Blog personal

Auditorias de Redes, Equipos y Servidores

Auditorias de redes, Auditorias Forenses

El objetivo de una auditoría de seguridad de sistemas de información informática en ingles, Security Informatics ( SI ), de sistemas de información, es el estudio que comprende el análisis y gestión de sistemas, para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión, Tiene que concluir en un Sistema de Gestión de la Seguridad de la Información (SGSI). Una Prueba de Penetración (Penetration Testing) es el proceso utilizado para realizar una evaluación o auditoría de seguridad de alto nivel. Una metodología define un conjunto de reglas, prácticas, procedimientos y métodos a seguir e implementar durante la realización de cualquier programa para auditoría en seguridad de la información. Una metodología para pruebas de penetración define una hoja de ruta con ideas útiles y prácticas comprobadas, las cuales deben ser manejadas cuidadosamente para poder evaluar correctamente los sistemas de seguridad.

Las auditorías de seguridad de Sistema permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Al finalizar las tareas de auditoría o pentesting las conclusiones y resultados deberán indicarse en un documento llamado informe de auditoría que generalmente consta de un informe de carácter técnico y otro de carácter ejecutivo.

El "pentesting" o "test de penetración" consiste en atacar un sistema informático para identificar fallos, vulnerabilidades y demás errores de seguridad existentes, para así poder prevenir los ataques externos.

El esquema de estos documentos puede variar, pero en general contendrán los siguientes apartados:

  • Introducción.

  • Alcance.

  • Descripción del proceso.

  • Detalle de vulnerabilidades.

  • Recomendaciones.

  • Metodología y referencias.

Evaluación de Vulnerabilidades y Prueba de Penetración. Una evaluación de vulnerabilidades es el proceso de evaluar los controles de seguridad interna y externa, con el propósito de identificar amenazas las cuales impliquen una seria exposición para los activos de la empresa.La principal diferencia entre una evaluación de vulnerabilidades y una prueba de penetración, radica en el hecho de las pruebas de penetración van más allá del nivel donde únicamente se identifican las vulnerabilidades, y van hacia el proceso de su explotación, escalado de privilegios, y mantener el acceso en el sistema objetivo. Mientras una evaluación de vulnerabilidades proporciona una amplia visión sobre los fallos existentes en los sistemas, pero sin medir el impacto real de estas vulnera- bilidades para los sistemas objetos de la evaluación.

Metodologías de Pruebas de Seguridad. Existen diversas metodologías open source, o libres las cuales tratan de dirigir o guiar los requerimientos de las evaluaciones en seguridad. La idea principal de utilizar una metodología durante una evaluación, es ejecutar diferentes tipos de pruebas paso a paso, para poder juzgar con una alta precisión la seguridad de los sistemas.

Entre estas metodologías las que yo utilizo son las siguientes:

Metodologias

26.06.2019

•Open Source Security Testing Methodology Manual (OSSTMM)

                                                                   Informe técnico


El informe técnico se centrará en el detalle más en profundidad de las vulnerabilidades detectadas, empleando un lenguaje acorde al público al que va destinado el informe.

Introducción

En el apartado introducción se describirá el objetivo perseguido con el servicio de pentesting y una introducción al formato del pentesting realizado.

Alcance

En el apartado alcance se definirá el alcance de la auditoria enumerando aquellos activos sobre los que se ejecutará el servicio de pentesting.

Resumen ejecutivo

Se resumirá los resultados obtenidos con el servicio de pentesting.


Ventanas de actuación

En este apartado reflejaremos las fechas y horas concretas en las que se ha llevado a cabo el pentesting, de tal forma que quede constancia.

Descripción detallada del proceso de pentesting

Se definirá el tipo de metodología utilizada, como se han llevado a cabo cada una de las fases del pentesting y que técnicas/herramientas se han utilizado en cada una de las fases. Diferenciando entre Organismos oficials y emprsas particulares, basadas en las normas ISO27001, MAGERIT, internos y externos. * Apartado Metodologias
Vulnerabilidades detectadas

Se realizará una descripción técnica detallada de las vulnerabilidades encontradas en los activos definidos en el alcance del servicio.

Se definirá:

  • Como se han encontrado.

  • Como se han explotado.

  • Si ha existido escalada de privilegios.

  • Recomendaciones de mitigación.

Anexos

Haremos referencia y describiremos las metodologías en las que me he apoyado a la hora de ejecutar el servicio:

  • Metodologías

  • Referencias

                                                               

                                                                    Informe ejecutivo


En cuanto al informe ejecutivo, en general seguirá la misma estructura que el informe técnico pero enfocado a la alta dirección de la organización, por lo tanto, se utilizará un lenguaje más comprensible para gente no experta en seguridad informática.

Acompañando al informe entrego una exposición final que presente los resultados más relevantes.

Su estructura sería:

Introducción

No varía en contenido con respecto al informe técnico.


 Alcance

De la misma forma quedará reflejado el alcance del servicio pactado y consensuado antes del inicio del pentesting.


                                                     Resumen ejecutivo


A diferencia con el informe técnico, en este apartado se presentará la siguiente información:

  • Conclusiones.

  • Valoración del estado actual de la seguridad.

  • Tipos de vulnerabilidades.

  • Ámbito de las vulnerabilidades.

  • Recomendaciones de mitigación.


 Vulnerabilidades detectadas

A diferencia con el informe técnico, no entraremos a describir con mucho detalle las vulnerabilidades, simplemente se enumeraran reflejando sobre todo:

  • Activos afectados.

  • Categorización de la vulnerabilidad en función de su severidad.

  • Impacto en los niveles de confidencialidad, integridad y disponibilidad.

Anexos

Tampoco varía en contenido con respecto al informe técnico.Concluyendo, hay que destacar que el servicio de pentesting presenta una foto del estado de la seguridad en un momento concreto, es un tema importante a tener en cuenta, ya que lo que hoy esta bien, quizá mañana no lo esté.

NOTA: Por otro lado es importante dejar claro que el pentesting no persigue corregir las vulnerabilidades, sino detectarlas y aconsejar en su resolución.

Auditoría interna de un SGSI


La norma ISO 27001 es la empleada a nivel internacional a través de la cual las organizaciones de cualquier sector pueden implantar y certificar su sistema de gestión de la seguridad de la información.

Como en otras normas ISO, el sistema de gestión implantado con esta norma ha de realizar una auditoría interna de forma periódica en la que se verifique su adecuación con respecto a los requisitos de la norma periódica, normalmente una vez al año.

Las auditorías internas con respecto a la norma ISO-27001 han de estar programadas y contar con su propio plan de auditorías, aunque también puede plantearse que se hagan de forma conjunta con las auditorías internas de otros sistemas de gestión complementarios o similares, como es el caso de los de calidad de los servicios de TI que se fundamentan en la norma ISO 20000.

El plan de auditoría lo aprueba la dirección de la organización y, para la correcta puesta en marcha del mismo, es necesario que se comunique a todos los departamentos que se van a ver involucrados en la realización de la auditoría. También se ha de informar a todos los auditores internos.

Esta comunicación se realiza para que todos los implicados puedan preparar la auditoría interna de forma adecuada y trabajar con tiempo antes de que se ejecute.

En la auditoría interna se va a comprobar el funcionamiento del sistema de gestión de la seguridad de la información y los resultados de esta auditoría van a ser parte de las entradas para la revisión que la dirección ha de realizar del SGSI.

Para la realización de la auditoría se ha de contar con un procedimiento documentado en el que se incluyan las responsabilidades de cada una de las partes y los requisitos que han de cumplir para la planificación de la auditoría interna y los registros que se generan con el desarrollo de la misma.

El principal resultado de la auditoría es el informe generado por el auditor interno del que se podrán derivar una serie de acciones que ayuden a eliminar las no conformidades detectadas y que redunden en un SGSI más seguro y que gestione más eficientemente la información con la que trabaja la organización.

Por ello, la principal función de las auditorías internas de un SGSI basado en la ISO27001 es la de contribuir a la mejora continua del sistema y la gestión responsable de la información.

.

Informe Técnico

Se centrará en el detalle más en profundidad de las vulnerabilidades detectadas, empleando un lenguaje acorde al público al que va destinado el informe.

Informe ejecutivo

Seguirá la misma estructura que el informe técnico pero enfocado a la alta dirección de la organización

Auditoria Forense

El principal resultado de la auditoría es el informe generado por el auditor interno del que se podrán derivar una serie de acciones

Contacto