SlideShare una empresa de Scribd logo

Lo que debes esperar de un informe de Ethical Hacking

Descargar como PPTX, PDF
Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP

Que esperar de un informe de Ethical Hacking, esta charla habla sobre que es lo que sucede con muchos trabajos de ethical hacking y como puede pasar que no se atienden a las expectativas de quien recibe el informe.

Tecnología
1 de 34
¿Qué esperar de un informe de Ethical Hacking? Ing. Juan Pablo Quiñe Paz CISSP, ISO 27001LA, OSCP, OSWP, CPTE, Lego® Serious Play® Facilitator Security Solutions Manager - NeoSecure @pITea_Security
Agenda • ¿Qué es Ethical Hacking? • Decisiones • Problema – El Informe – A quien está dirigido – Perspectiva y Expectativas • Conclusiones y Recomendaciones
¿Quién soy? Ing. Juan Pablo Quiñe 15 años de Experiencia Ingeniero de Soluciones Consultor Penetration Tester ISO 27001 ITIL Cobit Auditor SOX IT Audit Support Oficial de Seguridad Peruvian Social Security Nextel Perú OutSourcing IBM BS Hewlett Packard Advisor Important Business Groups Ramas de Especialidad Banca Salud Telecomunicaciones Energía Investigación Paradero - Espacio de Innovación Adaptabilidad y Estrategia CoFundador Expositor Internacional Bolivia Colombia Perú HobbiesMagia EducaciónISC2 CISSP Official Instructor Voluntariado OWASPLatam Tours 2011-2015 ISACALocal Chapter Speaker ISSALocal Chapter Speaker Certificaciones ISC2 - CISSP TÜV Rheinland - ISO27001 Lead Auditor Offensive Security - OSCP, OSWP Mile 2 - CPTE Lego® Serious Play® - Facilitator TrabajoSecurity Solutions Manager - NEOSECURE Estratega en Seguridad de la Información e Informática
¿Qué es Ethical Hacking? Entendamos Ethical Hacking como la actividad realizada por una compañía o un individuo autorizado para ayudar a encontrar posibles brechas de seguridad. Un Ethical Hacker intentará saltar los mecanismos de protección con el objetivo de encontrar alguna falla de seguridad y reportarla para evitar que un intruso acceda de manera no autorizada a sus sistemas.
DECISIONES Para poder realizar un ethical hacking
Algunas decisiones tomamos para realizar un Ethical Hacking ¿En qué momento realizamos un EH? ¿Cuál es el alcance de un EH? ¿Qué “Tipos de Evaluación” hay? ¿Qué perfil debe tener un EH? ¿Qué Metodologías de Evaluación hay?
¿En que momento realizamos el EH? •Reforzar o Mejorar la Seguridad •Proceso cíclico •Operación •Cumplimiento •Estrategia de Seguridad •Conocer la Situación Actual Prevención Detección Corrección Mejora Continua
¿Qué alcances de EH se definen? Evaluación Externa Evaluación Interna Evaluación Wireless Ingeniería Social Evaluación de Aplicaciones Web Evaluación de Aplicaciones Móviles Otros…
¿Qué nivel de visibilidad se considera en un EH?
¿Cuál es el origen del Requerimiento? OrigenRegulatorio Auditoría Aseguramiento Proceso de Seguridad Gestión de Riesgos Conocimiento de Estado Actual Fusión Sospecha de Fraude Evaluación de Nuevo CSO/CIO Requerimiento Negocio?
¿Qué perfil tiene el ejecutor del EH? • CEH • ECSA • LPT EC-Council • OSCP • OSWP • OSCE Offensive Security • CPTE • CPTC Mile2 • GPEN • GWAPT • GXPN Sans Institute / GIAC • eCPPT • eMAPT ElearnSecurity • CPT IACRB
¿Qué metodologías de Evaluación se utilizan?
Hasta aquí ¿Qué tenemos? Informe Ejecutivo Informe Técnico Anexos Objetivo Alcance Nivel de Visibilidad Origen del Requerimiento Ejecución Especializada Utilización de Metodologías Reconocidas
EL PROBLEMA En la búsqueda de un cambio sostenible
En que consistió el análisis • Objetivo: Plantear alternativas de solución sostenibles – Analizar los hechos – Entender la Problemática – Identificar la causa raiz
EL INFORME Cosas que tal vez no consideramos
¿Quién genera el requerimiento? ? Gerente de IT o CIO Oficial de Seguridad, CISO, CSO, CITSO Administrador de Red, Servidores, Base de Datos
¿Quién accede al informe? ? Gerente General, CEO, CxO’s, Directores Gerente de IT o CIO Oficial de Seguridad, CISO, CSO, CITSO Administrador de Red, Servidores, Base de Datos Equipo de Desarrollo Auditoría Interna/Externa Asesor Interno/Externo Dueño de la Información/Usuario del Negocio Responsable de Riesgos/ Fraudes
¿Qué buscan en el informe? Rentabilidad Soporte Tecnológico C.I.A. Disponibilidad Operatividad Cumplimiento Leer entre Líneas Éxito del Negocio Riesgo/Fraude •Información EstrategicaGerente General, CEO, CxO’s, Directores •Sustento de soporte de decisionesGerente de IT o CIO •Información de (In)SeguridadOficial de Seguridad, CISO, CSO, CITSO •Acciones de ejecuciónAdministrador de Red, Servidores, BD •Entender la Falla para correcciónEquipo de Desarrollo •Hallazgos para SeguimientoAuditoría Interna/Externo •Identificar OportunidadesAsesor Interno/Externo •Afectación a su negocioDueño de la Información/Usuario del Negocio •Existencia de Riesgos / FraudeResponsable de Riesgos/Fraude
¿Qué buscan en el informe? Rentabilidad Soporte Tecnológico C.I.A. Disponibilidad Operatividad Cumplimiento Leer entre Líneas Éxito del Negocio Riesgo/Fraude •Información EstratégicaGerente General, CEO, CxO’s, Directores •Sustento de soporte de decisionesGerente de IT o CIO •Información de (In)SeguridadOficial de Seguridad, CISO, CSO, CITSO •Acciones de ejecuciónAdministrador de Red, Servidores, BD •Entender la Falla para correcciónEquipo de Desarrollo •Hallazgos para SeguimientoAuditoría Interna/Externo •Identificar OportunidadesAsesor Interno/Externo •Afectación a su negocioDueño de la Información/Usuario del Negocio •Existencia de Riesgos / FraudeResponsable de Riesgos/Fraude
¿Qué busca el ejecutor? Contraseñas de Root Domain Admin Vulnerabilidades Críticas Demostrar conocimiento Demostrar experiencia Exponer las brechas de seguridad
PERSPECTIVA
¿Cuál es la Estructura de un Informe? Carátula • Titulo, cliente, clasificación del Documento Cláusula de Confidencialidad • Importante para el tratamiento del documento y la restricción de acceso Detalles del Documento • Sobre el servicio, el documento, equipo ejecutor, tipo de servicio, fechas Revisión Histórica • Versionamiento sobre el documento Índice • Contenido del Documento Antecedentes • Como surge el requerimiento, y a que atiende originalmente. Los sustentos Objetivos del Proyecto • Los objetivos a lograr con esta actividad Alcance del Proyecto • Lo que abarcará la evaluación Breve Reseña • Un resumen global del resultado, algo referencial. Situación Actual • Un análisis preliminar que toma como base, algunos de los hallazgos relevantes, y las falencias resaltantes. Clasificación del Riesgo • Los criterios de clasificación sobre los hallazgos, que implican en términos técnicos, como en acciones necesarias de ejecución Resumen de Resultados • Las tablas con los resultados, y el análisis de los consultores sobre los hallazgos obtenidos. Conclusiones • El resultado de leer entre líneas sobre los hallazgos obtenidos y su frecuencia de aparición Recomendaciones • Las recomendaciones que responden a las conclusiones y los hallazgos (a nivel general).
Informe Ejecutivo vs Actores
Informe Técnico vs Actores
¿Qué está sucediendo? Estrategia del Negocio Ethical Hacking Estrategia de Seguridad
¿Cómo podemos lograrlo? Gerente de IT o CIO Oficial de Seguridad, CISO, CSO, CITSO Admin Redes, BD, Servidores Gerente General, CEO, CxO’s, Directores Equipo de Desarrollo Auditoría Interna/Ext erna Asesor Interno/Ext erno Dueño de la Informació n/Usuario del Negocio Responsabl e de Riesgos/ Fraudes Ethical Hacking
ALGUNAS CONSIDERACIONES Antes Durante Después
Consideraciones del EH Antes Durante Después Sponsor Ejecutor • Involucrar a todos los actores • Complementar el enfoque tradicional con los requerimientos del negocio • Establecer las expectativas con todos los actores • Diseñar casos de “abuso” • Tener claridad del objetivo del EH • Tener clara la expectativa de la empresa • Proponer en base a la experiencia algunas variables alineradas al negocio • Establecer formatos o estructura del informe final
Antes Durante Después Sponsor Ejecutor • Asegurarse de entregar la información necesaria para profundizar en los hallazgos • Hacer el seguimiento de las acciones y los hitos del proceso • Entender al cliente antes de limitarse a buscar la brecha • Pensar siempre en el cumplimiento de los objetivos • Elaborar conclusiones que generen valor y que busquen solucionar causa raiz Consideraciones del EH
Antes Durante Después Sponsor Ejecutor • Validar si se lograron los objetivos definidos • Hacer un trabajo de lecciones aprendidas • Distribuir los resultados y designar plan de acción alineado al negocio • Realizar el cierre de las acciones • Asesorar en la explicación/adecuación de las recomendaciones • Apoyar en la presentación a los actores Consideraciones del EH
Trabajemos para la Seguridad genere valor al negocio y a la organización Pensamiento Final
¿Qué esperar de un informe de Ethical Hacking? Ing. Juan Pablo Quiñe Paz CISSP, ISO 27001LA, OSCP, OSWP, CPTE, Lego® Serious Play® Facilitator Information Security Strategist Juan.quine [at] gmail.com @pITea_Security

Recomendados

Evaluaciones de Seguridad en Base de Datos Oracle
Evaluaciones de Seguridad en Base de Datos OracleEvaluaciones de Seguridad en Base de Datos Oracle
Evaluaciones de Seguridad en Base de Datos Oracleavanttic Consultoría Tecnológica
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?Eduardo Arriols Nuñez
 
Segurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISOSegurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISOIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
limahack,byod, Tablet, smartphone ios, android, etc
limahack,byod, Tablet, smartphone ios, android, etclimahack,byod, Tablet, smartphone ios, android, etc
limahack,byod, Tablet, smartphone ios, android, etcIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Charla isaca full day student group lima 2016
Charla isaca full day student group lima 2016Charla isaca full day student group lima 2016
Charla isaca full day student group lima 2016Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Cybersecurity bank Lima may 2016
Cybersecurity bank Lima may 2016Cybersecurity bank Lima may 2016
Cybersecurity bank Lima may 2016Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Man in the middle aplicado a la seguridad
Man in the middle aplicado a la seguridadMan in the middle aplicado a la seguridad
Man in the middle aplicado a la seguridadIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 

Recomendados

Evaluaciones de Seguridad en Base de Datos Oracle
Evaluaciones de Seguridad en Base de Datos OracleEvaluaciones de Seguridad en Base de Datos Oracle
Evaluaciones de Seguridad en Base de Datos Oracleavanttic Consultoría Tecnológica
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?Eduardo Arriols Nuñez
 
Segurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISOSegurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISOIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
limahack,byod, Tablet, smartphone ios, android, etc
limahack,byod, Tablet, smartphone ios, android, etclimahack,byod, Tablet, smartphone ios, android, etc
limahack,byod, Tablet, smartphone ios, android, etcIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Charla isaca full day student group lima 2016
Charla isaca full day student group lima 2016Charla isaca full day student group lima 2016
Charla isaca full day student group lima 2016Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Cybersecurity bank Lima may 2016
Cybersecurity bank Lima may 2016Cybersecurity bank Lima may 2016
Cybersecurity bank Lima may 2016Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Man in the middle aplicado a la seguridad
Man in the middle aplicado a la seguridadMan in the middle aplicado a la seguridad
Man in the middle aplicado a la seguridadIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Desarrollo del Profesional de Ciberseguridad: ¿Y ahora a donde voy?
Desarrollo del Profesional de Ciberseguridad: ¿Y ahora a donde voy?Desarrollo del Profesional de Ciberseguridad: ¿Y ahora a donde voy?
Desarrollo del Profesional de Ciberseguridad: ¿Y ahora a donde voy?Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013iaraoz
 
Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaPribatua
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
Latin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoLatin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoCarlos Chalico
 
PRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPedroMarquez78
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Auditoria y advanced analytics
Auditoria y advanced analyticsAuditoria y advanced analytics
Auditoria y advanced analyticsJuan Armando Zepeda
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Fuzzy Duplicates Arbutus Analyzer
Fuzzy Duplicates Arbutus AnalyzerFuzzy Duplicates Arbutus Analyzer
Fuzzy Duplicates Arbutus AnalyzerJorge Amaya
 
Diseño
Diseño Diseño
Diseño IALE Tecnología SL
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2Angela Gutierrez Vilca
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Propuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfPropuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfIngenieria8
 
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...WSO2
 
ciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfFabricioGallardo8
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacioncautio
 
04 Softtek
04 Softtek04 Softtek
04 SofttekPepe
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 
Grupo1 infografía - Evaluación por competencias
Grupo1 infografía - Evaluación por competencias Grupo1 infografía - Evaluación por competencias
Grupo1 infografía - Evaluación por competencias Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Taller 1 – Orientaciones Paradigmáticas de la Práctica Evaluativa - grupo 4
Taller 1 – Orientaciones Paradigmáticas de la Práctica Evaluativa - grupo 4 Taller 1 – Orientaciones Paradigmáticas de la Práctica Evaluativa - grupo 4
Taller 1 – Orientaciones Paradigmáticas de la Práctica Evaluativa - grupo 4Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
 

Más contenido relacionado

Similar a Lo que debes esperar de un informe de Ethical Hacking

Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013iaraoz
 
Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaPribatua
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
Latin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoLatin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoCarlos Chalico
 
PRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPedroMarquez78
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Wiktor Nykiel ✔
 
Fuzzy Duplicates Arbutus Analyzer
Fuzzy Duplicates Arbutus AnalyzerFuzzy Duplicates Arbutus Analyzer
Fuzzy Duplicates Arbutus AnalyzerJorge Amaya
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Propuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfPropuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfIngenieria8
 
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...WSO2
 
ciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfFabricioGallardo8
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacioncautio
 
04 Softtek
04 Softtek04 Softtek
04 SofttekPepe
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 

Similar a Lo que debes esperar de un informe de Ethical Hacking (20)

Desarrollo del Profesional de Ciberseguridad: ¿Y ahora a donde voy?
Desarrollo del Profesional de Ciberseguridad: ¿Y ahora a donde voy?Desarrollo del Profesional de Ciberseguridad: ¿Y ahora a donde voy?
Desarrollo del Profesional de Ciberseguridad: ¿Y ahora a donde voy?
 
Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013
 
Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada Pribatua
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacion
 
Latin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos ChalicoLatin CACS 2009 Carlos Chalico
Latin CACS 2009 Carlos Chalico
 
PRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptx
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad
 
Auditoria y advanced analytics
Auditoria y advanced analyticsAuditoria y advanced analytics
Auditoria y advanced analytics
 
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
Osintcity 2019 - Inteligencia aplicada al mundo cyber - Ivan Portillo Morales...
 
Fuzzy Duplicates Arbutus Analyzer
Fuzzy Duplicates Arbutus AnalyzerFuzzy Duplicates Arbutus Analyzer
Fuzzy Duplicates Arbutus Analyzer
 
Diseño
Diseño Diseño
Diseño
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
 
Propuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfPropuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdf
 
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
Gestión de Identidades y Control de Acceso en los Servicios usando WSO2 Ident...
 
ciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdf
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacion
 
04 Softtek
04 Softtek04 Softtek
04 Softtek
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
 

Más de Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP

Taller 1 – Orientaciones Paradigmáticas de la Práctica Evaluativa - grupo 4
Taller 1 – Orientaciones Paradigmáticas de la Práctica Evaluativa - grupo 4 Taller 1 – Orientaciones Paradigmáticas de la Práctica Evaluativa - grupo 4
Taller 1 – Orientaciones Paradigmáticas de la Práctica Evaluativa - grupo 4Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP
 

Más de Ing. Juan Pablo Quiñe Paz, CISSP-ISSMP (11)

Grupo1 infografía - Evaluación por competencias
Grupo1 infografía - Evaluación por competencias Grupo1 infografía - Evaluación por competencias
Grupo1 infografía - Evaluación por competencias
 
Taller 1 – Orientaciones Paradigmáticas de la Práctica Evaluativa - grupo 4
Taller 1 – Orientaciones Paradigmáticas de la Práctica Evaluativa - grupo 4 Taller 1 – Orientaciones Paradigmáticas de la Práctica Evaluativa - grupo 4
Taller 1 – Orientaciones Paradigmáticas de la Práctica Evaluativa - grupo 4
 
Ncsa.ec Guayaquil - Desarrollo profesional en ciber seguridad
Ncsa.ec Guayaquil - Desarrollo profesional en ciber seguridadNcsa.ec Guayaquil - Desarrollo profesional en ciber seguridad
Ncsa.ec Guayaquil - Desarrollo profesional en ciber seguridad
 
Arte de la ciber seguridad
Arte de la ciber seguridadArte de la ciber seguridad
Arte de la ciber seguridad
 
Como abordar la Ciberseguridad sobre Infraestructura Crítica Nacional
Como abordar la Ciberseguridad sobre Infraestructura Crítica NacionalComo abordar la Ciberseguridad sobre Infraestructura Crítica Nacional
Como abordar la Ciberseguridad sobre Infraestructura Crítica Nacional
 
Owasp presentacion latam tour (Ago 2011)
Owasp presentacion latam tour (Ago 2011)Owasp presentacion latam tour (Ago 2011)
Owasp presentacion latam tour (Ago 2011)
 
Pruebas de Intrusión utilizando Open Source
Pruebas de Intrusión utilizando Open SourcePruebas de Intrusión utilizando Open Source
Pruebas de Intrusión utilizando Open Source
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de RedTécnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
Técnicas y Herramientas para la Evaluación de Vulnerabilidades de Red
 
Ventajas y Desventajas de Contratar Hackers en las Empresas
Ventajas y Desventajas de Contratar Hackers en las EmpresasVentajas y Desventajas de Contratar Hackers en las Empresas
Ventajas y Desventajas de Contratar Hackers en las Empresas
 
Lockpicking 101 - LimaHack 2010
Lockpicking 101 - LimaHack 2010Lockpicking 101 - LimaHack 2010
Lockpicking 101 - LimaHack 2010
 

Último

Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 

Último (19)

Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 

Lo que debes esperar de un informe de Ethical Hacking

  • 1.
  • 2. ¿Qué esperar de un informe de Ethical Hacking? Ing. Juan Pablo Quiñe Paz CISSP, ISO 27001LA, OSCP, OSWP, CPTE, Lego® Serious Play® Facilitator Security Solutions Manager - NeoSecure @pITea_Security
  • 3. Agenda • ¿Qué es Ethical Hacking? • Decisiones • Problema – El Informe – A quien está dirigido – Perspectiva y Expectativas • Conclusiones y Recomendaciones
  • 4. ¿Quién soy? Ing. Juan Pablo Quiñe 15 años de Experiencia Ingeniero de Soluciones Consultor Penetration Tester ISO 27001 ITIL Cobit Auditor SOX IT Audit Support Oficial de Seguridad Peruvian Social Security Nextel Perú OutSourcing IBM BS Hewlett Packard Advisor Important Business Groups Ramas de Especialidad Banca Salud Telecomunicaciones Energía Investigación Paradero - Espacio de Innovación Adaptabilidad y Estrategia CoFundador Expositor Internacional Bolivia Colombia Perú HobbiesMagia EducaciónISC2 CISSP Official Instructor Voluntariado OWASPLatam Tours 2011-2015 ISACALocal Chapter Speaker ISSALocal Chapter Speaker Certificaciones ISC2 - CISSP TÜV Rheinland - ISO27001 Lead Auditor Offensive Security - OSCP, OSWP Mile 2 - CPTE Lego® Serious Play® - Facilitator TrabajoSecurity Solutions Manager - NEOSECURE Estratega en Seguridad de la Información e Informática
  • 5. ¿Qué es Ethical Hacking? Entendamos Ethical Hacking como la actividad realizada por una compañía o un individuo autorizado para ayudar a encontrar posibles brechas de seguridad. Un Ethical Hacker intentará saltar los mecanismos de protección con el objetivo de encontrar alguna falla de seguridad y reportarla para evitar que un intruso acceda de manera no autorizada a sus sistemas.
  • 6. DECISIONES Para poder realizar un ethical hacking
  • 7. Algunas decisiones tomamos para realizar un Ethical Hacking ¿En qué momento realizamos un EH? ¿Cuál es el alcance de un EH? ¿Qué “Tipos de Evaluación” hay? ¿Qué perfil debe tener un EH? ¿Qué Metodologías de Evaluación hay?
  • 8. ¿En que momento realizamos el EH? •Reforzar o Mejorar la Seguridad •Proceso cíclico •Operación •Cumplimiento •Estrategia de Seguridad •Conocer la Situación Actual Prevención Detección Corrección Mejora Continua
  • 9. ¿Qué alcances de EH se definen? Evaluación Externa Evaluación Interna Evaluación Wireless Ingeniería Social Evaluación de Aplicaciones Web Evaluación de Aplicaciones Móviles Otros…
  • 10. ¿Qué nivel de visibilidad se considera en un EH?
  • 11. ¿Cuál es el origen del Requerimiento? OrigenRegulatorio Auditoría Aseguramiento Proceso de Seguridad Gestión de Riesgos Conocimiento de Estado Actual Fusión Sospecha de Fraude Evaluación de Nuevo CSO/CIO Requerimiento Negocio?
  • 12. ¿Qué perfil tiene el ejecutor del EH? • CEH • ECSA • LPT EC-Council • OSCP • OSWP • OSCE Offensive Security • CPTE • CPTC Mile2 • GPEN • GWAPT • GXPN Sans Institute / GIAC • eCPPT • eMAPT ElearnSecurity • CPT IACRB
  • 13. ¿Qué metodologías de Evaluación se utilizan?
  • 14. Hasta aquí ¿Qué tenemos? Informe Ejecutivo Informe Técnico Anexos Objetivo Alcance Nivel de Visibilidad Origen del Requerimiento Ejecución Especializada Utilización de Metodologías Reconocidas
  • 15. EL PROBLEMA En la búsqueda de un cambio sostenible
  • 16. En que consistió el análisis • Objetivo: Plantear alternativas de solución sostenibles – Analizar los hechos – Entender la Problemática – Identificar la causa raiz
  • 17. EL INFORME Cosas que tal vez no consideramos
  • 18. ¿Quién genera el requerimiento? ? Gerente de IT o CIO Oficial de Seguridad, CISO, CSO, CITSO Administrador de Red, Servidores, Base de Datos
  • 19. ¿Quién accede al informe? ? Gerente General, CEO, CxO’s, Directores Gerente de IT o CIO Oficial de Seguridad, CISO, CSO, CITSO Administrador de Red, Servidores, Base de Datos Equipo de Desarrollo Auditoría Interna/Externa Asesor Interno/Externo Dueño de la Información/Usuario del Negocio Responsable de Riesgos/ Fraudes
  • 20. ¿Qué buscan en el informe? Rentabilidad Soporte Tecnológico C.I.A. Disponibilidad Operatividad Cumplimiento Leer entre Líneas Éxito del Negocio Riesgo/Fraude •Información EstrategicaGerente General, CEO, CxO’s, Directores •Sustento de soporte de decisionesGerente de IT o CIO •Información de (In)SeguridadOficial de Seguridad, CISO, CSO, CITSO •Acciones de ejecuciónAdministrador de Red, Servidores, BD •Entender la Falla para correcciónEquipo de Desarrollo •Hallazgos para SeguimientoAuditoría Interna/Externo •Identificar OportunidadesAsesor Interno/Externo •Afectación a su negocioDueño de la Información/Usuario del Negocio •Existencia de Riesgos / FraudeResponsable de Riesgos/Fraude
  • 21. ¿Qué buscan en el informe? Rentabilidad Soporte Tecnológico C.I.A. Disponibilidad Operatividad Cumplimiento Leer entre Líneas Éxito del Negocio Riesgo/Fraude •Información EstratégicaGerente General, CEO, CxO’s, Directores •Sustento de soporte de decisionesGerente de IT o CIO •Información de (In)SeguridadOficial de Seguridad, CISO, CSO, CITSO •Acciones de ejecuciónAdministrador de Red, Servidores, BD •Entender la Falla para correcciónEquipo de Desarrollo •Hallazgos para SeguimientoAuditoría Interna/Externo •Identificar OportunidadesAsesor Interno/Externo •Afectación a su negocioDueño de la Información/Usuario del Negocio •Existencia de Riesgos / FraudeResponsable de Riesgos/Fraude
  • 22. ¿Qué busca el ejecutor? Contraseñas de Root Domain Admin Vulnerabilidades Críticas Demostrar conocimiento Demostrar experiencia Exponer las brechas de seguridad
  • 24. ¿Cuál es la Estructura de un Informe? Carátula • Titulo, cliente, clasificación del Documento Cláusula de Confidencialidad • Importante para el tratamiento del documento y la restricción de acceso Detalles del Documento • Sobre el servicio, el documento, equipo ejecutor, tipo de servicio, fechas Revisión Histórica • Versionamiento sobre el documento Índice • Contenido del Documento Antecedentes • Como surge el requerimiento, y a que atiende originalmente. Los sustentos Objetivos del Proyecto • Los objetivos a lograr con esta actividad Alcance del Proyecto • Lo que abarcará la evaluación Breve Reseña • Un resumen global del resultado, algo referencial. Situación Actual • Un análisis preliminar que toma como base, algunos de los hallazgos relevantes, y las falencias resaltantes. Clasificación del Riesgo • Los criterios de clasificación sobre los hallazgos, que implican en términos técnicos, como en acciones necesarias de ejecución Resumen de Resultados • Las tablas con los resultados, y el análisis de los consultores sobre los hallazgos obtenidos. Conclusiones • El resultado de leer entre líneas sobre los hallazgos obtenidos y su frecuencia de aparición Recomendaciones • Las recomendaciones que responden a las conclusiones y los hallazgos (a nivel general).
  • 27. ¿Qué está sucediendo? Estrategia del Negocio Ethical Hacking Estrategia de Seguridad
  • 28. ¿Cómo podemos lograrlo? Gerente de IT o CIO Oficial de Seguridad, CISO, CSO, CITSO Admin Redes, BD, Servidores Gerente General, CEO, CxO’s, Directores Equipo de Desarrollo Auditoría Interna/Ext erna Asesor Interno/Ext erno Dueño de la Informació n/Usuario del Negocio Responsabl e de Riesgos/ Fraudes Ethical Hacking
  • 30. Consideraciones del EH Antes Durante Después Sponsor Ejecutor • Involucrar a todos los actores • Complementar el enfoque tradicional con los requerimientos del negocio • Establecer las expectativas con todos los actores • Diseñar casos de “abuso” • Tener claridad del objetivo del EH • Tener clara la expectativa de la empresa • Proponer en base a la experiencia algunas variables alineradas al negocio • Establecer formatos o estructura del informe final
  • 31. Antes Durante Después Sponsor Ejecutor • Asegurarse de entregar la información necesaria para profundizar en los hallazgos • Hacer el seguimiento de las acciones y los hitos del proceso • Entender al cliente antes de limitarse a buscar la brecha • Pensar siempre en el cumplimiento de los objetivos • Elaborar conclusiones que generen valor y que busquen solucionar causa raiz Consideraciones del EH
  • 32. Antes Durante Después Sponsor Ejecutor • Validar si se lograron los objetivos definidos • Hacer un trabajo de lecciones aprendidas • Distribuir los resultados y designar plan de acción alineado al negocio • Realizar el cierre de las acciones • Asesorar en la explicación/adecuación de las recomendaciones • Apoyar en la presentación a los actores Consideraciones del EH
  • 33. Trabajemos para la Seguridad genere valor al negocio y a la organización Pensamiento Final
  • 34. ¿Qué esperar de un informe de Ethical Hacking? Ing. Juan Pablo Quiñe Paz CISSP, ISO 27001LA, OSCP, OSWP, CPTE, Lego® Serious Play® Facilitator Information Security Strategist Juan.quine [at] gmail.com @pITea_Security

Notas del editor

  1. Otros tipos de Evaluación: Outsourcing, otras filiales, análisis de código, pruebas de Seguridad Física, SCADA
  2. WhiteBox GrayBox – se informa de los escenarios, pero no del momento Double GrayBox – se informa de los campos de acción y las fechas, pero no de los escenarios Blind/BlackBox – Tradicional, sin mayor conocimiento del pentester sobre el target y si se avisa al equipo de seguriad Double Blind/ BlackBox – No se avisa al equipo de seguridad sobre las actividades de EH Rehearsal – Ensayo, donde el objetivo es aprender, o conocer como reaccionar ante un evento o incidente de seguridad
  3. Que origina que una organización genere un presupuesto, priorice, contrate, a un externo que realice una prueba de Etical Hacking.
  4. Information Assurance Certification Review Board (IACRB) eLearnSecurity Certified Professional Penetration Tester. eCPPT eMAPT designation stands for eLearnSecurity Mobile Application Penetration Tester
  5. Por ahí incluir herramientas Acá podría complementar con los requerimientos regulatorios.
  6. Hay otros temas que no están siendo tratados en esta charla como: - El informe que no llega a todos - Información restringida por secciones - Falta de un enfoque orientado al activo de información - Por mencionar algunos
  7. 3.- Hablaremos aquí de expectativa. Aquí comentamos las diferentes personas que lo podrían recibir, y luego abrimos como cada uno de ellos va a tener funciones distintas, y por ende aplicaciones distintas por ende atenderá a distintos objetivos. **Este punto nos abre una primer conclusión: El informe de Ethical Hacking atiende a diferentes objetivos según quien reciba el informe. (Por esta razón tal vez es dificil atender a las expectativas) Que busca el Ethical Hacker y trata de obtener durante su trabajo. ----- Meeting Notes (9/9/15 17:25) ----- Decir o incluir, de acuerdo a su rol, cada actor va a buscar objetivos diferentes.
  8. 3.- Hablaremos aquí de expectativa. Aquí comentamos las diferentes personas que lo podrían recibir, y luego abrimos como cada uno de ellos va a tener funciones distintas, y por ende aplicaciones distintas por ende atenderá a distintos objetivos. **Este punto nos abre una primer conclusión: El informe de Ethical Hacking atiende a diferentes objetivos según quien reciba el informe. (Por esta razón tal vez es dificil atender a las expectativas) Incluir un gráfico de perspectiva Que busca el Ethical Hacker y trata de obtener durante su trabajo. ----- Meeting Notes (9/9/15 17:25) ----- Decir o incluir, de acuerdo a su rol, cada actor va a buscar objetivos diferentes.
  9. 3.- Hablaremos aquí de expectativa. Aquí comentamos las diferentes personas que lo podrían recibir, y luego abrimos como cada uno de ellos va a tener funciones distintas, y por ende aplicaciones distintas por ende atenderá a distintos objetivos. **Este punto nos abre una primer conclusión: El informe de Ethical Hacking atiende a diferentes objetivos según quien reciba el informe. (Por esta razón tal vez es dificil atender a las expectativas) Incluir un gráfico de perspectiva Que busca el Ethical Hacker y trata de obtener durante su trabajo. ----- Meeting Notes (9/9/15 17:25) ----- Decir o incluir, de acuerdo a su rol, cada actor va a buscar objetivos diferentes.
  10. Cada quien va a ten Donde se queda el informe, y a donde no llega el informe
  11. Ethical Hacking (Iniciativa de Seguridad) Estrategia de Seguridad Estrategia del Negocio
  12. Partimos de una iniciativa Aquí toca hablar de como el ejecutor tiene que cambiar su metodología de trabajo para poder atender a los requerimientos de negocio, y hacer que el informe Hablar de casos de uso/abuso
  13. Hay otros temas que no están siendo tratados en esta charla como: - El informe que no llega a todos - Información restringida por secciones - Falta de un enfoque orientado al activo de información - Por mencionar algunos
  14. El informe que va a armarse, que diferencia tiene con respecto a otros
  15. El informe que va a armarse, que diferencia tiene con respecto a otros