Daza Sandra 2012

APLICACION DE UN SISTEMA DE GESTIN DE VULNERABILIDADES PARA LA
INFRAESTRUCTURA INFORMATICA DE ABC LTDA.
Por: Sandra Milena Daza Triana
Mauricio Andrs Giraldo Murillo
UNIVERSIDAD EAN
FACULTAD DE INGENIERIA
Bogot D.C., Colombia
2012
I
POR: SANDRA MILENA DAZA T
MAURICIO ANDRS GIRALDO M
Proyecto de Grado para optar por el ttulo de
Ingenieros de Sistemas
Asesor:
JHON JAIRO PORRAS VEGA
Ingeniero de Sistemas
UNIVERSIDAD EAN
FACULTAD DE INGENIERIA
Bogot D.C., Colombia
2012
II
Nota Aceptacin
_______________________
_______________________
_______________________
_______________________
____________________________
Ing. John Jairo Porras Vega
Director
____________________________
Ing.
Jurado 1 Diego Adolfo Rodrguez C.
____________________________
Ing. Mario Briceo Torres
Jurado 2
Bogot D.C. Marzo 2012
III
1. TABLA DE CONTENIDO
1. TABLA DE CONTENIDO ........................................................................................ IV

2. NDICE DE TABLAS ................................................................................................. VI
3. NDICE DE DIAGRAMAS........................................................................................ VI
4. NDICE DE ANEXOS .............................................................................................. VI
1. TTULO ..................................................................................................................... 1
2. PLANTEAMIENTO DEL PROBLEMA ....................................................................... 1
2.1 ENUNCIADO DEL PROBLEMA ............................................................................. 1
2.2 FORMULACIN DEL PROBLEMA........................................................................ 2
3. OBJETIVOS .............................................................................................................. 3
3.1 OBJETIVO GENERAL ............................................................................................ 3
3.2 OBJETIVOS ESPECFICOS ................................................................................... 3
4. ALCANCE ................................................................................................................. 4
5. INTRODUCCIN ...................................................................................................... 5
6. MARCO TERICO ................................................................................................... 6
7. MARCO CONCEPTUAL ........................................................................................... 7
8. MARCO LEGAL ........................................................................................................ 9
9. ANLISIS ORGANIZACIONAL ............................................................................... 12
9.1 PRESENTACIN DE LA EMPRESA ABC LTDA ................................................. 12
9.2 RESEA HISTRICA......................................................................................... 12
9.3 MISIN ................................................................................................................. 13
9.4 VISIN................................................................................................................. 14
9.5 ESTRATEGIA ORGANIZACIONAL ..................................................................... 14
9.6 PROCESOS DE LA ORGANIZACIN................................................................. 20
9.6.1 PROCESOS DE DIRECCIN GENERAL ..................................................... 21
9.6.2 PROCESOS MISIONALES ............................................................................ 22
9.6.3 PROCESOS DE APOYO .............................................................................. 22
10. ANLISIS DE LA INFRAESTRUCTURA TECNOLGICA ................................... 23
IV
1O.1 DATACENTER ABC LTDA.. .............................................................................. 23
10.1.1 CONDICIONES GENERALES DEL DATACENTER ....................................... 24
10.2 ESTACIONES DE TRABAJO ............................................................................. 25
11. IDENTIFICACION DE RIESGOS ......................................................................... 27
11.1 IDENTIFICACIN DE LOS RIESGOS INFORMTICOS DE LA
INFRAESTRUCTURA INFORMTICA DE ABC LTDA............................................ 27
11.1.1 Resumen Ejecutivo ................................................................................. 27
11.2 RESULTADOS GENERALES DEL ANLISIS CON MSAT ............................ 28
11.2.1 INFRAESTRUCTURA..................................................................................... 29
11.2.1.2 AUTENTICACIN .................................................................................... 29
11.2.1.5 PERSONAL ................................................................................................. 33
11.2 ACCIONES A TOMAR DE ACUERDO A SU PRIORIDAD ............................ 33
12. TEST DE VULNERABILIDADES DE LA INFRAESTRUCTURA INFORMTICA
DE ABC LTDA. ............................................................................................................... 35
12.1 ANALISIS DE LAS VULNERABILIDADES DE LOS SERIVORES, EQUIPOS DE
TRABAJO Y PROPUESTA PARA MITIGARLAS. .................................................... 36
13. PROPONER UN PROCEDIMIENTO Y UN PLAN DE ACCIN QUE PERMITA A
ABC LTDA. HACER GESTIN DE VULNERABILIDADES. .......................................... 37
14. PROCEDIMIENTO DE GESTIN DE VULNERABILIDADES ............................. 37
15. FORMATO CARACTERIZACION PROCEDIMIENTO DE GESTIN DE
VULNERABILIDADES .................................................................................................... 45
16. CONCLUSIONES ................................................................................................. 50
17. BIBLIOGRAFA..................................................................................................... 51
18. ANEXOS .................................................................................................................. 52
V
2. NDICE DE TABLAS
Tabla 1: Referentes Estratgicos de ABC LTDA. ...................................................... 15
3. NDICE DE DIAGRAMAS
Diagrama 2: Arquitectura datacenter ABC LTDA ........................................................... 24

Diagrama 3: Arquitectura Clientes de ABC LTDA.. ....................................................... 26
4. NDICE DE ANEXOS
18.1 Anexo 1: Descripcin Servidores ........................................................................... 52

18.2 Anexo 2: Descripcin estaciones de trabajo........................................................... 57
18.3 Anexo 3: Resultados .............................................................................................. 64
18.4 Anexo 4: Detalle de anlisis MSAT ........................................................................ 64
18.5 Anexo 5: Anlisis de riesgos .................................................................................. 68
18.6 Anexo 6: Vulnerabilidades del servidor WEB ......................................................... 81
VI
1. TTULO
2. PLANTEAMIENTO DEL PROBLEMA
2.1 ENUNCIADO DEL PROBLEMA
En un contexto en el cual las tecnologas de la informacin y la comunicacin se han
convertido en focos estratgicos para muchas organizaciones, se hace necesario
identificar las vulnerabilidades asociadas a la infraestructura informtica sobre la cual se
apoyan muchos procesos crticos, como parte de la adopcin de buenas prcticas para
la gestin de TIC. No basta con instalar sistemas de deteccin y prevencin de intrusos
compuestos por hardware y software, sistemas de antivirus y firewalls, son respuestas
a stas claras amenazas a las que se ven expuestas, sin embargo se deben tomar
medidas que permitan implementar sistemas de gestin de vulnerabilidades que
1
faciliten identificar y solucionar las falencias de seguridad que se presentan en la
infraestructura informtica.
ABC LTDA., es una empresa dedicada al desarrollo de software administrativo y
financiero y a la consultora financiera. Actualmente mantiene vnculos contractuales
que exigen confidencialidad, integridad y disponibilidad de la informacin gestionada en
las aplicaciones desarrolladas; esto motiv a la alta direccin de ABC LTDA., a disear
estrategias de innovacin y actualizacin de su plataforma tecnolgica e incorporar
buenas prcticas para la gestin de la infraestructura informtica que contribuyan a dar
cumplimiento con las obligaciones contractuales contradas con sus clientes
2.2 FORMULACIN DEL PROBLEMA
ABC requiere un marco de trabajo que le permita la incorporacin de buenas prcticas
aplicadas a sus procesos y procedimientos, que garanticen una gestin adecuada a las
vulnerabilidades de la infraestructura informtica para contribuir en el cumplimiento de
sus compromisos contractuales.
2
3. OBJETIVOS
3.1 OBJETIVO GENERAL
Aplicar un sistema de gestin de vulnerabilidades a la infraestructura informtica de
ABC LTDA.
3.2 OBJETIVOS ESPECFICOS
Identificar los referentes estratgicos, procesos y procedimientos de ABC LTDA.
Identificar los riesgos a los que se enfrenta la infraestructura informtica de
ABC LTDA.
Realizar un test de vulnerabilidades a la infraestructura informtica de ABC
LTDA.
Proponer un procedimiento y un plan de accin que permita a ABC LTDA. hacer
gestin de vulnerabilidades.
3
4. ALCANCE
Este proyecto tiene como alcance:
La identificacin de los referentes estratgicos, procesos y procedimiento de la
empresa ABD LTDA.
La aplicacin de un sistema de gestin de vulnerabilidades a la infraestructura
informtica de ABD LTDA., de tal manera que permita identificar y gestionar las
debilidades en cuanto a la seguridad de la plataforma tecnolgica.
Mediante la utilizacin de la herramienta MSAT, se identificaran los riesgos a los
que se enfrenta la infraestructura informtica de ABD LTDA.
Finalmente se sugerir un procedimiento y un plan de accin que permita a la
empresa mitigar todas las vulnerabilidades y riesgos encontrados.
4
5. INTRODUCCIN
En un contexto tecnolgico y empresarial en el cual las organizaciones cuentan con
recursos de tecnologa para la gestin de la informacin y dichas herramientas se
hacen cada da ms fciles de adquirir, surgen aspectos inherentes a la gestin de las
organizaciones relacionados con el tratamiento de la informacin, proteccin de los
datos y aseguramiento de los servicios tecnolgicos.
Es en este mbito, que los sistemas de gestin aplicados a la seguridad de la
informacin, empleando referentes como las normas y estndares internacionales
como los propuestos por la ISO, contribuyen a las organizaciones a generar factores y
caractersticas diferenciadoras que fortalecen la gestin organizacional y coadyuvan a
la definicin de estrategias empresariales.
Este documento muestra como mediante un proceso sistemtico en el cual se tuvo en
cuenta recomendaciones y directrices que componen el grupo de estndares ISO
27000; referentes estratgicos de la organizacin y herramientas tecnolgicas, se
identificaron factores de riesgo asociados a la gestin tecnolgica y se conform un
procedimiento para hacer gestin de vulnerabilidades informticas en el cual se aplica
5
el ciclo PHVA1 para la mejora continua e igualmente se generan indicadores que
permitirn medir como la aplicacin del procedimiento diseado contribuye para la toma
de decisiones en la gestin de seguridad informtica de ABC LTDA.
6. MARCO TERICO
Actualmente se pueden encontrar reportes en los diarios y medios de televisin, que
ms de una compaa est siendo atacada por hackers con el propsito de tener
acceso a su informacin y poder sacar provecho de ella, hecho que cada da preocupa
ms a los empresarios, ya que todos buscan tener el control de su valiosa informacin.
No obstante estas situaciones no son recientes, de hecho hacia 1972 con la aparicin
de los IBM Serie 360 surge tambin el primer virus informtico el cual se conoce como
Creeper incluso en hechos histricos de la segunda guerra mundial existan grupos
dedicados a interceptar comunicaciones y descifrar los mensajes que viajaban cifrados.
De tal forma que el tema de la seguridad de la informacin no es realmente un tema de
moda; el fenmeno de la seguridad de la informacin toma un concepto formal a
1
El ciclo PHVA es una herramienta de la mejora continua, se basa en un ciclo de 4 pasos: Planificar,
Hacer, Verificar y Actuar.
6
mediados de la dcada de los noventa con la formulacin por parte del BSI 2 de la BS
7799. Esta ya es una aproximacin respecto a la gestin de TIC incorporando buenas
prcticas de seguridad de la informacin la cual fue tomada por la ISO y desarrollada de
tal forma que hoy da ya existe una familia de estndares orientados a la conformacin
de sistemas de gestin en muchos mbitos relacionados con la seguridad y la gestin
de TIC.
Es precisamente la familia de estndares ISO contenidos bajo la serie 27000 la que
orienta a las organizaciones para conformar procesos y procedimientos que permean a
la organizacin para obtener niveles de gestin y operacin segura de la infraestructura
tecnolgica y el despliegue de servicios de TI en los cuales la disponibilidad, integridad
y privacidad son los motivadores principales.
7. MARCO CONCEPTUAL
Para entender mejor la investigacin se debe tener presente algunos trminos que
sern utilizados de manera constante en este estudio.
2
Sigla del ingls para British Standar Institution. Esta multinacional Britnica se encarga de crear normas
y estndares aplicables a los procesos de las organizaciones.
7
Nessus: Es un programa de evaluacin de vulnerabilidades en diversos
sistemas operativos.
MSAT: MSAT (Microsoft Security Assessment Tool) Herramienta de evaluacin
de la seguridad, identifica debilidades del entorno informtico.
CVE: CVE (Common Vulnerabilities and Exposures), Vulnerabilidades y
amenazas comn, es un cdigo asignado a una vulnerabilidad que permite ser
identificada de manera univoca. El cdigo identificador es del modo CVE ao
nmero.
SIEM: (Security Information and Event Management), es una solucin completa
que permite el monitoreo, anlisis y control de todas las plataformas existentes
en la red.
TIC: Tecnologa de la Informacin y la Comunicaciones. Son aquellas
tecnologas que permiten transmitir y procesar y difundir informacin de manera
instantnea.
Vulnerabilidad: Es una debilidad que tiene un sistema, lo cual permite a un
atacante violentar la confidencialidad, integridad, disponibilidad, control de
acceso y consistencia del sistema o sus datos.
Riesgo: Es la probabilidad de que ocurra o se realice una eventualidad que
podra estar prevista y si se diera podra impedir el cumplimiento de un objetivo.
NISL: NIST (National Institute of Standards and Technology) Instituto Nacional
de Estndares y Tecnologa, es una de las tres agencias de E.E U.U que
administran la tecnologa.
8
MITRE: Es una corporacin que permite a los usuarios conocer de una forma
ms objetiva una vulnerabilidad de un programa o sistema. Es la creadora del
cdigo CVE
ISO27000:La familia de estndares ISO que aborda aspectos relacionados con
la Gestin de la Seguridad de la Informacin
8. MARCO LEGAL
Para Colombia existe un marco normativo en materia penal definido por la Ley 1273 de
Enero 5 de 2009 por medio de la cual se crea el bien jurdico denominado De la
proteccin de la informacin y de los datos de la misma forma esta ley propende por la
preservacin de los sistemas que utilizan tecnologas de la informacin y las
comunicaciones. En este contexto se sealan algunos apartados de la norma que se
consideraron relevantes para ser tenidos en cuenta en la gestin de vulnerabilidades
informticas.
Artculo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMTICO. El que, sin
autorizacin o por fuera de lo acordado, acceda en todo o en parte a un sistema
informtico protegido o no con una medida de seguridad, o se mantenga dentro del
mismo en contra de la voluntad de quien tenga el legtimo derecho a excluirlo, incurrir
en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de
100 a 1000 salarios mnimos legales mensuales vigentes.
9
Artculo 269B: OBSTACULIZACIN ILEGTIMA DE SISTEMA INFORMTICO O RED
DE TELECOMUNICACIN. El que, sin estar facultado para ello, impida u obstaculice el
funcionamiento o el acceso normal a un sistema informtico, a los datos informticos all
contenidos, o a una red de telecomunicaciones, incurrir en pena de prisin de cuarenta
y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos
legales mensuales vigentes, siempre que la conducta no constituya delito sancionado
con una pena mayor.
Artculo 269C: INTERCEPTACIN DE DATOS INFORMTICOS. El que, sin orden
judicial previa intercepte datos informticos en su origen, destino o en el interior de un
sistema informtico, o las emisiones electromagnticas provenientes de un sistema
informtico que los trasporte incurrir en pena de prisin de treinta y seis (36) a setenta y
dos (72) meses.
Artculo 269D: DAO INFORMTICO. El que, sin estar facultado para ello, destruya,
dae, borre, deteriore, altere o suprima datos informticos, o un sistema de tratamiento
de informacin o sus partes o componentes lgicos, incurrir en pena de prisin de
cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios
mnimos legales mensuales vigentes.
Artculo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello,
produzca, trafique, adquiera, distribuya, venda, enve, introduzca o extraiga del territorio
nacional software malicioso u otros programas de computacin de efectos dainos,
incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en
multa de 100 a 1000 salarios mnimos legales mensuales vigentes.
10
Artculo 269F: VIOLACIN DE DATOS PERSONALES. El que, sin estar facultado para
ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda,
intercambie, enve, compre, intercepte, divulgue, modifique o emplee cdigos
personales, datos personales contenidos en ficheros, archivos, bases de datos o medios
semejantes, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes.
11
9. ANLISIS ORGANIZACIONAL
9.1 PRESENTACIN DE LA EMPRESA ABC LTDA
ABC LTDA. Es una empresa constituida desde 1990, su objeto social es desarrollar e
implementar, distribuir, comercializar y alquilar programas de Computadora. Prestar
servicios de Asesora contable, Evaluacin del personal, Consultora, Digitacin,
Revisora fiscal, Auditora y dems servicios inherentes o relacionados con la
contabilidad. Con ubicacin en Bogot en la direccin Carrera 124 B No. 6D - 11
sector de, como sede principal.
9.2 RESEA HISTRICA
1999: El 29 de abril se constituye la empresa ABC E.U.
2000: se tiene completos los mdulos de contabilidad, cuentas por pagar,
tesorera, nmina y operacin conjunta del sistema Accountant.
2001: se adhieren al sistema los mdulos de facturacin, inventarios, activos fijos
y propiedad horizontal.
2002: El sistema Accountant comienza a ser reconocido dentro del sector
petrolero como una herramienta fcil y rpida de implementar.
12
2005: se incorpora el mdulo de control de costos como una solucin para la
elaboracin y control de rdenes de Compra, Servicios y contratos.
2006: Se inicia reingeniera a todos los procesos y reportes del sistema
Accountant aprovechando las mejoras significativas que se presentan en la
ltima versin de la herramienta de desarrollo.
9.3 MISIN
ABC LTDA. tiene como referente estratgico su misin la cual se seala a continuacin:
Somos una organizacin privada que desarrolla y comercializa software para
administrar y gestionar la informacin contable originada desde las diferentes reas de
las entidades, por medio de las herramientas Accountant Soft Plus y Accountant Web
las cuales estn encaminadas a suplir las necesidades y requerimientos especficos de
las PYMES de orden nacional, apoyado en el trabajo y conocimientos de un equipo
interdisciplinario, permitiendo de esta forma, ofrecer productos y servicios que le
permitan a nuestros clientes optimizar y maximizar recursos, siendo sus referencias
nuestra mejor carta de presentacin.
13
9.4 VISIN
ABC LTDA. tiene como referente estratgico su visin la cual se seala a continuacin.
Ser reconocido a nivel Latinoamericano como una de las mejores casas de Desarrollo
de Software contable y administrativo
9.5 ESTRATEGIA ORGANIZACIONAL
ABC LTDA., cuenta con unos focos estratgicos para continuar con el desarrollo y
crecimiento como empresa desarrolladora de software; en la tabla 1 se puede observar
el plan estratgico de la empresa.
14
Tabla 1: Referentes Estratgicos de ABC LTDA.
PLAN ESTRATGICO ABC LTDA.
FOCO
ESTRATEGIA ACTIVIDADES
ESTRATGICO
Realizar material publicitario
simplificado
Realizar, coordinar, disear,
producir, correo directo
dirigidos a nichos
Mediante la publicidad
especiales.
lograremos crear una marca
Estructurar conferencias en
de posicin y valor siendo
universidades, con el objeto
Mercadeo reconocida en el medio
de dar a conocer el producto
financiero, pautando en
y la empresa, ya que
diferentes medios dirigidos al
muchos estudiantes
sector empresarial
normalmente estn
haciendo pasantas en
empresas del sector.
Organizar, coordinar la
participacin en ferias y
15
FOCO
ESTRATGICO
eventos del sector
Lograr alianzas estratgicas
con gremios que nos
permitan vincularnos a
compaas en crecimiento.
Direccionar la consecucin
Con nuestro producto de bases de datos por
tendremos un mejoramiento sector para segmentar el
continuo, siendo cada vez producto y utilizar lo que se
ms fcil de manejar para los denomina un CVN Centro
usuarios, trabajando con Virtual de Negocios, para
herramientas de ltima contactar y analizar la

Producto
tecnologa, brindando una demanda.
mejor cobertura en el Acelerar el cambio de
soporte, generando plataforma tecnolgica.
confianza y satisfaccin en Lograr el desarrollo de
nuestros clientes. servicios Plus, tales como
consultora contable
asociada a y que forme
16
FOCO
ESTRATGICO
parte de la solucin. Para
ello, debe tomarse la
decisin de ampliar la planta
de personal que soporte
este servicio. Resaltar como
ventaja competitiva la
facilidad de manejo del
software y su simplicidad
para implementarlo.
Estructurar polticas de
precios y descuentos
Manejar promociones, que llamativos para Servicios
permitan ofrecerle al cliente Profesionales adicionales

Precio
adquirir ms servicios a Establecer polticas de
menores costos. descuento y de
financiacin.
17
FOCO
ESTRATGICO
Capacitar y entrenar
mediante charlas y clnicas
de ventas peridicas.
En el manejo de las ventas
Hacer un pronstico de
resaltaremos los atributos
ventas aproximado y
que generan valor a nuestro
asignar cuotas por vendedor
Software de tal manera que
Crear sistema de incentivos
Ventas permitan fortalecer los
por cumplimiento a metas.
beneficios que recibirn los
Conseguir nuevos aliados
clientes logrando ser ms
de negocio que generen
atractivos para que ellos
volumen de ventas
adquieran nuestro producto.
Documentar los Casos de
xito.
18
FOCO
ESTRATGICO
Establecer estmulos en
servicios profesionales por
referir nuevos clientes.
Establecer un seguimiento
Con el fin de lograr la de los ndices de
satisfaccin completa de los satisfaccin mediante

Posventa y
clientes con nuestro encuestas telefnicas.
Servicio al
producto, hemos creado Tener un apropiado soporte
Cliente
servicios postventa que a su tcnico para los clientes
vez generan valor agregado Dictar ciclo de charlas de
servicio al cliente a todas las
reas de la organizacin.
Dar garanta de nuestros
productos y servicios.
19
9.6 PROCESOS DE LA ORGANIZACIN
Una vez claros los referentes estratgicos de ABC LTDA., es importante identificar
cules son los procesos organizacionales que conforman su cadena de valor. En
el Diagrama No. 1, se identifican los diferentes procesos de ABC LTDA.
20
9.6.1 PROCESOS DE DIRECCIN GENERAL
Su funcin principal es velar por la conservacin y cumplimiento de los objetivos
de la compaa, de acuerdo a lo estipulado en los estatutos de ABC LTDA.., en
este grupo de procesos se identifican
Direccin General: La direccin general en ABC LTDA. se encarga de
unificar, apoyar e impulsar los objetivos de los procesos que conforman la
compaa para logar cumplir con lo plasmado tanto en la Misin como en la
Visin.
Planeacin: Mediante la elaboracin y ejecucin del plan de desarrollo,
ABC se asegura que todos los procesos estn unificados, es decir, que
cada uno de ellos estarn encaminados a cumplir con los objetivos que
tiene la empresa para dar cumplimiento a su Misin y Visin.
21
9.6.2 PROCESOS MISIONALES
Investigacin: La investigacin constante hace parte del crecimiento de ABC, lo
que permite el mejoramiento continuo de tecnologa y mtodos de desarrollo para
mejor desempeo de cada producto ofrecido.
Formacin: Para ABC es fundamental formar permanentemente a su equipo de
trabajo, mediante el desarrollo continuo de capacitaciones, apoyando la
generacin de competencias de todos los que hacen parte de la compaa.
Gestin de Desarrollo Humano: Al interior de ABC , el personal es debidamente
seleccionado, manteniendo y motivando el mejor talento humano disponible para
nuestra compaa, siendo verdaderamente agradable y fructfero trabajar en
equipo para el logro de los objetivos propuestos destacando su calidad humana.
9.6.3 PROCESOS DE APOYO
Gestin de Mercadeo y Ventas: En ABC existe personal con habilidades que
le permiten aumentar las ventas y difusin de los productos y servicios, los cuales
se generan debido a sus excelentes resultados ante los clientes, teniendo en gran
medida una estrategia de venta, que se basa en mercadeo relacional, es decir,
se genera alianzas con los clientes mediante referidos.
22
Gestin de Tecnologa de Informacin y Comunicacin: Para ABC, es
esencial estar vigente en el medio del desarrollo de software, por lo que cuenta
con profesionales lideres en tecnologa que se encargan de realizar actualizacin
de herramientas que nos permitan mantenernos a la vanguardia ofreciendo
calidad, innovacin y respaldo de acuerdo a lo mejor en tecnologa y a las
necesidades del cliente.
Gestin Financiera: ABC se ha mantenido con recursos propios y financiacin
de Bancoldex, para de esta manera cumplir con las metas y continuar con el
crecimiento como empresa.
10. ANLISIS DE LA INFRAESTRUCTURA TECNOLGICA
Durante el proceso de reconocimiento a la infraestructura tecnolgica de ABC
LTDA.., se pudo identificarlos aspectos que se sealan a continuacin.
1O.1 DATACENTER ABC LTDA.
El datacenter est conformado por tres estaciones de trabajo que cumplen la
funcin de servidores, un modem Thomson al que llega la conexin de internet y
23
un switch D-Link en donde se encuentran conectados los servidores. El diagrama
2 describe la arquitectura del datacenter.
Diagrama 1: Arquitectura datacenter ABC LTDA
10.1.1 CONDICIONES GENERALES DEL DATACENTER
24
Fsicamente cualquier persona puede entrar al datacenter pues este se encuentra
ubicado en el mismo espacio que estn las estaciones de trabajo, no se cuenta
con un control de acceso restringido, tampoco se cuenta con algn tipo de sistema
de temperatura controlada y herramientas preventivas contra incendio tales como
sistemas de deteccin de humo aunque s con extintores de incendio. En el anexo
1, tabla 2, se pueden observar las caractersticas de cada uno de los servidores.
10.2 ESTACIONES DE TRABAJO
Despus de haber identificado los aspectos del datacenter, se hizo el
reconocimiento a la infraestructura de las estaciones de trabajo instaladas en las
oficinas de ABC , se observ que cuenta con un modem Thomson al que llega
la respectiva conexin de internet a travs de cable coaxial Tipo 2, un switch D-
Link conectado directamente al modem con cable RJ45, un router Linksys que se
encuentra conectado al switch usando cableado RJ45, una estacin de trabajo de
escritorio conectado por medio de cable RJ45 al switch, tres estaciones de
trabajo porttiles los cuales se usan para dar soporte, capacitaciones y pruebas,
conectados al modem haciendo uso de la conexin WIFI que soporta los
protocolos 802.11 y una ltima estacin de trabajo porttil conectado por medio de
cable RJ45 al router. Lo anterior se puede ver de manera grafica en el diagrama
25
3, y en el anexo 2, tabla 3, se describen las caractersticas de cada una de las
estaciones de trabajado.
Diagrama 2: Arquitectura Clientes de ABC LTDA.
26
11. IDENTIFICACION DE RIESGOS
11.1 IDENTIFICACIN DE LOS RIESGOS INFORMTICOS DE LA
INFRAESTRUCTURA INFORMTICA DE ABC LTDA.
11.1.1 Resumen Ejecutivo
El presente documento tiene como objetivo principal evidenciar de manera precisa
los riesgos reportados despus de ejecutar la herramienta MSAT (Microsoft
Security Assessment Tool), la cual fue elegida por estar diseada para uso de
identificacin de riesgos en la seguridad en la infraestructura informtica y solucin
de los mismos.
MSAT es una herramienta basada en los estndares ISO/IEC 17799 tambin
conocida como ISO27002, y la NIST-800. (National Institute of Standards and
Technology) Instituto Nacional de Estndares y Tecnologa, as como tambin con
recomendaciones establecidas por el grupo de seguridad de Microsoft.
El manejo para el estudio de los riesgos con esta herramienta de realiza
abarcando diferentes planos tales como el personal, procesos y tecnolgica,
permitiendo mejorar el entorno de la seguridad en todos los aspectos.
27
Despus del proceso de ejecucin de la herramienta y al obtener el reporte
generado se logra evidenciar los riesgos que estn afectando la empresa, los
cuales estn poniendo en riesgo la infraestructura informtica, y pueden llegar a
causar daos no solo en la informacin sino traer consecuencias econmicas y
afectar el buen nombre.
De igual manera se sugieren las posibles soluciones que permitan mitigar, aceptar
o delegar estos riesgos, al tiempo fortaleciendo la seguridad de la misma. Estas
sugerencias tienen como fin encaminar a la empresa a la aplicacin de buenas
prcticas.
11.2 RESULTADOS GENERALES DEL ANLISIS CON MSAT
Despus de haber ejecutado la herramienta del MSAT, en el anexo 3 tabla 4, se
puede observar el estado en que se halla la seguridad de ABC LTDA., la cual fue
analizada en cuatro aspectos como lo son: la Infraestructura, las Aplicaciones, las
Operaciones y finalmente el Personal. Generando un resultado de carencias
severas en las cuatro reas analizadas.
28
11.2.1 INFRAESTRUCTURA
En la Infraestructura se logra evidenciar que los puntos crticos se encuentran
relacionados con:
11.2.1.1 Defensa del Permetro: siendo este el primer escudo de proteccin
contra intrusos, se encontraron dos puntos crticos que ponen en riesgo la
seguridad de la infraestructura informtica de la empresa. Los cuales fueron el
Acceso remoto ya que no cuentan con una forma de conexin segura como lo es
hacerlo mediante una tecnologa VPN, y en la parte en cuanto a la conexin
inalmbrica a la red de la empresa, Ya que no utiliza un cifrado que le mayor
seguridad y no cuenta con una restriccin de acceso mediante MAC.
Se Sugiere
Utilizar una VPN para la conectividad de acceso de usuario remoto basada en las
tecnologas IPSec, SSL, y SSH.
Manejar una conectividad sitio-a-sitio basada en la tecnologa IPSec. Configurar
listas de acceso a redes y de usuario para limitar el acceso a los recursos
corporativos necesarios. Revisar con regularidad la lista de acceso de los usuarios
en el dispositivo VPN.
11.2.1.2 AUTENTICACIN
29
No se encontraron procedimientos estrictos de autenticacin de usuarios,
administradores y usuarios remotos los cuales ayudan a asegurar que los
intrusos no accedan sin autorizacin a la red mediante ataques locales o remotos.
Despus del anlisis se encuentran dos puntos en estado crtico los cuales son
las directivas de contraseas - cuenta de administrador y cuenta de usuario, no se
utilizan directivas de contraseas para las cuentas. Los usuarios tienen habilitados
accesos administrativos a sus estaciones de trabajo.
Se Sugiere:
Considere eliminar el acceso administrativo de usuarios, para limitar la posibilidad
de modificar la creacin segura, adicional a eso se debe implantar otro factor de
autenticacin para disminuir el riesgo de accesos no autorizados, tambin es de
considerar poner en prctica controles avanzados para la gestin de cuentas y el
registro de acceso de cuentas como son:
Poner en prctica una directiva de contraseas complejas para las cuentas
administrativas con contraseas que cumplan estas condiciones:
+ Alfanumrico
+ Maysculas y minsculas
+ Contiene al menos un carcter especial
+ Contiene como mnimo 14 caracteres
30
Para limitar ms los riesgos de ataques a las contraseas, ponga en
prctica los controles siguientes:
+ Caducidad de contraseas
+ Bloqueo de la cuenta despus de entre 7 y 10 intentos de registro fallidos
+ Registro del sistema
Adems de las contraseas complejas, puede recurrir a la autenticacin
multifactorial. (No permita que se compartan cuentas).
11.2.1.3 APLICACIONES
En el rea de las aplicaciones el reporte generado indica que existen dos puntos
crticos, Almacenamiento y comunicaciones de datos y la implementacin y uso,
las mayor importancia son la de conocimiento de vulnerabilidades y la aplicacin
y recuperacin de datos, ya que no se realizan peridicamente pruebas de la
recuperacin de aplicaciones y datos.
Se Sugiere
Realice copias de seguridad regularmente. Probar regularmente el mecanismo de
copias de seguridad y recuperacin que restaura la aplicacin a un estado normal
de operacin, la empresa no conoce sus vulnerabilidades, Puede recurrir a una
31
evaluacin independiente para que un tercero pueda valorar el diseo de la
seguridad de la aplicacin e identificar otros problemas que necesiten ms
mecanismos de seguridad.
11.2.1.4 OPERACIONES
Para el rea de operaciones se visualizan tres puntos crticos los cuales
corresponden a: la directiva de seguridad, Gestin de actualizaciones y revisiones
y a las Copias de seguridad y recuperacin, ya que no hay pautas individuales
para regular el uso adecuado y seguro de las tecnologas al igual que los procesos
de la empresa, esta rea incluye las directivas para todos los aspectos de la
seguridad, como los usuarios, los sistemas los datos. Tambin se evidencia que
no existe un proceso de gestin de cambios y configuraciones.
Se Sugiere
Es importante que las directivas junto con el equipo de seguridad TI, establezcan
pautas en los protocolos y servicios permitidos en el entorno corporativo y
documentar las pautas. Es de destacar que estas pautas deben ser de acuerdo a
los estndares de aplicacin como: (ISO17799, CoBIT) etc., es importante que
todos los empleados estn familiarizados con estas pautas.
32
11.2.1.5 PERSONAL
La empresa no cuenta con evaluaciones de seguridad al personal interno,
tampoco cuenta con algn programa de capacitacin especfica para la seguridad
de la empresa mostrando como punto crtico este aspecto en al rea del personal.
Se Sugiere
Informar y capacitar al personal interno sobre el manejo de la seguridad que
implementara la empresa, esto le permitir actuar de manera rpida ante posibles
problemas en materia de seguridad, despus realice auditorias de seguridad
frecuente, mantenga unas pautas para el manejo de los empleados que dejan la
empresa y evale los posibles hechos que se puedan presentar con la salida.
11.2 ACCIONES A TOMAR DE ACUERDO A SU PRIORIDAD
Prioridad Alta
Despus del anlisis realizado a las cuatro reas, se recomienda actuar con los
siguientes puntos considerados de prioridad alta, para fortalecer la infraestructura
informtica de ABC LTDA.
33
Infraestructura gestin y control: Es importante contar con los equipos
adecuados para uso de servidores, ya que son ms robustos y se prestan para dar
un mayor control de la seguridad de la informacin, se hace necesario
implementar controles fsicos en todos los equipos. Se debe utilizar una sola
solucin para el acceso remoto.
Gestionar un proceso de creacin de informes de incidentes y repuesta
documentado para garantizar que todos los problemas e incidentes se revisan y se
evalan de forma coherente, permitiendo llevar un indicativo de los incidentes
presentados al igual que las soluciones dadas en su momento, para que sirva de
referencia a futuros incidentes.
Operaciones (copias de seguridad y recuperacin): Parte fundamental para el
continuo desarrollo de los procesos de la empresa, es contar con un adecuado
sistema de copias de seguridad y recuperacin en caso de desastres para
reanudar el negocio sin afectar funcionamiento.
Prioridad Intermedia
Infraestructura (Autenticacin - Usuarios administrativos): Se debe
considere implantar otro factor de autenticacin para disminuir el riesgo de
accesos no autorizados.
34
Piense en poner en prctica controles avanzados para la gestin de cuentas y el
registro de acceso de cuentas.
Evale la utilizacin de un sistema de autenticacin multifactor de acceso remoto y
limite el acceso nicamente a aquellos empleados que tengan una necesidad
empresarial de conectividad remota.
Operaciones (copia de seguridad): Piense en descargar los archivos de registro
a un servidor seguro en el entorno de gestin para fines de almacn. Se debe
limitar el acceso a stos a slo el equipo de seguridad para analizar incidentes.
12. TEST DE VULNERABILIDADES DE LA INFRAESTRUCTURA
INFORMTICA DE ABC LTDA.
Una vez identificados los riesgos informticos de ABC LTDA. se desea conocer el
estado respecto a las vulnerabilidades de la infraestructura informtica de la
empresa ABC LTDA., empleando la herramienta Nessus.
35
12.1 ANALISIS DE LAS VULNERABILIDADES DE LOS SERIVORES,
EQUIPOS DE TRABAJO Y PROPUESTA PARA MITIGARLAS.
De acuerdo a las vulnerabilidades encontradas especficamente en el Servidor
Web en el anexo 3, 4,5,6, y 7, se pueden observar las descripciones de cada una
de las vulnerabilidades reportadas por la herramienta, su tipo de impacto y se
sugiere su respectiva solucin.
Del reporte de Nessus, se puede deducir que todos los problemas se reducen a la
falta de actualizacin del Apache y PHP, ya que al no actualizarnos permite que
existan riesgos de que un atacante pueda modificar la informacin sin
autorizacin a la vez puede divulgarla y hasta causar una interrupcin del servicio.
Se Sugiere
Como prioridad para la seguridad de la infraestructura informtica de la empresa
ABC LTDA., es necesario actualizar a las ltimas versiones existentes de Apache
y PHP, para evitar que u atacante pueda daar y manipular la informacin.
36
13. PROPONER UN PROCEDIMIENTO Y UN PLAN DE ACCIN QUE
PERMITA A ABC LTDA. HACER GESTIN DE VULNERABILIDADES.
A partir del reporte generado por las herramientas MSAT y NESSUS, y despus
de analizar la informacin se plantea un procedimiento que permite gestionar las
vulnerabilidades encontradas, el cual se observa a continuacin.
14. PROCEDIMIENTO DE GESTIN DE VULNERABILIDADES
PROCEDIMIENTO DE GESTIN DE Versin: 0001
VULNERABILIDADES Cdigo:
Fecha: 21/05/2012
REGISTRO DE VERSIONES
FECHA
VER REVISADO DESCRIPCIN
ELABORADO DE APROB FIRMA
N POR DE CAMBIOS
REVISIN
Sandra Milena
Daza Edison Mayo 22 de Juan Carlos

0.
Mauricio Camargo 2012 Chamorro Gerente
Giraldo
37
1.
2.
Este documento pertenece a la empresa ABC S.A.S se prohibe reproducirlo total o
parcialmente, o guardarlo en un sistema electrnico sin previa autorizacin
TABLA DE CONTENIDO
1. Objetivos
2. Alcance
3. Definiciones
4. Responsabilidades
5. Documentos relacionados
6. Diagrama de Flujo
7. Secuencia de Actividades
1. OBJETIVO
Formalizar el procedimiento de la gestin de vulnerabilidades para ABC
LTDA..., apoyado en herramientas de tecnologa de seguridad informtica.
2. ALCANCE
El procedimiento inicia con la ejecucin de la herramienta de anlisis de
vulnerabilidades y culmina con la conformacin del plan de trabajo, para la
38
mitigacin de las mismas; el cual ser entregado a los responsables de ABC
LTDA., quienes se encargaran de la ejecucin de ste.
3. PERIOCIDAD: El procedimiento podr ser ejecutado por ABC LTDA. De
acuerdo a la estimacin que le considere conveniente.
4. DEFINICIONES
NESSUS Herramienta que permite realizar anlisis de
vulnerabilidades en diversos sistemas operativos.
NISL NIST (National Institute of Standards and Technology)
Instituto Nacional de Estndares y Tecnologa, es una de
las tres agencias de E.E U.U que administran la
tecnologa.
CVE CVE (Common Vulnerabilities and Exposures),
Vulnerabilidades y amenazas comn, es un cdigo
asignado a una vulnerabilidad que permite ser identificada
de manera univoca. El cdigo identificador es del modo
CVE ao nmero.
MITRE Es una corporacin que permite a los usuarios conocer
de una forma ms objetiva una vulnerabilidad de un
programa o sistema. Es la creadora del cdigo CVE
MSAT MSAT (Microsoft Security Assessment Tool) Herramienta
de evaluacin de la seguridad, identifica debilidades del
entorno informtico.
39
ISO27000 La norma ISO 27000 habla sobre Sistemas de Gestin de
la Seguridad de la Informacin
4. RESPONSABILIDADES
Sera responsable de aprobar los procedimientos y a su

Gerente
vez tendr cumplirlos y hacerlos cumplir
Sera el responsable de la implementacin de la gestin
Lder de Tecnologa de vulnerabilidades informticas, ejecutando el plan de
trabajo.
Sern responsables de vigilar que todas las actividades
se estn ejecutando de a cuerdo al procedimiento,

El Personal de
tambin deber informar cualquier anomala que se
soporte en sistemas
pueda presentar que afecte el desarrollo del
procedimiento.
Sera responsable de ejecutar el sistema de anlisis
Proveedor vulnerabilidades y entregar un informe tcnico de las
mismas, con las posibles soluciones
40
5. DOCUMENTOS RELACIONADOS
NOMBRE CODIGO TIPO DE LUGAR TIEMPO
DOCUMENTO
Reporte tcnico generado por el TI_010 Confidencial Bogot
software Nessus
Documentacin tcnica TI_011 Publica Bogot
respecto a vulnerabilidades
tecnolgicas reportadas por la
organizacin Mitre
Documentacin tcnica TI_012 Publico Bogot
respecto a vulnerabilidades
tecnolgicas del Instituto NISL
Reporte tcnico de riesgos TI_013 Confidencial Bogot
generado por el software
MSAT
ISO27000 TI_014 Publico Bogot
41
42
7. SECUENCIA DE ACTIVIDADES
Plan de ejecucin: Inicio del procedimiento, este cronograma define las fechas y
periodicidad en la que debe ser ejecutado el anlisis de vulnerabilidades
Ejecutar el sistema de anlisis de vulnerabilidades: El proveedor es el
responsable de ejecutar la herramienta de escaneo de vulnerabilidades y generar
un anlisis de vulnerabilidades, que a lo largo de este documento llamaremos
primera fase, a travs del cual se pueden identificar las amenazas presentes
Generar el reporte de la herramienta de anlisis de vulnerabilidades: El
proveedor deber entregar un documento con el reporte de las vulnerabilidades
encontradas e identificadas por la herramienta de anlisis de vulnerabilidades.
Generar los indicadores: El proveedor deber realizar un informe documentando
el nmero de vulnerabilidades halladas de criticidad crtica, un informe con la
cantidad de vulnerabilidades de criticidad alta y otro con el nmero de
vulnerabilidades de criticidad media.
Analizar el documento: El lder de tecnologa deber utilizar el documento de
reporte de la herramienta de anlisis de vulnerabilidades como entrada para definir
una solucin acorde y ptima segn su experticia en la organizacin
Generar la solucin para cada vulnerabilidad: El lder de tecnologa debe
generar un documento en donde se encuentran plasmadas cada una de las
43
soluciones propuestas por l como medida correctiva ante las vulnerabilidades
encontradas en la primera fase
Generar informe de aprobacin: El gerente debe aprobar las soluciones
propuestas por el lder de tecnologa y firmarlas como garanta de satisfaccin
Implementacin de las medidas correctivas: El lder de tecnologa es quien
pondr en marcha las soluciones y medidas correctivas previamente aprobadas
por el gerente.
PROCEDIMIENTO Edison Camargo Juan Carlos Chamorro
REVISO EL APRUEBA EL
DOCUMENTO DOCUMENTO
Versin. Mayo 21 de 2012
44
15. FORMATO CARACTERIZACION PROCEDIMIENTO DE GESTIN DE VULNERABILIDADES
La caracterizacin del procedimiento describe lo que se quiere lograr con este procedimiento, las secuencias de
actividades y sus respectivos responsables.
CARACTERIZACIN Versin: 0001
Cdigo:
PROCEDIMIENTO DE GESTIN DE VULNERABILIDADES Fecha: 21/05/2012
1. OBJETIVO
Formalizar el procedimiento de la gestin de vulnerabilidades para ABC LTDA., apoyado en herramientas de
tecnologa de seguridad.
45
2. ALCANCE
El procedimiento inicia con la ejecucin de la herramienta de anlisis de vulnerabilidades y culmina con la
conformacin del plan de trabajo, para la mitigacin de las mismas; el cual ser entregado a los responsables de
ABC LTDA., quienes se encargaran de la ejecucin de ste.
3. Actividades y Responsabilidades
SIPCO
PROVEEDOR ENTRADA ACTIVIDADES PHVA SALIDAS CLIENTE
ACTIVIDAD 1
Parametrizar la herramienta de escaneo de

Reporte de las vulnerabilidades
Proveedor de vulnerabilidades Lder de
Plan de ejecucin PHV encontradas
seguridad Ejecutar el sistema de anlisis de vulnerabilidades tecnologa
Documento con los indicadores
Generar el reporte de las vulnerabilidades
encontradas Generar los indicadores
46
Reporte de las ACTIVIDAD 2
Lder de Documento con la solucin para
vulnerabilidades Analizar el documento PH Gerente
tecnologa cada vulnerabilidad
encontradas Generar la solucin para cada vulnerabilidad
ACTIVIDAD 3
Documento con la
Revisa el documento Lder de
Gerente solucin para cada HV Informe de aprobacin
Analiza las soluciones y aprueba las que considera tecnologa
vulnerabilidad
pertinentes Firma las soluciones aprobadas
ACTIVIDAD 4
Lder de
Informe de aprobacin Revisa el informe con las soluciones aprobadas HVA
tecnologa
Implementa las medidas correctivas
4. INFORMACIN DEL PROCESO
INDICADORES DE GESTIN REQUISITOS ISO 27000 DOCUMENTOS DEL PROCESO RECURSOS RESPONSABLES
Nmero de vulnerabilidades Cumplir con las buenas Reporte tcnico generado por el software Los equipos y la Sandra Milena
encontradas en estado crtico. prcticas que generan Nessus informacin Daza T
Nmero de vulnerabilidades seguridad en la empresa Reporte tcnico de riesgos generado por el suministrada por Mauricio Andrs
encontradas con criticidad Alta. software MSAT la empresa ABC Giraldo
Nmero de vulnerabilidades Formatos de caracterizaciones S.AS. Software
encontradas con criticidad media libre de buena
47
calidad y
confiabilidad
MECANISMOS DE CONTROL REQUISITOS LEGALES DOCUMENTOS SOPORTES COMUNICACIN PRODUCTO
Manejo de indicadores Reporte tcnico generado por el software Va email Documento con
Nessus Telefnica reporte de
Documentacin tcnica respecto a Reuniones vulnerabilidades y
vulnerabilidades tecnolgicas reportadas por riesgos
la organizacin Mitre encontrados,
Reporte tcnico de riesgos generado por el despus del
software MSAT anlisis a la
Iso 2700 infraestructura
Confidencialidad y buen manejo de la informtica de

REQUISITOS DEL CLIENTE
informacin ABC LTDA.., con
Contar con la informacin necesaria y apoyo sus respectivas
de la empresa para obtener los mejores sugerencias para

REQUISITOS DE LA
resultados mitigarlos y
ORGANIZACIN
mejorar la
seguridad.
48
Juan Carlos
PROCEDIMIENTO Edison Camargo
Chamorro
REVISO EL APROBO EL
Versin. 01 FECHA 21/05/2012
DOCUMENTO DOCUMENTO
49
16. CONCLUSIONES
Mediante el proceso realizado en ABC LTDA., se logro identificar que la empresa
cuenta con focos estratgicos que van alineados con la misin y la visin, lo cual les
permiten mantenerse vigente y un continuo crecimiento.
Se identificaron los riesgos y las vulnerabilidades a los que estaba expuesto ABC
LTDA., lo cual permiti generar un plan de accin para su mitigacin y proteccin de
la infraestructura informtica de la empresa.
Se propuso un procedimiento que permiti generar un plan de accin para mitigar
las vulnerabilidades de la infraestructura informtica de ABC LTDA.
Es necesario ejecutar cada tres meses el procedimiento propuesto para lograr llevar
un ndice de vulnerabilidades encontradas con sus respectivas soluciones y de esta
manera tener indicativos que orienten el buen desarrollo de la prctica
50
17. BIBLIOGRAFA
Jeimy. Introduccin a la informtica forense.Colombia:2da Edicin,
2008,65p.ISBN 8965-95.32.
Incontec Sistema de Gestin de la Seguridad de la Informacin (SGSI).
Compendio, Segunda Edicin, Julio de 2009 ISBN9789589383933
1
[en lnea]. http://www.revistasic.com/respuestassic/14/RPS14_programa.pdf
[citado el 10 de septiembre de 2011]
DHS National Cyber Security Division/US-CEERT National Vulnerability
Database[en lnea]. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-1999-
0519
Bogot, Colombia) Hacking tico [CD-ROM]: Hacking tico. Bogot Colombia,
ISEC; Bogot: 2010.
Hacker 6 Secretos y soluciones de seguridad en redes
51
18. ANEXOS
18.1 Anexo 1: Descripcin Servidores

Servidor Caractersticas Software Servicios
Administracin Remota de
S.O Windows Server
Windows
2008 R2 Enterprise
Administrador de conexin
SP2, 32 bits
de acceso remoto
J2SE Runtime
Administrador de cuentas
Dominio Cumple Environment 5.0
de seguridad
la funcin de Update 11
Procesador Intel Administrador de licencias
administrar el Java 6 Update 21
Pentium Dual Core de Terminal Services
dominio de la McAfee Agent
2.4 GHz Agente SQL Server
empresa,
Memoria RAM 4GB McAfee Policy Aislamiento de claves
encargndose de
Disco duro de 250 Orchestrator CNG
controlar las
GB McAfee Host Intrusion Configuracin de Terminal
cuentas de usuario
Tarjeta de red Prevention Services
y el rol que cumple
10/100 McAfee Virus Scan Enrutamiento y acceso
dentro del dominio
remoto
Enterprise
de la compaa
Firewall de Windows
Microsoft Office
Llamada a procedimiento
Professional
remoto (RPC)
2007Microsoft Office
McAfee Firewall Core
Professional 2007
Service
52
Microsoft Office McAfee Host Intrution
Project Server 2007 Prevention Service
Microsoft SQL Server McAfee McShield
Propagacin de
2005
certificados
Microsoft SQL Server
Redirector de puerto en
2008
modo usuario de Terminal
Windows Server
Services
Update Services 3.0
Servicio de administracin
SP2
de IIS
Servicio de protocolo de
tnel de sockets seguros
Servicio de publicacin
World Wide Web
Servicios de cifrado
Servicios de dominio de
Active Directory
Servidor de McAfee Policy
Orchestrator 4.6.0
Servidor DNS
Terminal Services
WEB Procesador Intel S.O Windows Server Administracin Remota de

En este servidor Pentium Dual Core 2008 R2 Enterprise Windows
53
es en dnde se 2.5 GHz SP2, 64 bits Administrador de conexin
encuentra Memoria RAM 4GB Apache HTTP Server automtica de acceso
localizada la Tarjeta de red 2.2.11 remoto
pgina de ABC . 10/100/1000 McAfee Agent Administrador de conexin
Tambin cumple la Disco duro 300GB McAfee Host Intrusion de acceso remoto
funcin de servidor Prevention Administrador de cuentas
de correo McAfee Solidifier de seguridad
electrnico McAfee Virus Scan Agente de cuarentena de
Enterprise acceso remoto
Microsoft SQL Server Aislamiento de claves
2005 CNG
MySQL Server 5.1 Almacenamiento protegido
PHP 5.2.9-2 Apache 2.2
Configuracin de Terminal
Services
Enrutamiento y acceso
remoto
Firewall de Windows
Llamada a procedimiento
remoto (RPC)
Service
54
McAfee Host Intrusion
Prevention Service
McAfee McShield
MySQL
Services
de IIS
World Wide Web
Terminal Services
Fuentes S.O Windows Server Administracin Remota de

Procesador Intel
Es en este 2008 R2 Enterprise Windows
Pentium Dual Core
servidor donde se SP2, 32 bits Administracin automtica
2.5 GHz
encuentra Java 6 Update 21 de acceso remoto
Memoria RAM 2GB
almacenada toda McAfee Agent Administrador de conexin
Tarjeta de red
la informacin de McAfee ePolicy de acceso remoto
10/100
los clientes y los Orchestrator Administrador de cuentas
Disco Duro 300GB
cdigos usados en McAfee Host Intrusion de seguridad
55
la construccin del Prevention Aislamiento de claves
software McAfee Solidifier CNG
McAfee Virus Scan Almacenamiento protegido
Enterprise Configuracin de Terminal
Microsoft Office Services
Professional 2007 Enrutamiento y acceso
Microsoft SQL Server remoto
2005 Firewall de Windows
Microsoft SQL Server Llamada a procedimiento
2008 remoto (RPC)
Microsoft Windows McAfee Firewall Core
Sharepoint Services 3.0 Service
Windows Server Update McAfee Host Intrusion
Services 3.0 Prevention Service
McAfee McShield
Propagacin de
certificados
Services
de IIS
56
World Wide Web
Servidor de colores de
Windows
Terminal Services
18.2 Anexo 2: Descripcin estaciones de trabajo
CLIENTE / FUNCIN CARACTERSTICAS SOFTWARE SERVICIOS
"Windows 7 Acceso a dispositivo de
Ultimate 32 bits interfaz humana

Gerencia:
SP1 Adaptador de rendimiento
Este equipo est a cargo
Java 6 Update 31 de WMI
del Gerente quien lo utiliza
Intel Core 2 Do 1.6GHz McAfee Agent Administrador de
para manejo toda la
Memoria RAM 2GB McAfee Host aplicaciones
informacin de los
Tarjeta de red 10/100 Intrution Prevention Administrador de
clientes, para realizar
Disco Duro 250 GB McAfee Virus Scan certificados y claves de
presentaciones, prestar
Enterprise mantenimiento
soporte, y manejos
Microsoft Office Administracin de
administrativos
Standard 2010 conexin automtica de
Microsoft Office acceso remoto
57
Visio 2007 Administracin de
Microsoft Security credenciales
Essentials Administracin de
Microsoft SQL cuentas de seguridad
Server 2008 Almacenamiento
Windows XP Mode" protegido
Agente de proteccin de
acceso a redes
Aislamiento de Claves
CNG
Cliente DHCP
Cliente DNS
Cliente Web
Centro de seguridad
Firewalls de Windows
Host de sistema de
diagnostico
Service
McAfee Validation Trust
Protection Service
58
Administrador de
certificados y claves de
mantenimiento
Windows 7
Professional 64 bits
Administrador de
SP1
aplicaciones
McAfee Agent
Administracin remota de
McAfee Host
Windows
Intrution Prevention
Administrador de
McAfee Virus Scan
conexin de acceso
Enterprise
Soporte 1: remoto
Microsoft Office
Este porttil esta para AMD Turion 2.00 GHz Administrador cuentas de
Professional 2007
funciones tales como: de Memoria RAM 4GB seguridad
AccountantSofPlus
soporte, presentaciones, Disco Duro 250 GB Adobe acrobat Update
Microsoft Office
capacitaciones. Service
Visio 2007
Microsoft Security
acceso a redes
Essentials
Agente SQL Server
Microsoft SQL
Disco Virtual
Server 2008
DLL del host del contador
Microsoft Security
de rendimiento
Assessment Tool.
Firewall de Windows
4.0
Host sistema de
diagnostico
Inspeccin red de
59
Microsoft
McAfee Security Scan
Component Host service
Microsoft Antimalware
Service
Sistema de cifrado de
archives
Tarjeta Inteligente
Acceso a dispositivo de
interfaz humana
Deteccin Harware Shell
Windows 7 Agente de proteccin de
Professional 32 bits acceso a redes
SP1 Aislamiento de Claves
Soporte 2: "Intel Core 2 Duo 1.8GHz McAfee Agent CNG
Este equipo cumple con Memoria RAM 1GB McAfee Host Cliente DHCP
las siguientes funciones: Tarjeta de red 10/100 Intrution Prevention Cliente DNS
soporte, y testeo. Disco Duro 250 GB" McAfee Virus Scan Cliente Web
Enterprise Centro de seguridad
Microsoft Office Firewalls de Windows
Professional 2007 Host de sistema de
diagnostico
Service
60
Protection Service
Detection SSDP
Configuration automatic
de WLAN
Aislamiento de claves
CNG
Office software Protection
platform
Servicio cifrado de
Unidad Bitlocker
Firewalls de Windows
Host de sistema de
diagnostico
Service
Protection Service
" Windows 7 Administrador de
Soporte 3: Professional 32 bits certificados y claves de

"Intel Core 2 Duo 1.8GHz
Este porttil esta para SP1 mantenimiento
Memoria RAM 1GB
funciones tales como: de McAfee Agent
Tarjeta de red 10/100
soporte, presentaciones, McAfee Host Administrador de
Disco Duro 250 GB"
capacitaciones. Intrution Prevention aplicaciones
McAfee Virus Scan Administracin remota de
61
Enterprise Windows
Microsoft Office Administrador de
Professional 2007 conexin de acceso
remoto
Administrador cuentas de
seguridad
Adobe acrobat Update
Service
acceso a redes
Agente SQL Server
Disco Virtual
DLL del host del contador
de rendimiento
Firewall de Windows
Host sistema de
diagnostico
Inspeccin red de
Microsoft
McAfee Security Scan
Component Host service
Microsoft Antimalware
Service
Sistema de cifrado de
archives
62
63
18.3 Anexo 3: Resultados
reas de anlisis Estado
Infraestructura
Aplicaciones
Operaciones
Personal
Cumple las mejores prcticas recomendadas
Interpretacin Necesita mejorar
Carencias severas
A continuacin en el anexo 4 se seala el detalle de cada uno de los aspectos
analizados con MSAT
18.4 Anexo 4: Detalle de anlisis MSAT
Infraestructura
Defensa del permetro
Reglas y filtros de cortafuegos
Antivirus
64
Antivirus - Equipos de escritorio
Antivirus Servidores
Acceso remote
Segmentacin
Sistema de deteccin de intrusiones (IDS)
Inalmbrico
Autenticacin
Usuarios administrativos
Usuarios internos
Usuarios de acceso remote
Directivas de contraseas
Directivas de contraseas-Cuenta de administrador
Directivas de contraseas-Cuenta de usuario
Directivas de contraseas-Cuenta de acceso remoto
Cuentas inactivas
Gestin y control
Informes sobre incidentes y respuesta
Creacin segura
Seguridad fsica
Aplicaciones
Implementacin y uso
Equilibrio de carga
65
Clsteres
Aplicacin y recuperacin de datos
Fabricante de software independiente (ISV)
Desarrollado internamente
Vulnerabilidades
Diseo de aplicaciones
Autenticacin
Directivas de contraseas
Autorizacin y control de acceso
Registro
Validacin de datos de entrada
Metodologas de desarrollo de seguridad de software
Almacenamiento y comunicaciones de datos
Cifrado
Cifrado Algoritmo
Operaciones
Entorno
Host de gestin
Host de gestin-Servidores
Host de gestin - Dispositivos de red
Directiva de seguridad
Clasificacin de datos
66
Eliminacin de datos
Protocolos y servicios
Uso aceptable
Gestin de cuentas de usuarios
Regulacin
Directiva de seguridad
Gestin de actualizaciones y revisiones
Documentacin de la red
Flujo de datos de la aplicacin
Gestin de actualizaciones
Gestin de cambios y configuracin
Copias de seguridad y recuperacin
Archivos de registro
Planificacin de recuperacin ante desastres y reanudacin
de negocio
Copias de seguridad
Dispositivos de copia de seguridad
Copias de seguridad y restauracin
Personal
Requisitos y evaluaciones
Requisitos de seguridad
Evaluaciones de seguridad
67
Directiva y procedimientos
Comprobaciones del historial personal
Directiva de recursos humanos
Relaciones con terceros
Formacin y conocimiento
Conocimiento de seguridad
Formacin sobre seguridad
Frente a lo anterior, MSAT genera una serie de recomendaciones para mitigar los factores de
riesgo descritos en el anexo 5. Solo se muestra aquellos aspectos cuya estado se considera como
una carencia severa. En la tabla 6 se muestra cada una de las recomendaciones sugeridas por
MSAT.
18.5 Anexo 5: Anlisis de riesgos
RECOMENDACIONES
ASPECTO
ESTADO OBSERVACIONES PARA MITIGAR EL
ANALIZADO
RIESGO
68
RECOMENDACIONES
ASPECTO
ANALIZADO
RIESGO
Existen clientes y/o
socios que se
conectan de manera
Utilizar conexiones por
remota a la red
Carencias medio de VPN basada
Acceso Remoto interna, pero no se
severas en tecnologas IPSec,
utiliza alguna
SSL y SSH
tecnologa VPN para
garantizar el acceso
seguro
Existe la posibilidad
Utilizar cifrado WAP y
de conexin
tratar la red como de no
inalmbrica a la red
Terminal confianza.
Carencias de la empresa, se
Services Realizar filtros por MAC
severas utiliza cifrado WEP y
con el fin que equipos no
no se utiliza
autorizados se conecten
restriccin de acceso
a la red
por medio de MAC
Directivas de Carencias No se utilizan Se debe implementar
contraseas- severas directivas de directivas de contraseas
69
RECOMENDACIONES
ASPECTO
ANALIZADO
RIESGO
Cuenta de contraseas para las de tal forma que se sigan
administrador cuentas de las siguientes
administrador recomendaciones:
- La longitud de las
contraseas deben ser
entre 8 a 14 caracteres
- Duracin mxima 90
das
- Las cuentas nuevas
deben cambiar la
contrasea tan pronto
inicien sesin
Se debe implementar
directivas de contraseas
Directivas de No se utilizan
de tal forma que se sigan
contraseas- Carencias directivas de
las siguientes
Cuenta de severas contraseas para las
recomendaciones:
usuario cuentas de usuario
- La longitud de las
contraseas deben ser
70
RECOMENDACIONES
ASPECTO
ANALIZADO
RIESGO
entre 8 a 14 caracteres
- Duracin mxima 90
das
- Las cuentas nuevas
deben cambiar la
contrasea tan pronto
inicien sesin
Utilizar software de
No se utiliza ningn cifrado de discos con el
sistema de cifrado de fin de garantizar la
disco, tampoco se confidencialidad en caso

Carencias
Creacin segura cuenta con un de robo de los equipos
severas
protector de pantalla Exigir a los usuarios el
protegido por uso de un protector de
contrasea pantalla protegido por
contrasea
ABC no tiene Se deben establecer

Carencias
Seguridad fsica implementado un controles de acceso
severas
sistema de fsico con el fin de evitar
71
RECOMENDACIONES
ASPECTO
ANALIZADO
RIESGO
identificacin de que personas no
empleados, autorizadas ingresen a
visitantes, las instalaciones de ABC
acompaantes y .
registros de Los equipos de red
visitantes. deben estar en un
Los equipos de la red armario bajo llave, as
no se encuentran como los equipos deben
bajo algn armario estar adecuadamente
cerrado, as como lo asegurados con un cable
servidores tampoco de seguridad
se encuentran en
alguna habitacin con
acceso restringido.
Los equipos de
trabajo no se
encuentran
protegidos por algn
cable de seguridad
72
RECOMENDACIONES
ASPECTO
ANALIZADO
RIESGO
No se tienen Es recomendable utilizar
implementada la clsteres para asegurar

Carencias
Clsteres agrupacin de la alta disponibilidad de
severas
clsteres en el bases de datos y
entorno archivos compartidos
No se realizan Se recomienda realizar

Aplicacin y
Carencias pruebas peridicas copias de seguridad
recuperacin de
severas de la recuperacin de regularmente y realizar
datos
aplicaciones y datos su respectiva prueba
El uso de macros
personalizados hace que
las aplicaciones
Se utilizan macros
ofimticas queden
Desarrollado Carencias personalizados en
expuestos a documentos
internamente severas aplicaciones
peligrosos, se
ofimticas
recomienda restringir su
uso solo a personas que
lo requiera
Vulnerabilidades Carencias No se conocen Consultar los sitios de los
73
RECOMENDACIONES
ASPECTO
ANALIZADO
RIESGO
severas vulnerabilidades en fabricantes y
las aplicaciones que proveedores de
afecten en la soluciones de seguridad
seguridad para detectar
vulnerabilidades a nivel
de aplicacin
La empresa no
proporciona
formacin sobre
metodologas de
Establecer un programa
seguridad para
Metodologas de de formacin de
software orientado al
desarrollo de Carencias metodologas de
personal de
seguridad de severas desarrollo de software
desarrollo.
software seguro.
La organizacin no
utiliza las
metodologas de
desarrollo de
seguridad de
74
RECOMENDACIONES
ASPECTO
ANALIZADO
RIESGO
software
recomendadas
Se debe cifrar los datos

Las aplicaciones de
confidenciales al
ABC no cifran los
Carencias momento de
Cifrado datos cuando se
severas almacenarlos y
estn almacenando o
transmitirlos con un
transmitiendo
algoritmo estndar
Se debe determinar
Los integrantes de
internamente los
Clasificacin de Carencias ABC no tienen claro
documentos para poder
datos severas como se deben
asignar a cada uno una
clasificar los datos
clasificacin
El personal de la
Se debe definir un
compaa no tiene
procedimiento para la
Eliminacin de Carencias claro como debe ser
gestin de eliminacin de
datos severas el proceso de
informacin en formato
eliminacin de
fsico como electrnico
informacin
75
RECOMENDACIONES
ASPECTO
ANALIZADO
RIESGO
Se recomienda reunirse
con el equipo de
No existen pautas seguridad y comercial
Protocolos y Carencias que traten los con el fin de establecer
servicios severas servicios y protocolos pautas que traten los
permitidos servicios y protocolos
permitidos en el entorno
empresarial
Se recomienda
La empresa no
establecer una directiva
cuenta con ninguna
de seguridad segn la
directiva de seguridad
informacin suministrada
Directiva de Carencias de la informacin
de gestin de TI y de
seguridad severas para controlar lo
Recursos Humanos y se
relacionado a la
deben poner en
seguridad de la
funcionamiento por los
compaa
ejecutivos
Documentacin Carencias La empresa no Se debe trabajar con los
de la red severas cuenta con ingenieros encargados
76
RECOMENDACIONES
ASPECTO
ANALIZADO
RIESGO
diagramas de la de la red para desarrollar
infraestructura de red un diagrama de la red de
la compaa iniciando
por los diagramas de red
externa y luego la
interna.
Se recomienda disear
los diagramas de
arquitectura y flujo de
No existen diagramas
datos de aplicaciones
de la arquitectura ni
Flujo de datos de Carencias dando como prioridad las
del flujo de datos de
la aplicacin severas externas. Se debe tener
las aplicaciones
en cuenta la importancia
principales
de la confidencialidad de
los datos que se
controla.
No estn definidas Se debe desarrollar una

Gestin de Carencias
las directrices que directiva para la
actualizaciones severas
regulan la gestin de actualizacin de los
77
RECOMENDACIONES
ASPECTO
ANALIZADO
RIESGO
actualizaciones ni sistemas operativos y
revisiones de aplicaciones tomando
sistemas operativos y como prioridad los
aplicaciones sistemas externos y de
internet, luego los
internos crticos y luego
los no crticos
Se recomienda
implementar un sistema
ABC no cuenta con
Gestin de de gestin de cambios y
Carencias ningn proceso de
cambios y configuraciones con el fin
severas gestin de cambios ni
configuracin de documentar todas las
configuraciones
actualizaciones antes de
su implementacin
Planificacin de La empresa no Se debe desarrollar
recuperacin cuenta con ningn planes de continuidad del

Carencias
ante desastres y procedimiento para la negocio que incluyan al
severas
reanudacin de recuperacin ante personal, ubicaciones y
negocio desastres y tecnologa, as mismo se
78
RECOMENDACIONES
ASPECTO
ANALIZADO
RIESGO
reanudacin del deben documentar,
negocio actualizar y poner en
pruebas los planes
desarrollados
Se debe identificar los
recursos crticos y
No se realizan copas
posteriormente se debe
Copias de Carencias de seguridad de
poner en prctica un
seguridad severas manera peridica de
mecanismo para realizar
los recursos crticos
copias de seguridad de
ellos
No se cuenta con el Se recomienda solicitar
apoyo de una entidad evaluaciones por
independiente que se terceros para la
Evaluaciones de Carencias encargue de la infraestructura crtica de
seguridad severas evaluacin se red y de aplicaciones
seguridad de la Se aconseja utilizar el
empresa. personal interno para la
La evaluacin de realizacin de auditoras
79
RECOMENDACIONES
ASPECTO
ANALIZADO
RIESGO
seguridad tampoco de seguridad.
las realiza personal
interno de la
compaa
Se debe nombrar a una

No se ha asignado la
persona o grupo con
Conocimiento de Carencias responsabilidad de
experiencia en seguridad
seguridad severas seguridad a ningn
que se encargue de la
integrante de ABC
seguridad.
Segn el modelo
empresarial de ABC se
Actualmente la
recomienda desarrollar
empresa no ofrece a
Formacin sobre Carencias un plan para que el
los empleados
seguridad severas equipo de TI y de
formacin especfica
desarrollo tenga una
por temas
formacin de seguridad
apropiada
Control de Carencias En la actualidad la Se sugiere, adecuar un
Acceso y de severas empresa no cuenta sitio para el datacenter
80
RECOMENDACIONES
ASPECTO
ANALIZADO
RIESGO
Incendios con controles de que garantice
acceso al datacenter , condiciones de
no cuenta con un temperatura adecuada,
cuarto adecuado con instalar detectores de
ventiladores o algn humo, mantener bajo
tipo de enfriamiento, seguridad el lugar.
no existen controles
de incendio ni
deteccin de humo.
18.6 Anexo 6: Vulnerabilidades del servidor WEB
NOMBRE CVE DESCRIPCIN EXPLOIT SOLUCIN
Una inyeccin de Permite la divulgacin Actualizar
informacin a travs del no autorizada de la la versin

CVE-2009-3555
protocolo criptogrfico informacin de PHP a
TLS que permite un 2.2.15 o
81
ataque de hombre en el Permite la interrupcin superior
medio sobre una sesin del servicio
HTTPS al tener una
versin de servidor web
Apache igual o menor a
2.2.14
Una vulnerabilidad en el
servidor web Apache en
versiones 2.2.15 y
anteriores no manejan
adecuadamente ciertas
situaciones en las que un Permite la interrupcin

CVE-2010-0408
cliente no enva del servicio
informacin en una
solicitud, lo que permite a
un atacante causar una
denegacin de servicio
(Interrupcin del servidor)
82
El mdulo
/arch/win32/mod_isapi.c
en el servidor web Apache Permite la divulgacin
en las versiones 2.0.37, no autorizada de la
2.0.63, 2.2.0, 2.2.14 y informacin
2.3.x antes de la 2.3.7
cuando se ejecuta en Permite la
CVE-2010-0425 Windows no asegura que modificacin no
el procesamiento de la autorizada de la
solicitud se complete informacin
permitiendo a un atacante
remoto ejecutar cdigo Permite la interrupcin
arbitrario a travs de del servicio
solicitudes diseadas a
mano.
El Servidor Web Apache
en versiones 2.2.x inferior

Permite la divulgacin
a 2.2.15 no maneja
CVE-2010-0434 no autorizada de la
apropiadamente los
informacin
encabezados de
solicitudes en ciertas
83
circunstancias, lo que
puede permitir a
atacantes remotos
obtener informacin
sensible por medio de
solicitudes diseadas que
desencadena accesos a
lugares de memoria
asociadas a una solicitud
anterior
El servidor web Apache
en sus versiones 1.x y 2.x
permite a atacantes
Permite la interrupcin
CVE-2007-6750 remotos causar una
del servicio
denegacin de servicio a
travs de peticiones HTTP
parciales
84
Proporciona acceso
de administrador
El servidor Web remoto se
ve afectado por una

Permite total
vulnerabilidad de
confidencialidad,
desbordamiento del Bfer.
integridad y violacin Actualizar
La versin que tiene
de disponibilidad a Apache
CVE-2009-2412 instalada es muy vieja y
2.2.13.
contiene un error en
Permite la divulgacin superior
apr_palloc, el cual
no autorizada de la
podra causar un
informacin
desbordamiento en el
encabezamiento
del servicio
La versin de PHP Actualizar
instalado ya no tiene la versin
Deprecated soporte, lo cual puede de PHP a
contener muchas 2.2.15 o
vulnerabilidades superior
85
El servidor Web est

utilizando una versin
no autorizada de la
PHP desactualizada la
informacin
cual se est viendo
afectada por mltiples

Permite la
fallas. No realiza
CVE-2009-3291 modificacin no
correctamente la
autorizada de la
validacin de los
informacin
certificados, con una Actualizar
probabilidad de ataque a la versin

relacionada por la emisin de PHP a
del servicio
de certificados falsos. 2.2.15 o
Permite la divulgacin superior
no autorizada de la
informacin
Se produce un error en la
CVE-2009-3292 validacin de certificados Permite la
en el interior. modificacin no
autorizada de la
informacin
86
del servicio
Existe una vulnerabilidad Permite la divulgacin
de validacin no no autorizada de la
especificada que afecta informacin
el ndice de color en el
imagecolortransparente Permite la
CVE-2009-3293 tiene un impacto modificacin no
desconocido y vectores autorizada de la
de ataque relacionados informacin
con un incorrecto
comprobacin de validez Permite la interrupcin
para el ndice del color del servicio
Permite a atacantes
dependientes de contexto Permite la interrupcin

CVE-2009-3294
causar denegacin de del servicio
servicios a travs de una
87
cadena conocida como el
modo.
no autorizada de
Es posible saltarse la informacin
directiva open_basedir ,
permitiendo a usuarios o Permite la

CVE-2009-4018
atacantes el acceso a modificacin no
varios archivos que son autorizada
confidenciales
del servicio
no autorizada de
informacin
Facilita a los usuarios o
CVE-2009-5016 atacantes enviar cross- Permite la
site scripting, modificacin no
autorizada
88
del servicio
La librera de Apache
Portable Runtime anterior
a la versin 1.3.9 que se

usa en versiones de
Asegurars
Apache inferiores a 2.2.14
e que lo
no maneja Permite la interrupcin
CVE-2009-2699 mdulos
adecuadamente los del servicio
afectados
errores, lo que permite a
no estn
un atacante remoto
en uso
causar una denegacin
del servicio a travs de

peticiones HTTP
Actualizar
El mdulo mod_proxy_ftp Permite la divulgacin
la versin
en el servidor web Apache no autorizada de
de
permite a un atacante informacin
Apache a
remoto evadir las
CVE-2009-3095 2.2.14 o
restricciones de acceso y Permite la
posterior
enviar comandos modificacin no
arbitrarios a un servidor autorizada
FTP
89
del servicio
La funcin ap_proxy_ftp
en el servidor web Apache
en versiones 2.2.63 y
CVE-2009-3094 2.2.13 permite a los
del servicio
servidores FTP remotos
causar una denegacin de
servicio
La extensin xmlrpc en Actualizar
PHP 5.3.1 no maneja a la
adecuadamente un Permite la interrupcin versin de

CVE-2010-0397
elemento que permite a del servicio PHP 5.3.9
los atacantes causar una o
denegacin de servicio posterior
90
Proporciona acceso
de administrador
Permite total
confidencialidad,
La versin 5.2.1 de PHP
integridad y violacin
permite a los atacante
de disponibilidad
CVE-2007-1581 ejecutar cdigo arbitrario
para interrumpir la funcin

hash_update_file
no autorizada de la
informacin
del servicio
La funcin
html_entity_decode en
PHP versin 5.2.13 y Permite la divulgacin
CVE-2010-1860 5.3.2 permite a los no autorizada de la
atacantes obtener informacin
informacin confidencial
(contenido de memoria) o
91
provocar daos en la
memoria, causando una
interrupcin de espacio de
usuario de una funcin
interna
La funcin chunk_split en
PHP versin 5.2.13 y
5.3.2 permite a los
atacantes obtener Permite la divulgacin
CVE-2010-1862 informacin confidencial no autorizada de la
(contenido de memoria) informacin
causando una interrupcin
de espacio de usuario de
una funcin interna
La funcin addcslashes
en PHP versin 5.2.13 y
5.3.2 permite a los Permite la divulgacin
CVE-2010-1864 atacante obtener no autorizada de la
informacin confidencial informacin
(contenido de memoria)
92
una funcin interna
Las funciones
iconv_mime_decode,
iconv_substr e
incov_mime_encode en
PHP versin 5.2.13 y

5.3.2 permite a los
CVE-2010-2097 no autorizada de la
atacantes obtener
informacin
informacin confidencial
(contenido de memoria)
una funcin interna
Es posible crear una Permite la divulgacin Actualizar
condicin de denegacin no autorizada de la a la
CVE-2011-4566 de servicio mediante el informacin versin de
envo de las solicitudes PHP 5.3.9
mltiples, especialmente Permite la interrupcin o
93
diseados que contienen del servicio posterior
valores de los parmetros
que causan colisiones de
hash al calcular los
valores hash para
almacenar en una tabla
hash. (CVE-2011-4885)
Un desbordamiento de
enteros en la funcin
exif_process_IFD_TAG en
exif.c que puede permitir a
un atacante remoto para
leer en cualquier
CVE-2011-4885 ubicacin de memoria o
del servicio
servicio. Esta
vulnerabilidad slo afecta
5.4.0beta2 PHP en
plataformas de 32 bits.
(CVE-2011-4566)
94
Las llamadas a libxslt no

estn restringidos a travs
no autorizada de la
de libxslt, lo que podra
informacin
permitir a un atacante
CVE-2012-0057
crear o sobrescribir
Permite la
archivos, lo que resulta en
modificacin no
la ejecucin de cdigo
autorizada
arbitrario.
Existe un error en
"tidy_diagnose" la funcin
que puede permitir a un
atacante hacer que la Permite la interrupcin

CVE-2012-0781
aplicacin referencia a un del servicio
puntero nulo. Esto hace
que la aplicacin se
bloquee
La puesta en prctica
PDORow en PHP 5.3.9

CVE-2012-0788 antes no interactan
del servicio
adecuadamente con la
funcin de la sesin, que
95
permite a atacantes
remotos provocar una
denegacin de servicio
(cada de aplicacin) a
travs de una aplicacin
hecha a mano que utiliza
un controlador para una
DOP a buscar y luego
llama a la funcin
session_start, como lo
demuestra una cada del
servidor HTTP Apache.
Existe un error en el
manejo de la zona horaria
de forma que los
reiterados llamamientos a
CVE-2012-0789 "strtotime" la funcin
del servicio
puede permitir que un
ataque de denegacin de
servicio a travs del
consumo de memoria
96
Durante la importacin de no autorizada de la
las variables de entorno, informacin
cambios temporales en la
'magic_quotes_gpc' Permite la
CVE-2012-0831 Directiva no se manejan modificacin no
adecuadamente. Esto autorizada de la
puede reducir la dificultad informacin

Actualizar
de los ataques de
a la
inyeccin SQL. Permite la interrupcin
versin de
del servicio
PHP
La variable "$ _FILES
5.3.11 o
'puede estar daada
posterior
debido a los nombres de
los archivos subidos no
estn debidamente Permite la interrupcin

CVE-2012-1172
validados. puede permitir del servicio
un ataque de denegacin
de servicio tanto en el
cliente como en el
servidor.
97
Un error en 'sapi / cgi /

Actualizar
cgi_main.c' el archivo se
a la
puede permitir a un
Permite la divulgacin versin de
atacante remoto para
no autorizada de la PHP
obtener el cdigo fuente
informacin 5.3.12 /
PHP en el servidor web o
5.4.2 o
para ejecutar cdigo
Permite la posterior.
arbitrario. En las
CVE-2012-1823 modificacin no Una
configuraciones
autorizada de la solucin
vulnerables, PHP trata a
informacin "mod_rew
ciertos parmetros de
rite"
cadena de consulta como
Permite la interrupcin tambin
argumentos de lnea de
del servicio est
comandos, incluyendo
disponible
interruptores, tales como '-
.
s', '-d', y 'C'.
98
TIPO DE
NOMBRE CVE DESCRIPCIN SOLUCIN
IMPACTO
El certificado X.509 del
servidor no tiene la firma de
una autoridad de certificacin
pblica conocida. Esta

Comprar o generar un
situacin puede ocurrir en tres
certificado adecuado
formas diferentes, cada uno de
para este servicio
lo que se traduce en una
ruptura de la cadena por
debajo del cual los certificados
no se pueden confiar.
El servicio remoto acepte
conexiones cifradas con SSL
2.0, que al parecer sufre de

Consulte la
varios defectos de cifrado y ha
documentacin de la
quedado en desuso desde
Permite la aplicacin de
hace varios aos. Un atacante
CVE-2005-2969 modificacin desactivar SSL 2.0 y
puede ser capaz de explotar
no autorizada Usar SSL 3.0, TLS
estas cuestiones para llevar a
1.0, o en lugar ms
cabo los ataques man-in-the-
.alto
middle o descifrar las
comunicaciones entre el
servicio afectado y los clientes.
99
TIPO DE
IMPACTO
La versin de Apache HTTP
Server que se ejecuta en la Permite la Actualizar a la versin
mquina remota tiene una divulgacin no de Apache 2.2.22

CVE-2012-0053
vulnerabilidad de divulgacin autorizada de .oposterior
de informacin. la informacin
El control remoto del servidor
DNS responde a las consultas
de dominios de terceros que no
tienen el bit de recursin.
Esto puede permitir a un Pngase en contacto
atacante remoto para con el proveedor del
determinar qu dominios han software de DNS para
sido recientemente resuelta a un arreglo
travs de este servidor de
nombres, y por lo tanto, que los
ejrcitos se han visitado
recientemente
100
TIPO DE
IMPACTO
Los servicios de terminal
remota no estn configurados
para utilizar la autenticacin de
nivel de red (NLA). NLA utiliza
el proveedor de credenciales
de seguridad de Apoyo
Habilitar la
(CredSSP) para llevar a cabo
autenticacin de nivel
el protocolo de autenticacin
NLA) en el ( de red
de servidor fuerte sea a travs
servidor RDP remoto.
de los mecanismos de TLS /
Esto se hace
SSL o Kerberos, que protegen
generalmente en el
contra el hombre en el medio
ficha del ''remoto
de ataque. Adems de mejorar
sistema de "
la autenticacin, la NLA
configuracin de
tambin ayuda a proteger el
Windows
equipo remoto de usuarios
maliciosos y software
completando la autenticacin
del usuario antes de una
conexin RDP completa se
establece.
101
TIPO DE
IMPACTO
El servicio remoto encripta el
trfico mediante TLS / SSL,
pero permite a un cliente para
renegociar la conexin
insegura. Un atacante remoto
no autenticado podra
aprovechar este problema para

Permite la Pngase en contacto
inyectar una cantidad arbitraria
manipulacin con el proveedor para
de texto en el comienzo de la
no autorizada obtener informacin
secuencia del protocolo de
de la sobre los parches
aplicacin, lo que podra
informacin especficos.
facilitar el hombre en el medio
de ataque, si el servicio se
supone que las sesiones antes
y despus de la renegociacin
son de la misma "cliente" y los
combina en la capa de
aplicacin.
El servicio remoto cifra el Permite la

Instale el parche de
trfico de clientes utilizando manipulacin
CVE-2011-1473 seguridad apache2-
TLS / SSL y permite renegociar no autorizada
7882 con 'yast'
las conexiones. El control de la
102
TIPO DE
IMPACTO
remoto del sistema SuSE falta informacin
el parche de seguridad
apache2-7882
TIPO DE
IMPACTO
Hacer cumplir
Firma est
mensaje de la firma
deshabilitado en el
en la configuracin
servidor remoto SMB.
del host. En
Esto puede permitir
Windows, esta se
que los ataques man-
encuentra en la
in-the-middle contra el
Directiva de
servidor SMB.
seguridad local.
TIPO DE
IMPACTO
103
TIPO DE
IMPACTO
Proporciona
acceso de
administrador Deshabilitar el
Permite total servicio SNMP en el

En Solaris, un subagente SNMP
confidencialida host remoto, si no lo
tiene una cadena de comunidad
d, integridad y uso, filtros de
por defecto que permite a
CVE-1999- violacin de paquetes UDP
atacantes remotos ejecutar
0186 disponibilidad entrantes van a
cdigo arbitrario como root, o
Permite la este puerto, o
modificar los parmetros del
divulgacin no cambiar la cadena
sistema
autorizada de de comunidad por
la informacin defecto.
Permite la
interrupcin del
servicio
Proporciona
Una cadena oculta de
acceso de
comunidad SNMP en HP
CVE-1999- administrador
OpenView permite a atacantes
0254 Permite total
remotos modificar las tablas MIB
confidencialida
y obtener informacin sensible
d, integridad y
104
TIPO DE
IMPACTO
violacin de
disponibilidad
Permite la
divulgacin no
autorizada de
la informacin
Permite la
interrupcin del
servicio
El nombre de comunidad SNMP
por defecto "pblico" no es Permite la
CVE-1999- propiamente eliminado en divulgacin no
0472 NetApp NetCache C630, aun autorizada de
cuando el administrador intenta la informacin
desactivarlo.
Permite la
SNMP se encontr. La
divulgacin no
informacin pblica SNMP
autorizada de
CVE-1999- puede contener informacin
la informacin
0516 confidencial que puede ser
Permite la
usado para comprometer sus
modificacin no
sistemas informticos.
autorizada de
105
TIPO DE
IMPACTO
la informacin
Permite la
interrupcin del
servicio
Permite la
divulgacin no
autorizada de
la informacin
Un nombre de comunidad SNMP
Permite la
CVE-1999- es el valor predeterminado (por
modificacin no
0517 ejemplo, pblico), nulo, o que
autorizada de
faltan.
la informacin
Permite la
interrupcin del
servicio
ROUTERmate SNMP por
defecto tiene un nombre de Permite la

CVE-1999-
comunidad que permite a interrupcin del
0792
atacantes remotos modificar su servicio
configuracin.
CVE-2000- snmpd en SCO OpenServer Permite la
0147 tiene una cadena de comunidad modificacin no
106
TIPO DE
IMPACTO
SNMP que se puede escribir de autorizada
forma predeterminada, que
permite a atacantes locales para
modificar la configuracin del
host.
Permite la
Crosscom / Olicom XLT F-80
divulgacin no
corriendo XL versin IM 5.5 Build
autorizada de
Nivel 2 permite a un atacante
CVE-2001- la informacin
remoto SNMP de lectura y
0380 Permite la
escritura a travs de un defecto,
modificacin no
cadena de la comunidad
autorizada de
indocumentada "ILMI '
la informacin
Servicio SNMP en el Atmel Permite la
802.11b VNET-B Punto de divulgacin no
Acceso 1.3 y versiones autorizada de
anteriores, como se usa en la informacin

CVE-2001-
Netgear ME102 y WAP11 Permite la
0514
Linksys, acepta cadenas modificacin no
arbitrarias de la comunidad con autorizada de
las modificaciones solicitadas la informacin
MIB, lo que permite a atacantes Permite la
107
TIPO DE
IMPACTO
remotos obtener informacin interrupcin del
sensible como claves WEP, servicio
servicio, o tener acceso a la red.
Cisco ubr900 routers de la serie
que se ajusten a las

Permite la
especificaciones de interfaz de
divulgacin no
datos-sobre-Cable Service
autorizada de
(DOCSIS) estndar deben enviar
la informacin
CVE-2001-
sin restricciones de acceso
Permite la
1210
SNMP, lo que puede permitir a
modificacin no
atacantes remotos leer y escribir
autorizada de
informacin en el MIB usando
la informacin
cadenas arbitrarias de la
comunidad.
Linksys EtherFast BEFN2PS4, Permite la
BEFSR41 y BEFSR81 Routers, y divulgacin no
CVE-2002- posiblemente otros productos, autorizada de
0109 permite a atacantes remotos la informacin
obtener informacin sensible y
causar una denegacin de Permite la
108
TIPO DE
IMPACTO
servicio a travs de una consulta interrupcin del
SNMP para la comunidad por servicio
defecto cadena "pblica", lo que
hace que el router para cambiar
su configuracin y enviar la
informacin de captura SNMP al
sistema que inici la consulta
La configuracin predeterminada
de Foundry Networks EdgeIron
CVE-2002- 4802F permite a atacantes Permite la
0478 remotos modificar la informacin modificacin no
sensible a travs de cadenas de autorizada
comunidad SNMP arbitrarias.
Avaya Cajun P880 interruptores,

Proporciona
P882, P580, y P550R 5.2.14 y
acceso no
anteriores contienen las cuentas
autorizado
CVE-2002- de indocumentados (1)
Permite total
1229 Fabricacin y (2) diagnstico con
confidencialida
contraseas por defecto, lo que
d, integridad y
permite a atacantes remotos
violacin de
ganar privilegios.
disponibilidad
109
TIPO DE
IMPACTO
Permite la
divulgacin no
autorizada de
la informacin
Permite la
interrupcin del
servicio
Proporciona
acceso de
American Power Conversin administrador
(APC) Web / SNMP Permite total
Management Card 3.0 a travs confidencialida
de SmartSlot 3.0.3 y 3.21 se d, integridad y

CVE-2004-
envan con una contrasea por violacin de
0311
defecto de disponibilidad
TENmanUFactOryPOWER, que Permite la
permite a atacantes remotos divulgacin no
obtener acceso no autorizado. autorizada de
la informacin
Permite la
interrupcin del
110
TIPO DE
IMPACTO
servicio
Symantec Enterprise Firewall /
VPN 100, 200, y el firmware
200R en ejecucin antes de 1.63
y Gateway Security 320, 360, y
el firmware 360R en ejecucin
CVE-2004- antes de 622 utiliza un valor Permite la
1474 predeterminado de lectura / modificacin no
escritura cadena de comunidad autorizada
SNMP, que permite a atacantes
remotos para modificar el archivo
del servidor de seguridad de
configuracin.
IOS 12.2 (52) SE y 12.2 (52) Permite la
SE1 en Cisco Industrial Ethernet divulgacin no
(IE) 3000 switches de la serie autorizada de

CVE-2010-
tiene (1) un nombre de la informacin
1574
comunidad de pblico para el Permite la
acceso RO y (2) un nombre de modificacin no
comunidad de la privada para el autorizada de
111
TIPO DE
IMPACTO
acceso RW, lo que hace ms la informacin
fcil para los atacantes remotos Permite la
modificar la configuracin u interrupcin del
obtener informacin sensible a servicio
travs de peticiones SNMP,
tambin conocido como Bug ID
CSCtf25589.
Permite la
Deshabilitar el
divulgacin no
servicio SNMP en el
autorizada de
host remoto, si no lo
la informacin
Un nombre de comunidad SNMP Cualquiera de .uso
Permite la
CVE-1999- es el valor predeterminado (por filtrar los paquetes
modificacin no
0517 ejemplo, pblico), nulo, o que UDP entrantes que
autorizada de
faltan. van a este puerto, o
la informacin
cambiar la cadena
Permite la
de comunidad por
interrupcin del
defecto
servicio
112
TIPO DE
IMPACTO
Algunos servidores DHCP
proporcionan informacin
confidencial, como el nombre de
dominio NIS, o informacin de la Aplicar filtros para
red de diseo, como la lista de mantener esta
los servidores de la red Internet, informacin fuera
y as sucesivamente. No se de la red y eliminar
demostr ninguna vulnerabilidad, las opciones que no
sino a un atacante local puede .estn en uso
utilizar DHCP para estar
ntimamente familiarizado con la
red asociada.
113

Daza Sandra 2012

Cargado por

Copyright:

Formatos disponibles

Daza Sandra 2012

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Daza Sandra 2012

Cargado por

Copyright:

Formatos disponibles

APLICACION DE UN SISTEMA DE GESTIN DE VULNERABILIDADES PARA LA

INFRAESTRUCTURA INFORMATICA DE ABC LTDA.

Por: Sandra Milena Daza Triana

Mauricio Andrs Giraldo Murillo

Bogot D.C., Colombia

INFRAESTRUCTURA INFORMATICA DE ABC LTDA.

POR: SANDRA MILENA DAZA T

MAURICIO ANDRS GIRALDO M

Proyecto de Grado para optar por el ttulo de

JHON JAIRO PORRAS VEGA

Bogot D.C., Colombia

Ing. John Jairo Porras Vega

Jurado 1 Diego Adolfo Rodrguez C.

Ing. Mario Briceo Torres

Bogot D.C. Marzo 2012

1. TABLA DE CONTENIDO ........................................................................................ IV

Tabla 1: Referentes Estratgicos de ABC LTDA. ...................................................... 15

Diagrama 2: Arquitectura datacenter ABC LTDA ........................................................... 24

18.1 Anexo 1: Descripcin Servidores ........................................................................... 52

APLICACION DE UN SISTEMA DE GESTIN DE VULNERABILIDADES PARA LA

INFRAESTRUCTURA INFORMATICA DE ABC LTDA.

2. PLANTEAMIENTO DEL PROBLEMA

2.1 ENUNCIADO DEL PROBLEMA

En un contexto en el cual las tecnologas de la informacin y la comunicacin se han

convertido en focos estratgicos para muchas organizaciones, se hace necesario

identificar las vulnerabilidades asociadas a la infraestructura informtica sobre la cual se

la gestin de TIC. No basta con instalar sistemas de deteccin y prevencin de intrusos

compuestos por hardware y software, sistemas de antivirus y firewalls, son respuestas

medidas que permitan implementar sistemas de gestin de vulnerabilidades que

ABC LTDA., es una empresa dedicada al desarrollo de software administrativo y

financiero y a la consultora financiera. Actualmente mantiene vnculos contractuales

que exigen confidencialidad, integridad y disponibilidad de la informacin gestionada en

estrategias de innovacin y actualizacin de su plataforma tecnolgica e incorporar

buenas prcticas para la gestin de la infraestructura informtica que contribuyan a dar

cumplimiento con las obligaciones contractuales contradas con sus clientes

2.2 FORMULACIN DEL PROBLEMA

ABC requiere un marco de trabajo que le permita la incorporacin de buenas prcticas

vulnerabilidades de la infraestructura informtica para contribuir en el cumplimiento de

sus compromisos contractuales.

3.1 OBJETIVO GENERAL

Aplicar un sistema de gestin de vulnerabilidades a la infraestructura informtica de

3.2 OBJETIVOS ESPECFICOS

Identificar los referentes estratgicos, procesos y procedimientos de ABC LTDA.

Identificar los riesgos a los que se enfrenta la infraestructura informtica de

Realizar un test de vulnerabilidades a la infraestructura informtica de ABC

Proponer un procedimiento y un plan de accin que permita a ABC LTDA. hacer

Este proyecto tiene como alcance:

La identificacin de los referentes estratgicos, procesos y procedimiento de la

empresa ABD LTDA.

La aplicacin de un sistema de gestin de vulnerabilidades a la infraestructura

debilidades en cuanto a la seguridad de la plataforma tecnolgica.

Mediante la utilizacin de la herramienta MSAT, se identificaran los riesgos a los

que se enfrenta la infraestructura informtica de ABD LTDA.

Finalmente se sugerir un procedimiento y un plan de accin que permita a la

empresa mitigar todas las vulnerabilidades y riesgos encontrados.

En un contexto tecnolgico y empresarial en el cual las organizaciones cuentan con

recursos de tecnologa para la gestin de la informacin y dichas herramientas se

hacen cada da ms fciles de adquirir, surgen aspectos inherentes a la gestin de las

organizaciones relacionados con el tratamiento de la informacin, proteccin de los