Diseño de procedimientos de seguridad basados en pruebas de Pentesting aplicadas a la empresa CJT&T Ingeniería de Software.

Abstract

En el presente trabajo de grado se optó por el área de conocimiento correspondiente a la Seguridad en redes centrándose en el proceso que implica realizar un Pentesting para formular prácticas de seguridad adecuadas en la empresa CJT&T Ingeniería de Software.

El estudio surge en respuesta a la preocupación del autor sobre la situación de seguridad actual de la organización patrocinante. Así, motivado sobre el inminente riesgo de intrusiones abusivas basados en la gran gama de modalidades de ataques informáticos, así como herramientas disponibles de manera pública en la actualidad se hace necesario establecer mecanismos de protección que sean capaces de mejorar las condiciones de disponibilidad, integridad, autenticidad y no repudio con respecto a los activos de información críticos.

En este sentido, en primera instancia se ha centrado el estudio sobre el principal objetivo de lograr la implementación de procedimientos de seguridad basados en políticas formuladas en respuesta a una serie de fases producto del proceso de Pentesting.

Así, el Pentesting o Hacking Ético se ejecutará en referencia al estándar PTES (Penetration Test Execution Standard) debido a que su contenido es el resultado de las características comunes correspondientes a casos de éxito en la aplicación de este tipo de pruebas.

Entonces, siguiendo el cronograma de actividades puesto en conocimiento a la organización se procedió con el inicio de la fase de recolección de información en la cual se pretendió obtener la mayor cantidad de datos útiles desde fuentes públicas y privadas para reconocer e indagar sobre aquellos datos que podrían ser de utilidad e interés para el atacante que busca conocer y adentrarse sobre la infraestructura y el negocio de su objetivo. En este punto, se efectúan procesos como la inteligencia de fuentes abiertas y el footprint de internet, interno y externo.

Cuando se cuenta con el suficiente conocimiento sobre el objetivo, llega el momento de efectuar un análisis sobre las vulnerabilidades en los sistemas. Los escáneres Nessus y OpenVAS en conjunto con los procesos de observación realizados en la empresa permitieron detectar aquellas falencias en los diferentes dispositivos de la organización. La severidad de estas fallas permite priorizar su solución desde las alternativas propuestas por estos programas o medidas a nivel de hardware y software asociadas con la protección de los activos. El escanear las vulnerabilidades permitió generar los vectores de ataque para establecer de qué manera sería expuesta la organización con respecto a determinadas amenazas.

Posterior a esto, el proceso de explotación materializó los vectores de ataque para simular escenarios en la organización y dejar constatado y evidenciada la gravedad o consecuencias que podrían implicar este tipo de situaciones. En cuestión, se podría denegar los servicios, robar información, usurpar identidades, controlar recursos, entre otros.

Finalmente, con esta información se formulan unas políticas y procedimientos en respuesta a las vulnerabilidades encontradas, para garantizar que tanto personal como dirección basen sus actuaciones sobre buenas prácticas y mecanismos de prevención teniendo claridad sobre los conceptos de seguridad.