GUA DE APRENDIZAJE

ANLISIS DE RIESGOS Y DE VULNERABILIDADES

Versin: 1 1. Identificacin de la Gua de Aprendizaje Fecha de utilizacin (aaaa/mm/dd): 2010/07/12 F6060065

Cdigo de la gua: 22050101401-01

Nombre de la Gua de Aprendizaje: Anlisis de riesgos y de vulnerabilidades

Duracin en horas: Administracin de redes de computadores Proyecto Implementacin Centro para Titulacin Almacenamiento de Datos 220501014 1 - Instalar y administrar la seguridad en la red a partir de Duracin en Competencia(s) normas internacionales horas:
Resultado(s) de Aprendizaje 22050101401 - Identificar las vulnerabilidades y ataques de la red de Duracin en cmputo a travs de tcnicas y herramientas que permitan realizar el horas: anlisis de riesgos y garantizar el funcionamiento de la red conforme con el plan estratgico de seguridad, para realizar el diagnstico sobre el aseguramiento de los recursos de la compaa (hardware, software, datos). 22050101405 - Elaborar la documentacin de los procedimientos tcnicos y administrativos, mediante el uso de herramientas tecnolgicas segn el tipo de informacin requerida para la presentacin de informes, documentacin tcnica referente con la ejecucin del plan de seguridad, de acuerdo a los requerimientos y las necesidades del cliente y aplicando normas internacionales vigentes

105

420 105

Modalidad de Formacin: Presencial:

Virtual:

Desescolarizada: Duracin en horas:

IMPLEMENTACIN CENTRO PARA ALMACENAMIENTO DE DATOS - FASE 4. Orientador (a)(s): Grupo de Redes / Teleinformtica Luis Felipe Londoo Muoz Miguelangel Medina Salgado Juan Camilo Lpez Martinez Fernando Alonso Quintero Londoo Isabel Cristina Yepes Camilo Andrs Zapata Torres Lina Mckoll Hernndez Germn Gabriel Leal Florez Mauricio Ortiz Morales

420

2.

Introduccin

En esta gua abordaremos los temas relacionados con el anlisis de riesgos y de vulnerabilidades a redes informticas. Realizar este tipo de anlisis es importante para cualquier entidad, puesto que le permite tener un panorama claro y actualizado del estado de la seguridad de la informacin en un momento determinado, una vez detectados los riesgos se podr poner en marcha un plan de seguridad

Anlisis de riesgos y de vulnerabilidades Administracin de redes

1/8

que permita implantar polticas tcnicas y administrativas que lleven a LA ENTIDAD a mitigar los riesgos, disminuir el numero de vulnerabilidades y fortalecer la seguridad de su informacin.

Para efectos prcticos llamaremos en esta y las posteriores guias de aprendizaje a la empresa, entidad real o simulada: LA ENTIDAD. Con esta gua usted har una inmersin en el mundo de la seguridad, investigando y aprendiendo a usar herramientas que le permiten realizar los anlisis requeridos, tambin podr descubrir cual es la diferencia entre un hacker y un delincuente informtico y cuales son las metodologas que emplean para poder desarrollar sus actividades. Finalmente podr hacer un comparativo entre lo que significa un anlisis de riesgos y la importancia de un anlisis de vulnerabilidades dentro del mismo y entender la importancia de continuar la formacin para poder remediar todas las brechas de seguridad encontradas. Se recomienda seguir esta gua teniendo como base un entorno propicio con elementos diversos (tcnicos y humanos) que enriquezcan los anlisis y permitan experimentar cada una de las fases desarrolladas durante la ejecucin del proyecto. 3. Palabras claves (key words)

Seguridad de la informacin, seguridad informtica, seguridad en redes, confidencialidad, integridad, disponibilidad, bugs, vulnerabilidades, no repudio, intrusin, hacking, hacker, anlisis forense informtico, anlisis de vulnerabilidades, anlisis de riesgos, ciclo PHVA, magerit, osstmm, CEH, SANS, NIST, OWASP, penetration testing, norma de seguridad, ISO 27000, acta de confidencialidad, activo, activo de informacin, delincuente informtico, Ley 1273 de 2009. 4. Actividades y estrategias de aprendizaje Actividad 1 Descripcin Haga un recorrido por LA ENTIDAD e identique todos los activos tangibles que existan, de igual forma observe y enumere todos los activos intangibles que pueda identicar. 2 Realice una descripcin detallada de cada uno de los activos identicados y clasiquelos en una tabla comparativa asignando un valor de importancia dentro de LA ENTIDAD. Para esto es necesario que visite y hable con las personas que trabajan con LA ENTIDAD, en este caso se buscan personas que tengan relacin con el manejo de la informacin, no solamente personal tcnico del rea de informtica. Por ejemplo, en algunas compaas las secretarias y los gerentes pueden tener mas conocimiento sobre los procesos relacionados con el manejo de la informacin, ellos sabrn decirle que es lo que consideran mas importante. Use estos datos citando las fuentes

correspondientes y organice su informacin. 3 Elabore un mapa/diagrama mental/conceptual del escenario a evaluar, esto es, un mapa donde se representen todos los activos tangibles e intangibles identicados en las actividades previas. Es muy importante no dejar pasar detalles, pues de esta Anlisis de riesgos y de vulnerabilidades Administracin de redes 2/8

informacin depende el xito del anlisis de riesgos. 4 Construya una tabla comparativa donde se comparen 10 aspectos fundamentales entre dos de las metodologas mas importantes para el anlisis de riesgos existentes a las fecha, como anexo a la tabla justique con evidencias porque seleccion las metodologas usadas en la tabla. 5 Investigue sobre los diferentes tipos de anlisis de vulnerabilidades y las metodologas existentes, reunase con sus compaeros y discutan las diferencias de la terminologa: anlisis de vulnerabilidades, hacking tico y pruebas de intrusin (pen testing). 6 Escriba un ensayo de mnimo 1 hoja en el cual argumente porque es necesario incluir los resultados de un anlisis de vulnerabilidades en el informe nal de un anlisis de riesgos. 7 Investigue sobre las matrices, tablas, plantillas existentes para plasmar la informacin obtenida en los anlisis de vulnerabilidades y de riesgos, adapte, disee o elija una que le permita presentar su informacin de forma clara y concisa. Recuerde que las tablas, plantillas, matrices usadas deben estar respaldadas en normas internacionales o por lo menos tener una validez a nivel internacional, para esto documentese con las compaas que generan este tipo de informacin. 8 Realice una entrevista corta (Mx 15 min.) en formato de audio a una persona que trabaje en el rea de seguridad de la informacin, en esta entrevista se debe indagar un poco sobre los procedimientos en auditorias de seguridad, anlisis de riesgos y anlisis de vulnerabilidades. Para seleccionar una persona adecuada para la entrevista intente obtener una cita con profesionales que actualmente se encuentren desempeando cargos dentro de empresas o entidades que ofrezcan productos o servicios en las reas de seguridad de la informacin. Tambin es posible obtener el audio de la entrevista via un sistema de mensajera instantnea como MSN, SKYPE, GTALK, etc. 9 Elabore una presentacin donde explique cual es la relacin entre las diferentes amenazas y vulnerabilidades existentes para los diferentes activos y compartala con el grupo.

Anlisis de riesgos y de vulnerabilidades Administracin de redes

3/8

10

Investigue acerca de las herramientas existentes para realizar un analisis de vulnerabilidades en entornos reales, identique cuales de estas herramientas puede usar para la ejecucin de sus pruebas en esta fase del proyecto.

11

Experimente de forma controlada --en los ambientes de aprendizaje-- con las diferentes herramientas evaluadas en la actividad anterior, descubra las posibilidades de las mismas de una forma responsable y con la supervicin de un instructor experto en el rea.

12

Realice un analisis de vulnerabilidades para LA ENTIDAD teniendo como base todo el conocimiento y destrezas desarrolladas hasta el momento, no es necesario que evalue cada uno de los activos, trate de identicar los activos mas importantes y que no sean propensos a sufrir daos reales por las pruebas. Si considera que el riesgo de ejecutar un analisis de vulnerabilidades a un activo especico es muy alto, NO LO HAGA y asesorese con los instructores expertos, recuerde que hacer pruebas en entornos que se encuentran en produccin puede resultar en consecuencias lamentables en el tema relacionado con la informacin de LA ENTIDAD y por ende puede tener consecuencias legales.

13

Realice un analisis de riesgos tomando como base la informacin recopilada hasta el momento y los resultados del analisis de vulnerabilidades, como resultado de esta actividad, debe generar una matriz, plantilla, tabla donde se enumere uno a uno todos los activos evaluados.

14

Opcional: Solo si esta autorizado y LA ENTIDAD asume el riesgo que puede tener hacer una vericacin exhaustiva de las vulnerabilidades, escriba un resumen que describa los procedimientos tcnicos ejecutados para corroborar/probar las

vulnerabilidades existentes. 15 Investigue y experimente de forma controlada las contramedidas que le permitirian mitigar los riesgos detectados en el analisis anterior, una vez realizada esta fase de experimentacin, anexe esta informacin en una seccin de recomendaciones para cada uno de los activos evaluados. Recuerde que las contramedidas pueden ser de orden tcnico o administrativo tal y como lo plantean las normas de seguridad.

Anlisis de riesgos y de vulnerabilidades Administracin de redes

4/8

16

Reunase en un grupo de mnimo 10 personas y compare la informacin obtenida en el analisis de riesgos, hagalo de forma responsable pues en esta instancia del proyecto ya puede tener informacin condencial de LA ENTIDAD que no tiene permitido divulgar, solo trate de recibir retroalimentacin del proceso realizado hasta el momento y trate de aportarle conocimientos y experiencias al resto de personas que conforman el grupo. Como evidencia de esta reunin se debe generar un acta, la cual debe ser redactada el mismo da de la reunin, rmada por todos los participantes y entregada a uno de los instructores del rea de redes/teleinformtica.

17

Escriba un informe ejecutivo y un informe tcnico donde se resuma y se detallen respectivamente los analisis realizados hasta este punto (riesgos y vulnerabilidades), comparta la documentacin creada con el grupo de instructores expertos para recibir retroalimentacin y realizar las correciones pertinentes.

18

Organice toda la informacin que considere necesaria tal como manuales, informes, instructivos, guias, etc, que le permita al siguiente grupo continuar con la segunda fase del proyecto formativo. De igual forma preparese para recibir todo el material generado por los otros grupos que se encuentran realizando actividades similares.

Metodologia: El objetivo de esta gua es que usted pueda terminar satisfactoriamente la primera fase del proyecto, alcanzando los resultados de aprendizaje planteados al inicio de la misma. La forma de abordar la gua es resolver una a una las actividades planteadas, buscando adems una retroalimentacin grupal o personal despes de realizar cada actividad. Recuerde que cuenta con muchos recursos que le pueden ayudar en el proceso de formacin y desarrollo de sus competencias. 1. 2. 3. Guias de aprendizaje y material acadmico de apoyo Plataforma e-learning: http://cursos.redsena.net/ Sistema de foros: http://foros.redsena.net/

De forma adicional, recuerde que cuenta con un grupo de instructores calificados que estan dispuestos a acompaarlo durante su proceso de aprendizaje, por ahora y mientras el sistema integrado de tickets se termina de evaluar, los instructores estarn disponibles en las dos jornadas (maana y tarde) y usted podr abordarlos en el momento que tenga alguna inquietud. Como salvedad le recomendamos solicitar asesorias con 2 das de anticipacin para que el momento del encuentro sea mas productivo para ambos, el(los) instructor(es) y el grupo de aprendices.

Anlisis de riesgos y de vulnerabilidades Administracin de redes

5/8

5. 5.1.

Evaluacin Criterios de evaluacin

Realiza el anlisis de riesgos y diagnostica el estado actual de la red de acuerdo con los parmetros de seguridad establecidos, identificando las vulnerabilidades, posibles ataques riesgos y amenazas en la red. 5.2. Evidencias de aprendizaje:

DE CONOCIMIENTO: - Prueba de conocimientos al terminar la actividad 10 (A10), sobre toda la parte terica de analisis de riesgos y anisis de vulnerabilidades. - Prueba de conocimientos al cumplir la actividad 18, sobre toda la teora y prctica abordada en la primera fase del proyecto, es importante tener presente las palabras claves que se describen en la gua. DE DESEMPEO: (A1). Verificacin en la etapa de levantamiento de activos (observacin) (A6). Verificacin del proceso de escritura del ensayo (Lista de Chequeo) (A11). Experimentacin con herramientas de seguridad en entornos controlados (observacin) (A12 y A13). Verificacin del proceso de analisis de vulnerabilidades y de riesgos (Observacin) DE PRODUCTO: (A2). Tabla/plantilla con la clasificacin de activos. (A3). Mapa mental/conceptual donde se detalle el escenario a evaluar. (A4). Tabla comparativa de metodologias de analisis de riesgos. (A8). Publicacin de la entrevista realizada en el blog personal, tanto el formato en audio como la transcripcin de la misma. (A16). Acta de reunin firmada por los asistentes (A17). Informe ejecutivo e Informe tcnico de todo el proceso de desarrollo de la primera fase del proyecto formativo. (A18). CD o DVD con una recopilacin de todo el material investigado o realizado durante la primera fase del proyecto. El material debe entregarse de forma organizada y con las respectivas licencias que permitan una redistribucin academica.

Anlisis de riesgos y de vulnerabilidades Administracin de redes

6/8

6. Ambientes de aprendizaje, medios y recursos didcticos

CENTRO DE FORMACIN: CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL

EQUIPOS: Todos los equipos de los ambientes de aprendizaje (piso 5) del edificio torre norte del complejo central del SENA estan disponibles para realizar actividades academicas. MEDIOS IMPRESOS: Biblioteca del SENA, Complejo Central, Libros de seguridad disponibles para el grupo de Teleinformtica. TELEINFORMTICOS: Plataforma E-learning: http://cursos.redsena.net/ Sofia Plus: http://www.senasofiaplus.edu.co/ Sistema de foros: http://foros.redsena.net/ Twitter de redes : http://twitter.com/losderedes Biblioteca digital del sena: http://biblioteca.sena.edu.co/htdocs/

8.

Bilbiografa

Todo el material bibliogrfico ser agregado en los enlaces correspondientes dentro de cada fase del proyecto, para esto lo invitamos a visitar continuamente la plataforma e-learning del grupo de redes: http:// cursos.redsena.net/.

Elaborada por: FERNANDO ALONSO QUINTERO LONDOO

Fecha (aaaa/mm/dd): 2010/07/14

Anlisis de riesgos y de vulnerabilidades Administracin de redes

7/8

Adaptada por:

Fecha

(aaaa/mm/dd):

Anlisis de riesgos y de vulnerabilidades Administracin de redes

8/8