SlideShare una empresa de Scribd logo

Auditoría, Evaluación, Test de de seguridad (OSSTMM?)

Alejandro Corletti Estrada
Alejandro Corletti Estrada

Artículo que desarrolla los diferentes conceptos acerca de auditorios, test o evaluaciones de seguridad, proponiendo un enfoque Open Source, publicado por Alejandro Corletti Estrada

Internet
1 de 9
Descargar para leer sin conexión
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 1 Auditoría, Evaluación, Test de seguridad !!!! metodología abierta ¿OSSTMM....? (Por: Alejandro Corletti Estrada) Universidad Politécnica de Madrid acorletti@hotmail.com Madrid, noviembre de 2005. ABSTRACT La problemática actual de seguridad en la masa de las empresas tiene un trasfondo oculto que debe ser encarado por sus responsables, si se tuviera que resumir en pocas líneas se podría presentar como sigue: - Creciente nivel de vulnerabilidades y mayor grado de exposición de recursos. - Imposibilidad de contar con personal especializado y actualizado. - Dificultad para cuantificar su nivel de riesgo. Al solicitar apoyo de consultoría a empresas especializadas, es casi una norma general que le indiquen que el primer paso a seguir es la realización de una “auditoría de seguridad”........... A lo largo de este texto se tratará de establecer una relación entre: - Lo que el cliente verdaderamente necesita. - Cómo se puede clasificar lo que habitualmente se engloba bajo “Auditorías de seguridad”. - Si es posible respetar algún método que permita repetir esta tarea y obtener índices de evolución. La propuesta final, es el ejemplo que propone esta metodología abierta denominada OSSTMM (Open-Source Security Methodology Manual), la cual no se desea remarcar como mejor o peor que cualquier otra, sino simplemente como una guía gratuita a tomar como referencia ante la necesidad que suele tener todo responsable de sistemas al pedir este tipo de asesoramientos y/o contratarlos. Palabras clave: Auditoría y evaluación de seguridad, penetration test, OSSTMM.
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 2 DESARROLLO I. Lo que el cliente verdaderamente necesita. La hipótesis que se presenta trata de reflejar una problemática de seguridad que se encuentra en exponencial crecimiento y con una vorágine tal que no permite a los responsables de sistemas de las “pymes”, mantener personal al tanto de lo que sucede día a día. Es más, este hecho se podría considerar casi como asumido por esta línea de empresas, es decir, los gerentes de sistemas ya son plenamente conscientes que un alto nivel de capacitación en seguridad es una cuestión cara y cuya relación coste/beneficio, tiene un cierto límite marcado por el conocimiento básico de seguridad de sus administradores y un claro umbral, superado el cual (por situaciones puntuales o por periodicidad), se debe solicitar el apoyo externo. Este apoyo externo, cada vez más frecuente (por la simple relación coste/beneficio planteada), se podría englobar en dos grandes causas: - Problemas puntuales de seguridad: Cuando ocurren hechos que superan el conocimiento básico de sus administradores. - Periódicos: Cuando se ha llegado a una situación que hace necesaria una cierta evaluación de alguna plataforma, un nuevo servicio o una “Cuantificación del nivel de riesgo” Al solicitar este apoyo de consultoría a empresas especializadas, es casi una norma general que le indiquen que el primer paso a seguir es la realización de una auditoría de seguridad. Este consejo puede considerarse válido, pues es muy difícil poder evaluar o tomar cualquier acción con escaso conocimiento de la infraestructura que se posee, pero aquí es donde hay que detenerse seriamente para plantear lo que el cliente verdaderamente necesita y cómo llevarlo a cabo. El cliente necesita: - Soluciones. - Garantías. - Índices (o parámetros). ¡¡¡ Y NADA MÁS !!!, pues partimos de la hipótesis que no es un especialista en seguridad, y para eso confía en la empresa consultora. - Soluciones: El cliente es consciente que tiene un problema, es muy frecuente que no tenga claro de qué se trata o de dónde proviene, pero está seguro que lo tiene. Independientemente de todo el trabajo de análisis, detección y evaluación que se realice, el resultado final del mismo debe proporcionar descripciones muy claras de cómo solucionarlo, pues caso contrario, no tendría sentido la totalidad del trabajo. Este punto es de vital interés, pues es difícil para el experto, bajar al nivel de alguien que no tiene por qué tener idea de seguridad y explicarle con todas las letras los pasos que debe seguir para solucionar el mismo. ...............y en ese orden.........
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 3 - Garantías: Todo el trabajo que se realice debe culminar ofreciendo dos tipos de garantías: • Que se ha detectado la masa de los problemas de seguridad: Este aspecto no es trivial, pues acorde al tipo de trabajo que se realice y al tiempo dedicado, se podrá profundizar más o menos. Lo que no se puede dudar, es que durante el proceso de contratación, hay que hablar claro y dejar constancia de hasta dónde llegará el trabajo a realizar, pues no se puede aducir al finalizar esta actividad que determinadas actividades no se han realizado, o peor aún, dejar dudas sobre el nivel de seguridad de su infraestructura, pues esa parte no se había contratado, etc... • Que al aplicar las soluciones recomendadas, el nivel de riesgo se reduce a los índices deseados, o mejor aún, que lo que se propone es “la mejor solución” a sus problemas, pues es lo que recomiendan los especialistas del tema. En definitiva, con garantías se quiere expresar que luego de la actividad que se realice, el cliente puede encarar las soluciones recomendadas, confiado en que es su mejor opción y que al aplicar las mismas, su nivel de riesgo ha mejorado sensiblemente. NOTA: Una excusa “Omnipresente” y bastante desagradable para evadir garantías (aunque lamentablemente no deja de ser cierta), es que surgen nuevas vulnerabilidades día a día, por lo tanto una vez finalizada toda actividad, “No se puede garantizar la seguridad absoluta aplicando las soluciones propuestas”, pues mañana habrá algo nuevo que afecte a la infraestructura......Que pena......(Confianza, seriedad, sinceridad.......etc, etc, etc) - Índices (o parámetros): Desde mi enfoque personal, creo que uno de los problemas más grandes que tiene un gerente de sistemas es “Cuantificar la seguridad”, pues como todos pueden apreciar es un “bien intangible”. SE DEBE HACER TODO ESFUERZO POSIBLE PARA PONERLE NÚMEROS a la misma. Ya hay varias estrategias a seguir al respecto y en Internet se puede encontrar mucho de esto (ESPACIO PARA PUBLICIDAD: Recomiendo que miren un método que he propuesto hace tiempo que lo denominé “Matriz de Estado de Seguridad”, está publicado en varias web. Su objetivo es aplicar todos los indicadores objetivos posibles, dejando de lado la subjetividad). El no contar con índices o parámetros, ocasiona dos grandes perjuicios: • Desconocimiento del grado de seguridad y de la evolución del mismo, no pudiendo plantear objetivos o umbrales a cumplir (¡¡muy negativo!!). • Imposibilidad de demostrar el ROI en temas de seguridad ante la dirección de la empresa (¡¡¡Catastrófico!!!). Un trabajo de auditoría externa es la mejor oportunidad para cuantificar el nivel de seguridad, pues todo especialista en el tema posee la “expertiz” necesaria para jugar con ellos, promediando valores. Los parámetros más importantes a considerar son: • Criticidad: Este parámetro refleja el daño que puede causar a ese sistema la explotación de esa vulnerabilidad por quien no debe. • Impacto: Independientemente de la criticidad de una vulnerabilidad encontrada, esta puede causar daño a sistemas que son el sustento de la empresa, que mantienen datos de alta
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 4 clasificación (LOPD), o una fuerte pérdida de imagen de empresa, etc. O por el contrario, puede ser Crítica para ese servicio, pero el mismo no cobra mayor interés para el buen funcionamiento de la empresa. • Visibilidad: Este indicador puede servir como multiplicador de los anteriores, pues no posee el mismo riesgo un servidor de Internet “Front End”, que uno interno de la empresa con accesos restringidos. • Popularidad: Este parámetro, si bien puede ser muy discutido, permite indicar el grado de “visitas, conexiones o sesiones” que posee un sistema. El empleo o no de este indicador permite considerar, que si existiere una vulnerabilidad sobre el mismo, se puede suponer que tiene mayo grado de “exposición” que el resto. Se admite aquí que puede ser valorado o no. • Magnitud: Cuántos sistemas afecta. Este parámetro es muy interesante tenerlo en cuenta por niveles, es decir una misma plataforma puede estar conformada por varios sistemas, pero también existen sistemas que forman parte de varias plataformas, que permiten el paso hacia ellas, que autentican, que filtran, que monitorizan, etc. Es decir, hay plataformas cuya magnitud “Directa” es muy clara y dependen únicamente de ellas, pero hay otras que para su funcionamiento necesitan la participación de otros elementos. En concreto, una cadena se corta por el eslabón más débil, por lo tanto, si no se considera la magnitud de una infraestructura, y se solucionan o evalúan únicamente los aspectos puntuales de cada host, el resultado no es el óptimo. • Facilidad de explotación: Una determinada vulnerabilidad, puede presentar desde la ejecución de una simple herramienta pública en Internet y desde allí mismo, hasta una elaborada técnica de intrusión, que conlleva amplios conocimientos y pasos por parte del ejecutante. En este valor entra también en juego el grado de visibilidad del sistema, el grado de segmentación interna, la autenticación, el control de accesos, etc. • Facilidad o coste de solución: Este valor es muy subjetivo y debe ser evaluado con mucho cuidado pues es el punto de partida para planificar las soluciones. Se presentan aquí muchas combinaciones y a mi juicio es el parámetro que determina la “Expertiz” de una auditor, pues si realmente sabe, será capaz de interpretar con mayor claridad la problemática del cliente y proponerle un plan de acción “realista y eficiente” para los recursos del cliente. Se debe tener en cuenta aquí no solo la simple recomendación, sino como cada una de ellas puede o no ser aplicada (pues habrá aplicaciones o servicios que no lo permitan), puede involucrar a muchos dispositivos más, puede ocasionar actualizaciones de hardware y software, rediseños, caídas de sistemas, etc.... • Tiempo de solución: Es un parámetro muy relacionado con el anterior, y nuevamente dependerá de la “Expertiz” del auditor y de sus ganas de involucrarse con el cliente para tener en cuenta todos sus sistemas. Una de las mayores satisfacciones para el auditor (lo digo por experiencia propia) es poder entregarle al cliente un cronograma de cómo emprender las soluciones, con todo el nivel de detalle posible (Gant, hitos, valores a alcanzar mes a mes, recursos, prioridades, objetivos, etc), si se llega a esto es porque el auditor, se ha involucrado en tal medida con la empresa, que conoce hasta el último detalle a considerar para poder estimar este “Project”. Esto para el cliente es lo máximo que puede desear, pues le permite organizar su
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 5 plan de acción, presentarlo a la dirección de la empresa y acorde a los recursos que obtenga, definirá su estrategia al corto/medio plazo, para cumplir las acciones aceptadas. Se debe considerar también que es la mejor forma que posee la dirección de realizar el seguimiento del dinero que invirtió, pues los hitos serán todo lo claros que hagan falta. Este aspecto sin lugar a dudas, si se hacen bien las cosas, incrementará la confianza y los fondos que la gerencia informática tendrá para el próximo ejercicio. Por último, relacionado a las métricas de seguridad, es muy interesante la lectura del modelo que propone NIST a través del documento “Security Metrics Guide for Information Technology Systems”, el mismo desarrolla una métrica de seguridad basada en el alcance de objetivos y metas, lo que se plasma en resultados, de forma muy precisa. El mismo puede ser descargado en: http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf II. Cómo se puede clasificar lo que habitualmente se engloba bajo “Auditorías de seguridad”. Para tratar de diferenciar bien las opciones que se puede tener en cuenta a la hora de solicitar este tipo de actividades, se deben considerar al menos tres grandes grupos: - Penetration Test: Se trata de una actividad con objetivo específico y acotado empleando técnicas de hacking y en general aplicando metodologías de “Caja Negra” (Sin ningún tipo de información, mas allá de la que puede contar cualquier individuo ajeno a la empresa) Según la definición de OSSTMM: Test de seguridad con un objetivo definido que finaliza cuando el objetivo es alcanzado o el tiempo ha terminado. - Diagnóstico o evaluación de Seguridad: Comprende una actividad más amplia, en general tanto desde fuera como desde dentro de la empresa, siempre relacionado a actividades eminentemente técnicas, y puede realizar por medio de “Caja Negra o Blanca” (con total conocimiento de la información de la empresa) Según la definición de OSSTMM: Una visión general de la presencia de seguridad para una estimación de tiempo y horas hombre. - Auditoría de seguridad: Comprende a lo anterior y también una visión más amplia en cuanto a planes y políticas de seguridad, revisión de normativas, aplicación de LOPD, procedimientos, planos, inventarios, audiencias, etc. Es decir involucra la visión más amplia a considerar, sin dejar ningún aspecto librado al azar. Según la definición de OSSTMM: Inspección manual con privilegios de acceso del sistema operativo y de los programas de aplicación de un sistema. En los Estados Unidos y Canadá, “Auditor” representa un vocablo y una profesión oficiales, solamente utilizado por profesionales autorizados. Sin embargo, en otros países, una “auditoría de seguridad” es un término de uso corriente que hace referencia a Test de Intrusión o test de seguridad.
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 6 Para completar un poco el enfoque que ISECOM (Institute for Security and Open Methodologies), entidad responsable del proyecto OSSTMM, ofrece sobre estas clasificaciones se presenta a continuación una gráfica que simboliza con mayor detalle las actividades que pueden ser llevadas a cabo (La misma se presenta textualmente figura en sus manuales): ISECOM aplica los siguientes términos a los diferentes tipos de sistemas y de testeos de seguridad de redes, basados en tiempo y costo para el Testeo de Seguridad de Internet: 1. Búsqueda de Vulnerabilidades: se refiere generalmente a las comprobaciones automáticas de un sistema o sistemas dentro de una red. 2. Escaneo de la Seguridad: se refiere en general a las búsquedas de vulnerabilidades que incluyen verificaciones manuales de falsos positivos, identificación de los puntos débiles de la red y análisis profesional individualizado. 3. Test de Intrusión: se refiere en general a los proyectos orientados a objetivos en los cuales dicho objetivo es obtener un trofeo, que incluye ganar acceso privilegiado con medios pre-condicionales. 4. Evaluación de Riesgo: se refiere a los análisis de seguridad a través de entrevistas e investigación de nivel medio que incluye la justificación negocios, las justificaciones legales y las justificaciones específicas de la industria. 5. Auditoría de Seguridad: hace referencia a la inspección manual con privilegios administrativos del sistema operativo y de los programas de aplicación del sistema o sistemas dentro de una red o redes.
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 7 6. Hacking Ético: se refiere generalmente a los tests de intrusión en los cuales el objetivo es obtener trofeos en la red dentro del tiempo predeterminado de duración del proyecto. 7. Test de Seguridad y su equivalente militar, Evaluación de Postura, es una evaluación de riesgo con orientación de proyecto de los sistemas y redes, a través de la aplicación de análisis profesional mediante escaneos de seguridad donde la intrusión se usa generalmente para confirmar los falsos positivos y los falsos negativos dentro del tiempo permitido de duración del proyecto. III. ¿Es posible respetar algún método que permita repetir esta tarea y obtener índices de evolución? En este punto es donde se plantea a título de guía lo que propone OSSTMM. Se reitera, no porque sea mejor o peor que cualquier otra que pueda emplear una empresa consultora, sino simplemente por ser una referencia gratuita y sobre todo porque tiene su punto de partida en respetar la mayoría de los estándares, tal cual lo expresa en sus primeras páginas, estando en plena conformidad con los mismos (ISO-17799 o BS-7799, GAO y FISCAM, NIST,CVE de Mitre, etc.). Resumidamente, esta metodología propone un proceso de evaluación de una serie de áreas que reflejan los niveles de seguridad que posee la infraestructura a auditar, a estos los denominará “Dimensiones de seguridad”, y consisten en el análisis de lo siguiente: • Visibilidad. • Acceso. • Confianza. • Autenticación. • No repudio. • Confidencialidad. • Privacidad. • Autorización. • Integridad. • Seguridad. • Alarma. Para un trabajo metódico y secuencial, describe seis secciones que abarcan el conjunto de los elementos que componen todo sistema actual, ellas son: 1 Seguridad de la Información 2 Seguridad de los Procesos 3 Seguridad en las tecnologías de Internet 4 Seguridad en las Comunicaciones 5 Seguridad Inalámbrica
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 8 6 Seguridad Física En cada sección se especifican una serie de módulos a ser evaluados, teniendo en cuenta si aplica o no cada uno de ellos a la infraestructura en cuestión, el resultado de la observación de todos ellos es lo que permitirá “pintar” el mapa de seguridad. Otro aspecto que trata con bastante detalle es la Evaluación de riesgo, teniendo en cuenta que dentro de cada módulo se encuentran los valores adecuados (RAVs) para obtener las métricas finales, lo cual como se recalcó en este texto es uno de los principios que debe tener en cuenta todo auditor si es consciente de las necesidades del cliente. Al final de este manual, se ofrece el formato de todas las plantillas que pueden ser necesarias durante la auditoría, muchas de las cuales pueden no ser cumplimentadas en virtud de que no apliquen al sistema en cuestión, pero lo verdaderamente importante es que las que SI apliquen, proporcionan un verdadero estándar abierto, para que cuando sea necesario repetir cualquier aspecto de este trabajo se posea una Referencia clara, para que cualquier otra persona pueda evaluar y tomar como punto de partida de un nuevo análisis, el cual si respeta estos formatos será un claro índice de evolución en ese aspecto. Este tipo de acciones y sobre todo cuando son abiertas, es una de las cosas que más valoro en todo sistema informático, pues le dejan total libertad de acción a su verdadero dueño (el cliente), para tomar la decisión que más le guste a futuro, sin ningún tipo de compromiso u obligatoriedad de caer nuevamente en manos de la empresa anterior, la cual si fue de su agrado podrá hacerlo y sino no. (Bendito software libre!!!!). Por último presenta la Licencia de Metodología Abierta (OML), cuyas líneas introductorias deseo expresarlas textualmente: PREÁMBULO “Una metodología es una herramienta que detalla QUIÉN, QUÉ, CUÁL Y CUÁNDO. Una metodología es capital intelectual y está a menudo enérgicamente protegido por instituciones comerciales. Las metodologías abiertas son actividades comunitarias que transforman todas las ideas en un solo documento de propiedad intelectual que está disponible sin cargo para cualquier individuo. Con respecto a la GNU General Public License (GPL), esta licencia es similar con la excepción del derecho de los desarrolladores de software a incluir las metodologías abiertas que están bajo esta licencia en los programas comerciales. Esto hace que esta licencia sea incompatible con la licencia GLP. La principal preocupación de los desarrolladores de metodologías abiertas que esta licencia tiene en cuenta, es que ellos recibirán el debido reconocimiento por su contribución y desarrollo, así como también el reservarse el derecho de permitir las publicaciones y distribuciones gratuitas cuando las metodologías abiertas no sean utilizadas en material comercial impreso del cual las ganancias se deriven ya sea de su publicación o distribución.
Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 9 Como se pudo apreciar, esta última parte del trabajo no trata de ser un desarrollo de la metodología OSSTMM ni mucho menos, por eso justamente es que no la compara tampoco con otras, simplemente trata de remarcar que es posible aplicar técnicas o metodologías estándar, que permitan con total transparencia, mostrar resultados y dejar libertad de acción al cliente. Y este aspecto, remarco una vez más, se debe tener en cuenta como uno de los más importantes en TI para los tiempos que se avienen, pues ya no existe ninguna excusa sincera u honesta que de pie a dejar aferrado en algo a nadie cuando se trate de seguridad informática. La mejor y más sana solución que se debe ofrecer hoy en día a todo cliente, es justamente proporcionar un servicio y aferrar al mismo por el nivel de excelencia y no por otros nebulosos métodos, dejándole con absoluta sinceridad todas las herramientas que necesite para que pueda optar por quien lo desee, pero en virtud de la calidad con que se han hecho las cosas y el grado de satisfacción, no le quepan dudas si tiene que volver a levantar el teléfono pidiendo apoyo. Independientemente de este nivel de excelencia, este tipo de metodologías estándar, lo que permiten es repetir la experiencia con la magnitud y la cantidad de veces que se desee, pudiendo en cada una de ellas evaluar el desvío que el sistema esta sufriendo, de forma totalmente numérica y objetiva.

Recomendados

Informe 1
Informe 1Informe 1
Informe 1Carlos Carhuaz
 
Búsqueda y rescate en incendios
Búsqueda y rescate en incendiosBúsqueda y rescate en incendios
Búsqueda y rescate en incendiosCésar Jefferson Aquino Maximiliano
 
Fundamentos de la programacion (Luis Joyanes) 3era Edicion
Fundamentos de la programacion (Luis Joyanes) 3era EdicionFundamentos de la programacion (Luis Joyanes) 3era Edicion
Fundamentos de la programacion (Luis Joyanes) 3era EdicionDeveloper Software
 
Guía coe
Guía coeGuía coe
Guía coeSALOMÉ PALOMINO YABAR
 
PPT SIMULACROS 31 MAYO 2023.pptx
PPT SIMULACROS 31 MAYO 2023.pptxPPT SIMULACROS 31 MAYO 2023.pptx
PPT SIMULACROS 31 MAYO 2023.pptxDeivis61
 
Plan de contingencia
Plan de contingenciaPlan de contingencia
Plan de contingenciaDavid Herrero
 
03 matriz ram ejemplos
03 matriz ram ejemplos03 matriz ram ejemplos
03 matriz ram ejemplososcarreyesnova
 
Iso 27001 e iso 27004
Iso 27001 e iso 27004Iso 27001 e iso 27004
Iso 27001 e iso 27004Alejandro Corletti Estrada
 

Recomendados

Informe 1
Informe 1Informe 1
Informe 1Carlos Carhuaz
 
Búsqueda y rescate en incendios
Búsqueda y rescate en incendiosBúsqueda y rescate en incendios
Búsqueda y rescate en incendiosCésar Jefferson Aquino Maximiliano
 
Fundamentos de la programacion (Luis Joyanes) 3era Edicion
Fundamentos de la programacion (Luis Joyanes) 3era EdicionFundamentos de la programacion (Luis Joyanes) 3era Edicion
Fundamentos de la programacion (Luis Joyanes) 3era EdicionDeveloper Software
 
Guía coe
Guía coeGuía coe
Guía coeSALOMÉ PALOMINO YABAR
 
PPT SIMULACROS 31 MAYO 2023.pptx
PPT SIMULACROS 31 MAYO 2023.pptxPPT SIMULACROS 31 MAYO 2023.pptx
PPT SIMULACROS 31 MAYO 2023.pptxDeivis61
 
Plan de contingencia
Plan de contingenciaPlan de contingencia
Plan de contingenciaDavid Herrero
 
03 matriz ram ejemplos
03 matriz ram ejemplos03 matriz ram ejemplos
03 matriz ram ejemplososcarreyesnova
 
Iso 27001 e iso 27004
Iso 27001 e iso 27004Iso 27001 e iso 27004
Iso 27001 e iso 27004Alejandro Corletti Estrada
 
Analisis iso 27001
Analisis iso 27001Analisis iso 27001
Analisis iso 27001Alejandro Corletti Estrada
 
Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de SeguridadAlejandro Corletti Estrada
 
Iso 27001 los controles parte II
Iso 27001 los controles parte IIIso 27001 los controles parte II
Iso 27001 los controles parte IIAlejandro Corletti Estrada
 
Iso 27001 y las PyMEs
Iso 27001 y las PyMEsIso 27001 y las PyMEs
Iso 27001 y las PyMEsAlejandro Corletti Estrada
 
IPv6 (parte_01)-componentes
IPv6 (parte_01)-componentesIPv6 (parte_01)-componentes
IPv6 (parte_01)-componentesAlejandro Corletti Estrada
 
Iso 27001 los controles parte I
Iso 27001 los controles parte IIso 27001 los controles parte I
Iso 27001 los controles parte IAlejandro Corletti Estrada
 
Metodologia nessus snort
Metodologia nessus snortMetodologia nessus snort
Metodologia nessus snortAlejandro Corletti Estrada
 
En seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van goghEn seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van goghAlejandro Corletti Estrada
 
IPv6 (parte_02)-direcciones
IPv6 (parte_02)-direccionesIPv6 (parte_02)-direcciones
IPv6 (parte_02)-direccionesAlejandro Corletti Estrada
 
Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)Alejandro Corletti Estrada
 
Matriz de estado de seguridad
Matriz de estado de seguridadMatriz de estado de seguridad
Matriz de estado de seguridadAlejandro Corletti Estrada
 
Sentencia de muerte a los firewall
Sentencia de muerte a los firewallSentencia de muerte a los firewall
Sentencia de muerte a los firewallAlejandro Corletti Estrada
 
Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Alejandro Corletti Estrada
 
Nivel de Inmadurez de los nids
Nivel de Inmadurez de los nidsNivel de Inmadurez de los nids
Nivel de Inmadurez de los nidsAlejandro Corletti Estrada
 
Seguridad WiFi (técnico)
Seguridad WiFi (técnico)Seguridad WiFi (técnico)
Seguridad WiFi (técnico)Alejandro Corletti Estrada
 
IPv6 (parte_03)-encabezado
IPv6 (parte_03)-encabezadoIPv6 (parte_03)-encabezado
IPv6 (parte_03)-encabezadoAlejandro Corletti Estrada
 
Libro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / MilitarLibro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / MilitarAlejandro Corletti Estrada
 
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-esxavazquez
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaNathy Ahdz
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaNathy Ahdz
 
Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Maestros Online
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 

Más contenido relacionado

Destacado

En seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van goghEn seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van goghAlejandro Corletti Estrada
 
Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Alejandro Corletti Estrada
 
Libro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / MilitarLibro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / MilitarAlejandro Corletti Estrada
 

Destacado (17)

Analisis iso 27001
Analisis iso 27001Analisis iso 27001
Analisis iso 27001
 
Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de Seguridad
 
Iso 27001 los controles parte II
Iso 27001 los controles parte IIIso 27001 los controles parte II
Iso 27001 los controles parte II
 
Iso 27001 y las PyMEs
Iso 27001 y las PyMEsIso 27001 y las PyMEs
Iso 27001 y las PyMEs
 
IPv6 (parte_01)-componentes
IPv6 (parte_01)-componentesIPv6 (parte_01)-componentes
IPv6 (parte_01)-componentes
 
Iso 27001 los controles parte I
Iso 27001 los controles parte IIso 27001 los controles parte I
Iso 27001 los controles parte I
 
Metodologia nessus snort
Metodologia nessus snortMetodologia nessus snort
Metodologia nessus snort
 
En seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van goghEn seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van gogh
 
IPv6 (parte_02)-direcciones
IPv6 (parte_02)-direccionesIPv6 (parte_02)-direcciones
IPv6 (parte_02)-direcciones
 
Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)
 
Matriz de estado de seguridad
Matriz de estado de seguridadMatriz de estado de seguridad
Matriz de estado de seguridad
 
Sentencia de muerte a los firewall
Sentencia de muerte a los firewallSentencia de muerte a los firewall
Sentencia de muerte a los firewall
 
Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001
 
Nivel de Inmadurez de los nids
Nivel de Inmadurez de los nidsNivel de Inmadurez de los nids
Nivel de Inmadurez de los nids
 
Seguridad WiFi (técnico)
Seguridad WiFi (técnico)Seguridad WiFi (técnico)
Seguridad WiFi (técnico)
 
IPv6 (parte_03)-encabezado
IPv6 (parte_03)-encabezadoIPv6 (parte_03)-encabezado
IPv6 (parte_03)-encabezado
 
Libro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / MilitarLibro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / Militar
 

Similar a Auditoría, Evaluación, Test de de seguridad (OSSTMM?)

207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-esxavazquez
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaNathy Ahdz
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaNathy Ahdz
 
Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Maestros Online
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Seguridad informatica 2013
Seguridad informatica 2013Seguridad informatica 2013
Seguridad informatica 2013Maestros Online
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Maestros en Linea MX
 
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAngel Reyes
 
42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticaciónAprende Viendo
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareAnel Sosa
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosjoselucho_89
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasStéfano Morán Noboa
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
Como puede medirse la seguridad
Como puede medirse la seguridadComo puede medirse la seguridad
Como puede medirse la seguridadMario Cano Herrera
 

Similar a Auditoría, Evaluación, Test de de seguridad (OSSTMM?) (20)

207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistema
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistema
 
Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Seguridad informatica 2013
Seguridad informatica 2013Seguridad informatica 2013
Seguridad informatica 2013
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012
 
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de software
 
42 seguridad y autenticación
42 seguridad y autenticación42 seguridad y autenticación
42 seguridad y autenticación
 
Seguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del softwareSeguridad en el ciclo de desarrollo del software
Seguridad en el ciclo de desarrollo del software
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemas
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionales
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
 
Material riesgos adoc
Material riesgos adocMaterial riesgos adoc
Material riesgos adoc
 
Como puede medirse la seguridad
Como puede medirse la seguridadComo puede medirse la seguridad
Como puede medirse la seguridad
 
Seguridad informatica 2013
Seguridad informatica 2013Seguridad informatica 2013
Seguridad informatica 2013
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-Auditoría
 

Último

FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfFLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfYuriFuentesMartinez2
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfOscarBlas6
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsxactividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx241532171
 
Producto académico 03 - Habilidades Comunicativas.pptx
Producto académico 03 - Habilidades Comunicativas.pptxProducto académico 03 - Habilidades Comunicativas.pptx
Producto académico 03 - Habilidades Comunicativas.pptx46828205
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptxCamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptx241518192
 
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxrodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxssuser61dda7
 
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptxPRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptxRodriguezLucero
 
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAFisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAcoloncopias5
 
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDGRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDLeslie Villar
 
Tema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxTema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxchinojosa17
 
libro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdflibro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdfFAUSTODANILOCRUZCAST
 
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdfFernandaHernandez312615
 
3Mayo2023 Taller construcción de Prototipos.pptx
3Mayo2023 Taller construcción de Prototipos.pptx3Mayo2023 Taller construcción de Prototipos.pptx
3Mayo2023 Taller construcción de Prototipos.pptxadso2024sena
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.ayalayenifer617
 
GRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxGRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxNicolas Villarroel
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 

Último (19)

FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfFLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
 
COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdf
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsxactividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
actividad.06_crea_un_recurso_multimedia_M01_S03_M01.ppsx
 
Producto académico 03 - Habilidades Comunicativas.pptx
Producto académico 03 - Habilidades Comunicativas.pptxProducto académico 03 - Habilidades Comunicativas.pptx
Producto académico 03 - Habilidades Comunicativas.pptx
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptxCamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
 
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxrodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
 
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptxPRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
PRIMARIA 1. RESUELVE PROBLEMAS DE FORMA MOVIMIENTO Y LOCALIZACIÓN 2 (2).pptx
 
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAFisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
 
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDGRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
 
Tema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxTema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptx
 
libro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdflibro de Ciencias Sociales_6to grado.pdf
libro de Ciencias Sociales_6to grado.pdf
 
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
 
3Mayo2023 Taller construcción de Prototipos.pptx
3Mayo2023 Taller construcción de Prototipos.pptx3Mayo2023 Taller construcción de Prototipos.pptx
3Mayo2023 Taller construcción de Prototipos.pptx
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.
 
GRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxGRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptx
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 

Auditoría, Evaluación, Test de de seguridad (OSSTMM?)

  • 1. Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 1 Auditoría, Evaluación, Test de seguridad !!!! metodología abierta ¿OSSTMM....? (Por: Alejandro Corletti Estrada) Universidad Politécnica de Madrid acorletti@hotmail.com Madrid, noviembre de 2005. ABSTRACT La problemática actual de seguridad en la masa de las empresas tiene un trasfondo oculto que debe ser encarado por sus responsables, si se tuviera que resumir en pocas líneas se podría presentar como sigue: - Creciente nivel de vulnerabilidades y mayor grado de exposición de recursos. - Imposibilidad de contar con personal especializado y actualizado. - Dificultad para cuantificar su nivel de riesgo. Al solicitar apoyo de consultoría a empresas especializadas, es casi una norma general que le indiquen que el primer paso a seguir es la realización de una “auditoría de seguridad”........... A lo largo de este texto se tratará de establecer una relación entre: - Lo que el cliente verdaderamente necesita. - Cómo se puede clasificar lo que habitualmente se engloba bajo “Auditorías de seguridad”. - Si es posible respetar algún método que permita repetir esta tarea y obtener índices de evolución. La propuesta final, es el ejemplo que propone esta metodología abierta denominada OSSTMM (Open-Source Security Methodology Manual), la cual no se desea remarcar como mejor o peor que cualquier otra, sino simplemente como una guía gratuita a tomar como referencia ante la necesidad que suele tener todo responsable de sistemas al pedir este tipo de asesoramientos y/o contratarlos. Palabras clave: Auditoría y evaluación de seguridad, penetration test, OSSTMM.
  • 2. Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 2 DESARROLLO I. Lo que el cliente verdaderamente necesita. La hipótesis que se presenta trata de reflejar una problemática de seguridad que se encuentra en exponencial crecimiento y con una vorágine tal que no permite a los responsables de sistemas de las “pymes”, mantener personal al tanto de lo que sucede día a día. Es más, este hecho se podría considerar casi como asumido por esta línea de empresas, es decir, los gerentes de sistemas ya son plenamente conscientes que un alto nivel de capacitación en seguridad es una cuestión cara y cuya relación coste/beneficio, tiene un cierto límite marcado por el conocimiento básico de seguridad de sus administradores y un claro umbral, superado el cual (por situaciones puntuales o por periodicidad), se debe solicitar el apoyo externo. Este apoyo externo, cada vez más frecuente (por la simple relación coste/beneficio planteada), se podría englobar en dos grandes causas: - Problemas puntuales de seguridad: Cuando ocurren hechos que superan el conocimiento básico de sus administradores. - Periódicos: Cuando se ha llegado a una situación que hace necesaria una cierta evaluación de alguna plataforma, un nuevo servicio o una “Cuantificación del nivel de riesgo” Al solicitar este apoyo de consultoría a empresas especializadas, es casi una norma general que le indiquen que el primer paso a seguir es la realización de una auditoría de seguridad. Este consejo puede considerarse válido, pues es muy difícil poder evaluar o tomar cualquier acción con escaso conocimiento de la infraestructura que se posee, pero aquí es donde hay que detenerse seriamente para plantear lo que el cliente verdaderamente necesita y cómo llevarlo a cabo. El cliente necesita: - Soluciones. - Garantías. - Índices (o parámetros). ¡¡¡ Y NADA MÁS !!!, pues partimos de la hipótesis que no es un especialista en seguridad, y para eso confía en la empresa consultora. - Soluciones: El cliente es consciente que tiene un problema, es muy frecuente que no tenga claro de qué se trata o de dónde proviene, pero está seguro que lo tiene. Independientemente de todo el trabajo de análisis, detección y evaluación que se realice, el resultado final del mismo debe proporcionar descripciones muy claras de cómo solucionarlo, pues caso contrario, no tendría sentido la totalidad del trabajo. Este punto es de vital interés, pues es difícil para el experto, bajar al nivel de alguien que no tiene por qué tener idea de seguridad y explicarle con todas las letras los pasos que debe seguir para solucionar el mismo. ...............y en ese orden.........
  • 3. Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 3 - Garantías: Todo el trabajo que se realice debe culminar ofreciendo dos tipos de garantías: • Que se ha detectado la masa de los problemas de seguridad: Este aspecto no es trivial, pues acorde al tipo de trabajo que se realice y al tiempo dedicado, se podrá profundizar más o menos. Lo que no se puede dudar, es que durante el proceso de contratación, hay que hablar claro y dejar constancia de hasta dónde llegará el trabajo a realizar, pues no se puede aducir al finalizar esta actividad que determinadas actividades no se han realizado, o peor aún, dejar dudas sobre el nivel de seguridad de su infraestructura, pues esa parte no se había contratado, etc... • Que al aplicar las soluciones recomendadas, el nivel de riesgo se reduce a los índices deseados, o mejor aún, que lo que se propone es “la mejor solución” a sus problemas, pues es lo que recomiendan los especialistas del tema. En definitiva, con garantías se quiere expresar que luego de la actividad que se realice, el cliente puede encarar las soluciones recomendadas, confiado en que es su mejor opción y que al aplicar las mismas, su nivel de riesgo ha mejorado sensiblemente. NOTA: Una excusa “Omnipresente” y bastante desagradable para evadir garantías (aunque lamentablemente no deja de ser cierta), es que surgen nuevas vulnerabilidades día a día, por lo tanto una vez finalizada toda actividad, “No se puede garantizar la seguridad absoluta aplicando las soluciones propuestas”, pues mañana habrá algo nuevo que afecte a la infraestructura......Que pena......(Confianza, seriedad, sinceridad.......etc, etc, etc) - Índices (o parámetros): Desde mi enfoque personal, creo que uno de los problemas más grandes que tiene un gerente de sistemas es “Cuantificar la seguridad”, pues como todos pueden apreciar es un “bien intangible”. SE DEBE HACER TODO ESFUERZO POSIBLE PARA PONERLE NÚMEROS a la misma. Ya hay varias estrategias a seguir al respecto y en Internet se puede encontrar mucho de esto (ESPACIO PARA PUBLICIDAD: Recomiendo que miren un método que he propuesto hace tiempo que lo denominé “Matriz de Estado de Seguridad”, está publicado en varias web. Su objetivo es aplicar todos los indicadores objetivos posibles, dejando de lado la subjetividad). El no contar con índices o parámetros, ocasiona dos grandes perjuicios: • Desconocimiento del grado de seguridad y de la evolución del mismo, no pudiendo plantear objetivos o umbrales a cumplir (¡¡muy negativo!!). • Imposibilidad de demostrar el ROI en temas de seguridad ante la dirección de la empresa (¡¡¡Catastrófico!!!). Un trabajo de auditoría externa es la mejor oportunidad para cuantificar el nivel de seguridad, pues todo especialista en el tema posee la “expertiz” necesaria para jugar con ellos, promediando valores. Los parámetros más importantes a considerar son: • Criticidad: Este parámetro refleja el daño que puede causar a ese sistema la explotación de esa vulnerabilidad por quien no debe. • Impacto: Independientemente de la criticidad de una vulnerabilidad encontrada, esta puede causar daño a sistemas que son el sustento de la empresa, que mantienen datos de alta
  • 4. Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 4 clasificación (LOPD), o una fuerte pérdida de imagen de empresa, etc. O por el contrario, puede ser Crítica para ese servicio, pero el mismo no cobra mayor interés para el buen funcionamiento de la empresa. • Visibilidad: Este indicador puede servir como multiplicador de los anteriores, pues no posee el mismo riesgo un servidor de Internet “Front End”, que uno interno de la empresa con accesos restringidos. • Popularidad: Este parámetro, si bien puede ser muy discutido, permite indicar el grado de “visitas, conexiones o sesiones” que posee un sistema. El empleo o no de este indicador permite considerar, que si existiere una vulnerabilidad sobre el mismo, se puede suponer que tiene mayo grado de “exposición” que el resto. Se admite aquí que puede ser valorado o no. • Magnitud: Cuántos sistemas afecta. Este parámetro es muy interesante tenerlo en cuenta por niveles, es decir una misma plataforma puede estar conformada por varios sistemas, pero también existen sistemas que forman parte de varias plataformas, que permiten el paso hacia ellas, que autentican, que filtran, que monitorizan, etc. Es decir, hay plataformas cuya magnitud “Directa” es muy clara y dependen únicamente de ellas, pero hay otras que para su funcionamiento necesitan la participación de otros elementos. En concreto, una cadena se corta por el eslabón más débil, por lo tanto, si no se considera la magnitud de una infraestructura, y se solucionan o evalúan únicamente los aspectos puntuales de cada host, el resultado no es el óptimo. • Facilidad de explotación: Una determinada vulnerabilidad, puede presentar desde la ejecución de una simple herramienta pública en Internet y desde allí mismo, hasta una elaborada técnica de intrusión, que conlleva amplios conocimientos y pasos por parte del ejecutante. En este valor entra también en juego el grado de visibilidad del sistema, el grado de segmentación interna, la autenticación, el control de accesos, etc. • Facilidad o coste de solución: Este valor es muy subjetivo y debe ser evaluado con mucho cuidado pues es el punto de partida para planificar las soluciones. Se presentan aquí muchas combinaciones y a mi juicio es el parámetro que determina la “Expertiz” de una auditor, pues si realmente sabe, será capaz de interpretar con mayor claridad la problemática del cliente y proponerle un plan de acción “realista y eficiente” para los recursos del cliente. Se debe tener en cuenta aquí no solo la simple recomendación, sino como cada una de ellas puede o no ser aplicada (pues habrá aplicaciones o servicios que no lo permitan), puede involucrar a muchos dispositivos más, puede ocasionar actualizaciones de hardware y software, rediseños, caídas de sistemas, etc.... • Tiempo de solución: Es un parámetro muy relacionado con el anterior, y nuevamente dependerá de la “Expertiz” del auditor y de sus ganas de involucrarse con el cliente para tener en cuenta todos sus sistemas. Una de las mayores satisfacciones para el auditor (lo digo por experiencia propia) es poder entregarle al cliente un cronograma de cómo emprender las soluciones, con todo el nivel de detalle posible (Gant, hitos, valores a alcanzar mes a mes, recursos, prioridades, objetivos, etc), si se llega a esto es porque el auditor, se ha involucrado en tal medida con la empresa, que conoce hasta el último detalle a considerar para poder estimar este “Project”. Esto para el cliente es lo máximo que puede desear, pues le permite organizar su
  • 5. Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 5 plan de acción, presentarlo a la dirección de la empresa y acorde a los recursos que obtenga, definirá su estrategia al corto/medio plazo, para cumplir las acciones aceptadas. Se debe considerar también que es la mejor forma que posee la dirección de realizar el seguimiento del dinero que invirtió, pues los hitos serán todo lo claros que hagan falta. Este aspecto sin lugar a dudas, si se hacen bien las cosas, incrementará la confianza y los fondos que la gerencia informática tendrá para el próximo ejercicio. Por último, relacionado a las métricas de seguridad, es muy interesante la lectura del modelo que propone NIST a través del documento “Security Metrics Guide for Information Technology Systems”, el mismo desarrolla una métrica de seguridad basada en el alcance de objetivos y metas, lo que se plasma en resultados, de forma muy precisa. El mismo puede ser descargado en: http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf II. Cómo se puede clasificar lo que habitualmente se engloba bajo “Auditorías de seguridad”. Para tratar de diferenciar bien las opciones que se puede tener en cuenta a la hora de solicitar este tipo de actividades, se deben considerar al menos tres grandes grupos: - Penetration Test: Se trata de una actividad con objetivo específico y acotado empleando técnicas de hacking y en general aplicando metodologías de “Caja Negra” (Sin ningún tipo de información, mas allá de la que puede contar cualquier individuo ajeno a la empresa) Según la definición de OSSTMM: Test de seguridad con un objetivo definido que finaliza cuando el objetivo es alcanzado o el tiempo ha terminado. - Diagnóstico o evaluación de Seguridad: Comprende una actividad más amplia, en general tanto desde fuera como desde dentro de la empresa, siempre relacionado a actividades eminentemente técnicas, y puede realizar por medio de “Caja Negra o Blanca” (con total conocimiento de la información de la empresa) Según la definición de OSSTMM: Una visión general de la presencia de seguridad para una estimación de tiempo y horas hombre. - Auditoría de seguridad: Comprende a lo anterior y también una visión más amplia en cuanto a planes y políticas de seguridad, revisión de normativas, aplicación de LOPD, procedimientos, planos, inventarios, audiencias, etc. Es decir involucra la visión más amplia a considerar, sin dejar ningún aspecto librado al azar. Según la definición de OSSTMM: Inspección manual con privilegios de acceso del sistema operativo y de los programas de aplicación de un sistema. En los Estados Unidos y Canadá, “Auditor” representa un vocablo y una profesión oficiales, solamente utilizado por profesionales autorizados. Sin embargo, en otros países, una “auditoría de seguridad” es un término de uso corriente que hace referencia a Test de Intrusión o test de seguridad.
  • 6. Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 6 Para completar un poco el enfoque que ISECOM (Institute for Security and Open Methodologies), entidad responsable del proyecto OSSTMM, ofrece sobre estas clasificaciones se presenta a continuación una gráfica que simboliza con mayor detalle las actividades que pueden ser llevadas a cabo (La misma se presenta textualmente figura en sus manuales): ISECOM aplica los siguientes términos a los diferentes tipos de sistemas y de testeos de seguridad de redes, basados en tiempo y costo para el Testeo de Seguridad de Internet: 1. Búsqueda de Vulnerabilidades: se refiere generalmente a las comprobaciones automáticas de un sistema o sistemas dentro de una red. 2. Escaneo de la Seguridad: se refiere en general a las búsquedas de vulnerabilidades que incluyen verificaciones manuales de falsos positivos, identificación de los puntos débiles de la red y análisis profesional individualizado. 3. Test de Intrusión: se refiere en general a los proyectos orientados a objetivos en los cuales dicho objetivo es obtener un trofeo, que incluye ganar acceso privilegiado con medios pre-condicionales. 4. Evaluación de Riesgo: se refiere a los análisis de seguridad a través de entrevistas e investigación de nivel medio que incluye la justificación negocios, las justificaciones legales y las justificaciones específicas de la industria. 5. Auditoría de Seguridad: hace referencia a la inspección manual con privilegios administrativos del sistema operativo y de los programas de aplicación del sistema o sistemas dentro de una red o redes.
  • 7. Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 7 6. Hacking Ético: se refiere generalmente a los tests de intrusión en los cuales el objetivo es obtener trofeos en la red dentro del tiempo predeterminado de duración del proyecto. 7. Test de Seguridad y su equivalente militar, Evaluación de Postura, es una evaluación de riesgo con orientación de proyecto de los sistemas y redes, a través de la aplicación de análisis profesional mediante escaneos de seguridad donde la intrusión se usa generalmente para confirmar los falsos positivos y los falsos negativos dentro del tiempo permitido de duración del proyecto. III. ¿Es posible respetar algún método que permita repetir esta tarea y obtener índices de evolución? En este punto es donde se plantea a título de guía lo que propone OSSTMM. Se reitera, no porque sea mejor o peor que cualquier otra que pueda emplear una empresa consultora, sino simplemente por ser una referencia gratuita y sobre todo porque tiene su punto de partida en respetar la mayoría de los estándares, tal cual lo expresa en sus primeras páginas, estando en plena conformidad con los mismos (ISO-17799 o BS-7799, GAO y FISCAM, NIST,CVE de Mitre, etc.). Resumidamente, esta metodología propone un proceso de evaluación de una serie de áreas que reflejan los niveles de seguridad que posee la infraestructura a auditar, a estos los denominará “Dimensiones de seguridad”, y consisten en el análisis de lo siguiente: • Visibilidad. • Acceso. • Confianza. • Autenticación. • No repudio. • Confidencialidad. • Privacidad. • Autorización. • Integridad. • Seguridad. • Alarma. Para un trabajo metódico y secuencial, describe seis secciones que abarcan el conjunto de los elementos que componen todo sistema actual, ellas son: 1 Seguridad de la Información 2 Seguridad de los Procesos 3 Seguridad en las tecnologías de Internet 4 Seguridad en las Comunicaciones 5 Seguridad Inalámbrica
  • 8. Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 8 6 Seguridad Física En cada sección se especifican una serie de módulos a ser evaluados, teniendo en cuenta si aplica o no cada uno de ellos a la infraestructura en cuestión, el resultado de la observación de todos ellos es lo que permitirá “pintar” el mapa de seguridad. Otro aspecto que trata con bastante detalle es la Evaluación de riesgo, teniendo en cuenta que dentro de cada módulo se encuentran los valores adecuados (RAVs) para obtener las métricas finales, lo cual como se recalcó en este texto es uno de los principios que debe tener en cuenta todo auditor si es consciente de las necesidades del cliente. Al final de este manual, se ofrece el formato de todas las plantillas que pueden ser necesarias durante la auditoría, muchas de las cuales pueden no ser cumplimentadas en virtud de que no apliquen al sistema en cuestión, pero lo verdaderamente importante es que las que SI apliquen, proporcionan un verdadero estándar abierto, para que cuando sea necesario repetir cualquier aspecto de este trabajo se posea una Referencia clara, para que cualquier otra persona pueda evaluar y tomar como punto de partida de un nuevo análisis, el cual si respeta estos formatos será un claro índice de evolución en ese aspecto. Este tipo de acciones y sobre todo cuando son abiertas, es una de las cosas que más valoro en todo sistema informático, pues le dejan total libertad de acción a su verdadero dueño (el cliente), para tomar la decisión que más le guste a futuro, sin ningún tipo de compromiso u obligatoriedad de caer nuevamente en manos de la empresa anterior, la cual si fue de su agrado podrá hacerlo y sino no. (Bendito software libre!!!!). Por último presenta la Licencia de Metodología Abierta (OML), cuyas líneas introductorias deseo expresarlas textualmente: PREÁMBULO “Una metodología es una herramienta que detalla QUIÉN, QUÉ, CUÁL Y CUÁNDO. Una metodología es capital intelectual y está a menudo enérgicamente protegido por instituciones comerciales. Las metodologías abiertas son actividades comunitarias que transforman todas las ideas en un solo documento de propiedad intelectual que está disponible sin cargo para cualquier individuo. Con respecto a la GNU General Public License (GPL), esta licencia es similar con la excepción del derecho de los desarrolladores de software a incluir las metodologías abiertas que están bajo esta licencia en los programas comerciales. Esto hace que esta licencia sea incompatible con la licencia GLP. La principal preocupación de los desarrolladores de metodologías abiertas que esta licencia tiene en cuenta, es que ellos recibirán el debido reconocimiento por su contribución y desarrollo, así como también el reservarse el derecho de permitir las publicaciones y distribuciones gratuitas cuando las metodologías abiertas no sean utilizadas en material comercial impreso del cual las ganancias se deriven ya sea de su publicación o distribución.
  • 9. Auditoría, Evaluación, Test de seguridad ! metodología abierta ¿OSSTMM....? Alejandro Corletti Estrada Pág 9 Como se pudo apreciar, esta última parte del trabajo no trata de ser un desarrollo de la metodología OSSTMM ni mucho menos, por eso justamente es que no la compara tampoco con otras, simplemente trata de remarcar que es posible aplicar técnicas o metodologías estándar, que permitan con total transparencia, mostrar resultados y dejar libertad de acción al cliente. Y este aspecto, remarco una vez más, se debe tener en cuenta como uno de los más importantes en TI para los tiempos que se avienen, pues ya no existe ninguna excusa sincera u honesta que de pie a dejar aferrado en algo a nadie cuando se trate de seguridad informática. La mejor y más sana solución que se debe ofrecer hoy en día a todo cliente, es justamente proporcionar un servicio y aferrar al mismo por el nivel de excelencia y no por otros nebulosos métodos, dejándole con absoluta sinceridad todas las herramientas que necesite para que pueda optar por quien lo desee, pero en virtud de la calidad con que se han hecho las cosas y el grado de satisfacción, no le quepan dudas si tiene que volver a levantar el teléfono pidiendo apoyo. Independientemente de este nivel de excelencia, este tipo de metodologías estándar, lo que permiten es repetir la experiencia con la magnitud y la cantidad de veces que se desee, pudiendo en cada una de ellas evaluar el desvío que el sistema esta sufriendo, de forma totalmente numérica y objetiva.