Seguridad en la Operativa

Anexo 12 - ISO 27001

Video Tutorial UPV

Medidas de seguridad informática. Antivirus, Firewalls, detección de intrusiones, auditorías y formación


Explicación orientativa

El objetivo es controlar la existencia de los procedimientos de operaciones y el desarrollo y mantenimiento de documentación actualizada relacionada.

Adicionalmente, se debería evaluar el posible impacto operativo de los cambios previstos a sistemas y equipamiento y verificar su correcta implementación, asignando las responsabilidades correspondientes y administrando los medios técnicos necesarios para permitir la segregación de los ambientes y responsabilidades en el procesamiento.

Con el fin de evitar potenciales amenazas a la seguridad del sistema o a los servicios del usuario, sería necesario monitorear las necesidades de capacidad de los sistemas en operación y proyectar las futuras demandas de capacidad. 


El control de la realización de las copias de resguardo de información, así como la prueba periódica de su restauración permiten garantizar la restauración de las operaciones en los tiempos de recuperación establecidos y acotar el periodo máximo de pérdida de información asumible para cada organización.

Se deberían definir y documentar controles para la detección y prevención del acceso no autorizado, la protección contra software malicioso y para garantizar la seguridad de los datos y los servicios conectados a las redes de la organización.

Finalmente, se deberían verificar el cumplimiento de las normas, procedimientos y controles establecidos mediante auditorías técnicas y registros de actividad de los sistemas (logs) como base para la monitorización del estado del riesgo en los sistemas y descubrimiento de nuevos riesgos.

12.1 Responsabilidades y procedimientos de operación

El objetivo es evitar el acceso físico no autorizado, los daños e interferencias a la información de la organización y las instalaciones de procesamiento de la información.

Una falta de control de la operación correcta y segura de los medios de procesamiento de la información permite aumentar el riesgo de un mal uso de los sistemas (deliberado o por negligencia) y la materialización de potenciales amenazas, entre otras posibles, como:

- Daños físicos (agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,...)

- Pérdida de servicios esenciales (telecomunicaciones, cloud, a nivel de sistema operativo o de aplicación, ...)

- Compromiso de información (intercepción, espionaje en remoto, recuperación desde medios reciclados o deshechados, divulgación, manipulación de hardware, manipulación de software, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

- Compromiso de las funciones (error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones, exposición de la disponibilidad de datos esenciales al personal, ...) 

12.1.1 Documentación de procedimientos de operación: Se deberían documentar los procedimientos operativos y dejar a disposición de todos los usuarios que los necesiten.

12.1.2 Gestión de cambios: Se deberían controlar los cambios que afectan a la seguridad de la información en la organización y procesos de negocio, las instalaciones y sistemas de procesamiento de información.

12.1.3 Gestión de capacidades: Se debería monitorear y ajustar el uso de los recursos junto a proyecciones necesarias de requisitos de capacidad en el futuro con el objetivo de garantizar el rendimiento adecuado en los sistemas.

12.1.4 Separación de entornos de desarrollo, prueba y producción: Los entornos de desarrollo, pruebas y operacionales deberían permanecer separados para reducir los riesgos de acceso o de cambios no autorizados en el entorno operacional.

Métricas de madurez de procesos TI relativos a seguridad, tales como el semiperiodo de aplicación de parches de seguridad (tiempo que ha llevado parchear al menos la mitad de los sistemas vulnerables -esta medida evita la cola variable provocada por los pocos sistemas inevitables que permanecen sin parchear por no ser de uso diario, estar normalmente fuera de la oficina o cualquier otra razón-).

FFIEC IT operations booklet: Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, sobre la realización de operaciones TI en una organización. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso.


FFIEC IT management booklet: Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, sobre la gestión de TI en una organización. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso.


DoS! Denial of Service: Guía práctica para el análisis y plan de respuesta a incidentes para ataques DoS de Denegación del Servicio.


GMF - GenosOrg: GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing), gestión de inventario, gestión del cambio (Change Management), SLA y reporting.


Microsoft Attack Surface Analyzer: Solución para tomar un "snapshot" de nuestro sistema previo a la instalación del software y tras la instalación, comparando ambas para comprobar las modificaciones reales y posibles exposiciones y vulnerabilidades.


OCS: OCS Inventory es una herramienta gratuita de creación automática de inventarios de HW, escaneo de red y distribución de paquetes de software.


Circular RUNOR 1 – 805: Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras.


ISACA: La matriz de segregación de funciones ilustra las posibilidades de segregación potencial que se pueden aplicar.


Sans: Artículo en el que se analizan los diferentes roles relevantes a la información clave de una organización, el grado de segregación recomendado y las razones para acometer esta segregación.



12.2 Protección contra código malicioso

El objetivo es garantizar que la información y las instalaciones de procesamiento de información estén protegidas contra el malware.

El software y los medios de procesamiento de la información son vulnerables a la introducción de códigos maliciosos y se requiere tomar precauciones para evitar y detectar la introducción de códigos de programación maliciosos y códigos con capacidad de reproducción y distribución automática no autorizados para la protección de la integridad del software y de la información que sustentan.

El código malicioso es código informático que provoca infracciones de seguridad para dañar un sistema informático. El malware se refiere específicamente a software malicioso, pero el código malicioso incluye además scripts de sitios web (applets de Java, controles de ActiveX, contenido insertado, plug-ins, lenguajes de scripts u otros lenguajes de programación en páginas web y correo electrónico) que pueden aprovechar vulnerabilidades con el fin de descargar un malware.

El software y los recursos de tratamiento de información son vulnerables a la introducción de software malicioso como virus informáticos, gusanos de la red, caballos de troya y bombas lógicas.

Los usuarios deben estar al tanto de los peligros de los códigos maliciosos como el robo y destrucción de la información o daños e inutilización de los sistemas de la organización.

Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y formación).

¡No sirve de mucho tener el mejor software antivirus del mercado si los empleados siguen abriendo e-mails de remitentes desconocidos o descargando ficheros de sitios no confiables!

Una falta de control de código malicioso permite la materialización de potenciales amenazas, entre otras posibles, como:

- Compromiso de información (intercepción, espionaje en remoto, divulgación, manipulación de software, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

- Compromiso de las funciones (error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones, exposición de la disponibilidad de datos al personal, ...) 

12.2.1 Controles contra el código malicioso: Se deberían implementar controles para la detección, prevención y recuperación ante afectaciones de malware en combinación con la concientización adecuada de los usuarios.

Tendencia en el número de virus, gusanos, troyanos o spam detectados y bloqueados. Número y costes acumulados de incidentes por software malicioso.

BITDEFENDER: Enfocado en las amenazas cibernéticas activas, el producto usa sólo una parte de los recursos del sistema necesarios para un análisis de virus y no requiere de tiempo para la actualización de firmas de virus, ya que el proceso de detección es ejecutado en los servidores remotos de Bitdefender. Se puede acceder al servicio Quickscan desde cualquier PC conectado a Internet.


EICAR: European Institute for Computer Antivirus Research dedicado a la seguridad TI y con actividad relevante en soluciones de Malware. Dispone de ficheros inócuos que permiten verificar si sus soluciones antimalware permanecen activas y eficaces.


Malware Analysis Sandboxes: Listado de 15 soluciones para análsis online de Malware.

GMER: GMER es una aplicación que no necesita de instalación y que detecta y elimina código malicioso (rootkit) oculto mediante el escaneo de procesos, módulos, servicios, archivos, sectores de disco (MBR) y drivers que dependen de llamdas SSDT/IDT y IRP del sistema operativo (Windows NT/W2K/XP/VISTA/7).

ISO: Especificaciones para el etiquetado de software con el objeto de optimizar su identificación y gestión. (inglés).


JOTTI: El escáner de viruses de Jotti es un servicio online gratuito con el cual se puede revisar archivos sospechosos mediante diversos programas de antivirus. Los escáneres son de la version Linux y por eso posiblemente tendrán diferencias menores en comparación a los resultados de Windows. El tamaño máximo de los archivos es de 25MB. Favor de tener en cuenta que no habrá una detección de virus a 100%, tampoco en el caso que se usaría varios programas de antivirus (p.ej. este servicio de escáner).


Kaspersky Mobile Security Lite: Solución gratuita disponible desde Android Market que proporciona defensa antirobo, permitiendo bloquear, limpiar o encontrar tu teléfono perdido. Permite también filtrar fácilmente mensajes de texto SMS y llamadas no deseadas. Adicionalmente, el escaner Anti-Virus Lite alerta sobre aplicaciones potencialmente maliciosas antes de que dañen tu teléfono.


Virus Bulletin - VB100: En la selección de un buen AV se debe consultar a los laboratorios que están probando varios antivirus contra las últimas amenazas de malware y comprobar su actualización periódica.


AV-TEST Institute: En la selección de un buen AV se debe consultar a los laboratorios que están probando varios antivirus contra las últimas amenazas de malware y comprobar su actualización periódica.


AV Comparative: En la selección de un buen AV se debe consultar a los laboratorios que están probando varios antivirus contra las últimas amenazas de malware y comprobar su actualización periódica.


MOBILE SANDBOX: Proporciona un fichero de una aplicación Android (apk-file) y Mobile-Sandbox-System analizará el fichero en busca de un comportamiento malicioso.


NetCop UTM: servidor UTM con sistema operativo integrado. No requiere instalación de software en la parte del cliente. NetCop dispone de funcionalidades de filtrado de contenidos (Content filter), motor de cache (Cache Engine), protección contra Spam, Hotspot, control de ancho de banda. También protege tu red de amenazas del exterior como Virus, SPAM , Troyanos, entre otros.


NoVirusThanks™: Proyecto que se inició en junio de 2008 con el objetivo primordial de la creación de software y servicios relacionados con la seguridad informática y de Internet. Ofrecemos diversos servicios y software para la seguridad y ayudar a los usuarios a defenderse de las amenazas de Internet.


peepdf: Python tool para explorar ficheros PDF y comprobar si puede provocar daños o no. Peedpf proporciona todos los componentes que un investigador necesita para el análisis de PDFs y posibilita ver todos los objetos de un documento mostrando elementos sospechosos en base al uso de la mayoría de los filtros y codificaciones, parseando diferentes versiones de un fichero, streams de objetos y cifrado de ficheros. Junto a la instalación de Spidermonkey y Libemu proporciona análisis de Javascript y shellcode adicionalmente. También es capaz de crear nuevos ficheros PDF y modificar los actuales.


ROOTREPEAL: Aplicación que no necesita instalación con funcionalidades de: Driver Scan (kernel-mode drivers), Files Scan (ocultos, bloqueados o falseados), Processes Scan (en ejecución, ocultos o bloqueados), SSDT Scan (funciones adulteradas en el System Service Descriptor Table (SSDT)), Stealth Objects Scan (rootkits activos según ciertos síntomas típicos), Hidden Services Scan (servicios ocultos), Shadow SSDT Scan (similar a SSDT Scan pero centrado en funciones de interfaz gráfico). Sistemas operativos: Microsoft® Windows 2008 Server; Windows Vista®; Windows XP Professional or Home Edition; Windows 2000 with Service Pack 4; Windows 2003 Server (Nota: Only x86 versions of Windows are supported).


VirSCAN: Servicio GRATUITO de escaneo en línea que chequea los archivos subidos usando los motores antivirus indicados en la lista VirSCAN. Luego de subir el archivo a chequear podés ver los resultados y lo peligroso o inofensivo que es este archivo.


VirusTotal: servicio de análisis de archivos sospechosos que permite detectar virus, gusanos, troyanos, y malware en general. Características: Servicio independiente y gratuito, Uso simultáneo de múltiples motores antivirus, Actualización automática de los motores en tiempo real, Resultados detallados por cada uno de los antivirus, Estadísticas globales en tiempo real.


Centro nacional de ciberseguridad y comunicaciones (NCCIC): Guías sobre malware y protección de sistemas de control industrial.

OSQuery: es un marco compatible con muchos sistemas operativos para realizar análisis y monitoreo del sistema mediante consultas simples. Utiliza consultas SQL.



12.3 Copias de seguridad

El objetivo es alcanzar un grado de protección deseado contra la pérdida de datos.

Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación depende del establecimiento de procedimientos rutinarios para conseguir la estrategia aceptada de respaldo (consultar 17.1) en atención a posibles requisitos legales (consultar 18.1) para realizar copias de seguridad y probar su puntual recuperación.

Implante procedimientos de backup y recuperación que satisfagan no sólo requisitos contractuales sino también requisitos de negocio "internos" de la organización.

Básese en la evaluación de riesgos realizada para determinar cuáles son los activos de información más importantes y use esta información para crear su estrategia de backup y recuperación.

Hay que decidir y establecer el tipo de almacenamiento, soporte a utilizar, aplicación de backup, frecuencia de copia y prueba de soportes.

Aplique técnicas de cifrado a copias de seguridad (consultar 10.1) y archivos sensibles o valiosos (en realidad, serán prácticamente todos porque, si no, ¿para qué hacer copias de seguridad?).

12.3.1 Copias de seguridad de la información: Se deberían realizar y pruebas regulares de las copias de la información, del software y de las imágenes del sistema en relación a una política de respaldo (Backup) convenida.

Porcentaje de operaciones de backup exitosas.

Porcentaje de recuperaciones de prueba exitosas.

Tiempo medio transcurrido desde la recogida de los soportes de backup de su almacenamiento fuera de las instalaciones hasta la recuperación exitosa de los datos en todas ubicaciones principales.

Porcentaje de backups y archivos con datos sensibles o valiosos que están cifrados.

Cobian backup: Diversas soluciones software freeware para realizar backups de los sistemas.



12.4 Registro de actividad y supervisión

El objetivo es registrar los eventos relacionados con la seguridad de la información y generar evidencias.

Los sistemas deberían ser monitoreados y los eventos de la seguridad de información registrados.

El registro de los operadores y el registro de fallas debería ser usado para garantizar la identificación de los problemas del sistema de información.

La organización debería cumplir con todos los requerimientos legales aplicables para el monitoreo y el registro de actividades. El monitoreo del sistema debería ser utilizado para verificar la efectividad de los controles adoptados y para verificar la conformidad del modelo de política de acceso.

El viejo axioma del aseguramiento de la calidad "no puedes controlar lo que no puedes medir o monitorizar" es también válido para la seguridad de la información.

La necesidad de implantar procesos de supervisión es más evidente ahora que la medición de la eficacia de los controles se ha convertido en un requisito específico.

Analice la criticidad e importancia de los datos que va a monitorizar y cómo esto afecta a los objetivos globales de negocio de la organización en relación a la seguridad de la información.

Una falta de control de la monitorización y los eventos deXXX permite la materialización de potenciales amenazas, entre otras posibles, como:

- Pérdida de servicios esenciales (energía, telecomunicaciones, aire acondicionado/agua, ...) aunque los sistemas avisen con antelación

- Compromiso de información (intercepción, espionaje en remoto, divulgación, manipulación de software, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

- Compromiso de las funciones (error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones, exposición de la disponibilidad del personal, ...)

12.4.1 Registro y gestión de eventos de actividad: Se deberían producir, mantener y revisar periódicamente los registros relacionados con eventos de actividad del usuario, excepciones, fallas y eventos de seguridad de la información.

12.4.2 Protección de los registros de información: Se debería proteger contra posibles alteraciones y accesos no autorizados la información de los registros.

12.4.3 Registros de actividad del administrador y operador del sistema: Se deberían registrar las actividades del administrador y del operador del sistema y los registros asociados se deberían proteger y revisar de manera regular.

12.4.4 Sincronización de relojes: Se deberían sincronizar los relojes de todos los sistemas de procesamiento de información pertinentes dentro de una organización o de un dominio de seguridad y en relación a una fuente de sincronización única de referencia.

Porcentaje de sistemas cuyos logs de seguridad
(a) están adecuadamente configurados,
(b) son transferidos con seguridad a un sistema de gestión centralizada de logs y
c) son monitorizados/revisados/evaluados regularmente.

Tendencia en el número de entradas en los logs de seguridad que
(a) han sido registradas,
(b) han sido analizadas y
(c) han conducido a actividades de seguimiento.

SAMHAIN: El sistema de detección de intrusiones basado en host-Samhain (HIDS) proporciona la comprobación de integridad de archivos y registro de monitoreo archivo / análisis, así como la detección de rootkits, supervisión de puertos, detección de ejecutables SUID canallas y procesos ocultos. Samhain sido diseñado para controlar múltiples hosts con potencialmente diferentes sistemas operativos, proporcionando el registro y mantenimiento centralizado, aunque también se puede utilizar como aplicación independiente en un único host.


SPLUNK: Herramienta de monitorización y análisis de datos masivos procedentes de redes, aplicaciones, equipos, etc., que permite detectar y solucionar problemas e incidentes de seguridad con rapidez.


Log2timeline: El principal propósito de la herramienta es proporcionar una única herramienta que inspeccione varios ficheros de logs (p.ej. de diversos sistemas y equipamiento de red) y generar una linea temporal que pueda ser analizada por los analistas y/o forenses.


LOGSURFER: Open Source software en entornos Linux/Unix para la monitorización de logs de sistemas en tiempo real e informe en los eventos registrados.


LOGWATCH: Logwatch es un sistema de análisis para entornos Linux de log personalizable que revisa los logs de los sistemas y los muestra en forma de informe por las áreas analizadas que se hayan especificado. Logwatch es de fácil uso y útil en la mayoría de los sistemas.


MANDIANT: Mandiant dispone de una serie de herramientas gratuitas de monitorización y análisis de sistemas.


OSSEC: Sistema de detección de intrusos (IDS) Open Source que realiza análisis de log, comprobación de integridad de ficheros, monitorización de políticas, detección de rootkits y respuesta con alerta activa en tiempo real. Disponible para la mayoría de sistemas opertativos, incluidos Linux, MacOS, Solaris, HP-UX, AIX y Windows.


PATRIOT NG: Patriot es una herramienta 'Host IDS' para la monitorización en tiempo real de cambios en sistemas Windows o ataques de red.


RSYSLOG: Rsyslog es un programa de logging de mensajes que implementa el protocolo basico de syslog y lo extiende agregando filtros, con una configuración flexible. Tiene la capacidad de reenviar via UDP o TCP los mensajes del log a otra maquina.


SHINKEN: Herramienta que puede controlar desde sistemas TI hasta aplicaciones del usuario final. En el caso de detectarse fallos Shinken puede alertar a los responsables de operación para aplicar rápidamente actividades de gestión de incidentes. Tiene las mismas capacidades de Nagios ®, e incluso más avanzadas con funciones integradas tales como monitoreo de la disponibilidad con balanceo de carga alta. Proyecto Open Source disponible para diversos sistemas operativos.


SNARE: El rango de herramientas 'Snare' para la recolección, análisis, informes y archivo de logs de eventos permite habilitar un completo sistema de monitorización y gestión.


SNORT: Snort es una solución de detección y prevención de intrusiones en red (IDS/IPS) open source desarrollada por Sourcefire y que combina los beneficios de la inspección en firmas, protocolos y anomalías. Snort es una de las tecnologías IDS/IPS más ampliamente distribuidas a nivel mundial. Existe una referencia útil a modo de guías rápidas de comandos y uso "Snort cheat sheet".


SPICEWORKS: Spiceworks es una solución completa para la monitorización e informes de la gestión de redes, helpdesk, inventario de PCs y de software que permite gestionar todo lo relacionado con TI en organizaciones PYME de medio y pequeño tamaño.


SYSLOG-NG: Syslog-ng Open Source Edition™ es una solución para crear una infraestructura segura, confiable y flexible de gestión logs en las empresas. Inicialmente para entornos LINUX/UNIX dispone actualmente de integración con otros entornos como Windows y desde la versión Open Source se puede acceder a otras versiones más completas y profesionales.


UNIBLUE: Uniblue libre y la biblioteca en línea comprensiva de procesos está para cada uno que necesite saber la naturaleza y el propósito exactos de cada proceso que debe, y no deba, funcionar en su PC.


ZENOSS CORE: Software open source para la monitorización de aplicaciones, redes, servidores y muchos más.


Web Help Desk: Web Help Desk es una herramienta de gestión de soporte a usuarios -incluyendo el registro de incidencias automático vía correo electrónico-, que dispone de una versión gratuita.


NTP POOL PROJECT: Servidores de hora NTP para todo el mundo.


Wikipedia: Enlace con información completa de protocolos de sincronización horaria y enlaces.

OpenNMS: gestión de eventos, provisionamiento, medición del rendimiento y monitorización de los servicios. Es la primera plataforma de gestión de servicios de red de nivel empresarial de código abierto del mundo y cientos de empresas la utilizan todos los días de manera autónoma por su facilidad. Código abierto, 100% gratis.

OpenSOC: Marco de análisis de seguridad de Big Data diseñado para consumir y monitorear el tráfico de red y los datos enviados por máquinas en un centro de datos. OpenSOC es extensible y está diseñado para funcionar a gran escala.

GrayLog: Alerta sobre amenazas cibernéticas más rápido y analice rápidamente los datos para una respuesta a incidentes más efectiva.
 
Fluentd: Permite unificar la recopilación y el consumo de datos para un mejor uso y comprensión de los datos.



12.5 Control del software en explotación

El objetivo es garantizar la integridad de los sistemas operacionales para la organización.

Se trata de minimizar los riesgos de alteración de los sistemas de información mediante controles de implementación de cambios imponiendo el cumplimiento de procedimientos formales que garanticen que se cumplan los procedimientos de seguridad y control, respetando la división de funciones.

Verificar que los cambios sean gestionados por personal autorizado y en atención a los términos y condiciones que surjan de la licencia de uso.

Efectuar un análisis de riesgos previo a los cambios en atención al posible impacto por situaciones adversas.

Aplicar los cambios en sistemas de prueba y/o de manera escalonada empezanndo por los sistemas menos críticos ademas de aplicar medidas de backups y puntos de restauración junto a actividades adicionales que permitan retornar los sistemas al estado de estabilidad inicial con ciertas garantías.

Actualizar la documentación para cada cambio implementado, tanto de los manuales de usuario como de la documentación operativa.

Informar a las áreas usuarias antes de la implementación de un cambio que pueda afectar sus operaciones y envolver a usuarios finales en pruebas de aceptación del nuevo estado.

Una falta de control del software en producción permite la materialización de potenciales amenazas, entre otras posibles, como:

- Pérdida de servicios esenciales (telecomunicaciones, sistemas de información, ...)

- Compromiso de información (corrupción de datos sin posibilidad de retornar a la situación inicial del sistema, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, comportamientos no autorizados, procesamiento ilegal de datos, ...)

12.5.1 Instalación del software en sistemas en producción: Se deberían implementar procedimientos para controlar la instalación de software en sistemas operacionales.

Número de instalaciones de software realizadas en los sistemas correctas (siguiendo los procedimientos establecidos) versus incorrectas (no siguiendo los procedimientos establecidos).

Estado de cumplimiento de las planificaciones aprobadas para la instalación del software en la organización.

OCS Inventory NG: OCS Inventory es una herramienta gratuita de creación automática de inventarios de HW, escaneo de red y distribución de paquetes de software.


Genos Open Source: GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing), gestión de inventario, gestión del cambio (Change Management), SLA y reporting.


Altiris: Herramienta de distribución de paquetes de software en una red.


Microsoft System Center Configuration Manager: Herramienta de distribución de paquetes de software en una red.

CIS: Center for Internet Security ofrece un marco de protección en base a herramientas como guías de bastionado de servidores y aplicaciones.



12.6 Gestión de la vulnerabilidad técnica

El objetivo es evitar la explotación de vulnerabilidades técnicas.

Evite quedarse tan atrás en la rutina de actualización de versiones que sus sistemas queden fuera de soporte por el fabricante.

Pruebe y aplique los parches críticos, o tome otras medidas de protección, tan rápida y extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y que estén siendo explotadas fuera activamente.

Una falta de control del software en producción permite la materialización de potenciales amenazas, entre otras posibles, como:

- Pérdida de servicios esenciales (telecomunicaciones, sistemas de información, ...)

- Compromiso de información (intercepción, espionaje en remoto, divulgación, manipulación de hardware, manipulación de software, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

12.6.1 Gestión de las vulnerabilidades técnicas: Se debería obtener información sobre las vulnerabilidades técnicas de los sistemas de información de manera oportuna para evaluar el grado de exposición de la organización y tomar las medidas necesarias para abordar los riesgos asociados.

12.6.2 Restricciones en la instalación de software: Se deberían establecer e implementar las reglas que rigen la instalación de software por parte de los usuarios.

Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad de los sistemas vulnerables -evita variaciones circunstanciales debidas a retrasos en unos pocos sistemas, tales como portátiles fuera de la empresa o almacenados-).

Belarc: Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web. Toda la información del perfil del PC se mantiene privada y no se envía a servidores de la web.


Backtrack: BackTrack está dirigido a público profesional en la seguridad con más experiencia y a recién llegados al campo de la seguridad de la información. BackTrack promueve una forma rápida y fácil de encontrar y actualizar la base de datos más grande en herramientas de seguridad.


Burp Suite: Plataforma integrada para el desarrollo de test de seguridad de aplicaciones web.


DELL KACE KBox:Solución para pequeñas y grandes empresas con el objetivo de ahorrar tiempo y dedicación en labores de administración TI en la detección y actualización de los equipos conectados de la organización. Disponible diverso material informativo y una versión de prueba de 30 días.


DSNIFF: Colección de herramientas de auditoría para redes y de penetración. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, y webspy monitorizan la red en busca de datos de interés (passwords, e-mail, files, etc.). arpspoof, dnsspoof, y macof facilitan la intercepción de tráfico de red habitualmente no disponible a un atacante (p.ej. layer-2 switching). sshmitm y webmitm para ataques "monkey-in-the-middle" para redirecciones de sesiones SSH y HTTPS.


ENISA: Directorio a las soluciones del site.


Filehippo: Update Checker revisará el software instalado en tu ordenador, comprobará las versiones y después enviará esta información a FileHippo.com para ver si hay nuevas versiones. Éstas se muestran ordenadamente en tu navegador para que las descargues. Versión gratuita.


FileFuzz: FileFuzz ha sido diseñado para automatizar la creación de formatos de fichero anormales en la ejecución de aplicaciones. FileFuzz dispone adicionalmente de capacidades de debugging para detectar excepciones como resultados de las pruebas.


Fuzzdb: Base de datos con patrones para los casos más habituales de ataque.


GFI: GFI LANguard es una herramienta, en español, que permite hacer gestión de actualizaciones, gestión de vulnerabilidades, auditoría de red y de software, inventario, gestión de cambios y análisis de riesgos y cumplimiento. Versión gratuita para uso no comercial para hasta 5 IPs.


Gizmo's freeware: Enorme repositorio de soluciones técnicas en seguridad.


Google Code: Escáner de vulnerabilidades en aplicaciones web, de Google.


INSECURITY RESEARCH: Esta solución de auditoría de intrusión y solución de testeo de software está diseñada para permitir a las organizaciones de cualquier tamaño mitigar, monitorizar y gestionar las últimas vulnerabilidades en seguridad para implantar políticas de seguridad activa mediante la realización de tests de intrusión en si infraestrustura y aplicaciones.


InfosecWriters: Documento de ejemplo, en inglés, de un proceso de análisis de vulnerabilidades para una empresa ficticia.


L0phtcrack: Auditoría de recuperación de password. 15 días de prueba.


LUMENSION: Gestión integrada y proactiva de gestión de parches y evaluación de vulnerabilidades de software. Administración completa de vulnerabilidades usando un proceso de validación de mercado que incluye el descubrimiento e inventario de activos a través de exploraciones basadas en agentes locales y de red; una remediación automatizada e inteligente y una auditoría de conformidad continua. Solución de pago pero dispone de una versión de prueba.

Nessus Essentials: Como parte de la familia Nessus, Nessus® Essentials (anteriormente, Nessus Home) le permite escanear su entorno (hasta 16 direcciones IP por escáner) con la misma alta velocidad, evaluaciones a profundidad y comodidad de escaneo sin agente que disfrutan los suscriptores de Nessus. Nessus Essentials elimina la restricción anterior de usar Nessus Home únicamente para uso personal no comercial.


OpenVAS: Open Vulnerability Assessment System (OpenVAS) es un conjunto de servicios y herramientas de software libre en inglés que proporcionan una solución de escaneado y gestión de vulnerabilidades.

Commando: (Windows) Commando VM utiliza los paquetes Boxstarter, Chocolate y MyGet para instalar software y ofrece muchas herramientas y utilidades para respaldar las pruebas de penetración. Con más de 170 herramientas (en crecimiento) Commando VM apunta a ser la máquina de Windows de facto para cada tester de penetración y equipo rojo.

Parrot: Parrot OS, el producto estrella de Parrot Security es una distribución GNU/Linux basada en Debian y diseñada teniendo en cuenta la seguridad y la privacidad. Incluye un laboratorio portátil completo para todo tipo de operaciones de seguridad cibernética, desde la investigación forense digital hasta la ingeniería inversa, pero también incluye todo lo necesario para desarrollar su propio software o mantener sus datos seguros.


OSI: Oficina de seguridad del internauta con repositoriode herramientas gratuitas en las que se incluyen análisis online.


AlienVault: Colección de herramientas con freetrial diseñadas para ayudar a los administradores de red en la seguridad de las computadoras, detección de intrusos y prevención.


QUALYS: QUALYS Browser check permite realizar un test a su navegador y localizar posibles desactualizaciones y vulnerabilidades en la versión utilizada así como en plugins instalados (java, flash, pdf, ...).


QUALYS: Este servicio gratuito online realiza un análisis en profundidad de la configuración de cualquier servidor web SSL disponible públicamente en Internet. Genera un informe en detalle de las comprobaciones realizadas además del catalogar el site según un ranking documentado (rating guide).


RAPID7: NeXpose Community Edition es una herramienta, en inglés, de gestión de vulnerabilidades para pequeñas organizaciones. Es gratuita hasta un límite de 32 IPs.


Retina: Retina Network Community, es un potente escaner de vulnerabilidades free hasta 128 IPs para desarrollar valoraciones en todo tu entorno.


SECUNIA: Secunia proporciona una serie de herramientas de escaneo de vulnerabilidades software y gestión de parches. Dispone de versiones gratuitas para uso personal no comercial.


SECURE DATABASE: Panel de información con las vulnerabilidades en productos y que se actualiza constantemente. La sección de herramientas permite consultar posibles soluciones de manera extensa y en materia de seguridad.


The Sleuth Kit: Web oficial para The Sleuth Kit (TSK) y Autopsy Browser, ambas herramientas open source para la investigación forense y ejecutables en entornos Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, y Solaris). Pueden analizar sistemas de ficheros NTFS, FAT, HFS+, Ext2, Ext3, UFS1, y UFS2 entre otros tipos de volúmenes. TSK consiste en una librería C y una colección de herramientas desde ventana de comandos. Autopsy es un interace gráfico para TSK. TSK es integrable de varias formas con sistemas forenses automatizados. The Sleuth Kit Hadoop Framework es un framework que incorpora TSK en cloud computing para el análisis de grandes volúmenes de datos.


SQL Map: SQLmap es una herramienta open source, en inglés, que automatiza el proceso de detección y explotación de vulnerabilidades de inyección SQL.


SpiderSoft: Repositorio de aplicaciones freeware para sistemas operativos Windows y Linux.


IDA Pro: Es desensamblador y depurador para Windows o Linux que ofrece tantas características que es difícil describirlas todas.

Metasploit: Herramienta de explotación más conocida en su naturaleza proporciona información sobre vulnerabilidades de seguridad y ayuda en las pruebas de penetración y el desarrollo de firmas IDS. Es una herramienta de explotación de código abierto desarrollada por HD Moore. La distribución Kali Linux ya la tienen instalada en su sistema operativo. Se proporciona para los sistemas operativos Linux y Windows.

Mimikatz: Proyecto escrito en C que se utiliza para realizar muchos experimentos de seguridad de Windows, entre ellos: extracción de contraseñas y hashes de texto simple, técnicas de pass-the-hash, pass-the-ticket, Over-Pass the Hash y Kerberos Golden Ticket, etc. La herramienta se usa generalmente en la fase posterior a la explotación. Mimikatz en la mayoría de los casos se ejecuta en modo interactivo y debe ejecutarse como administrador. Hay dos arquitecturas de 32 y 64 bits.

Powersploit: Colección de módulos de Microsoft PowerShell que se pueden usar para ayudar a los pentester durante todas las fases de una evaluación. PowerSploit se compone de los siguientes módulos y scripts que incluyen: CodeExecution, Persistence, AntivirusBypass, Exfiltration, Mayhem, Privesc y Recon. Uno de los scripts más útiles en Powersploit es Powerview.ps1.

Radare2: Una de las fases necesarias para comprender el software malicioso es la ingeniería inversa. Una de las herramientas más conocidas es Radare2. Es más que una herramienta de ingeniería inversa. R2 puede realizar muchas otras tareas. Es un proyecto de modo de consola que admite Linux. Radare2 contiene muchas herramientas como rabin2, radiff2, rax2, rasm2, etc. Por lo general, resulta difícil aprender Radare2, pero después de un tiempo, se obtiene una buena comprensión de la mayoría de sus características.

Ghindra: Herramienta de ingeniería inversa de código abierto y lo mantiene la Dirección de Investigación de la Agencia de Seguridad Nacional(NSA). Ghidra te da la capacidad de analizar diferentes formatos de archivo. Es compatible con Windows, Linux y MacOS. Necesita instalar Java para ejecutarlo. El proyecto viene con muchas utilidades de formación, documentación y  trucos. Además, le brinda la capacidad de desarrollar sus propios complementos utilizando Java o Python.

Recon-NG: Open-source intelligence (OSINT) es información recopilada de fuentes disponibles públicamente para usarse en un contexto de inteligencia. Recon-ng es una herramienta OSINT imprescindible. Fue escrito en Python por lanmaster53 con 4 categorías diferentes de módulos: reconocimiento, descubrimiento, informes y módulos experimentales.

Maltego: Herramienta de OSINT interactiva de minería de datos que presenta gráficos dirigidos para el análisis de enlaces. Se utiliza en investigaciones para encontrar relaciones entre piezas de información de varias fuentes ubicadas en Internet. Maltego utiliza la idea de las transformaciones para automatizar el proceso de consulta de diferentes fuentes de datos.

Sublist3er: Al realizar el reconocimiento web, uno de los pasos necesarios es encontrar los subdominios de la aplicación web. Para automatizar esta labor  "Sublist3r" es un proyecto escrito en python por aboul3la y enumera los subdominios del sitio web utilizando muchos motores de búsqueda, incluidos Google, Bing, Baidu y muchos otros servicios como: VirusTotal, DNSdumpster, etc.

Dirsearch: Como su nombre lo indica es una poderosa herramienta que te ayuda a encontrar rutas de un sitio web objetivo. Es compatible con Windows, Linux y MacOS. Lo mejor de Dirsearch es que utiliza subprocesos múltiples, admite muchas extensiones, mantiene conexiones e informes en vivo utilizando diferentes formatos, como texto y JSON.

Atomic Red Team: Es una biblioteca de pruebas simples que cada equipo de seguridad puede ejecutar para probar sus controles. Las pruebas están enfocadas, tienen pocas dependencias y están definidas en un formato estructurado que será utilizado por los marcos de automatización.

Caldera: Sistema automatizado de emulación de adversarios que realiza comportamientos adversos posteriores al compromiso dentro de las redes Windows Enterprise. Genera planes durante la operación utilizando un sistema de planificación y un modelo de adversario preconfigurado basado en el proyecto de Tácticas Adversarias, Técnicas y Conocimiento Común (ATT & CK ™).

Shodan: Shodan escanea Internet continuamente, indexa el resultado y le brinda una interfaz para buscar a través de esos datos. Parece Google, pero la diferencia es que Shodan también escanea puertos comunes, no solo HTTP (S). Esto es excelente porque proporciona una verdadera idea de la exposición de la empresa y la higiene en seguridad incluyendo todo tipo de dispositivos con conectividad (IoT).

Google Fu/Google Dorks: Google tiene algunos filtros de búsqueda integrados que pueden ser muy útiles para encontrar si una empresa tiene una higiene deficiente. Comience con una búsqueda del tipo  "site:<DOMAIN>: -inurl: www" sin las comillas y reemplazando <DOMAIN> por el dominio principal de la compañía. "-inrul: www" elimina su sitio principal para mostrarle otros subdominios interesantes indexados por Google. Si encuentra sitios de desarrollo, control de calidad o de prueba de acceso público, interfaces de administración o sitios web que no deberían ser accesibles, tómelo como una señal de alerta de una madurez baja en seguridad.

Exploit Database: Proyecto sin fines de lucro que se ofrece como un servicio público de seguridad ofensiva. Repositorio de exploits y pruebas de concepto en lugar de avisos, por lo que es un recurso valioso para aquellos que necesitan datos procesables de inmediato. Dispone de una base de datos para uso de Google Dorks, entre otro material de ayuda para la detección de vulnerabilidades.

Itarian: La administración de parches de ITarian ayuda al personal de TI a automatizar la implementación de estos parches de seguridad en los sistemas de una red para garantizar que estos sistemas estén seguros contra diversas amenazas de seguridad.



12.7 Consideraciones de las auditorías de los sistemas de información

El objetivo es minimizar el impacto de actividades de auditoría en los sistemas operacionales.

Durante las auditorías de los sistemas de información debieran existir controles para salvaguardar los sistemas operacionales y herramientas de auditoría.

Acordar con el/las área/s que corresponda los requerimientos de auditoría.

Limitar las verificaciones (p.ej. a un acceso de "sólo lectura" en software y datos de producción) y/o tomar las medidas necesarias a efectos de aislar y contrarrestar los efectos de modificaciones realizadas al finalizar la auditoría (eliminar archivos transitorios, entidades ficticias y datos incorporados en archivos maestros; revertir transacciones; revocar privilegios otorgados; ...)

Identificar claramente los recursos TI para llevar a cabo las verificaciones y puestos a disposición de los auditores (Sistemas de información, Bases de datos, hardware, software de auditoría, dispositivos magnéticos, personal, conexiones a red, ...).

Documentar todos los procedimientos de auditoría, requerimientos y responsabilidades.

Una falta de control de la efectividad del proceso de auditoría de los sistemas de información permite la materialización de potenciales amenazas, entre otras posibles, como:

- Pérdida de servicios esenciales (telecomunicaciones, sistemas de información, ...)

- Compromiso de información (intercepción, espionaje en proximidad, robo de equipos o documentos, divulgación, manipulación de hardware, manipulación de software, ...)

- Fallos técnicos (falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (uso no autorizado de equipos, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

- Compromiso de las funciones (error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones, exposición de la disponibilidad del personal, ...) 

12.7.1 Controles de auditoría de los sistemas de información: Se deberían planificar y acordar los requisitos y las actividades de auditoría que involucran la verificación de los sistemas operacionales con el objetivo de minimizar las interrupciones en los procesos relacionados con el negocio.

Número de cuestiones o recomendaciones de auditoría, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).

Porcentaje de hallazgos de auditoría relativos a seguridad de la información que han sido resueltos y cerrados, respecto al total de abiertos en el mismo periodo..

Tiempo medio real de resolución/cierre de recomendaciones, respecto a los plazos acordados por la dirección al final de las auditorías.

Center for Internet Security: Herramientas de benchmarking y para auditoría de sistemas.


Microsoft: Guía de planeamiento de supervisión de la seguridad y detección de ataques: Información general.


SANS: SIFT Workstation es un Appliance de VMware pre-configurado con todas las herramientas necesarias para llevar a cabo un examen forense detallado digital. Es compatible con el formato Expert Witness Format (E01), Advanced Forensic Format (AFF), y formatos raw (dd) de evidencias.

DRADIS: La presentación de informes es una fase muy importante en la seguridad de la información. Adquirir buenas habilidades de escritura es imprescindible. Dradis Framework es un marco de informes y colaboración para profesionales de seguridad de la información. Es multiplataforma y de código abierto. Se puede integrar con más de 19 plataformas y herramientas diferentes.

Prowler: Herramienta de seguridad para realizar evaluaciones de mejores prácticas de seguridad de AWS, auditorías, respuesta a incidentes, monitoreo continuo, hardening y preparación forense. Toma en consideración todos los controles CIS enumerados junto a más de 100 comprobaciones adicionales que relación a GDPR, HIPAA.


© 2005 Aviso Legal - Términos de uso información iso27000.es