Fase 6 - Desarrollar Trabajo Final

Tania Barrera Rodríguez

Yexon Valbuena Sanabria

Universidad Nacional Abierta y a Distancia

Especialización en Seguridad Informática
Informática Forense

Bogotá D.C 08 de agosto de 2019

 TABLA DE CONTENIDO

INTRODUCCION ............................................................................................................................................ 3
DESARROLLO DE LA ACTIVIDAD ......................................................................................................... 4
POLITICAS Y RESPUESTA A ESTE TIPO DE INCIDENTES ...................................................... 5
CONCLUSIONES ............................................................................................................................................ 9
BIBLIOGRAFIA ............................................................................................................................................ 10
 INTRODUCCION

Con base en los incidentes ocurridos en la ONG Digital Free se llevarán a cabo unas
investigaciones que tienen como fin encontrar a los supuestos culpables de los
ataques al interior de la organización. Paso seguido se realizará una serie de
recomendaciones que van desde la implementación controles tales como políticas,
procesos, procedimientos y herramientas para la protección de los activos de
software, hardware y de información.
 DESARROLLO DE LA ACTIVIDAD

Primer caso: Con relación a la instalación del software kmspico se observó:

Al momento de realizar la instalación del sistema operativo Windows 10, el técnico

de la mesa de servicio asignado para este requerimiento hizo uso del software
kmspico para la activación de la licencia de Windows 10. Este software permite la
activación de licencias de Windows sin el consentimiento de Microsoft por lo que la
compañía puede acarrear con demandas por derechos de autor e instalación de
software pirata.

Segundo caso: De acuerdo con las investigaciones realizadas, el análisis de la

información extraída de la base de datos MySql en la ONG Digital Free se observó:

En la topología de la red se identifica una estación de trabajo con un sistema

operativo Kali Linux. No es común ver este sistema operativo en una compañía
dadas las características técnicas, funcionalidad y las herramientas que trae
instaladas. De acuerdo con lo anterior, se observa que el ataque a las dos máquinas
Linux y posterior robo a las bases de datos de MySql sucedió desde la estación de
trabajo con ip 192.168.1.115 que es la que tiene instalado el Kali Linux.

De acuerdo con los acontecimientos en la compañía Digital Free, se hace necesario

y urgente crear una política de seguridad diseñada a partir del plan estratégico y
de las necesidades de la empresa con el fin de proteger los activos de información,
la infraestructura tecnológica y el acceso no autorizado tanto a la información como
a los sistemas de información de la compañía.
 POLITICAS Y RESPUESTA A ESTE TIPO DE INCIDENTES

A continuación, se realiza una serie de recomendaciones para la implementación

de políticas, procedimientos, manuales o guías basados en la NORMA TÉCNICA
COLOMBIANA NTC-ISO-IEC 27001.

1. De acuerdo con el caso, se evidenció que dentro de la compañía no existe un

lineamiento o procedimiento para la instalación de software, tampoco existe
conocimiento ni concientización por parte de los técnicos que se encargan de
las instalaciones sobre las implicaciones y riesgos que acarrea la empresa al
momento de instalar software ilegal. Por lo anterior y de acuerdo con los
numerales A.12.5.1 “Control: Instalación de software en sistemas operativos”
y A.12.6.2 “Restricciones sobre la instalación de software” de la NORMA
TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 se recomienda la implementación
del procedimiento para el control de instalación y configuración de software.
Este documento deberá incluir responsables, responsabilidades, control y
tiempos para la instalación.

 Responsables: Solo los técnicos de la mesa de servicio serán los

encargados de la instalación, actualización y desinstalación de software en
las máquinas de los usuarios (no incluye servidores y sistemas de
información); para esto, se deben asignar privilegios de instalación a sus
cuentas de usuario con el fin de tener un rastro de quién realizó dicha
instalación en el caso de que sea software ilegal.

 Responsabilidades: Serán los técnicos los únicos encargados de la

instalación, actualización y desinstalación de software; para esto, se deberá
revisar una a una las cuentas de usuarios de los funcionarios constatando
que no tengan privilegios de instalación, actualización o desinstalación de
software.

 Control y tiempos para la instalación: Toda solicitud de instalación de

software deberá ser revisada por el técnico delegado por la oficina TIC con
el fin de verificar características técnicas de la herramienta, cuál es el
propósito y qué tan seguro es instalarlo en la máquina del usuario. Una vez
se dé la viabilidad para la instalación, se procede con la instalación
 asignándole el requerimiento a un técnico de mesa de servicio con
privilegios de instalación. Este requerimiento no debe ser mayor a 4 días.

2. La compañía no cuenta con aseguramiento y respaldo de la información al

momento de un posible ataque contra estos activos, por lo que se recomienda
y de acuerdo con el numeral A.12.3.1 de la NORMA TÉCNICA COLOMBIANA
NTC-ISO-IEC 27001 “Respaldo de la información: Se deben hacer copias de
respaldo de la información, software e imágenes de los sistemas y ponerlas a
prueba regularmente”, para lo cual se debe contar con un procedimiento de
generación de copias de respaldo y recuperación, con la implementación de la
herramienta para realizar el procedimiento.

En el mercado existen diversas opciones para el respaldo y almacenamiento de

la información que van de acuerdo con el presupuesto y las necesidades del
cliente. Con base en lo anterior, existen tres opciones que se ajustan a las
necesidades de la empresa: pueden ser físicos (cintas magnéticas, discos duros)
en la nube con un proveedor o una mezcla de las dos. Éstas deberán ser
realizadas de forma periódica.

3. Dado que no se contaba con la configuración de políticas efectivas en el antivirus

se logró la instalación y gestión del software kmspico para la activación de la
licencia de Windows 10. Por lo anterior y con base en el numeral A.122.1 de la
NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 “Controles contra códigos
maliciosos” para lo cual se implementará una solución de antivirus (prevención
y detección) y se complementará con un plan de comunicación para concientizar
a los empleados respecto a los temas de seguridad de la información entre ellos
el tema malware, características, cómo protegerse ante estos ataques y cómo
reportarlos. Es necesario verificar la efectividad del antivirus, actualizar a una
versión nueva o si es necesario cambiar de marca. Una vez surtidos los
anteriores pasos se debe instalar en todas las estaciones de trabajo con el fin
de proteger los sistemas de información y la información que manejan sus
empleados.

Si los funcionarios se conectan a los sistemas de información de la empresa

desde los equipos móviles es necesario instalarle antivirus.

En el mercado existe un sin número de marcas que se pueden ajustar a las

necesidades del cliente. Pero antes de elegir un proveedor de antivirus es
necesario tener en cuenta aspectos como las actualizaciones, servicio técnico,
efectividad, facilidad de instalación y facilidad de gestión desde la consola de
administración.
4. Se observó que no existen restricciones para la navegación en internet en cada
una de las estaciones de trabajo de la compañía por tal razón no se puede
controlar las páginas que están consultando los empleados, tampoco las
descargas que ellos realizan. Razón por la cual no se puede tener un control en
la navegación. Dado lo anterior de acuerdo con el numeral de la norma A.13.1.1
de la NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001 “Controles de redes:
las redes se deben gestionar y controlar para proteger la información en sistema
y aplicaciones” es necesario adquirir y gestionar herramientas de seguridad:

 Firewall: es necesario implementar políticas efectivas y robustas en el

firewall ya que la falta de éstas ocasiona que los equipos y el servidor
conectados a la red estén en expuestos a accesos no autorizados por
intrusos que pueden ocasionar robo o daño en los sistemas de información
y la información.

 Sniffer: la instalación de esta herramienta nos permite llevar un control

eficaz del tráfico en la red. Con éste se puede capturar y controlar cualquier
tipo de información que transita a través de la red LAN, desde un correo
hasta las contraseñas o mensajes de todo tipo.

 La red WiFi: es una de las redes más inseguras y favoritas para los
delincuentes, es necesario cambiar la contraseña que viene de fábrica,
cámbiele el nombre a la red, utilice el nivel de seguridad WPA2, reduzca los
rangos de direcciones IP permitidas y haga que las personas se autentiquen
cuando se conecten a la red.

5. Dado que se pudo visualizar en un archivo una contraseña en texto plano se

recomienda implementar el siguiente control de la norma ISO27001 A.10.1.1
Política sobre el uso de controles criptográficos, que indica que se debe
desarrollar e implementar una política sobre el uso de controles criptográficos
para la protección de la información, se debe generar la política correspondiente
donde se enfatice que se debe aplicar cifrado a la información sensible
(contraseñas, datos personales entre otros).

6. Dado que se encontró software libre no autorizado en el equipo del gerente, se

recomienda implementar los siguientes controles de la Norma ISO27001: 1)
A.12.5.1 Control: Instalación de software en sistemas operativos, para lo cual
se requiere establecer un procedimiento para el control de las instalaciones de
software y configurar la herramienta para realizar las actualizaciones de
 software (parches, plugins). 2) A.12.6.2 Restricciones sobre la instalación de
software, para el cual se realizará la configuración del directorio activo para
restricción de instalaciones de software.

7. Debido a que no existe una política, manual o procedimiento para establecer

responsabilidades al momento de gestionar respuestas rápidas y eficaces frente
a incidentes de seguridad de la información es necesario elaborar un
procedimiento de acuerdo con el numeral A.16.1.1 de la NORMA TÉCNICA
COLOMBIANA NTC-ISO-IEC 27001 “Responsabilidades y procedimientos. Se
deben establecer responsabilidades y procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la
información, para lo cual se debe implementar un procedimiento de gestión de
incidentes”

8. A.12.6.1 Gestión de las vulnerabilidades técnicas. Se debe obtener

oportunamente información acerca de las vulnerabilidades técnicas de los
sistemas de información que se usen, evaluar la exposición de la organización
a estas vulnerabilidades y tomar las medidas necesarias para tratar el riesgo
asociado; para esto se debe implementar una política de gestión del riesgo, un
procedimiento de gestión de riesgos y la implementación de herramientas de
pentesting para realizar auditorías periódicas sobre la infraestructura
tecnológica de la organización y adicionalmente desarrollar actividades de
hardening periódicamente.

9. Es necesario implementar una política de seguridad trasversal, vinculando todas

las áreas de la empresa y la alta gerencia. De acuerdo con la NORMA TÉCNICA
COLOMBIANA NTC-ISO-IEC 27001 en el numeral 5.1.1. “Política de seguridad
de la información. Se debe definir un conjunto de políticas para la seguridad de
la información aprobada por la dirección, publicada y comunicada a los
empleados y a las partes externas interesadas”

10. Por último, se debe fortalecer la conciencia en seguridad de la información a

través de jornadas de sensibilización apoyados en un plan de comunicaciones
donde se defina público objetivo, medios de comunicación de la información,
frecuencia de envió de dichas comunicaciones, entre otros.
 CONCLUSIONES

La ingeniería forense nos ofrece una cantidad de herramientas y técnicas a la hora

de realizar la búsqueda, rastro o reconstrucción de evidencia crucial para entender
el cómo y porqué se llevó a cabo un ciberdelito.

Por otro lado, es necesario evaluar cada una de las situaciones presentadas en un
ataque, analizar sus causas, identificar los controles aplicables y establecer un plan
de tratamiento que evite nuevamente la materialización de este riesgo.
 BIBLIOGRAFIA

 Siete consejos para proteger los sistemas informáticos de su compañía.

Recuperado de https://www.portafolio.co/innovacion/siete-
recomendaciones-para-proteger-los-sistemas-informaticos-de-su-compania-
506755

 Para qué se usa un Sniffer. Recuperado de https://culturacion.com/para-

que-se-usa-un-sniffer/

 Icontec. (2013). NORMA TÉCNICA COLOMBIANA NTC-ISO-IEC 27001.

Bogotá: Icontec.