dc.contributor.advisor | Cruz Garzón, Juan José | |
dc.coverage.spatial | cead_-_pasto | spa |
dc.creator | López Parra, Miguel Ángel | |
dc.date.accessioned | 2018-02-27T01:09:33Z | |
dc.date.available | 2018-02-27T01:09:33Z | |
dc.date.created | 2017-11-30 | |
dc.identifier.uri | https://repository.unad.edu.co/handle/10596/14929 | |
dc.description.abstract | En el presente trabajo de grado se optó por el área de conocimiento correspondiente a la Seguridad en redes centrándose en el proceso que implica realizar un Pentesting para formular prácticas de seguridad adecuadas en la empresa CJT&T Ingeniería de Software.
El estudio surge en respuesta a la preocupación del autor sobre la situación de seguridad actual de la organización patrocinante. Así, motivado sobre el inminente riesgo de intrusiones abusivas basados en la gran gama de modalidades de ataques informáticos, así como herramientas disponibles de manera pública en la actualidad se hace necesario establecer mecanismos de protección que sean capaces de mejorar las condiciones de disponibilidad, integridad, autenticidad y no repudio con respecto a los activos de información críticos.
En este sentido, en primera instancia se ha centrado el estudio sobre el principal objetivo de lograr la implementación de procedimientos de seguridad basados en políticas formuladas en respuesta a una serie de fases producto del proceso de Pentesting.
Así, el Pentesting o Hacking Ético se ejecutará en referencia al estándar PTES (Penetration Test Execution Standard) debido a que su contenido es el resultado de las características comunes correspondientes a casos de éxito en la aplicación de este tipo de pruebas.
Entonces, siguiendo el cronograma de actividades puesto en conocimiento a la organización se procedió con el inicio de la fase de recolección de información en la cual se pretendió obtener la mayor cantidad de datos útiles desde fuentes públicas y privadas para reconocer e indagar sobre aquellos datos que podrían ser de utilidad e interés para el atacante que busca conocer y adentrarse sobre la infraestructura y el negocio de su objetivo. En este punto, se efectúan procesos como la inteligencia de fuentes abiertas y el footprint de internet, interno y externo.
Cuando se cuenta con el suficiente conocimiento sobre el objetivo, llega el momento de efectuar un análisis sobre las vulnerabilidades en los sistemas. Los escáneres Nessus y OpenVAS en conjunto con los procesos de observación realizados en la empresa permitieron detectar aquellas falencias en los diferentes dispositivos de la organización. La severidad de estas fallas permite priorizar su solución desde las alternativas propuestas por estos programas o medidas a nivel de hardware y software asociadas con la protección de los activos. El escanear las vulnerabilidades permitió generar los vectores de ataque para establecer de qué manera sería expuesta la organización con respecto a determinadas amenazas.
Posterior a esto, el proceso de explotación materializó los vectores de ataque para simular escenarios en la organización y dejar constatado y evidenciada la gravedad o consecuencias que podrían implicar este tipo de situaciones. En cuestión, se podría denegar los servicios, robar información, usurpar identidades, controlar recursos, entre otros.
Finalmente, con esta información se formulan unas políticas y procedimientos en respuesta a las vulnerabilidades encontradas, para garantizar que tanto personal como dirección basen sus actuaciones sobre buenas prácticas y mecanismos de prevención teniendo claridad sobre los conceptos de seguridad. | spa |
dc.format | pdf | spa |
dc.format.mimetype | application/pdf | spa |
dc.language.iso | spa | spa |
dc.publisher | Universidad Nacional Abierta y a Distancia UNAD | spa |
dc.title | Diseño de procedimientos de seguridad basados en pruebas de Pentesting aplicadas a la empresa CJT&T Ingeniería de Software. | spa |
dc.type | Proyecto aplicado | spa |
dc.subject.keywords | Ataque Informático | spa |
dc.subject.keywords | Hacking Ético | spa |
dc.subject.keywords | Seguridad Informática | spa |
dc.subject.keywords | Vulnerabilidad | spa |
dc.subject.keywords | Políticas de Seguridad Informática | spa |
dc.subject.keywords | Riesgos – Amenazas Informáticas | spa |
dc.description.abstractenglish | On this document, Network Security was the chosen knowledge area to involve the process of Pentesting in order to formulate appropriate security practices in the company CJT&T Software Engineering.
The study arises in response to the author's concern about the current security situation of the sponsoring organization. Thus, motivated by the imminent risk of abusive intrusions based on the wide range of types of computer attacks, as well as publicly available tools at present, it is necessary to establish protection mechanisms that are capable of improving the conditions of availability, integrity, authenticity and non-repudiation with respect to critical information assets.
In this sense, the study focused on the main objective of achieving the implementation of security procedures based on policies formulated in response to a series of phases produced by the Pentesting process.
Thus, the Pentesting or Ethical Hacking will be executed in reference to the standard PTES (Penetration Test Execution Standard) because its content is the result of the common characteristics corresponding to cases of success in the application of this type of tests.
Then, following the schedule of activities brought to the attention of the organization, we proceeded with the start of the information collection phase in which it was intended to obtain the largest amount of useful data from public and private sources to recognize and inquire about the data that could be useful and interesting for the attacker who seeks to know and delve into the infrastructure and business of their goal. At this point, processes such as the intelligence of open sources and the internet footprint, internal and external, are carried out.
When there is sufficient knowledge about the objective, it is time to carry out an analysis of the vulnerabilities in the systems. The Nessus and OpenVAS scanners, in conjunction with the observation processes carried out at the company, allowed us to detect those faults in the different devices of the organization. The severity of these failures allowed to prioritize solutions from the alternatives proposed by these programs or measures at the hardware and software level associated with the protection of assets. Scanning the vulnerabilities allowed to generate the attack vectors to establish in what way the organization would be exposed with respect to certain threats.
After this, the exploitation process materialized the attack vectors to simulate scenarios in the organization and to establish and demonstrate the seriousness or consequences that could involve this type of situation. On this direction, services could be denied, information stolen, identity usurped, resources controlled, among others.
Finally, with this information, policies and procedures are formulated in response to the vulnerabilities found, to ensure that both staff and management base their actions on good practices and prevention mechanisms, having clarity about security concepts. | spa |
dc.subject.category | Ingeniería de Sistemas | spa |
dc.rights.accesRights | info:eu-repo/semantics/openAccess | spa |
dc.rights.acceso | Abierto (Texto Completo) | spa |