requiere instalar ningún software adicional en su empresa y puede accederse desde cualquier lugar del mundo. Su administración es simple y flexible. Procesos ágiles: Una sola plataforma que permite la gestión completa de sus clientes, desde que es un prospecto hasta que se convierte en cliente, gestionando además todo el proceso de postventa y mucho más. Flexibilidad: Nuestra aplicación CRM puede integrarse con herramientas BackOffice y las plataformas de comunicación que usa su empresa como SMS, PBX posee también módulos de interacción con aplicaciones de escritorio como MS Word, PDF, Outlook, Thunderbird, Firefox y otros como la Suite de Google

Tneindo en cuenta que dentro de los activos se encontró que utilizan un Windows server 2012 se utilizo la herramienta kali Linux para realizar una auditoria inside ya que nos dejaron acceder a la red, dentro de kali se utilizó la herramienta metasploit realizando un payload reverse, y se escribió línea de comandos con un ataque a el servidor principal donde se elige un comando auxiliar con una vulnerabilidad que tiene Windows server 2012 y la cual no ha sido actualizada ya que su antivirus no esta actualizado.

Tambien se realizo un ataque desde la DMZ obteniendo como resultado acceso al equipo y dentro de este escalamos privilegios hasta llegar a root y con esto acceder a todos los archivos donde se guardan la información de las empresas que contratan servicios, estos no se encontraban cifrados lo que facilito mas el ataque.

2. Una vez realizado lo anterior y respondiendo a ese objetivo de negocio, se solicita establecer un posible alcance que abarque (procesos involucrados, ubicaciones incluidas, etc.) y de esta forma justificar el SGSI en la empresa. El resultado del informe entregado tras pasar la pre-auditoría, se detectaron e identificaron deficiencias en los siguientes controles: 1. Roles y responsabilidades en seguridad de la información No se tienen definidas las capacidades necesarias para desempeñar los roles de la organización, en especial para el responsable de seguridad. De igual forma no se tiene identificados los activos y su responsable que garantice su protección. 2. Concienciación, educación y capacitación en seguridad de la información. No existe un programa de capacitación para los grupos técnicos respecto a los procedimientos que se deben seguir y/o cumplir, ni se realizan cursos de concienciación globales en temas de seguridad de la información. 3. Clasificación de la información.

No se ha establecido y definido un sistema de clasificación de la información para la protección de la misma. 4. Política de control de acceso. Se detectó que existe acceso global por parte de todos los usuarios a las principales aplicaciones de negocio de la entidad. Lo anterior, es de gran importancia para cada uno de estos controles que se han identificado proponer acciones de mejora que permitan cumplir con la norma. Si en alguno de ellos considera necesario hacer exaltaciones o modificaciones sobre otros controles, éstas deben estar debidamente justificadas. Criterios de evaluación Se valorará positivamente las referencias de las normas ISO/IEC 27001 y 27002 propuesta en el desarrollo del trabajo. Es necesario indicar claramente qué epígrafe concreto sustenta lo escrito.

BIBLIOGRAFIA