SlideShare una empresa de Scribd logo
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL  -  FIIS ING. MUJICA RUIZ ÓSCAR
Las organizaciones modernas que operan o centran gran parte de su actividad en los recursos informáticos y necesitan dotar sus sistemas e infraestructuras informáticas de las políticas y medidas de protección más adecuadas que garanticen el continuo desarrollo y operatividad de sus actividades. Las estadísticas de seguridad muestran que las principales vulnerabilidades se encuentran dentro de las organizaciones,  principalmente en las personas, esto no sólo porque no se aplican sofisticados sistemas de seguridad, sino porque no existen políticas de seguridad  institucionales y por ende no existe una cultura de seguridad. Por otro lado, existe la gran creencia de que el problema de la seguridad de la información es un problema de las áreas de Tecnología.
Son aquellos recursos (hardware/software), que tiene una empresa es un evento con el potencial de afectar negativamente la Confidencialidad, Integridad o disponibilidad de los Activos de Información
La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte a un Activo de Información Hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones
TÉCNICAS PARA DETECTAR LAS VULNERABILIDADES DE LOS ACTIVOS : Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales generalmente por Ingenieros o Ingenieros Técnicos en Informática para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las  estaciones de trabajo, redes de comunicaciones o servidores.
Técnica de Seguridad Perimetral: Mediante la simulación de un ataque externo, con objetivos maliciosos, evaluamos la seguridad de la red externa de su negocio. Gracias a esa evaluación podemos descubrir las vulnerabilidades y fallos de seguridad que tiene su sistema, y obtener información privada de la misma, que permitirá elaborar planes de prevención de seguridad adaptados a las necesidades de la seguridad de su negocio. Técnica de Seguridad Wireless Simulando un ataque interno y externo a los sistemas de información que forman la infraestructura Wireless de su empresa se detectan las vulnerabilidades de su sistema y conocer el grado de seguridad que tienen sus redes wireles, los tipos de ataques que puede sufrir en qué condiciones los puede sufrir así como los orígenes y consecuencias de los mismos.
Técnica del Autoservicio Bancario Evalúa y Analiza el nivel de seguridad de la Plataforma informática y la Red IP del Autoservicio Bancario, detecta las vulnerabilidades de su sistema e implanta una solución para eliminarlas y aumentar su nivel de seguridad.  Se describirle todos los datos de acceso a los que podría acceder un intruso en su autoservicio bancario, los problemas del acceso, cantidad de accesos etc. Técnica de Seguridad Interna Análisis y Protección contra los riesgos procedentes de empleados (vulnerabilidad interna) capaces  de violar la seguridad de los sistemas de información de la empresa.  Se localizan todas las posibles vías de acceso que puede tener un agresor interno. Un análisis desde un sistema conectado a la red interna de su empresa. (simulando ser un atacante interno) Se utiliza a los Mejores profesionales especializados en el Hacking ético (penetración controlada en los sistemas informáticos de una empresa, de la misma forma que lo haría un hacker o pirata informático pero de forma ética, previa autorización por escrito.)
Técnica del Análisis Forense La técnica del  Análisis Forense te ayudará a:  Descubrir las vulnerabilidades que han hecho posible el ataque. Descubrir el origen y el autor del ataque.  Identificar y determinar las acciones realizadas y las herramientas y métodos utilizados en el ataque.  Establecer las medidas adecuadas para que la situación no se repita. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperatividad del sistema, el análisis se denomina análisis POSTMORTEM.
Análisis de Aplicativos y del Código Fuente Ayuda a las empresas a conocer el nivel de seguridad de las aplicaciones utilizadas en sus sistemas de información, estudia el nivel de seguridad del código de las aplicaciones de la empresa y del software de base en que se apoya. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado Análisis de Paginas Web Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
[object Object],[object Object]
Sistemas de Detección de Intrusos.  Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un sistema o en una red, considerando intrusión a toda actividad no autorizada o no que no debería ocurrir en ese sistema. Es un complemento del cortafuegos.  Deben estar continuamente en ejecución con un mínimo de supervisión. Se deben recuperar de las posibles caídas o problemas con la red. Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante. Debe utilizar los mínimos recursos posibles. Debe estar configurado acorde con la política de seguridad seguida por la organización. Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.
 
 
 
Esta fase es la que más tiempo insume dentro de la planificación. Lo que se busca en primera instancia es  definir  al objetivo y, a partir de ello, obtener la mayor cantidad de información sobre él. Para el caso de  personas físicas , ejemplos de recopilación de información serían direcciones de e-mail, direcciones físicas, información personal, etcétera. En el ámbito corporativo, además se buscarán direcciones IP, resolución de nombres DNS, etcétera FASE DE RECONOCIMIENTO
En esta fase utilizaremos la información previa con el objetivo de  detectar vectores de ataque  en la infraestructura de la organización. PHLAK COMO HERRAMIENTA DE SEGURIDAD phlak, un software de seguridad que trabaja en ambiente linux Metasploit   Nessus Netcat Nmap Hydra REFERENCIAS www.phalak.org www.elhacker.net www.thc-hydra.com www.microsoft.com FASE DE ESCANEO
Una vez detectadas las vulnerabilidades, el gran paso es el ingreso al sistema definido como objetivo Si esto se realiza en el marco de una simulación , no se suele tomar control sobre el sistema sino, simplemente, detectar las vulnerabilidades y proponer soluciones para resolver los problemas FASE DE ACCESO FASE DE MANTENIMIENTO DE ACCESO
 
HACKING ÉTICO  - VULNERABILIDAD DETECTADA EN SITIO WEB DE PNP Esto va dirigido a las técnicas de seguridad interna, Se aplica el hacker ético para detectar las vulnerabilidades de una organización, El ejemplo da a conocer como se demostró que la mayoría de páginas gubernamentales del Perú están propensas a que cualquier intruso pueda obtener información solo ingresando a la página oficial y usando una herramienta gratuita. Los Metadatos son  datos altamente estructurados que describen información,  hay metadatos que se usan para catalogar la información, pero los que se usan  para marcar el origen de la información  son los que pueden ser peligrosos. El español  José María Alonso, “Chema” demostró que usando la herramienta gratuita FOCA, los  517 documentos publicados en la página de la policía nacional  http://www.pnp.gob.pe/  ,  contaban con metadatos que catalogan la informaci
Al implementar un plan de seguridad, éste debe adaptarse a la empresa, no la empresa al plan de seguridad; por lo tanto, en el momento de la planeación, la entidad debe escoger los modelos de seguridad adecuados dependiendo de sus necesidades y requerimientos con el fin de minimizar los riesgos. El proceso de aseguramiento de los sistemas de información de la empresa debe ser iterativo y controlado en cada una de sus etapas. Es necesario involucrar todas las áreas de la empresa para que trabajen con el departamento de tecnología, conocer su infraestructura tecnológica  lo posible se debe probar y comprobar periódicamente el nivel de seguridad de la empresa, tanto la protección de las maquinas de escritorio como las que administran y/o mantienen la información, con el fin de garantizar el  aseguramiento físico de los recursos de la organización
Es recomendable que una empresa este preparada para superar cualquier eventualidad que interrumpa las actividades habituales, mediante procedimientos tales como la sincronización y fijación del tiempo de equipos y el registro de actividades. Es recomendable una metodología para la aplicación de una infraestructura de seguridad a nivel lógico y físico, pues ésta sirve de guía para empresas que en la actualidad no poseen un área de tecnología de información o no cuenten con los recursos necesarios y adecuados para realizar este tipo de tareas. Se debe seguir con las políticas, estándares y procedimientos de Seguridad conforman el conjunto de lineamientos que una organización debe seguir para asegurar sus sistemas. La auditoria de sistemas debe considerarse como un método que ayuda a incrementar y mejorar los procesos de seguridad al interior de la organización.

Más contenido relacionado

La actualidad más candente

Patch Management Best Practices
Patch Management Best Practices Patch Management Best Practices
Patch Management Best Practices
Ivanti
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Requerimientos de usuario y del sistema
Requerimientos de usuario y del sistemaRequerimientos de usuario y del sistema
Requerimientos de usuario y del sistema
Israel Rey
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.
Juan Anaya
 
Sistemas distribuidos
Sistemas distribuidosSistemas distribuidos
Sistemas distribuidos
Jaziel Torres
 
Administración de redes
Administración de redesAdministración de redes
Administración de redes
edithua
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Carlos Luque, CISA
 
Norma iso 17799
Norma iso  17799Norma iso  17799
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresas
Pedro De La Torre Rodríguez
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
Marcos Harasimowicz
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
Manuel Mujica
 
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICA
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICAPROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICA
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICA
TIC1B
 
Information security
Information securityInformation security
Information security
avinashbalakrishnan2
 
SGSI
SGSISGSI
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
MSc Aldo Valdez Alvarado
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Walter Edison Alanya Flores
 
3.5 Nessus
3.5 Nessus3.5 Nessus
Information Security Awareness
Information Security Awareness Information Security Awareness
Information Security Awareness
Net at Work
 
Cuadro comparativo s.o
Cuadro  comparativo s.oCuadro  comparativo s.o
Cuadro comparativo s.o
riosofelia
 
NETWORK PENETRATION TESTING
NETWORK PENETRATION TESTINGNETWORK PENETRATION TESTING
NETWORK PENETRATION TESTING
Er Vivek Rana
 

La actualidad más candente (20)

Patch Management Best Practices
Patch Management Best Practices Patch Management Best Practices
Patch Management Best Practices
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Requerimientos de usuario y del sistema
Requerimientos de usuario y del sistemaRequerimientos de usuario y del sistema
Requerimientos de usuario y del sistema
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.
 
Sistemas distribuidos
Sistemas distribuidosSistemas distribuidos
Sistemas distribuidos
 
Administración de redes
Administración de redesAdministración de redes
Administración de redes
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
 
Norma iso 17799
Norma iso  17799Norma iso  17799
Norma iso 17799
 
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresas
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
 
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICA
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICAPROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICA
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICA
 
Information security
Information securityInformation security
Information security
 
SGSI
SGSISGSI
SGSI
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
3.5 Nessus
3.5 Nessus3.5 Nessus
3.5 Nessus
 
Information Security Awareness
Information Security Awareness Information Security Awareness
Information Security Awareness
 
Cuadro comparativo s.o
Cuadro  comparativo s.oCuadro  comparativo s.o
Cuadro comparativo s.o
 
NETWORK PENETRATION TESTING
NETWORK PENETRATION TESTINGNETWORK PENETRATION TESTING
NETWORK PENETRATION TESTING
 

Destacado

Auditoría Informática en los Procesos Contables
Auditoría Informática en los Procesos ContablesAuditoría Informática en los Procesos Contables
Auditoría Informática en los Procesos Contables
Evelyn Gissele Quiroz Lara
 
Taller i auditoria sistemas informaticos ii
Taller i auditoria sistemas informaticos iiTaller i auditoria sistemas informaticos ii
Taller i auditoria sistemas informaticos ii
Gema Zambrano Cruzatty
 
Seguridad so
Seguridad soSeguridad so
Seguridad so
Karina Gutiérrez
 
¿Por qué la Virtualización?
¿Por qué la Virtualización?¿Por qué la Virtualización?
¿Por qué la Virtualización?
Enrique Jose Fermin Nieves
 
Administracion de Licencia de Software
Administracion de Licencia de SoftwareAdministracion de Licencia de Software
Administracion de Licencia de Software
Joseph Edward Flores Luján
 
T3ch fest leganes_final
T3ch fest leganes_finalT3ch fest leganes_final
T3ch fest leganes_final
Rober Garamo
 
El auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoriaEl auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoria
Cristian Rivera
 
18 de noviembre
18 de noviembre18 de noviembre
02 1 planeamiento de la auditoría
02 1 planeamiento de la auditoría02 1 planeamiento de la auditoría
02 1 planeamiento de la auditoría
Luis Morales
 
Diapositivas de Auditoria informatica
Diapositivas de Auditoria informaticaDiapositivas de Auditoria informatica
Diapositivas de Auditoria informatica
mcmazon
 
Auditoria Informática.
Auditoria Informática. Auditoria Informática.
Auditoria Informática.
pertuzm
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
Vanessa Castillo
 
Planeamiento de auditoria
Planeamiento de auditoriaPlaneamiento de auditoria
Planeamiento de auditoria
briyit campos
 
Detección y corrección de errores
Detección y corrección de erroresDetección y corrección de errores
Detección y corrección de errores
santi_rafael7777
 
TIPOS DE AUDITORIA
TIPOS DE AUDITORIATIPOS DE AUDITORIA
TIPOS DE AUDITORIA
alexismayacg
 
Etapas de la auditoria
Etapas de la auditoriaEtapas de la auditoria
Etapas de la auditoria
Lourdesespinoza
 
AUDITORIA CONTABLE
AUDITORIA CONTABLEAUDITORIA CONTABLE
AUDITORIA CONTABLE
Paolita Gamarra
 
Fases auditoria
Fases auditoriaFases auditoria
Fases auditoria
arelyochoa
 
La evasion y la elusion tributaria
La evasion y la elusion tributariaLa evasion y la elusion tributaria
La evasion y la elusion tributaria
Ali Chang
 
Proceso de auditoria
Proceso de auditoriaProceso de auditoria
Proceso de auditoria
Nidia Niño
 

Destacado (20)

Auditoría Informática en los Procesos Contables
Auditoría Informática en los Procesos ContablesAuditoría Informática en los Procesos Contables
Auditoría Informática en los Procesos Contables
 
Taller i auditoria sistemas informaticos ii
Taller i auditoria sistemas informaticos iiTaller i auditoria sistemas informaticos ii
Taller i auditoria sistemas informaticos ii
 
Seguridad so
Seguridad soSeguridad so
Seguridad so
 
¿Por qué la Virtualización?
¿Por qué la Virtualización?¿Por qué la Virtualización?
¿Por qué la Virtualización?
 
Administracion de Licencia de Software
Administracion de Licencia de SoftwareAdministracion de Licencia de Software
Administracion de Licencia de Software
 
T3ch fest leganes_final
T3ch fest leganes_finalT3ch fest leganes_final
T3ch fest leganes_final
 
El auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoriaEl auditor y las aplicaciones de auditoria
El auditor y las aplicaciones de auditoria
 
18 de noviembre
18 de noviembre18 de noviembre
18 de noviembre
 
02 1 planeamiento de la auditoría
02 1 planeamiento de la auditoría02 1 planeamiento de la auditoría
02 1 planeamiento de la auditoría
 
Diapositivas de Auditoria informatica
Diapositivas de Auditoria informaticaDiapositivas de Auditoria informatica
Diapositivas de Auditoria informatica
 
Auditoria Informática.
Auditoria Informática. Auditoria Informática.
Auditoria Informática.
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
Planeamiento de auditoria
Planeamiento de auditoriaPlaneamiento de auditoria
Planeamiento de auditoria
 
Detección y corrección de errores
Detección y corrección de erroresDetección y corrección de errores
Detección y corrección de errores
 
TIPOS DE AUDITORIA
TIPOS DE AUDITORIATIPOS DE AUDITORIA
TIPOS DE AUDITORIA
 
Etapas de la auditoria
Etapas de la auditoriaEtapas de la auditoria
Etapas de la auditoria
 
AUDITORIA CONTABLE
AUDITORIA CONTABLEAUDITORIA CONTABLE
AUDITORIA CONTABLE
 
Fases auditoria
Fases auditoriaFases auditoria
Fases auditoria
 
La evasion y la elusion tributaria
La evasion y la elusion tributariaLa evasion y la elusion tributaria
La evasion y la elusion tributaria
 
Proceso de auditoria
Proceso de auditoriaProceso de auditoria
Proceso de auditoria
 

Similar a Metodologia para detectar vulnerabilidades de los activos

HackWeb
HackWebHackWeb
Auditoria Manual
Auditoria ManualAuditoria Manual
Auditoria Manual
longinus692
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
sandruitus
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
sandruitus
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
Santiago Toribio Ayuga
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
Aniiitha01
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes
JORGE MONGUI
 
Clase dieciocho 2011
Clase dieciocho  2011Clase dieciocho  2011
Clase dieciocho 2011
tecnodelainfo
 
Seguridad de redes
Seguridad de redes Seguridad de redes
Seguridad de redes
Lupita Nena Farrukita
 
Ataques informaticos
Ataques informaticos Ataques informaticos
Ataques informaticos
FrancisBuisaCalle
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
Argimiro Dominguez
 
Wow
WowWow
La Seguridad Informática
La Seguridad InformáticaLa Seguridad Informática
La Seguridad Informática
Viviana Sabido May
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
Base10media
 
Unidad5 investigación seguridad
Unidad5 investigación seguridadUnidad5 investigación seguridad
Unidad5 investigación seguridad
Eduardo S. Garzón
 
Sgsi
SgsiSgsi
Sgsi
SgsiSgsi
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Flor Placencia
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Sara Sigüeñas Chacón
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Sara Sigüeñas Chacón
 

Similar a Metodologia para detectar vulnerabilidades de los activos (20)

HackWeb
HackWebHackWeb
HackWeb
 
Auditoria Manual
Auditoria ManualAuditoria Manual
Auditoria Manual
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
 
Las maquinas y las personas
Las maquinas y las personasLas maquinas y las personas
Las maquinas y las personas
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Unidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridadUnidad 4 tipocos de seguridad
Unidad 4 tipocos de seguridad
 
Seguridad en redes
Seguridad en redes Seguridad en redes
Seguridad en redes
 
Clase dieciocho 2011
Clase dieciocho  2011Clase dieciocho  2011
Clase dieciocho 2011
 
Seguridad de redes
Seguridad de redes Seguridad de redes
Seguridad de redes
 
Ataques informaticos
Ataques informaticos Ataques informaticos
Ataques informaticos
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
 
Wow
WowWow
Wow
 
La Seguridad Informática
La Seguridad InformáticaLa Seguridad Informática
La Seguridad Informática
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Unidad5 investigación seguridad
Unidad5 investigación seguridadUnidad5 investigación seguridad
Unidad5 investigación seguridad
 
Sgsi
SgsiSgsi
Sgsi
 
Sgsi
SgsiSgsi
Sgsi
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 

Más de Alexander Velasque Rimac

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
Alexander Velasque Rimac
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
Alexander Velasque Rimac
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
Alexander Velasque Rimac
 
Controles
ControlesControles
Controles final
Controles finalControles final
Controles final
Alexander Velasque Rimac
 
Comision nro 6 as- fiis- controles
Comision nro 6  as- fiis- controlesComision nro 6  as- fiis- controles
Comision nro 6 as- fiis- controles
Alexander Velasque Rimac
 
Presentación101
Presentación101Presentación101
Presentación101
Alexander Velasque Rimac
 
Presentación101
Presentación101Presentación101
Presentación101
Alexander Velasque Rimac
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
Alexander Velasque Rimac
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1
Alexander Velasque Rimac
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
Alexander Velasque Rimac
 
Is audit ..
Is audit ..Is audit ..
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
Alexander Velasque Rimac
 
Comision nro 6 as- fiis- iiasac
Comision nro 6   as- fiis- iiasacComision nro 6   as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
Alexander Velasque Rimac
 
Dti auditoria de sistemas
Dti   auditoria de sistemasDti   auditoria de sistemas
Dti auditoria de sistemas
Alexander Velasque Rimac
 
Coso final-cd
Coso final-cdCoso final-cd
Cobit
CobitCobit
Organigramas 1- exposicion
Organigramas  1- exposicionOrganigramas  1- exposicion
Organigramas 1- exposicion
Alexander Velasque Rimac
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
Alexander Velasque Rimac
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
Alexander Velasque Rimac
 

Más de Alexander Velasque Rimac (20)

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Controles
ControlesControles
Controles
 
Controles final
Controles finalControles final
Controles final
 
Comision nro 6 as- fiis- controles
Comision nro 6  as- fiis- controlesComision nro 6  as- fiis- controles
Comision nro 6 as- fiis- controles
 
Presentación101
Presentación101Presentación101
Presentación101
 
Presentación101
Presentación101Presentación101
Presentación101
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
 
Is audit ..
Is audit ..Is audit ..
Is audit ..
 
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
 
Comision nro 6 as- fiis- iiasac
Comision nro 6   as- fiis- iiasacComision nro 6   as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
 
Dti auditoria de sistemas
Dti   auditoria de sistemasDti   auditoria de sistemas
Dti auditoria de sistemas
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
Cobit
CobitCobit
Cobit
 
Organigramas 1- exposicion
Organigramas  1- exposicionOrganigramas  1- exposicion
Organigramas 1- exposicion
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
 

Último

Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Festibity
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
larapalaciosmonzon28
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
Festibity
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Festibity
 
Catalogo Cajas Fuertes BTV Amado Salvador Distribuidor Oficial
Catalogo Cajas Fuertes BTV Amado Salvador Distribuidor OficialCatalogo Cajas Fuertes BTV Amado Salvador Distribuidor Oficial
Catalogo Cajas Fuertes BTV Amado Salvador Distribuidor Oficial
AMADO SALVADOR
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
YaniEscobar2
 
ACTIVIDAD 2P de Tecnología, 10-7, 2024..
ACTIVIDAD 2P de Tecnología, 10-7, 2024..ACTIVIDAD 2P de Tecnología, 10-7, 2024..
ACTIVIDAD 2P de Tecnología, 10-7, 2024..
IsabelQuintero36
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
larapalaciosmonzon28
 
Sitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajasSitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajas
paulroyal74
 
TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....
TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....
TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....
bendezuperezjimena
 
Computacion cuántica y sus ventajas y desventajas
Computacion cuántica y sus ventajas y desventajasComputacion cuántica y sus ventajas y desventajas
Computacion cuántica y sus ventajas y desventajas
sofiahuarancabellido
 
Actividad Conceptos básicos de programación.pdf
Actividad Conceptos básicos de programación.pdfActividad Conceptos básicos de programación.pdf
Actividad Conceptos básicos de programación.pdf
NajwaNimri1
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
CesarPazosQuispe
 
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
AMADO SALVADOR
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
MiguelAtencio10
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Festibity
 
Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...
Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...
Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...
alejandromanuelve
 
modelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptxmodelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptx
evelinglilibethpeafi
 
herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0  2024herramientas de sitio web 3.0  2024
herramientas de sitio web 3.0 2024
julio05042006
 
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVATECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
LilibethEstupian
 

Último (20)

Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
 
Informació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdfInformació Projecte Iniciativa TIC HPE.pdf
Informació Projecte Iniciativa TIC HPE.pdf
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
 
Catalogo Cajas Fuertes BTV Amado Salvador Distribuidor Oficial
Catalogo Cajas Fuertes BTV Amado Salvador Distribuidor OficialCatalogo Cajas Fuertes BTV Amado Salvador Distribuidor Oficial
Catalogo Cajas Fuertes BTV Amado Salvador Distribuidor Oficial
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
 
ACTIVIDAD 2P de Tecnología, 10-7, 2024..
ACTIVIDAD 2P de Tecnología, 10-7, 2024..ACTIVIDAD 2P de Tecnología, 10-7, 2024..
ACTIVIDAD 2P de Tecnología, 10-7, 2024..
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
 
Sitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajasSitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajas
 
TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....
TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....
TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....
 
Computacion cuántica y sus ventajas y desventajas
Computacion cuántica y sus ventajas y desventajasComputacion cuántica y sus ventajas y desventajas
Computacion cuántica y sus ventajas y desventajas
 
Actividad Conceptos básicos de programación.pdf
Actividad Conceptos básicos de programación.pdfActividad Conceptos básicos de programación.pdf
Actividad Conceptos básicos de programación.pdf
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
 
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
 
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdfInformació Projecte Iniciativa TIC SOPRA STERIA.pdf
Informació Projecte Iniciativa TIC SOPRA STERIA.pdf
 
Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...
Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...
Informe DATA & IA 2024 Primera encuesta sobre el uso de IA en las empresas pe...
 
modelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptxmodelosdeteclados-230114024527-aa2c9553.pptx
modelosdeteclados-230114024527-aa2c9553.pptx
 
herramientas de sitio web 3.0 2024
herramientas de sitio web 3.0  2024herramientas de sitio web 3.0  2024
herramientas de sitio web 3.0 2024
 
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVATECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
TECLADO ERGONÓMICO Y PANTALLAS TACTILES - GESTIÓN INTEGRAL EDUCATIVA
 

Metodologia para detectar vulnerabilidades de los activos

  • 1. UNIVERSIDAD NACIONAL FEDERICO VILLARREAL - FIIS ING. MUJICA RUIZ ÓSCAR
  • 2. Las organizaciones modernas que operan o centran gran parte de su actividad en los recursos informáticos y necesitan dotar sus sistemas e infraestructuras informáticas de las políticas y medidas de protección más adecuadas que garanticen el continuo desarrollo y operatividad de sus actividades. Las estadísticas de seguridad muestran que las principales vulnerabilidades se encuentran dentro de las organizaciones, principalmente en las personas, esto no sólo porque no se aplican sofisticados sistemas de seguridad, sino porque no existen políticas de seguridad institucionales y por ende no existe una cultura de seguridad. Por otro lado, existe la gran creencia de que el problema de la seguridad de la información es un problema de las áreas de Tecnología.
  • 3. Son aquellos recursos (hardware/software), que tiene una empresa es un evento con el potencial de afectar negativamente la Confidencialidad, Integridad o disponibilidad de los Activos de Información
  • 4. La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte a un Activo de Información Hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones
  • 5. TÉCNICAS PARA DETECTAR LAS VULNERABILIDADES DE LOS ACTIVOS : Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales generalmente por Ingenieros o Ingenieros Técnicos en Informática para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
  • 6. Técnica de Seguridad Perimetral: Mediante la simulación de un ataque externo, con objetivos maliciosos, evaluamos la seguridad de la red externa de su negocio. Gracias a esa evaluación podemos descubrir las vulnerabilidades y fallos de seguridad que tiene su sistema, y obtener información privada de la misma, que permitirá elaborar planes de prevención de seguridad adaptados a las necesidades de la seguridad de su negocio. Técnica de Seguridad Wireless Simulando un ataque interno y externo a los sistemas de información que forman la infraestructura Wireless de su empresa se detectan las vulnerabilidades de su sistema y conocer el grado de seguridad que tienen sus redes wireles, los tipos de ataques que puede sufrir en qué condiciones los puede sufrir así como los orígenes y consecuencias de los mismos.
  • 7. Técnica del Autoservicio Bancario Evalúa y Analiza el nivel de seguridad de la Plataforma informática y la Red IP del Autoservicio Bancario, detecta las vulnerabilidades de su sistema e implanta una solución para eliminarlas y aumentar su nivel de seguridad. Se describirle todos los datos de acceso a los que podría acceder un intruso en su autoservicio bancario, los problemas del acceso, cantidad de accesos etc. Técnica de Seguridad Interna Análisis y Protección contra los riesgos procedentes de empleados (vulnerabilidad interna) capaces de violar la seguridad de los sistemas de información de la empresa. Se localizan todas las posibles vías de acceso que puede tener un agresor interno. Un análisis desde un sistema conectado a la red interna de su empresa. (simulando ser un atacante interno) Se utiliza a los Mejores profesionales especializados en el Hacking ético (penetración controlada en los sistemas informáticos de una empresa, de la misma forma que lo haría un hacker o pirata informático pero de forma ética, previa autorización por escrito.)
  • 8. Técnica del Análisis Forense La técnica del Análisis Forense te ayudará a: Descubrir las vulnerabilidades que han hecho posible el ataque. Descubrir el origen y el autor del ataque. Identificar y determinar las acciones realizadas y las herramientas y métodos utilizados en el ataque. Establecer las medidas adecuadas para que la situación no se repita. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperatividad del sistema, el análisis se denomina análisis POSTMORTEM.
  • 9. Análisis de Aplicativos y del Código Fuente Ayuda a las empresas a conocer el nivel de seguridad de las aplicaciones utilizadas en sus sistemas de información, estudia el nivel de seguridad del código de las aplicaciones de la empresa y del software de base en que se apoya. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado Análisis de Paginas Web Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
  • 10.
  • 11. Sistemas de Detección de Intrusos. Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un sistema o en una red, considerando intrusión a toda actividad no autorizada o no que no debería ocurrir en ese sistema. Es un complemento del cortafuegos. Deben estar continuamente en ejecución con un mínimo de supervisión. Se deben recuperar de las posibles caídas o problemas con la red. Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante. Debe utilizar los mínimos recursos posibles. Debe estar configurado acorde con la política de seguridad seguida por la organización. Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.
  • 12.  
  • 13.  
  • 14.  
  • 15. Esta fase es la que más tiempo insume dentro de la planificación. Lo que se busca en primera instancia es definir al objetivo y, a partir de ello, obtener la mayor cantidad de información sobre él. Para el caso de personas físicas , ejemplos de recopilación de información serían direcciones de e-mail, direcciones físicas, información personal, etcétera. En el ámbito corporativo, además se buscarán direcciones IP, resolución de nombres DNS, etcétera FASE DE RECONOCIMIENTO
  • 16. En esta fase utilizaremos la información previa con el objetivo de detectar vectores de ataque en la infraestructura de la organización. PHLAK COMO HERRAMIENTA DE SEGURIDAD phlak, un software de seguridad que trabaja en ambiente linux Metasploit Nessus Netcat Nmap Hydra REFERENCIAS www.phalak.org www.elhacker.net www.thc-hydra.com www.microsoft.com FASE DE ESCANEO
  • 17. Una vez detectadas las vulnerabilidades, el gran paso es el ingreso al sistema definido como objetivo Si esto se realiza en el marco de una simulación , no se suele tomar control sobre el sistema sino, simplemente, detectar las vulnerabilidades y proponer soluciones para resolver los problemas FASE DE ACCESO FASE DE MANTENIMIENTO DE ACCESO
  • 18.  
  • 19. HACKING ÉTICO - VULNERABILIDAD DETECTADA EN SITIO WEB DE PNP Esto va dirigido a las técnicas de seguridad interna, Se aplica el hacker ético para detectar las vulnerabilidades de una organización, El ejemplo da a conocer como se demostró que la mayoría de páginas gubernamentales del Perú están propensas a que cualquier intruso pueda obtener información solo ingresando a la página oficial y usando una herramienta gratuita. Los Metadatos son datos altamente estructurados que describen información, hay metadatos que se usan para catalogar la información, pero los que se usan para marcar el origen de la información son los que pueden ser peligrosos. El español José María Alonso, “Chema” demostró que usando la herramienta gratuita FOCA, los 517 documentos publicados en la página de la policía nacional http://www.pnp.gob.pe/ , contaban con metadatos que catalogan la informaci
  • 20. Al implementar un plan de seguridad, éste debe adaptarse a la empresa, no la empresa al plan de seguridad; por lo tanto, en el momento de la planeación, la entidad debe escoger los modelos de seguridad adecuados dependiendo de sus necesidades y requerimientos con el fin de minimizar los riesgos. El proceso de aseguramiento de los sistemas de información de la empresa debe ser iterativo y controlado en cada una de sus etapas. Es necesario involucrar todas las áreas de la empresa para que trabajen con el departamento de tecnología, conocer su infraestructura tecnológica lo posible se debe probar y comprobar periódicamente el nivel de seguridad de la empresa, tanto la protección de las maquinas de escritorio como las que administran y/o mantienen la información, con el fin de garantizar el aseguramiento físico de los recursos de la organización
  • 21. Es recomendable que una empresa este preparada para superar cualquier eventualidad que interrumpa las actividades habituales, mediante procedimientos tales como la sincronización y fijación del tiempo de equipos y el registro de actividades. Es recomendable una metodología para la aplicación de una infraestructura de seguridad a nivel lógico y físico, pues ésta sirve de guía para empresas que en la actualidad no poseen un área de tecnología de información o no cuenten con los recursos necesarios y adecuados para realizar este tipo de tareas. Se debe seguir con las políticas, estándares y procedimientos de Seguridad conforman el conjunto de lineamientos que una organización debe seguir para asegurar sus sistemas. La auditoria de sistemas debe considerarse como un método que ayuda a incrementar y mejorar los procesos de seguridad al interior de la organización.