d a d i l i b i n o p s i d r o w s s a p s u r i v s n o ......un hacker y un cracker, es que un...

2006 – Todos los derechos reservados

D A D I L I B I N O P S I D R O W S S A PA S U R I V Q S N O I C C E Y N I S E D FD P F G H U J G L I M E T O D O L O G I AT O Q W E L R S I N T E G R I D A D U Y Yy L O W O N A S U G C T I A Z C V B R U Hu O Q I T E S T D E P E N E T R A C I O NE K G M E R R T E N A B F X S W U N D Q SD I A S D A E C R I P T O G R A F I A A EO P D T E B W G M E I O R X G Z J H D Z LS P O O F I N G W R U P M L T R O Y A N OS I S U H L R G L I Y Ñ A M E N A Z A X RT S X U N I L N L A N H C C H A M Y V S TM H D F G D Q I D S T D I N T R U S I O NM I H C R A C K P O F F O S E C O R P W OC N J N M D A C O C R R N W G Q I T S E CR G V A L O R A C I O N B C I Ñ K G F D WF G A X F G H H L A I C N E C I F N O C AR A T I D U A P O L I T I C A P L B R C R

El Valor del Hacker en la OrganizaciónEl Valor del Hacker en la Organización

Andrés Ricardo Almanza JuAndrés Ricardo Almanza Ju

[email protected][email protected]

““Hay alguna forma de Hay alguna forma de atacar una fuerza diez atacar una fuerza diez veces mayor que la mía ?”veces mayor que la mía ?”

Sun TzuSun Tzu

2006 – Todos los derechos reservados. Andrés Ricardo Almanza

D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I

L I B I NI V Q I NH U J S L

PropósitosPropósitos

� Mostrar la habilidad de los hackers al servicio de la organización, con el propósito de replantear las estrategias de seguridad de la organización.

� Administrar la inseguridad de la información mediante la

validación de las estrategias, tácticas y planes de seguridad de

la organización.

� Hackers al servicio de la organización y su relación con los

modelos de gestión de seguridad de la información. No solo de

bits y de bytes se puede hablar.

� Metodologías que se pueden utilizar en el proceso.




AgendaAgenda

� Introducción

� La organización y la seguridad de la información

� El hacker y la Organización

� Rol del hacker

� Que y Como ?

� Retos y conclusiones




IntroducciónIntroducción

� Aumentan día a día el número de vulnerabilidades. Mayor grado de exposición.

� Problemas al momento de

justificar las inversiones en

seguridad (ROI)

� Por lo tanto hay dificultad en los

procesos de gestión del riesgo.2000 2001 2002 2003 2004 2005 2006

1000

1500

2000

2500

3000

3500

4000

4500

5000

5500

6000

1090

1597

2437

3784 3780

5990

1597

Tendencia de Vulnerabilidades




IntroducciónIntroducción

� Costos en seguridad crecen exponencialmente.

� Existen problemas para

encontrar los puntos de

equilibrio entre Costos,

Riesgos y Seguridad.

� Los puntos de equilibrio

normalmente no reflejan las

realidades de la

organización en seguridad.




� Seguridad de la Información = conjunto de elementos de la organización combinados.

� Todos los

elementos deben

procurar estar

alineación con los

objetivos del

negocio.

Organización y la SeguridadOrganización y la Seguridad

Activos deActivos deActivos deActivos de

InformaciónInformaciónInformaciónInformación

Activos deActivos deActivos deActivos de





� Se debe plantear la SISISISISISISISI como un componente estratégico de la organización

� Se deben plantear estrategiasestrategiasestrategiasestrategiasestrategiasestrategiasestrategiasestrategias y tácticastácticastácticastácticastácticastácticastácticastácticas de seguridad de la

información que garanticen:


�� Gobierno de SIGobierno de SIGobierno de SIGobierno de SIGobierno de SIGobierno de SIGobierno de SIGobierno de SI

�� Gestión de SIGestión de SIGestión de SIGestión de SIGestión de SIGestión de SIGestión de SIGestión de SI

�� Continuidad del NegocioContinuidad del NegocioContinuidad del NegocioContinuidad del NegocioContinuidad del NegocioContinuidad del NegocioContinuidad del NegocioContinuidad del Negocio

Activos de Activos de Activos de Activos de


ValorarValorarValorarValorar

ProtegerProtegerProtegerProteger




� La seguridad debe ser vista como un Proceso. Por lo tanto se debe gestionar.

� La gestión busca garantizar

que los activos de activos de activos de activos de activos de activos de activos de activos de

informacióninformacióninformacióninformacióninformacióninformacióninformacióninformación, tenga la mejor

protección(controles) de

acuerdo al valorvalorvalorvalorvalorvalorvalorvalor de los

activos.

Seguridad dela InformaciónSeguridad deSeguridad dela Informaciónla Información

PlanearPlanear

VerificarVerificar

HacerHacerActuarActuar






PlanearPlanear

VerificarVerificar



�Implementación de controles, para mitigar riesgo� Estratégicos� Operativos� Tácticos

��Implementación de Implementación de controles, para mitigar riesgocontroles, para mitigar riesgo�� EstratégicosEstratégicos�� OperativosOperativos�� TácticosTácticos

�Probar el correcto funcionamiento del sistema�Cumplimiento con lo establecido�Mediciones de los controles implementados

��Probar el correcto Probar el correcto funcionamiento del sistemafuncionamiento del sistema��Cumplimiento con lo Cumplimiento con lo establecidoestablecido��Mediciones de los Mediciones de los controles implementadoscontroles implementados

�Auditaría y retroalimentación �Mejoramiento y aprendizaje�Ajustes y acciones en pro del mejoramiento

��Auditaría y Auditaría y retroalimentación retroalimentación ��Mejoramiento y Mejoramiento y aprendizajeaprendizaje��Ajustes y acciones en Ajustes y acciones en pro del mejoramientopro del mejoramiento

�Identificación, Valoración del Riesgo�Plan estratégico de seguridad y protección de los activos de información�Creación de la Postura de Inseguridad

��Identificación, Valoración Identificación, Valoración del Riesgodel Riesgo��Plan estratégico de Plan estratégico de seguridad y protección de seguridad y protección de los activos de informaciónlos activos de información��Creación de la Postura de Creación de la Postura de InseguridadInseguridad




Hacker y la OrganizaciónHacker y la Organización

“La diferencia básica entre un hacker y un cracker, es que un hacer construye cosas y un cracker las destruye”. Eric Raymon




Hacker y la OrganizaciónHacker y la Organización

� La organización debe verlo como un elemento de apoyo en el proceso de seguridad de la información.

� Continuamente replantean la postura de inseguridad

� Su habilidad debe ser aprovechada al máximo para identificar los

posibles puntos vulnerables en la arquitectura de seguridad

establecida.

� Replantean la seguridad como medida de mejoramiento en el

proceso de gestión de la seguridad.





PlanearPlanear

VerificarVerificar


Rol del HackerRol del Hacker

GarantíaGarantía MedicionesMediciones

SolucionesSoluciones�Que Problemas�Como resolverlos

�Que Problemas�Como resolverlos

�Reglas claras de lo que se va a realizar�Reducción de los niveles de riesgos. “Lo que se propone puede ser la mejor solución””

�Reglas claras de lo que se va a realizar�Reducción de los niveles de riesgos. “Lo que se propone puede ser la mejor solución””

�Medición que permita:� Identificar grado o

postura de seguridad

� Demostrar el ROI en temas de seguridad

�Medición que permita:� Identificar grado o

postura de seguridad

� Demostrar el ROI en temas de seguridad

� El hacker debe ofrecer





� Dentro de sus actividades y cualidades están:

� Utilizar sus conocimientos en pro de la defensa

� Continuo autoestudio de la arquitectura de seguridad e

infraestructura

� Habilidad para ver la seguridad como un proceso el cual se

gestiona

� Dedicación, entusiasmo y paciencia.

� Imparcialidad en la organización, no sujeto de juicios que

sesguen su visión.

� Embebido el principio. “Conoce a tu enemigo. Para protegerte a

ti mismo”.





Que pasa con Que pasa con las intrusiones las intrusiones sean exitosas sean exitosas

o no ?o no ?

Que pasa si existe una falla de seguridad ?

Que pasa si existe Que pasa si existe una falla de una falla de seguridad ?seguridad ?

En caso de que exista la intrusión, que puede hacer

con la Información ?

En caso de que En caso de que exista la intrusión, exista la intrusión, que puede hacer que puede hacer

con la Información ?con la Información ?

� Buscar responder los siguientes interrogantes

� Con ello puede crear

planes y estrategias

para validar los

esquemas de seguridad





� Tres grandes premisas son las que debe vender y tener muy claras, y con ellas empieza a impactar la estrategia y proceso de seguridad de la organización.

Que estamos protegiendo ?Que estamos Que estamos protegiendo ?protegiendo ?

Contra que nos debemos

proteger?

Contra que Contra que nos debemos nos debemos

proteger?proteger?

Cuanto debemos gastar en tiempo, esfuerzo y

dinero para conseguirlo ?

Cuanto debemos gastar Cuanto debemos gastar en tiempo, esfuerzo y en tiempo, esfuerzo y

dinero para conseguirlo ?dinero para conseguirlo ?

Gestión de ActivosGestión de ActivosGestión de Activos

Gestión de AmenazasGestión de AmenazasGestión de AmenazasROI en SeguridadROI en SeguridadROI en Seguridad




Que y Como ?Que y Como ?

� Para ello el hacker debe utilizar la mayor cantidad de herramientas y metodologías disponibles, que creen una postura de seguridad dentro de las cuales están:

Visión de SeguridadVisión de Visión de SeguridadSeguridadVisión TécnicaVisión TécnicaVisión Técnica

Visión de Negocio

Visión de Visión de NegocioNegocio




Que y Como ?Que y Como ?Visión de SeguridadVisión de Visión de SeguridadSeguridad

�� Se cuestiona acerca de lo que Se cuestiona acerca de lo que Se cuestiona acerca de lo que Se cuestiona acerca de lo que Se cuestiona acerca de lo que Se cuestiona acerca de lo que Se cuestiona acerca de lo que Se cuestiona acerca de lo que

podrá suceder si se ingresa de podrá suceder si se ingresa de podrá suceder si se ingresa de podrá suceder si se ingresa de podrá suceder si se ingresa de podrá suceder si se ingresa de podrá suceder si se ingresa de podrá suceder si se ingresa de

manera no autorizada. Cuan manera no autorizada. Cuan manera no autorizada. Cuan manera no autorizada. Cuan manera no autorizada. Cuan manera no autorizada. Cuan manera no autorizada. Cuan manera no autorizada. Cuan

críticos pueden llegar a ser los críticos pueden llegar a ser los críticos pueden llegar a ser los críticos pueden llegar a ser los críticos pueden llegar a ser los críticos pueden llegar a ser los críticos pueden llegar a ser los críticos pueden llegar a ser los

activos de información.activos de información.activos de información.activos de información.activos de información.activos de información.activos de información.activos de información.

�� Evalúa y cuestiona las Evalúa y cuestiona las Evalúa y cuestiona las Evalúa y cuestiona las Evalúa y cuestiona las Evalúa y cuestiona las Evalúa y cuestiona las Evalúa y cuestiona las

necesidades en términos de necesidades en términos de necesidades en términos de necesidades en términos de necesidades en términos de necesidades en términos de necesidades en términos de necesidades en términos de

seguridad y protección de la seguridad y protección de la seguridad y protección de la seguridad y protección de la seguridad y protección de la seguridad y protección de la seguridad y protección de la seguridad y protección de la

organización. Como manejar los organización. Como manejar los organización. Como manejar los organización. Como manejar los organización. Como manejar los organización. Como manejar los organización. Como manejar los organización. Como manejar los

riesgos y amenazas encontradasriesgos y amenazas encontradasriesgos y amenazas encontradasriesgos y amenazas encontradasriesgos y amenazas encontradasriesgos y amenazas encontradasriesgos y amenazas encontradasriesgos y amenazas encontradas�� Identifica las limitaciones de los Identifica las limitaciones de los Identifica las limitaciones de los Identifica las limitaciones de los Identifica las limitaciones de los Identifica las limitaciones de los Identifica las limitaciones de los Identifica las limitaciones de los

mecanismos de protecciónmecanismos de protecciónmecanismos de protecciónmecanismos de protecciónmecanismos de protecciónmecanismos de protecciónmecanismos de protecciónmecanismos de protección

�� Cuan preparado se esta Cuan preparado se esta Cuan preparado se esta Cuan preparado se esta Cuan preparado se esta Cuan preparado se esta Cuan preparado se esta Cuan preparado se esta

frente a una intrusión.frente a una intrusión.frente a una intrusión.frente a una intrusión.frente a una intrusión.frente a una intrusión.frente a una intrusión.frente a una intrusión.

�� Como se puede fortalecer las Como se puede fortalecer las Como se puede fortalecer las Como se puede fortalecer las Como se puede fortalecer las Como se puede fortalecer las Como se puede fortalecer las Como se puede fortalecer las

medidas de protección de la medidas de protección de la medidas de protección de la medidas de protección de la medidas de protección de la medidas de protección de la medidas de protección de la medidas de protección de la

organizaciónorganizaciónorganizaciónorganizaciónorganizaciónorganizaciónorganizaciónorganización





INTRUSIÓNINTRUSIÓNINTRUSIÓN

Con conocimiento Con conocimiento Con conocimiento Con conocimiento de la de la de la de la

infraestructura o infraestructura o infraestructura o infraestructura o sin elsin elsin elsin el

Con conocimiento Con conocimiento Con conocimiento Con conocimiento Con conocimiento Con conocimiento Con conocimiento Con conocimiento de la de la de la de la de la de la de la de la

infraestructura o infraestructura o infraestructura o infraestructura o infraestructura o infraestructura o infraestructura o infraestructura o sin elsin elsin elsin elsin elsin elsin elsin elContemplar todos Contemplar todos Contemplar todos Contemplar todos

los escenarios. los escenarios. los escenarios. los escenarios. Interno/ ExternoInterno/ ExternoInterno/ ExternoInterno/ Externo

Contemplar todos Contemplar todos Contemplar todos Contemplar todos Contemplar todos Contemplar todos Contemplar todos Contemplar todos los escenarios. los escenarios. los escenarios. los escenarios. los escenarios. los escenarios. los escenarios. los escenarios.

Interno/ ExternoInterno/ ExternoInterno/ ExternoInterno/ ExternoInterno/ ExternoInterno/ ExternoInterno/ ExternoInterno/ Externo

Validez por Validez por Validez por Validez por tiempo tiempo tiempo tiempo

definidosdefinidosdefinidosdefinidos

Validez por Validez por Validez por Validez por Validez por Validez por Validez por Validez por tiempo tiempo tiempo tiempo tiempo tiempo tiempo tiempo

definidosdefinidosdefinidosdefinidosdefinidosdefinidosdefinidosdefinidos

Objetivo y Objetivo y Objetivo y Objetivo y alcance alcance alcance alcance

claramente claramente claramente claramente definidodefinidodefinidodefinido

Objetivo y Objetivo y Objetivo y Objetivo y Objetivo y Objetivo y Objetivo y Objetivo y alcance alcance alcance alcance alcance alcance alcance alcance

claramente claramente claramente claramente claramente claramente claramente claramente definidodefinidodefinidodefinidodefinidodefinidodefinidodefinido

Se buscan Se buscan Se buscan Se buscan vulnerabilidades vulnerabilidades vulnerabilidades vulnerabilidades del sistema y se del sistema y se del sistema y se del sistema y se

aprovechanaprovechanaprovechanaprovechan

Se buscan Se buscan Se buscan Se buscan Se buscan Se buscan Se buscan Se buscan vulnerabilidades vulnerabilidades vulnerabilidades vulnerabilidades vulnerabilidades vulnerabilidades vulnerabilidades vulnerabilidades del sistema y se del sistema y se del sistema y se del sistema y se del sistema y se del sistema y se del sistema y se del sistema y se

aprovechanaprovechanaprovechanaprovechanaprovechanaprovechanaprovechanaprovechan

Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Ingreso al sistema Ingreso al sistema Ingreso al sistema Ingreso al sistema

de manera no de manera no de manera no de manera no autorizadaautorizadaautorizadaautorizada

Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Ingreso al sistema Ingreso al sistema Ingreso al sistema Ingreso al sistema Ingreso al sistema Ingreso al sistema Ingreso al sistema Ingreso al sistema

de manera no de manera no de manera no de manera no de manera no de manera no de manera no de manera no autorizadaautorizadaautorizadaautorizadaautorizadaautorizadaautorizadaautorizada

Jugar el rol Jugar el rol Jugar el rol Jugar el rol de un de un de un de un

atacanteatacanteatacanteatacante

Jugar el rol Jugar el rol Jugar el rol Jugar el rol Jugar el rol Jugar el rol Jugar el rol Jugar el rol de un de un de un de un de un de un de un de un

atacanteatacanteatacanteatacanteatacanteatacanteatacanteatacante

Producir Producir Producir Producir soluciones para soluciones para soluciones para soluciones para

mitigar mitigar mitigar mitigar vulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidades

Producir Producir Producir Producir Producir Producir Producir Producir soluciones para soluciones para soluciones para soluciones para soluciones para soluciones para soluciones para soluciones para

mitigar mitigar mitigar mitigar mitigar mitigar mitigar mitigar vulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidades





Ethical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical Hacking Test de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de Penetración

��Proceso diseñado para Proceso diseñado para Proceso diseñado para Proceso diseñado para Proceso diseñado para Proceso diseñado para Proceso diseñado para Proceso diseñado para identificar vulnerabilidades identificar vulnerabilidades identificar vulnerabilidades identificar vulnerabilidades identificar vulnerabilidades identificar vulnerabilidades identificar vulnerabilidades identificar vulnerabilidades en los sistemas.en los sistemas.en los sistemas.en los sistemas.en los sistemas.en los sistemas.en los sistemas.en los sistemas.��Se realiza de manera Se realiza de manera Se realiza de manera Se realiza de manera Se realiza de manera Se realiza de manera Se realiza de manera Se realiza de manera coordinada y comprensiva, coordinada y comprensiva, coordinada y comprensiva, coordinada y comprensiva, coordinada y comprensiva, coordinada y comprensiva, coordinada y comprensiva, coordinada y comprensiva, buscando valorar los buscando valorar los buscando valorar los buscando valorar los buscando valorar los buscando valorar los buscando valorar los buscando valorar los activos de información y su activos de información y su activos de información y su activos de información y su activos de información y su activos de información y su activos de información y su activos de información y su nivel de exposición.nivel de exposición.nivel de exposición.nivel de exposición.nivel de exposición.nivel de exposición.nivel de exposición.nivel de exposición.��Enfocado al diseño de los Enfocado al diseño de los Enfocado al diseño de los Enfocado al diseño de los Enfocado al diseño de los Enfocado al diseño de los Enfocado al diseño de los Enfocado al diseño de los diferentes tipos de testdiferentes tipos de testdiferentes tipos de testdiferentes tipos de testdiferentes tipos de testdiferentes tipos de testdiferentes tipos de testdiferentes tipos de test

��Componente del Ethical Componente del Ethical Componente del Ethical Componente del Ethical Componente del Ethical Componente del Ethical Componente del Ethical Componente del Ethical HackerHackerHackerHackerHackerHackerHackerHacker��Refiere a la parte de Refiere a la parte de Refiere a la parte de Refiere a la parte de Refiere a la parte de Refiere a la parte de Refiere a la parte de Refiere a la parte de implementaciónimplementaciónimplementaciónimplementaciónimplementaciónimplementaciónimplementaciónimplementación��Simula el ataque.Simula el ataque.Simula el ataque.Simula el ataque.Simula el ataque.Simula el ataque.Simula el ataque.Simula el ataque.��Intento localizado y Intento localizado y Intento localizado y Intento localizado y Intento localizado y Intento localizado y Intento localizado y Intento localizado y limitado en el tiempo para limitado en el tiempo para limitado en el tiempo para limitado en el tiempo para limitado en el tiempo para limitado en el tiempo para limitado en el tiempo para limitado en el tiempo para obtener control del obtener control del obtener control del obtener control del obtener control del obtener control del obtener control del obtener control del sistema, o crear daño.sistema, o crear daño.sistema, o crear daño.sistema, o crear daño.sistema, o crear daño.sistema, o crear daño.sistema, o crear daño.sistema, o crear daño.





IngenieríaIngenieríaIngenieríaIngenieríaSocialSocialSocialSocial

IngenieríaIngenieríaIngenieríaIngenieríaIngenieríaIngenieríaIngenieríaIngenieríaSocialSocialSocialSocialSocialSocialSocialSocial

Otros Otros Otros Otros MediosMediosMediosMedios

Otros Otros Otros Otros Otros Otros Otros Otros MediosMediosMediosMediosMediosMediosMediosMedios

Acceso Acceso Acceso Acceso FísicoFísicoFísicoFísico

Acceso Acceso Acceso Acceso Acceso Acceso Acceso Acceso FísicoFísicoFísicoFísicoFísicoFísicoFísicoFísico

AgresivoAgresivoAgresivoAgresivoAgresivoAgresivoAgresivoAgresivoAgresivoAgresivoAgresivoAgresivo

BlackBlackBlackBlack---- BoxBoxBoxBoxBlackBlackBlackBlack---- BoxBoxBoxBox

DescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubierto

OrientadoOrientadoOrientadoOrientadoOrientadoOrientadoOrientadoOrientadoOrientadoOrientadoOrientadoOrientado

RedRedRedRedRedRedRedRedRedRedRedRed

LimitadoLimitadoLimitadoLimitadoLimitadoLimitadoLimitadoLimitadoLimitadoLimitadoLimitadoLimitado

ExternoExternoExternoExternoExternoExternoExternoExternoExternoExternoExternoExterno

InternoInternoInternoInternoInternoInternoInternoInternoInternoInternoInternoInterno

TotalTotalTotalTotalTotalTotalTotalTotalTotalTotalTotalTotal

CalculadoCalculadoCalculadoCalculadoCalculadoCalculadoCalculadoCalculadoCalculadoCalculadoCalculadoCalculado

CuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCubiertoCubiertoCubiertoCubiertoCubiertoCubiertoCubiertoCubiertoCubiertoCubiertoCubiertoCubierto

PasivoPasivoPasivoPasivoPasivoPasivoPasivoPasivoPasivoPasivoPasivoPasivo

WhiteWhiteWhiteWhite---- boxboxboxboxWhiteWhiteWhiteWhite---- boxboxboxbox

Test deTest deTest deTest dePenetraciónPenetraciónPenetraciónPenetración

Test deTest deTest deTest deTest deTest deTest deTest dePenetraciónPenetraciónPenetraciónPenetraciónPenetraciónPenetraciónPenetraciónPenetración

Nivel de Nivel de Nivel de Nivel de conocimiento conocimiento conocimiento conocimiento acerca del acerca del acerca del acerca del

objetivo. Internet objetivo. Internet objetivo. Internet objetivo. Internet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet

(WB)(WB)(WB)(WB)

Nivel de Nivel de Nivel de Nivel de Nivel de Nivel de Nivel de Nivel de conocimiento conocimiento conocimiento conocimiento conocimiento conocimiento conocimiento conocimiento acerca del acerca del acerca del acerca del acerca del acerca del acerca del acerca del

objetivo. Internet objetivo. Internet objetivo. Internet objetivo. Internet objetivo. Internet objetivo. Internet objetivo. Internet objetivo. Internet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet

(WB)(WB)(WB)(WB)(WB)(WB)(WB)(WB) Que tan agresivo Que tan agresivo Que tan agresivo Que tan agresivo será el test será el test será el test será el test durante su durante su durante su durante su ejecuciónejecuciónejecuciónejecución

Que tan agresivo Que tan agresivo Que tan agresivo Que tan agresivo Que tan agresivo Que tan agresivo Que tan agresivo Que tan agresivo será el test será el test será el test será el test será el test será el test será el test será el test durante su durante su durante su durante su durante su durante su durante su durante su ejecuciónejecuciónejecuciónejecuciónejecuciónejecuciónejecuciónejecución

A cuales sistemas A cuales sistemas A cuales sistemas A cuales sistemas se les realizara la se les realizara la se les realizara la se les realizara la

pruebapruebapruebaprueba

A cuales sistemas A cuales sistemas A cuales sistemas A cuales sistemas A cuales sistemas A cuales sistemas A cuales sistemas A cuales sistemas se les realizara la se les realizara la se les realizara la se les realizara la se les realizara la se les realizara la se les realizara la se les realizara la

pruebapruebapruebapruebapruebapruebapruebaprueba

Tipo de Tipo de Tipo de Tipo de visibilidad visibilidad visibilidad visibilidad del ataquedel ataquedel ataquedel ataque

Tipo de Tipo de Tipo de Tipo de Tipo de Tipo de Tipo de Tipo de visibilidad visibilidad visibilidad visibilidad visibilidad visibilidad visibilidad visibilidad del ataquedel ataquedel ataquedel ataquedel ataquedel ataquedel ataquedel ataque

Que técnicas Que técnicas Que técnicas Que técnicas serán serán serán serán

utilizadas en utilizadas en utilizadas en utilizadas en el testel testel testel test

Que técnicas Que técnicas Que técnicas Que técnicas Que técnicas Que técnicas Que técnicas Que técnicas serán serán serán serán serán serán serán serán

utilizadas en utilizadas en utilizadas en utilizadas en utilizadas en utilizadas en utilizadas en utilizadas en el testel testel testel testel testel testel testel test

Desde donde Desde donde Desde donde Desde donde va a ser va a ser va a ser va a ser

ejecutado el ejecutado el ejecutado el ejecutado el testtesttesttest

Desde donde Desde donde Desde donde Desde donde Desde donde Desde donde Desde donde Desde donde va a ser va a ser va a ser va a ser va a ser va a ser va a ser va a ser

ejecutado el ejecutado el ejecutado el ejecutado el ejecutado el ejecutado el ejecutado el ejecutado el testtesttesttesttesttesttesttest




Análisis de Vulnerabilidades

Análisis de Análisis de VulnerabilidadesVulnerabilidades

ReconocimientoReconocimientoReconocimiento

IntrusiónIntrusiónIntrusión

Resultados FinalesResultados FinalesResultados Finales

PlaneaciónPlaneaciónPlaneación


Seguridad deSeguridad dela informaciónla información

SeguridadSeguridadFísicaFísica

Seguridad deSeguridad deProcesosProcesos

Segu

ridad

Segu

ridad

Inte

rnet

Inte

rnet

SeguridadSeguridadInhalámbricaInhalámbrica

Seguridad

Seguridad

Comunicacione

Comunicacione

ss




Que y Como ?Que y Como ?Visión TécnicaVisión TécnicaVisión Técnica

�� Se validan las debilidades y Se validan las debilidades y Se validan las debilidades y Se validan las debilidades y Se validan las debilidades y Se validan las debilidades y Se validan las debilidades y Se validan las debilidades y

fortalezas de los mecanismos fortalezas de los mecanismos fortalezas de los mecanismos fortalezas de los mecanismos fortalezas de los mecanismos fortalezas de los mecanismos fortalezas de los mecanismos fortalezas de los mecanismos

de control.de control.de control.de control.de control.de control.de control.de control.

�� Enfocadas identificar los detalles Enfocadas identificar los detalles Enfocadas identificar los detalles Enfocadas identificar los detalles Enfocadas identificar los detalles Enfocadas identificar los detalles Enfocadas identificar los detalles Enfocadas identificar los detalles

técnicos de las debilidades de técnicos de las debilidades de técnicos de las debilidades de técnicos de las debilidades de técnicos de las debilidades de técnicos de las debilidades de técnicos de las debilidades de técnicos de las debilidades de

seguridadseguridadseguridadseguridadseguridadseguridadseguridadseguridad�� Normalmente buscan identificar Normalmente buscan identificar Normalmente buscan identificar Normalmente buscan identificar Normalmente buscan identificar Normalmente buscan identificar Normalmente buscan identificar Normalmente buscan identificar

y cuantifican las y cuantifican las y cuantifican las y cuantifican las y cuantifican las y cuantifican las y cuantifican las y cuantifican las

vulnerabilidades y amenazas a vulnerabilidades y amenazas a vulnerabilidades y amenazas a vulnerabilidades y amenazas a vulnerabilidades y amenazas a vulnerabilidades y amenazas a vulnerabilidades y amenazas a vulnerabilidades y amenazas a

los activos de informaciónlos activos de informaciónlos activos de informaciónlos activos de informaciónlos activos de informaciónlos activos de informaciónlos activos de informaciónlos activos de información

�� Identificar áreas que Identificar áreas que Identificar áreas que Identificar áreas que Identificar áreas que Identificar áreas que Identificar áreas que Identificar áreas que

requieren mejoramientorequieren mejoramientorequieren mejoramientorequieren mejoramientorequieren mejoramientorequieren mejoramientorequieren mejoramientorequieren mejoramiento

�� Se considera un estudio más Se considera un estudio más Se considera un estudio más Se considera un estudio más Se considera un estudio más Se considera un estudio más Se considera un estudio más Se considera un estudio más

amplio, en el sentido de los amplio, en el sentido de los amplio, en el sentido de los amplio, en el sentido de los amplio, en el sentido de los amplio, en el sentido de los amplio, en el sentido de los amplio, en el sentido de los

elementos que involucraelementos que involucraelementos que involucraelementos que involucraelementos que involucraelementos que involucraelementos que involucraelementos que involucra




Retos y ConclusionesRetos y Conclusiones

� Importancia de el hacker en la organización por que ayuda en el proceso de fortalecimiento de la seguridad de la información.

� Debe pensar el hacker en como integrar todas las herramientas y

metodologías disponibles y como ellas pueden producir un

resultado.

� Su valor estará medido en la medida que influya en el

replanteamiento de las arquitecturas e infraestructuras de seguridad

a través de los planes generados

� Los resultados de sus pruebas tendrán valor si estas se convierten

en planes de ejecución en pro de mejoramiento.





� Importante el aprovechamiento de las metodologías y prácticas de la industria en el desarrollo de sus funciones.

� El valor para la organización estará medido en la medida que

fortalezca el proceso de gestión de seguridad de la información, y

definan un mejoramiento continuo en la postura de seguridad.

� Entender que no solo es un proceso mecánico y de nivel operativo,

sino que va un poco más allá de lo que podemos contemplar.

� La gestión del riesgo, junto como las políticas de seguridad y

protección, serán claves a la hora de definir la postura de seguridad.





� De vital importancia que para la realización de cualquier prueba, sea de auditoria, intrusión, o valoración exista un claro proceso deidentificación y valoración de activos.

� El ROI del test estará dado en la medida en que se hable de

“productividad del usuario”, “generación de ingresos”, “reducción

de costos en el negocio” , “reducción de riesgos”.

� Disciplina y autoestudio, son de sus herramientas más importantes a

la hora de combatir un ataque.

2006 – Todos los derechos reservados

D A D I L I B I N O P S I D R O W S S A PA S U R I V Q S N O I C C E Y N I S E D FD P F G H U J G L I M E T O D O L O G I AT O Q W E L R S I N T E G R I D A D U Y Yy L O W O N A S U G C T I A Z C V B R U Hu O Q I T E S T D E P E N E T R A C I O NE K G M E R R T E N A B F X S W U N D Q SD I A S D A E C R I P T O G R A F I A A EO P D T E B W G M E I O R X G Z J H D Z LS P O O F I N G W R U P M L T R O Y A N OS I S U H L R G L I Y Ñ A M E N A Z A X RT S X U N I L N L A N H C C H A M Y V S TM H D F G D Q I D S T D I N T R U S I O NM I H C R A C K P O F F O S E C O R P W OC N J N M D A C O C R R N W G Q I T S E CR G V A L O R A C I O N B C I Ñ K G F D WF G A X F G H H L A I C N E C I F N O C AR A T I D U A P O L I T I C A P L B R C R

El Valor del Hacker en la OrganizaciónEl Valor del Hacker en la Organización

Andrés Ricardo Almanza JuAndrés Ricardo Almanza Ju

[email protected][email protected]

““Si Utilizas al enemigo para Si Utilizas al enemigo para enfrentarlo , serás poderoso enfrentarlo , serás poderoso en cualquier lugar a donde en cualquier lugar a donde vayas.”vayas.”

Por lo tanto............Por lo tanto............

Sun Tzu




BibliografíaBibliografía� James S. Tiller. The ethical hack. A framework for Bussines Value Penetration

Testing.

� Carlos Crembil. Vulnerabillity Scanning y Penetration Testing. Congreso Argentino

de Seguridad de la Información

� Alejandro Corletti Estrada. Auditoria, Evaluación, Test de seguridad. Universidad

Politécnica de Madrid.

� Dominic Baier. Improving Application Security Through Penetration Testing.

� Char van der Walt. Assessing Internet Security Risk.

� Cesar Colado. Calidad en la pruebas de intrusión.

� CANO J. Auditoria de seguridad, Evaluación de seguridad y Pruebas de

Penetración: Tres paradigmas de la Seguridad Informática

� Scott Berinato(2005) .The Global State of Information Security




BibliografíaBibliografía� John Wack, Miles Tracy, Murugiah Souppaya. Guideline on Network Security

Testing. . NIST SP- 800- 42

� Peter Herzog. Open Source Security Testing Metodology Manual 2.1.

� John Chirillo(2001). Hack Attacks Reveled. Wiley Computer Publishing

� Aggresive Network Self- Defense(2005) . Neil Archibald. Seth Fogie. Chirs Hurley.

Dan Kamisky.

� Johnny Long (2005). Penetration Tester's Open Source Toolkit.

� Winkler. IRA (2000). Audit, Assessment & Test (OH, MY). P1,P2,P3,P4. Information

Security Magazine

� Peake. Crihs (2003). Red Teaming: The art of Ethical Hacking. SANS GIAC

� Sans Institute. (2002). Penetration Testing – Is it right for you?. SANS GIAC




BibliografíaBibliografía

� Vincent LeVeque. Information Security: A Strategic Approach. Chapter 1

� Amanda Andress. Surviving Security: How to Integrate People, Process, and

Technology, Second Edition

� T. J. Klevinsky Scott Laliberte Ajay Gupta .Hack I.T.: Security Through Penetration

Testing

� Is auditing procedure. ISACA

� Bill Hayes. Conducting a Security Audit: An Introductory Overview

� Steven Purser. A practical Guide to Managing Information Security

� Sans Institue. 2001. A MODEL FOR PEER VULNERABILITY ASSESSMENT

� Wan. Lee (2001). Security Life Cycle. SANS GIAC

� Lowery, Jessica. “Penetration testing: The Third Party Hacker”, SANS GIAC

d a d i l i b i n o p s i d r o w s s a p s u r i v s n o ......un hacker y un cracker, es que un...

Documents