AUDITORIA AL SISTEMA DE ATENCIÓN AL CIUDADANO -SAC- DEL

MINISTERIO DE EDUCACIÓN NACIONAL BAJO LA METODOLOGÍA OWASP

EDWIN NEYID FERNÁNDEZ MAHECHA

ANDERSON JULIAN LLANOS RUIZ

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE

INFORMACIÓN

BOGOTÁ D.C JUNIO 2018

AUDITORIA AL SISTEMA DE ATENCIÓN AL CIUDADANO -SAC- DEL

MINISTERIO DE EDUCACIÓN NACIONAL BAJO LA METODOLOGÍA OWASP

EDWIN NEYID FERNÁNDEZ MAHECHA

ANDERSON JULIAN LLANOS RUIZ

Trabajo de grado para obtener el título de Especialista en Auditoria de Sistemas de

Información.

PhD. ALEXANDRA LÓPEZ SEVILLANO

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE

INFORMACIÓN

BOGOTÁ D.C JUNIO 2018

4

TABLA DE CONTENIDO

RESUMEN .......................................................................................................................................... 11

ABSTRACT .......................................................................................................................................... 12

INTRODUCCIÓN ................................................................................................................................. 13

1. GENERALIDADES ........................................................................................................................ 14

1.1. LINEA DE INVESTIGACIÓN ................................................................................................. 14

1.2. PLANTEAMIENTO DEL PROBLEMA .................................................................................... 14

1.2.1. FORMULACIÓN DEL PROBLEMA ................................................................................ 14

1.2.2. ANTECEDENTES DEL PROBLEMA ............................................................................... 15

1.2.3. PREGUNTA DE INVESTIGACIÓN ................................................................................. 17

1.2.4. VARIABLES DEL PROBLEMA ....................................................................................... 17

1.2.5. ALCANCE Y LIMITACIONES......................................................................................... 18

1.3. JUSTIFICACIÓN................................................................................................................... 19

1.4. OBJETIVOS ......................................................................................................................... 20

1.4.1. OBJETIVO GENERAL ................................................................................................... 20

1.4.2. OBJETIVOS ESPECÍFICOS ............................................................................................ 20

2. MARCO DE REFERENCIA ............................................................................................................ 21

2.2. MARCO CONCEPTUAL ....................................................................................................... 21

2.2.1. SISTEMA DE INFORMACIÓN ...................................................................................... 21

2.2.2. INFORMÁTICA ........................................................................................................... 21

2.2.3. CONCEPTOS DE AUDITORIA INFORMÁTICA .............................................................. 21

2.2.4. TIPOS DE AUDITORÍA INFORMÁTICA......................................................................... 22

2.2.5. FUNCIÓN DE UNA AUDITORIA ................................................................................... 23

5

2.2.6. PROBABILIDAD .......................................................................................................... 24

2.2.7. FRECUENCIA .............................................................................................................. 24

2.2.8. RIESGO ....................................................................................................................... 24

2.2.9. MONITOREO .............................................................................................................. 24

2.2.10. PROCESO ................................................................................................................... 25

2.2.11. AMENAZA .................................................................................................................. 25

2.2.12. VULNERABILIDAD ...................................................................................................... 25

2.2.13. EVIDENCIA ................................................................................................................. 25

2.2.14. CONTROLES ............................................................................................................... 26

2.3. MARCO TEÓRICO ............................................................................................................... 26

2.3.1. OSSTMM .................................................................................................................... 26

2.3.2. OWASP Testing Guide ............................................................................................... 27

2.3.3. ISO 27001 .................................................................................................................. 29

2.3.4. MAGERIT ................................................................................................................... 31

2.3.5. CISA............................................................................................................................ 31

2.4. MARCO JURÍDICO .............................................................................................................. 34

2.4.1. LEY DE HÁBEAS DATA ................................................................................................ 34

2.4.2. LEY DE PROTECCIÓN DE DATOS PERSONALES 1581 DE 2012. .................................. 35

2.4.3. LEY 1755 DE 2015 ...................................................................................................... 36

2.5. MARCO GEOGRÁFICO........................................................................................................ 38

2.6. MARCO DEMOGRÁFICO .................................................................................................... 39

2.7. ESTADO DEL ARTE ............................................................................................................. 40

2.7.1. HERRAMIENTAS DE AUDITORIA ................................................................................ 40

2.7.2. ATENCIÓN EN LÍNEA AL CIUDADANO EN EL MINISTERIO DE EDUCACIÓN ............... 41

3. METODOLOGÍA .......................................................................................................................... 42

3.1. FASES DE LA METODOLOGÍA ............................................................................................. 42

6

3.2. INSTRUMENTOS O HERRAMIENTAS .................................................................................. 43

3.2.1. ANÁLISIS DE DOCUMENTOS ...................................................................................... 43

3.2.2. ENTREVISTAS ............................................................................................................. 44

3.2.3. EJECUCIÓN DE PROCEDIMIENTOS DE AUDITORIA .................................................... 45

4. DESARROLLO DE LA PROPUESTA ............................................................................................... 48

4.1. ANÁLISIS DE RIESGOS ........................................................................................................ 48

4.2. EJECUCIÓN DE LA GUIA DE AUDITORIA OWASP ............................................................... 53

4.2.1. RECOPILACIÓN DE INFORMACIÓN ............................................................................ 53

4.2.2. PRUEBAS DE SEGURIDAD A LA CONFIGURACIÓN Y DESPLIEGUE .............................. 55

4.2.3. PRUEBAS DE ADMINISTRACIÓN DE IDENTIDAD ........................................................ 56

4.2.4. PRUEBAS DE AUTENTICACIÓN .................................................................................. 59

4.2.5. PRUEBAS DE AUTORIZACIÓN .................................................................................... 60

4.2.6. PRUEBAS DE ADMINISTRACIÓN DE SESIÓN .............................................................. 61

4.2.7. PRUEBAS DE VALIDACIÓN DE ENTRADAS ................................................................. 63

4.2.8. PRUEBAS DE MANEJO DE ERRORES .......................................................................... 65

4.2.9. PRUEBAS PARA CRIPTOGRAFÍA DÉBIL ....................................................................... 66

4.2.10. PRUEBA DE LA LÓGICA DEL NEGOCIO ....................................................................... 66

4.2.11. PRUEBAS EN EL LADO DEL CLIENTE ........................................................................... 67

4.3. INSTALACIÓN DE HERRAMIENTAS DE AUDITORIA ............................................................ 68

4.3.1. OWASP ZAP (Zed Attack Proxy) ................................................................................. 68

4.3.2. NMAP ('Network Mapper')........................................................................................ 70

4.3.3. WIRESHARK ............................................................................................................... 72

4.3.4. THC-HYDRA ................................................................................................................ 73

5. PRODUCTOS A ENTREGAR ......................................................................................................... 74

6. RESULTADOS ............................................................................................................................. 75

6.1. MATRIZ DE RIESGOS .......................................................................................................... 75

7

6.2. INFORME DE AUDITORIA OWASP ..................................................................................... 79

6.3. ENTREGA DE HERRAMIENTAS DE AUDITORIA DE SEGURIDAD WEB ................................ 81

CONCLUSIONES ................................................................................................................................. 84

BIBLIOGRAFIA .................................................................................................................................... 86

ANEXOS ............................................................................................................................................. 88

MEMORANDO DE PLANEACION .................................................................................................... 88

OBJETIVO DE LA AUDITORIA: .................................................................................................... 88

ALCANCE ................................................................................................................................... 88

RECURSO ................................................................................................................................... 88

FAMILIARIZACION AUDITORIA BASES DE DATOS .......................................................................... 89

FICHA TECNICA .......................................................................................................................... 89

ESQUEMA DE SEGURIDAD Y CONTROL ......................................................................................... 90

SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA ........................................................................... 91

INTEGRIDAD .............................................................................................................................. 91

CONTINUIDAD ........................................................................................................................... 91

SEGURIDAD EN EL AMBIENTE ................................................................................................... 91

EVALUACIÓN ............................................................................................................................. 92

MATRIZ SEGURIDAD LOGICA Y PISTAS DE AUDITORIA ................................................................. 92

MATRIZ INTEGRIDAD ..................................................................................................................... 93

MATRIZ CONTINUIDAD ................................................................................................................. 94

MATRIZ SEGURIDAD EN EL AMBIENTE .......................................................................................... 95

DISEÑO Y EJECUCCIÓN DE PRUEBAS ............................................................................................. 96

PROGRAMACIÓN DE PRUEBAS .................................................................................................. 96

SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA ........................................................................... 97

INTEGRIDAD ............................................................................................................................ 100

CONTINUIDAD ......................................................................................................................... 103

8

SEGURIDAD EN EL AMBIENTE ................................................................................................. 105

CUESTIONARIO SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA ................................................... 107

CUESTIONARIO INTEGRIDAD ....................................................................................................... 108

CUESTIONARIO CONTINUIDAD ................................................................................................... 110

CUESTIONARIO SEGURIDAD EN EL AMBIENTE ............................................................................ 112

9

LISTA DE ILUSTRACIONES

Ilustración 1: Marco Conceptual Auditoría. (Australiano, 2000) ......................................... 22

Ilustración 2:Marco conceptual objetivos de auditoria (Amaya, 2015) ............................... 23

Ilustración 3 Ubicación del Ministerio de Educación. (Google Maps 2018) ....................... 38

Ilustración 4 Fases del proyecto. Fuente: Elaboración propia .............................................. 43

Ilustración 5: Impacto de un ataqué (OWASP Foundation, 2017) ....................................... 47

Ilustración 6: Escaneo web mediante OWASP-ZAP ........................................................... 54

Ilustración 7: Búsqueda en motor de búsqueda Google ....................................................... 54

Ilustración 8: Metadatos ....................................................................................................... 56

Ilustración 9: Listado de archivos y carpetas........................................................................ 56

Ilustración 10: Formulario de creación de cuentas ............................................................... 58

Ilustración 11: Inicio de sesión ............................................................................................. 58

Ilustración 12: Intentos de sesión por medio de hydra ......................................................... 60

Ilustración 13: Metadatos aplicación web ............................................................................ 61

Ilustración 14: Captura de sesión en cookies........................................................................ 62

Ilustración 15: Modificación de cookies de sesión ............................................................... 62

Ilustración 16: Inyección SQL .............................................................................................. 64

Ilustración 17: Manejos de errores con código SQL ............................................................ 65

Ilustración 18: Extensiones permitidas para cargar en el SAC ........................................... 67

Ilustración 19: Instalación de OWASP-ZAP ........................................................................ 69

Ilustración 20: Configuración de OWASP-ZAP .................................................................. 69

Ilustración 21: OWASP-ZAP ejecutándose en su propio servidor web ............................... 70

Ilustración 22: Descarga de Nmap........................................................................................ 71

Ilustración 23: Instalación de Nmap ..................................................................................... 71

Ilustración 24: Instalación de Wireshark .............................................................................. 72

Ilustración 25: Instalación de THC- Hydra .......................................................................... 73

10

LISTADO DE TABLAS

Tabla 1 Cuadro comparativo de metodologías (Elaboración propia) ................................... 33

Tabla 2 Metodologías para auditorias de SI. (López Provencio, 2015) ............................... 33

Tabla 3: Investigación Cualitativa vs Cuantitativa (Pita Fernández, 2002) ......................... 45

Tabla 4 Población Entrevistada (Elaboración propia) .......................................................... 50

Tabla 5 Evaluación de Conocimiento de Políticas de Seguridad ......................................... 51

Tabla 6 Resumen de resultados de Conocimiento de Seguridad .......................................... 51

Tabla 7 Extracto de Activos Componente Hardware y redes Aplicación SAC ................... 52

Tabla 8: Pruebas de Recopilación de Información ............................................................... 53

Tabla 9: Pruebas de Seguridad a la configuración y despliegue .......................................... 55

Tabla 10: Pruebas de Administración de identidad .............................................................. 57

Tabla 11: Pruebas de Autenticación ..................................................................................... 59

Tabla 12: Pruebas de Autorización ....................................................................................... 60

Tabla 13: Pruebas de administración de sesión .................................................................... 61

Tabla 14: Pruebas Validación de Entradas ........................................................................... 64

Tabla 15: Pruebas de manejo de errores ............................................................................... 65

Tabla 16: Pruebas para criptografía débil ............................................................................. 66

Tabla 17: Pruebas de la lógica del negocio .......................................................................... 67

Tabla 18: Pruebas en el lado del cliente ............................................................................... 68

Tabla 19: Productos a entregar ............................................................................................. 74

Tabla 20: Matriz de Riesgos SAC. ....................................................................................... 78

Tabla 21: Resultado de prueba de auditoria OWASP .......................................................... 79

11

RESUMEN

Administrar la información de los PQRS de las Secretarías de Educación a nivel

Nacional es un proceso complejo y de difícil gestión, debido a la cantidad de trámites y

requerimientos creados por los ciudadanos en cada una de las Entidades adscritas al

Ministerio de Educación Nacional.

Agilizar los procesos, mitigar riesgos y disponer de información precisa, integra,

confidencial y eficaz, es un reto actual de todas las organizaciones y en este afán, el

Ministerio de Educación Nacional y las Secretarias de Educación adscritas no pueden ser la

excepción. Motivo por el cual, apoyados en las nuevas técnicas y herramientas de auditoria

de sistemas, se ofrece las entidades vinculadas en este proyecto, un marco de trabajo, el cual,

articulado a sus planes de calidad actuales, permita gestionar de manera práctica y eficiente

los riesgos a nivel de seguridad y tratamiento de información que se presentan en el desarrollo

de la integración de los sistemas de información.

OWASP (Open Web Application Security Project) es una metodología de seguridad

de auditoría web, abierta y colaborativa, orientada al análisis de seguridad de aplicaciones

Web, y usada como referente en auditorías de seguridad. Apoyados en este marco, se realizó

el análisis y evaluación de los riesgos evidenciados, se realizaron las pruebas

correspondientes, el levantamiento de evidencias y se dictaminan los puntos de mejora,

donde deben concentrarse los esfuerzos de los equipos de trabajo, para mitigar los efectos

que puede causar de la materialización de los riesgos evaluados.

12

Palabras clave: Gestión, riesgos, modelo, controles, proceso, herramientas, auditoría

de sistemas, activos informáticos, seguridad, OWASP.

ABSTRACT

Managing the information of the PQRS of the Secretariats of Education at a national

level is a complex process and error management, due to the amount of procedures and

requirements created by the citizens in all the entities attached to the Ministry of National

Education.

Streamline processes, mitigate risks and have accurate information, integrate,

confidential and effective, that is, update organizations and in this country, the Ministry of

Education and the attached Secretariats of Education cannot be the exception. Reason for

which, supported by the new techniques and systems audit tools, offers the functions linked

in this project, a framework, which, articulated to its current quality plans, allows to manage

the practical and efficient way of the risks at the level of security and information processing

that arise in the development of the integration of information systems.

OWASP (Open Web Application Security Project) is an open and collaborative web

audit security methodology, focused on the analysis of application security. Web, and used

as a reference in security audits. Supported in this framework, analysis and evaluation of the

evidenced risks, the corresponding tests, the lifting of tests and the opinion of the points of

improvement, where the efforts of the work teams should be concentrated, to mitigate the

effects that the materialization can cause of the risks evaluated.

Keywords: Management, risks, model, controls, process, tools, systems audit,

computer assets, security, OWASP

13

INTRODUCCIÓN

La auditoría de sistemas de información es la ciencia y el estudio que comprende el

análisis y gestión de sistemas de información, llevados a cabo para identificar, enumerar y

posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una

revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones, servidores o

aplicaciones en una organización. Una vez obtenidos los resultados, se detallan y reportan a

los responsables quienes deberán establecer medidas de control, siguiendo siempre un

proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas,

aprendiendo de los errores cometidos con anterioridad.

Este proceso inicia con la planificación, continua con un estudio y evaluación del

sistema, sigue con la fase de obtención de evidencias las cuales se almacenan en documentos

de trabajo y finaliza con el informe de no conformidades o hallazgos detectados en las

pruebas. Siendo el objetivo primordial de la auditoria el evaluar el cumplimiento de planes,

políticas, normas y lineamientos, así como las actividades que se desarrollan dentro de una

empresa.

La auditoría permite conocer en el momento de su realización, cuál es la situación

exacta de los activos de información, en cuanto a protección, control y medidas de seguridad,

buscando el cumplimiento de dichos controles, evidenciando sus fallas y buscando una

mejora continua de los procesos y actividades que logren alcanzar el total aseguramiento de

los activos de información y mitigando la vulnerabilidad en el escenario de materialización

de un riesgo en la organización.

14

1. GENERALIDADES

1.1. LINEA DE INVESTIGACIÓN

El ámbito en el cual se desarrollada esta propuesta, la cual pretende, mediante la

realización de acciones por parte de los investigadores con una comunidad, modificar un

evento, lo ubica dentro de la línea de investigación “Software Inteligente y convergencia

tecnológica”.

Toda vez que busca brindar a las organizaciones involucradas en el proceso, una

recopilación de técnicas, mecanismos y herramientas, dentro de la metodología OWASP, que

sean de fácil utilización y reutilización, para evaluar los controles y la seguridad de sus

actuales y futuras implementaciones de sistemas de información y aplicaciones.

1.2. PLANTEAMIENTO DEL PROBLEMA

1.2.1. FORMULACIÓN DEL PROBLEMA

En este continuo proceso de investigación y modernización, surge la necesidad de ir

a la vanguardia en las TI para y ofrecer de manera oportuna, confiable y precisa, la

información que se brinda a los ciudadanos que desean realizar sus trámites de forma virtual

y responder sus peticiones, quejas, reclamos y sugerencias sin la obligación de desplazarse a

una oficina física.

15

Motivo por el cual, surge en la Entidad la necesidad de implementar una herramienta

tecnológica que integre los diferentes roles que conforman el proceso desde el momento de

la solicitud por parte del ciudadano hasta la respuesta emitida por el funcionario asignado.

Esta herramienta es el Sistema de Atención al Ciudadano por sus siglas SAC, el cual

constituye la columna vertebral de la misión y visión de la Entidad.

Garantizar que esta transformación tecnológica, cumpla con las expectativas de la

organización, hace necesario evaluar, que la herramienta, su tecnología y la infraestructura

implementada, cumplen con los criterios de calidad y seguridad, enmarcados por el modelo

OWASP, el cual busca combatir las causas que hacen el software inseguro.

La revisión de los controles definidos por esta metodología permite asegurar una

exploración completa y correcta de la plataforma, garantizando que todos los vectores de

ataque han sido analizados y que los fallos de seguridad han sido detectados.

1.2.2. ANTECEDENTES DEL PROBLEMA

En las últimas dos décadas, el sistema educativo colombiano ha experimentado una

transformación fundamental. El acceso a la educación ha sido una prioridad, con políticas

ambiciosas que buscan incrementar el número de estudiantes matriculados en todos los

niveles y llevar los servicios educativos a todos los rincones del país.

16

En solo una década, la esperanza de vida escolar ha aumentado dos años, y la

participación en la Atención Integral y Educación de la Primera Infancia (EIAIPI) y la

educación superior se ha incrementado en más del doble; hasta el 40% y 50%

respectivamente. (OCDE, 2016)

Respecto a los docentes, de acuerdo con el MEN, en el 2015 el sistema de educación

superior contaba con 148.689 profesores, en promedio para ambos semestres, de los cuales

45.362 (30,5%) laboraban con un contrato de tiempo completo, 14.048 (9,4%) en la

modalidad de medio tiempo y 90.763 (61,0%) con un esquema parcial o de hora cátedra. Por

nivel de formación, para los 144.270 profesores que indicaron máximo nivel de formación,

el 2,1% de estos docentes tenía título de técnico o tecnólogo, el 29,9% tenían título de

pregrado, el 30,6% de especialización, el 30,7% de magíster y el 6,7% de doctorado o

posdoctorado. Llama la atención la alta proporción de profesores catedráticos (61%) y el bajo

porcentaje de docentes con doctorado (6,7%), que además están concentrados en pocas

universidades. Esta situación puede estar afectando las actividades de investigación, la

formación académica de los estudiantes y, en general, los resultados del sistema educativo.

(Melo, Ramos, & Hernández, 2017)

Administrar de manera eficiente, eficaz y segura la información de las secretarias de

educación en el país es uno de los objetivos claves del Ministerio de Educación, lograr el

aseguramiento de su proceso de gestión de información y dotar a sus colaboradores de un

sistema moderno, ágil, seguro y eficiente es la tarea que da origen a este trabajo de

investigación.

17

1.2.3. PREGUNTA DE INVESTIGACIÓN

¿Cómo las herramientas de auditora pueden ayudar a las entidades a garantizar la

implementación segura de un sistema de información?

1.2.4. VARIABLES DEL PROBLEMA

Teniendo en cuenta lo crítico del proceso de integración de los sistemas de

información en una organización, en este caso el Sistema de Atención al Ciudadano -SAC,

las variables que se tomaron en cuenta, para la realización de este trabajo son las siguientes:

1.2.4.1.VARIABLES DEPENDIENTES:

• Tipos de organización contratantes del servicio de TI.

• Tipos de organización prestadoras de los servicios de TI.

• El talento humano de las organizaciones.

• Áreas de las organizaciones involucradas en los procesos de TI

• Infraestructura de implementación de sistemas de información

• Software.

• Herramientas de auditoria.

• Procesos de control interno de las organizaciones.

18

1.2.4.2.VARIABLES INDEPENDIENTES:

• Población objetivo del sistema de información.

• Escenario de utilización del sistema de información.

1.2.5. ALCANCE Y LIMITACIONES

Se realizó una auditoría de aplicación web para conocer el nivel real de riesgo de la

organización frente al Sistema de Atención al Ciudadano (SAC), las vulnerabilidades,

debilidades y las consecuencias de sufrir cada tipo de ataque descrito en la metodología

OWASP 4.0; y se hicieron recomendaciones para prevenir y eliminar dichas

vulnerabilidades.

La auditoría se realizó a nivel de software del Sistema de Atención al Ciudadano

(SAC), aplicación que utilizan las Secretarías de Educación a nivel nacional para registrar

las peticiones, quejas, reclamos y sugerencias (PQRS) de los estudiantes, docentes,

administrativos, padres de familia y ciudadanía en general que necesiten acudir a algún

trámite en las correspondientes entidades adscritas al Ministerio de Educación.

Debido a que la aplicación web se encuentra desplegada en un servidor alojado en el

Ministerio de Educación Nacional, el proyecto se desarrolló dentro del área de Tecnología

donde se encuentra alojada la herramienta, se evaluó los módulos y funcionalidades del

aplicativo, revisando las actividades propuestas por la metodología OWASP.

19

1.3. JUSTIFICACIÓN

El problema del software inseguro es quizás el reto técnico más importante de

nuestros tiempos. La seguridad es ahora el factor clave limitante sobre que podemos crear

con la tecnología de la información, la comunidad OWASP puede evolucionar y expandir la

información en esta guía para mantenerse al ritmo de los rápidos movimientos en amenazas

de seguridad de las aplicaciones. (Foundation, 2008)

La realización de este proyecto fue viable y oportuna dado que, al realizar la

evaluación de su implementación tecnológica bajo la metodología OWASP brinda a las

entidades un conocimiento del nivel de madurez con el que cuentan sus tecnologías

informáticas, también les permite conocer oportunidades de mejora y les presenta una visión

de hacia dónde deben dirigir sus esfuerzos tecnológicos.

Se benefician todos los ciudadanos con sus diferentes roles (docentes, estudiantes,

administrativos, padres de familia, ciudadanía en general) a nivel nacional que requieran

hacer trámites y requerimientos, las Secretarias de Educación, el Ministerio de Educación, y

los demás entes relacionados con la educación en el país, al contar con sistema de

información (SAC), que ha sido evaluado rigurosamente con unos altos estándares de calidad

y seguridad, lo cual garantizara contar con una aplicación fiable y eficiente.

20

1.4. OBJETIVOS

1.4.1. OBJETIVO GENERAL

Auditar el Sistema de Atención al Ciudadano -SAC- del Ministerio de Educación

Nacional bajo la metodología OWASP.

1.4.2. OBJETIVOS ESPECÍFICOS

1. Realizar el análisis de riesgos bajo la metodología OWASP para el Sistema de Atención

al Ciudadano -SAC.

2. Ejecutar la guía de pruebas de auditoría bajo la metodología OWASP para el Sistema de

Atención al ciudadano -SAC.

3. Dotar a la organización de una suite de técnicas y herramientas de auditoria para la

evaluación de aplicaciones.

21

2. MARCO DE REFERENCIA

2.2.MARCO CONCEPTUAL

2.2.1. SISTEMA DE INFORMACIÓN

Un sistema de información es una combinación organizada de personas, hardware,

software, redes de comunicaciones y recursos de datos que reúne, transforma y disemina

información en una organización.(O’Brien, 2006)

2.2.2. INFORMÁTICA

La informática es el procesamiento de información de forma automática. El término

informática proviene precisamente de estas dos palabras, información y automática. Para

realizar este tratamiento de la información nuestros sistemas informáticos deben llevar a cabo

las siguientes tareas básicas:

• Entrada de datos: captación de la información.

• Procesamiento/tratamiento de esta información.

Salida de datos: transmisión de los resultados. (UPC, 2008)

2.2.3. CONCEPTOS DE AUDITORIA INFORMÁTICA

Es el proceso formal ejecutado por especialistas del área de auditoría e informática;

se orienta a la verificación y aseguramiento para que las políticas y procedimientos

establecidos para el manejo y uso adecuado de la tecnología informática en la organización

se realiza de manera oportuna y eficiente. (Amaya, 2015)

22

2.2.4. TIPOS DE AUDITORÍA INFORMÁTICA

• Auditoría de la gestión.

• Auditoría de los datos.

• Auditoría de las bases de datos.

• Auditoría de la seguridad.

• Auditoría de la seguridad física.

• Auditoría de la seguridad lógica.

• Auditoría de las comunicaciones.

• Auditoría de la seguridad en producción. (Amaya, 2015)

Ilustración 1: Marco Conceptual Auditoría. (Australiano, 2000)

23

Ilustración 2:Marco conceptual objetivos de auditoria (Amaya, 2015)

La auditoría es el examen crítico y sistemático que realiza una persona o grupo de

personas independientes del sistema auditado.

2.2.5. FUNCIÓN DE UNA AUDITORIA

La función de auditoría interna comprende un departamento, división, equipo de

consultores, u otros practicantes que proporcionan servicios independientes y objetivos de

aseguramiento y consulta, concebidos para agregar valor y mejorar las operaciones de una

organización. (Amaya, 2015)

24

2.2.6. PROBABILIDAD

La probabilidad se expresa como un número entre 0 y 1, donde 0 indica un evento o

resultado imposible y 1 indica un evento o resultado cierto (Australiano, 2000).

2.2.7. FRECUENCIA

Es una medida del coeficiente de ocurrencia de un evento expresado como la cantidad

de ocurrencias de un evento en un tiempo dado. Ver también Probabilidad (Australiano,

2000).

2.2.8. RIESGO

El riesgo es la exposición a una situación donde hay una posibilidad de sufrir un daño

o de estar en peligro. Es esa vulnerabilidad o amenaza a que ocurra un evento y sus efectos

sean negativos y que alguien o algo puedan verse afectados por él.

2.2.9. MONITOREO

Comprobar, supervisar, observar críticamente, o registrar el progreso de una

actividad, acción o sistema en forma sistemática para identificar cambios (tecnologicas,

2008).

25

2.2.10. PROCESO

Es una secuencia de pasos dispuesta con algún tipo de lógica que se enfoca en lograr

algún resultado específico. (Tecnologia, 2017).

2.2.11. AMENAZA

“Se define como un peligro potencial a la información a sistema. Una amenaza se

presenta cuando un atacante identifica una vulnerabilidad sobre un activo y es usada para

generar daños que afectan la compañía” (Tecnologia, 2017).

2.2.12. VULNERABILIDAD

“Una vulnerabilidad es una debilidad a nivel de software, hardware, procedimientos

o error humano que permite a un atacante aprovecharla para causar daño. La vulnerabilidad

de caracteriza por ausencia en controles de seguridad que permite ser explotada” (Tecnologia,

2017).

2.2.13. EVIDENCIA

“Material físico o digital que permita probar un proceso, un dicho o una afirmación”

(Amaya, 2015).

26

2.2.14. CONTROLES

“Son aquellos mecanismos utilizados para monitorear y controlar acciones que son

consideradas sospechosas y que pueden afectar de alguna manera los bienes de la compañía”

(ISO EN ESPAÑOL, 2012)

2.3.MARCO TEÓRICO

2.3.1. OSSTMM

Open Source Security Testing Methodology Manual (OSSTMM) es un proyecto de

software libre enfocado a la auditoria de seguridad de un sistema informático desarrollado

por ISECOM. La intención de OSSTMM es definir el alcance de una auditoria de seguridad,

así como establecer una métrica que nos informe sobre los elementos que deben ser auditados

y en que apartados de la auditoria. (Jack et al., 2001)

2.3.1.1.MÉTRICAS

La métrica utilizada en OSSTMM está enfocada a calcular la superficie de ataque de

un sistema, los puntos por los que puede ser atacado y los controles establecidos para impedir

un ataque. Con estos datos nos ofrece una medida objetiva sobre qué puntos del sistema

analizado son vulnerables, están protegidos e incluso si están sobreprotegidos, es decir, se

encuentra más de un elemento de control para ese punto que actúa sobre el aspecto que se

controla. Esta redundancia provoca que sea necesario controlar a los elementos de control

aumentando la complejidad del sistema sin aportar por ello una mayor seguridad, de hecho,

en muchos casos esta redundancia lleva a una menor seguridad. (López Provencio, 2015)

27

Pros y contras encontrados en esta metodología:

Pros:

• Presenta diferentes módulos que se encargan de cubrir diferentes áreas de seguridad

en una organización.

• Ofrece una métrica sobre el nivel de seguridad de la organización, así como la forma

de utilizarla.

Contras:

• Algunos de los controles de seguridad propuestos pueden resultar excesivos para la

mayoría de las organizaciones.

• Está enfocada a medir los elementos para ser auditados dentro de una organización,

no se puede ejecutar en proyectos específicos.

2.3.2. OWASP Testing Guide

OWASP es una organización sin ánimo de lucro que gestiona diferentes proyectos

relacionados con la seguridad informática. Entre los proyectos que gestionan se encuentra la

OWASP Testing Guide. (OWASP Foundation, 2017)

En la guía encontramos tres apartados diferenciados.

2.3.2.1. ¿QUÉ ES EL TESTING?

En este apartado se hace una breve introducción de que es el testing de seguridad,

cuáles son las principales técnicas utilizadas y los requisitos que se deben cumplir para que

el testing llevado a cabo sea significativo.

28

2.3.2.2.FRAMEWORK OWASP

En esta sección se presenta la metodología de trabajo propuesta por OWASP al

respecto de la seguridad de un software.

En la metodología se hace una breve lista de diferentes consideraciones a tener en

cuenta y tareas a añadir al propio desarrollo que facilitan la detección temprana de problemas

de seguridad en el código. (OWASP Foundation, 2017)

Como punto final de la metodología se recomienda llevar a cabo una auditoria del

software para asegurar que no han quedado vulnerabilidades.

Pros y contras encontrados en esta metodología:

Pros:

• Explica a nivel de detalle diferentes técnicas utilizadas para llevar a cabo una

auditoria de seguridad de una aplicación web.

• Se enfoca en la ejecución de auditorías a sistemas de información, por lo cual es la

más cercana para la ejecución del proyecto.

Contras:

• Los tipos de proyecto cubiertos por esta metodología solo son de aplicaciones web,

no se aplica dentro de una organización o a sus áreas de negocio.

• Algunas fases del ciclo de vida solo se describen de forma general sin detallar cada

una de ellas.

29

2.3.3. ISO 27001

La norma ISO 27001 a diferencia de OSSTMM 2.1.1 y de OWSAP 2.1.2 no presenta

casos concretos sobre los que trabajar en cambio proporciona un marco de trabajo con el que

se facilita la gestión de la seguridad de la información de una organización.

2.3.3.1.GESTIÓN DE LA SEGURIDAD

La norma está centrada en proporcionar un modelo sobre el que basarse para

establecer los procedimientos necesarios para gestionar la seguridad informática de una

organización. Al establecer los objetivos que debe cumplir un SGSI sin marcar ningún

procedimiento para conseguirlos nos permite escoger libremente el método con el cual la

organización va a llevar a cabo los objetivos marcados. Este detalle hace que la ISO 27001

sea capaz de continuar siendo válida en el tiempo con pocas o ninguna modificación.

2.3.3.2.PUNTOS DE CONTROL

Anexo al documento se encuentra una lista ordenada por categorías con los diferentes

puntos que un sistema de seguridad debería cubrir. Algunos puntos interesantes que

encontramos en la lista que ofrecen son:

Tratamiento de la seguridad en contratos con terceras personas. Tiene en cuenta que

una organización puede necesitar que sus datos sean manejados por organizaciones o

personas ajenas y que no por ello debemos despreocuparnos de la seguridad con que se lleva

a cabo el procesado externo.

Compromiso de la gerencia con la seguridad de la información. Sin la colaboración

de la gerencia no es viable lograr que se puedan aplicar las medidas necesarias para evitar

30

que un ataque tenga éxito. Eso es debido a que es necesario comprar equipos dedicados, así

como establecer protocolos a la hora de llevar a cabo ciertas tareas como puede ser la

instalación o actualización de un software.

2.3.3.3.GESTIÓN DE CAPACIDAD.

Un sistema cuyo uso se acerca o está por encima de su capacidad es especialmente

vulnerable a cualquier fallo en la infraestructura facilitando la perdida de datos y una

degradación en el servicio.

2.3.3.4.ELIMINACIÓN DE MEDIOS.

A la hora de desechar soportes como un disco duro hay que tener en cuenta que la

información contenida en los mismos no desaparece al ser desconectados del equipo, y que

por tanto la información contenida en ellos debe ser borrada antes de poder desecharlos.

Pros y contras encontrados en esta metodología:

Pros:

• Ofrece una buena guía para la gestión de toda la documentación referente a la

seguridad.

Contras:

• Tiene un nivel de lectura demasiado complejo por lo que puede llegar a confundir

alguna de sus fases y ejecutar de diferentes formas los controles propuestos.

• No está encaminada a cubrir soluciones de proyectos de auditorías de sistemas de

información específicos, si no a nivel de organización.

31

2.3.4. MAGERIT

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo

Superior de Administración Electrónica, como respuesta a la percepción de que la

Administración, y, en general, toda la sociedad, dependen de forma creciente de las

tecnologías de la información para el cumplimiento de su misión. (MAP, 2012)

La razón de ser de MAGERIT está directamente relacionada con la generalización

del uso de las tecnologías de la información, que supone unos beneficios evidentes para los

ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de

seguridad que generen confianza.

MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas

informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella,

son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a

protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es,

simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una

aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad

del analista. (MAP, 2012.)

2.3.5. CISA

CISA (Certified Information Systems Auditor) es una certificación para auditores de

seguridad. Esta certificación presenta ciertas similitudes con OSSTMM en el alcance,

32

cubriendo toda la seguridad de la información de una organización. Aun así, logra

diferenciarse gracias al hecho que es capaz de tener en cuenta la visión de negocio de una

organización y los diferentes niveles de seguridad que pueden ser necesarios dependiendo de

la información que debe ser salvaguardada. A diferencia de la ISO 27001 que solo da una

guía de actuación gen Érica en CISA encontramos que los controles ofrecidos son de mayor

especificidad. Aun así, nos encontramos con la misma situación que hemos visto en

OSSTMM y ISO 27001, solo se cubren aspectos referentes a la organización, como es la

gobernanza o el trato con los empleados. Pros y contras encontrados en esta metodología:

Pros:

• Cubre de forma clara y concisa la seguridad de la información dentro de la

organización.

• Ayuda en la gestión documental dando unas indicaciones para ejecutar controles en

esta área.

Contras:

• No contempla una guía detallada para auditorias en sistemas de información, está más

encaminada en la gestión documental.

Cuadro comparativo

Teniendo en cuenta cada una de las metodologías, hemos realizado un cuadro

comparativo de acuerdo con los pro y los contra, de esta forma definimos cual se ajusta más

a nuestra necesidad de auditar un sistema de información:

33

Concepto OSSTMM OWASP ISO 27001 CISA

Metodología de

trabajo

Cubre la auditoria

del producto final

Cubre el

desarrollo del

producto

Da

indicaciones para

la gestión

documental

Da

indicaciones para

la gestión

documental

Métrica de la

seguridad del

sistema

Calculo detallado Proporciona

actividades para

evaluar la

seguridad.

No

proporciona

No

proporciona

Lista de

vulnerabilidades

en el código

No

proporciona

Proporciona para

aplicaciones web

No

proporciona

No

proporciona

Configuración

del servidor

No No No Alguna

indicación

genérica

Tabla 1 Cuadro comparativo de metodologías (Elaboración propia)

Así mismo encontramos una comparación de diferentes de metodologías aplicadas a

la auditoria de sistemas de información:

Tabla 2 Metodologías para auditorias de SI. (López Provencio, 2015)

34

2.4.MARCO JURÍDICO

2.4.1. LEY DE HÁBEAS DATA

Es el derecho a su intimidad personal y familiar y a su buen nombre”, el cual está

consagrado desde 1991 en la Constitución Política de Colombia, en esta se declara que los

ciudadanos tienen derecho a saber cómo y para qué se usa la información que se brinda a las

distintas entidades en el país. (Corte Constitucional de Colombia, 1991)

La Ley faculta al Estado Colombiano para controlar a las entidades en la

administración de las bases de datos. En avisos en medios de comunicación, en atención a la

Ley 1581 de 2012 y el Decreto 1377 de 2013, las empresas informaron que habían

recolectado algunos datos personales con la intención de registrarlos en sus bases y así

desarrollar diferentes actividades (Certicámara S, 2013)

Por lo que debemos respetan en nuestro desarrollo y en la recolección de nuestros

datos que sean sensibles los siguientes riesgos que a continuación se detallan:

Acceso abusivo a un sistema informático: El que, sin autorización o por fuera de lo

acordado, acceda en todo o en parte a un sistema.

Interceptación de datos informáticos: El que, sin orden judicial previa, intercepte

datos informáticos en su origen, destino o en el interior de un sistema informático, o las

emisiones electromagnéticas provenientes de un sistema informático que los transporte.

(Certicámara S, 2013; Comercio & Turismo, 2013)

35

Violación de datos personales: La persona que con provecho propio o de un tercero,

obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue,

modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos,

bases de datos o medios semejantes. (Diario Oficial, 2009)

Suplantación de sitios web para capturar datos personales: Este delito es para quien

diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o

ventanas emergentes. (Diario Oficial, 2009)

2.4.2. LEY DE PROTECCIÓN DE DATOS PERSONALES 1581 DE 2012.

La Ley de Protección de Datos Personales reconoce y protege el derecho que tienen

todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido

sobre ellas en bases de datos o archivos que sean susceptibles de tratamiento por entidades

de naturaleza pública o privada. (Certicámara S, 2013)

Cuando se habla de datos personales, se hace referencia a toda aquella información

asociada a una persona y que permite su identificación. Por ejemplo, su documento de

identidad, el lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria

académica, laboral, o profesional. Existe también información más sensible como su estado

de salud, sus características físicas, ideología política, vida sexual, entre otros aspectos.

Las disposiciones sobre protección de datos establecen tipologías de datos según el

mayor o menor grado de aceptabilidad de la divulgación: (Certicámara S, 2013)

36

• Dato Público: Es el dato que la ley o la Constitución Política determina como tal, así

como todos aquellos que no sean semiprivados o privados.

• Dato Semiprivado: Es el dato que no tiene naturaleza íntima, reservada, ni pública y

cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto

sector o grupo de personas.

• Dato Privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante

para el titular de la información.

• Dato Sensible: Es el dato que afecta la intimidad del titular o cuyo uso indebido puede

generar su discriminación. (Certicámara S, 2013)

2.4.3. LEY 1755 DE 2015

Por medio de la cual se regula el Derecho Fundamental de Petición y se sustituye un

título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.

(Diario Oficial, 2015)

2.4.3.1.¿Cuál es el término para resolver peticiones?

Para peticiones generales 15 días; peticiones de documentos e información 10 días,

no responder en término, implica una aceptación a la solicitud y las copias se deben entregar

en los 3 días siguientes. El término para resolver consultas es de 30 días. Cuando no se pueda

resolver en estos plazos, se debe informar al interesado antes del vencimiento del término los

motivos de la demora y el plazo para responder, que no podrá exceder del doble del

inicialmente previsto. (Diario Oficial, 2015)

37

2.4.3.2.¿Qué información tiene carácter reservado ante las autoridades públicas?

La información y documentos sometidos a reserva según la Constitución y la Ley. En

especial: asuntos de defensa o seguridad nacional; instrucciones en materia diplomática o

sobre negociaciones reservadas; los que involucren el derecho a la privacidad e intimidad

incluidas las hojas de vida, historia laboral, expedientes pensionales y demás registros de

personal que estén en las instituciones públicas o privadas, así como la historia clínica; las

condiciones financieras de las operaciones de crédito público y tesorería de la nación y los

estudios técnicos de valoración de los activos de la nación, esta información tendrá una

reserva de 6 meses contados desde la realización de la operación; información financiera y

comercial según la Ley Estatutaria 1266 de 2008; los protegidos por el secreto comercial o

industrial y los planes estratégicos de las empresas públicas de servicios públicos; el secreto

profesional y los datos genéticos humanos. (Diario Oficial, 2015)

2.4.3.3.¿Cuál es el procedimiento cuando se solicita información reservada a las autoridades

públicas?

La autoridad puede rechazar la solicitud motivándola, indicando las normas que

impiden su entrega. Ante la insistencia del peticionario, el juez o tribunal administrativo

competente decidirá dentro de los 10 días siguientes.

El carácter reservado de la información no es oponible a las autoridades judiciales,

legislativas y administrativas. Estas entidades deberán asegurarse de la reserva de la

información. (Diario Oficial, 2015)

38

2.4.3.4.¿Qué sucede ante la falta de atención a las peticiones?

Es una falta grave para el servidor público y genera sanciones disciplinarias. Los

derechos de petición ante quienes administren archivos y bases de datos de carácter

financiero, crediticio, comercial, de servicios y de terceros países se regirán por la Ley

Estatutaria de Habeas Data (Ley 1581 de 2012). Quien no reciba las solicitudes podrá ser

sancionado o multado por las autoridades competentes. (Diario Oficial, 2015)

2.5. MARCO GEOGRÁFICO

El proyecto se desarrolló en la ciudad de Bogotá, en la sede del Ministerio de

Educación Nacional, la cual está ubicada en la Cll 43 # 57 – 14, Centro Administrativo

Nacional, CAN, Bogotá, lugar donde se encuentran los servidores y la infraestructura

tecnológica que soporta el Sistema de Atención al Ciudadano -SAC, donde se realizó el

diseño, la codificación y migración, del sistema de información.

Ilustración 3 Ubicación del Ministerio de Educación. (Google Maps 2018)

39

2.6. MARCO DEMOGRÁFICO

En el desarrollo de este proyecto, se evidenció que en el tipo de población relacionada

se encuentras actores relacionados al ámbito académico, personas que necesitan realizar

trámites correspondientes a estudios en el exterior, información académica nacional, trámites

docentes y administrativos, entre otros aspectos que apuntan al mismo esquema.

Así mismo se ha evidenciado cuatro roles definidos como usuarios del Sistema de

información SAC.

• Ciudadanos: Usuarios estudiantes, docentes, padres de familia, administrativos o

ciudadanía en general interesados en realizar algún tipo de requerimiento a las

diferentes Secretarías de Educación.

• Operador: Usuario de la Secretaría de Educación encargado de radicar los

requerimientos de los ciudadanos presentados de forma presencial, además de

asignarlos a las dependencias y funcionarios.

• Funcionario: Usuario encargado de la gestión, seguimiento y respuesta al trámite

asignado del ciudadano en los tiempos designados.

• Administrador: Usuario responsable de la parametrización y administración del

Sistema de Atención al Ciudadano por cada Secretaría de Educación.

40

2.7.ESTADO DEL ARTE

2.7.1. HERRAMIENTAS DE AUDITORIA

Existe en la actualidad un numero considerado de herramientas para realizar

auditorías de sistemas de información, algunas de ellas ya están obsoletas, de código cerrado

y otras son comerciales, aun así, existen herramientas conocidas para realizar auditorías de

seguridad y que presentan características similares a la solución propuesta

La primera de ellas Burp de la compañía PortSwigger es una herramienta comercial

bastante potente y no excesivamente cara si es comparada con otras herramientas similares

disponibles en el mercado. Sin embargo, debido a su naturaleza de código cerrado y su

licencia privativa no es posible para la comunidad de software libre crear trabajos derivados

bien sea extendiéndola con nuevas funcionalidades o aprovechando código de ésta para otras

herramientas. (Hermoso Metaute, 2013)

La segunda Zed Attack Proxy o ZAP por el contrario es una herramienta libre y de

código abierto creada por OWASP (Open Web Application Security Project). Desarrollada

en Java íntegramente dispone de una API para python que facilita el desarrollo de

extensiones. Se debe observar sin embargo que una vez instalada ocupa un considerable

espacio en disco duro, y que, si además se tiene en cuenta que requiere la máquina virtual de

java para ejecutarse, y el intérprete de python en caso de se quiera realizar ninguna extensión,

se convierte en una aplicación poco portable. (Hermoso Metaute, 2013)

Se puede apreciar que existe un vació considerable en la evolución de herramientas

que permitan realizar tareas de auditoria a sistemas de información de forma amigable,

eficiente, portables y de código abierto frente a la aparición de las nuevas tecnologías.

41

2.7.2. ATENCIÓN EN LÍNEA AL CIUDADANO EN EL MINISTERIO DE

EDUCACIÓN

Con el propósito de facilitar la interacción con los usuarios, el MEN creó el Sistema

de Información al Servicio Ciudadano, Vía Internet que le permitirá al usuario obtener una

respuesta rápida, confiable y oportuna a sus inquietudes.

Atención oportuna: Por medio de internet el usuario podrá ingresar a la página web

del ministerio www.mineducacion.gov.co. Una vez allí, se le otorga un código único y

privado para tener acceso a su carpeta de Atención al Ciudadano desde donde el usuario

señala si su inquietud es una queja, consulta, opinión o sugerencia.

La opción que escoja automáticamente llega a la oficina de Atención al

Ciudadano, quien la transmite a la entidad o dependencia correspondiente. El servidor

público encargado tiene un plazo para que desde su cuenta directa responda.

Con la aplicación de este sistema, el usuario puede hacerle un seguimiento periódico

a su cuenta para conocer en qué va su solicitud. Por su parte, el servidor público adquiere un

mayor compromiso para el mejoramiento de la atención y la inmediatez de la respuesta.

Ventajas: El usuario tiene la certeza de que recibieron su consulta puesto que todos

los movimientos, ingresos y respuestas son registrados electrónicamente de manera

inmediata, lo que proporciona mayor confiabilidad y seguridad.

La solicitud realizada por el usuario puede ser consultada por él, en cualquier

momento.

42

Tanto el usuario como la entidad mantienen un archivo de consulta y registro en línea

(comunicado permanentemente entre sí, con las entidades del sector), no es necesario tener

una cuenta de correo, lo único indispensable es tener acceso a Internet.

El ciudadano tiene la opción de suscribirse a la lista de información que genera el

Ministerio de Educación para recibir vía correo electrónico los boletines, comunicados y

demás informes que genere la entidad.

Las quejas pueden hacerse anónimamente si el usuario así lo desea, con la

implementación del Sistema de Información al Servicio Ciudadano vía Internet, quedarán en

línea y al instante el Ministerio de Educación, sus entidades y el usuario, quien recibe una

oportuna y mejor atención. (Melo et al., 2017)

3. METODOLOGÍA

3.1.FASES DE LA METODOLOGÍA

Para el desarrollo oportuno y acertado de este proyecto, y para alcanzar las

metas propuestas en los diferentes objetivos presentados, se despliega en cinco fases: la fase

uno, de planeación, donde se desarrolla la propuesta y presenta el anteproyecto, los cuales

siendo aprobados permiten iniciar con la fase dos, que se consolida en el desarrollo de las

tareas de familiarización, y evaluación del sistema de control interno, para la fase tres, se

43

realizara en análisis de riesgos y en la fase cuatro, la ejecución de procedimientos de auditoria

y para en la fase cinco, hacer la evaluación de hallazgos y el informe.

Ilustración 4 Fases del proyecto. Fuente: Elaboración propia

3.2.INSTRUMENTOS O HERRAMIENTAS

3.2.1. ANÁLISIS DE DOCUMENTOS

El análisis de documentos es la técnica de investigación donde los analistas de

sistemas y diseñadores deben tratar de encontrar la información necesaria para comenzar las

investigaciones. En los documentos se puede encontrar la historia de una entidad,

características, comportamientos, estados y descripción de la misma. (Dulzaides Iglesias &

Molina Gómez, 2004)

Un documento, es un soporte en papel o un elemento electrónico donde, existe una

serie de datos incluidos en un orden determinado, sobre un tema específico, estos datos tienen

un sentido simbólico, el cual puede ser extraído de ellos. Los documentos pueden tener un

contenido expresivo (lo que dice) y un contenido instrumental (lo que motiva). (EA, 2015)

Fase 1: Planeación

Fase 2: Familiarización

Fase 3: AnálisisFase 4:

EjecuciónFase 5:

Evaluación

44

3.2.2. ENTREVISTAS

Una entrevista es un intercambio de ideas, opiniones mediante una conversación que

se da entre una, dos o más personas donde un entrevistador es el designado para preguntar,

todos aquellos presentes en la charla dialogan en pos de una cuestión determinada planteada

por el profesional.

Una entrevista es recíproca, donde el entrevistado utiliza una técnica de recolección

mediante una interrogación estructurada o una conversación totalmente libre; en ambos casos

se utiliza un formulario o esquema con preguntas o cuestiones para enfocar la charla que

sirven como guía. Es por esto, que siempre encontraremos dos roles claros, el del

entrevistador y el del entrevistado (o receptor). (A., 2017)

3.2.2.1.ANÁLISIS CUALITATIVO.

La investigación cualitativa trata de identificar la naturaleza profunda de las

realidades, su sistema de relaciones, su estructura dinámica; mientras que la investigación

cuantitativa trata de determinar la fuerza de asociación o correlación entre variables, la

generalización y objetivación de los resultados a través de una muestra para hacer inferencia

a una población de la cual toda muestra procede. Tras el estudio de la asociación o correlación

pretende, a su vez, hacer inferencia causal que explique por qué las cosas suceden o no de

una forma determinada. (Pita Fernández & Pértegas Díaz, 2002)

El empleo de ambos procedimientos cuantitativos y cualitativos en una investigación

probablemente podría ayudar a corregir los sesgos propios de cada método, pero el hecho de

que la metodología cuantitativa se la más empleada no es producto del azar sino de la

evolución de método científico a lo largo de los años. Creemos en ese sentido que la

45

cuantificación incrementa y facilita la compresión del universo que nos rodea y ya mucho

antes de los positivistas lógicos o neopositivistas Galileo Galilei afirmaba en este sentido

"mide lo que sea medible y haz medible lo que no lo sea". (Pita Fernández & Pértegas Díaz,

2002)

Diferencias entre investigación cualitativa y cuantitativa

Investigación cualitativa Investigación cuantitativa

Centrada en la fenomenología y

comprensión

Basada en la inducción probabilística

del positivismo lógico

Observación naturista sin control Medición penetrante y controlada

Subjetiva Objetiva

Inferencias de sus datos Inferencias más allá de los datos

Exploratoria, inductiva y

descriptiva

Confirmatoria, inferencial, deductiva

Orientada al proceso Orientada al resultado

Datos "ricos y profundos" Datos "sólidos y repetibles"

No generalizable Generalizable

Holista Particularista

Realidad dinámica Realidad estática

Tabla 3: Investigación Cualitativa vs Cuantitativa (Pita Fernández & Pértegas Díaz, 2002)

3.2.3. EJECUCIÓN DE PROCEDIMIENTOS DE AUDITORIA

La ejecución de procedimientos de auditoria consistió en la utilización de

herramientas automatizadas y métodos de toma de evidencias, para documentar el archivo

permanente, el cual sirve como punto de partida documentado, del proceso de evaluación del

modelo de control interno.

Este procedimiento de auditoria se construyó a partir de las buenas prácticas

propuestas por la guía OWASP, donde indica que, en cada una de las fases de construcción

46

y mantenimiento de un aplicativo y en cada uno de los artefactos involucrados en el

despliegue, se debe procurar por establecer controles de seguridad, al funcionamiento de los

sistemas, estos solicitados a partir de la evaluación de riesgos tecnológicos del proceso

automatizado.

3.2.3.1.PROCEDIMIENTO

Inicialmente se realiza un levantamiento de información de la documentación técnica

y funcional, que se encuentra disponible, en la base de conocimientos del área de tecnología,

con la revisión de esta documentación, se realiza una identificación de las áreas y los

responsables donde se lleva a cabo la aplicación de la entrevista, posterior a esto, se solicita

hacer una contextualización básica, del objetivo de la aplicación a auditar, esta

contextualización aplica de igual forma para todas las áreas entrevistadas, cabe aclarar que

en marco del proyecto, las entrevistas se aplicaron de forma personal e independiente, es por

esto que se diseña un cuestionario único, para cada responsable dentro del área de tecnología

del ministerio y las áreas funcionales que inter actúan con la aplicación.

Después de efectuadas las entrevistas a cada responsable, por cada área, se procede a

analizar la información recolectada, se agrupan las opiniones y se procede con el análisis de

cada uno de los puntos en cuanto a la eficacia, eficiencia, fortalezas y debilidades de cada

uno de los controles y disposiciones evaluadas para nuestro proyecto.

Una vez analizados e identificados los controles propuestos, se realiza la ejecución de

las pruebas de auditoria, todas estas realizadas bajo la metodología OQASP, estas pruebas se

47

realizan por componente con la ejecución de las mismas, se certifica la existencia y estado

de los controles propuestos, se documentan las evidencias, para ser anexadas al archivo de

auditoria.

Después de ejecutar y documentar las pruebas y estas ser anexadas al archivo de

auditoria, se procede a realizar el informe, en el cual se plasman los resultados de las pruebas

y se da una conclusión acerca de las conformidades o no conformidades evidenciadas en los

controles, para de esta manera finalizar con el caso de estudio propuesto.

Consiste en utilizar herramientas automatizadas y métodos de toma de evidencias,

para documentar el archivo permanente, el cual sirve como punto de partida documentado,

del proceso de evaluación del modelo de control interno.

Ilustración 5: Impacto de un ataqué (OWASP Foundation, 2017)

48

4. DESARROLLO DE LA PROPUESTA

4.1.ANÁLISIS DE RIESGOS

Como punto de partida, se efectúa una recolección y revisión, de la documentación

técnica y funcional, que se encuentra disponible, en la base de conocimiento del área de

tecnología, para el aplicativo a evaluar.

También se ubica la documentación de los casos de uso o historias de usuario, sobre

los cuales se construyó la solución, en estos se hace principal hincapié, en la identificación

de los temas relacionados a los requerimientos no funcionales, tiempos de respuesta

esperados y solicitudes específicas de seguridad, como lo son la identificación de usuarios

por funcionalidad, permisos en los módulos, gestión de contraseñas, niveles de autenticación

y demás factores de acceso al aplicativo.

Adicional a esto, se hace una revisión, de los documentos que articulan los procesos

y procedimientos, que se deben realizar para eventos claves en el funcionamiento de la

aplicación, tal como lo son el despliegue de la solución, la disponibilidad del ambiente, el

mantenimiento, los controles de cambio y la atención a funcionamientos inesperados de la

misma.

Este estudio se realizó con el fin de verificar el nivel de madurez de las áreas

involucradas en los procesos de mantenimiento y uso del aplicativo, identificar el nivel de

seguridad solicitado para el aplicativo, evaluar la calidad y cantidad de documentación

existente para la aplicación e identificar de primera mano si los responsables e interesados

en la solución están debida y efectivamente identificados e informados.

49

Después de hacer el análisis de la documentación del aplicativo, se procede a realizar

la clasificación de los activos que soportan la aplicación a auditar, se aclara que estos

elementos son los que tiene la organización para el procesamiento de su información como

lo pueden ser el recurso humano, el hardware, el software y las propias instalaciones de la

organización.

Posterior a la revisión y evaluación de la documentación, habiendo

identificado a los responsables e interesados del aplicativo, se procede a efectuar las

entrevistas, estas se realizan de forma directa y personal, a los siguientes perfiles por parte

del ministerio de educación nacional:

• Coordinador del área de sistemas.

• Líder técnico o arquitecto de aplicaciones.

• DBA.

• Líder de aplicación

Los cuestionarios, se diseñaron, permitiendo una contextualización clara y sencilla

del usuario entrevistado, hacia la funcionalidad de la aplicación y su nivel de interacción con

la misma, las preguntas formuladas a cada uno de los perfiles están directamente

relacionadas, con su rol, en la interacción con la solución y articuladas con el objetivo general

y los objetivos específicos de este proyecto.

Se configuraron, en la mayoría de los casos, preguntas cerradas, buscando recopilar

información concreta y que no dé lugar a presunciones, en cuanto a procedimientos y

acciones respecto a las rutinas realizadas y evaluadas.

50

Esta información, recopilada en las entrevistas, de clasifico por responsable, todos

ellos pertenecientes al área de sistemas, se etiqueto y adjunto al archivo inicial del proceso

de auditoría, para proceder después de esto analizar esta información recolectada.

A el DBA, se le indaga sobre el conocimiento e implementación de las políticas de

seguridad a nivel de bases de datos e infraestructura, su conocimiento de procedimientos de

back up, perfilamiento de usuarios por base de datos, ejecución de consultas y demás temas

relacionados al acceso de la información a nivel físico lógico, sin incluir la interfaz del

aplicativo y que hayan sido definidos para el aplicativo en evaluación.

Por parte del Líder Técnico (Arquitecto), se indago sobre su discernimiento acerca de

la definición de características de seguridad para el aplicativo en cada una de sus capas, bien

sea base de datos, capa de aplicación, capa de presentación e infraestructura.

Y al líder funcional se le indaga acerca del conocimiento y/o definición de

características de seguridad propias del aplicativo, así como son perfiles de usuario, módulos,

niveles de acceso a la información

Área/ Responsable Tecnología

DBA 1

LIDER TECNICO 1

LIDER FUNCIONAL 1

Total 3

Tabla 4 Población Entrevistada (Elaboración propia)

51

Las preguntas, aunque únicas por cada entrevista, estaban articuladas para los tres

frentes en 10 grandes macros de conocimiento dentro de los cuales se agruparon para su

tabulación, a continuación, se presenta la evaluación de los 5 principales. VER ANEXO 1 -

ENCUESTAS.

DBA LT LF

Implementación Controles de Seguridad

SI X X X

NO

Definición de Requerimientos de Seguridad

SI X X

NO X

Conocimiento de Procedimientos de Seguridad

SI X X

NO X

Ejecución de Procedimientos de Seguridad

SI X X

NO X

Retroalimentación de Acciones de Seguridad

SI X

NO X X

Tabla 5 Evaluación de Conocimiento de Políticas de Seguridad

Criterio SI NO

Existen Implementados Controles de Seguridad

X

Existe definición de Requerimientos de Seguridad

X

Existe Conocimiento de Procedimientos de Seguridad

X

Se realiza ejecución de Procedimiento de Seguridad

X

Se realiza retroalimentación de los incidentes presentados con los procedimientos de seguridad

X

Tabla 6 Resumen de resultados de Conocimiento de Seguridad

52

Habiendo obtenido y evaluado estos resultados en las entrevistas, pudimos detectar

que la entidad cuenta con un conocimiento adelantado con respecto a la seguridad en las

aplicaciones, partiendo de esta base nos concentramos en la definición de la matriz de riesgos.

Teniendo en cuenta la definición de Riesgo Tecnológico de la metodología OWASP,

la cual nos indica que, riesgo es la probabilidad de sufrir pérdidas por caídas o fallos en los

sistemas informáticos o transmisión de datos, errores de programación u otros, siendo un

componente del riesgo operativo, se realiza de primera mano una identificación de los activos

de información, los cuales la entidad tiene previamente identificados y clasificados, ver

anexo (activos de información SED)

OBJETIVO DE LA APLICACIÓN: SAC:

ESTADO: OPERATIVO EN PRODUCCION

Hardware y Software del servidor Servidor de base de datos:

RAM: 24Gb

SO: Centos 6.7

Disco duro: 450Gb

Procesadores: Intel® Xeon® 2.4Ghz *4

Servidor de aplicaciones:

RAM: 24Gb

SO: Windows Server 202 R2 x64

Disco duro: 300gb

Procesadores: Intel® Xeon® 2.10Ghz *6

Hardware y Software de los PCS • Software:

Navegador de internet: Google Chrome,

Mozilla, Internet Explorer, Safari, otros)

Sistema operativo: Windows, Linux, MacOs

• Hardware:

Procesador: Core 2 duo o superior.

Memoria RAM: 2gb o superior.

Disco duro: 500gb o superior.

Redes • LAN Interna 10/100 Cableada.

• Red Interna Wi Fi Access Point en cada

piso Soporte para 150 Usuarios.

• Firewall

• Canal Principal Proveedor ETB

• Canal Alterno Proveedor TIGO UNE

Tabla 7 Extracto de Activos Componente Hardware y redes Aplicación SAC

53

4.2.EJECUCIÓN DE LA GUIA DE AUDITORIA OWASP

La Guía de Pruebas de OWASP (OWASP Testing Guide) versión 4, es un esfuerzo

del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) por recopilar y

estructurar todas las posibles pruebas de seguridad enfocadas en las aplicaciones web. Está

dividida en 11 categorías y 91 controles.

4.2.1. RECOPILACIÓN DE INFORMACIÓN

Se basa en la búsqueda de información en los motores de búsqueda de

Internet, descubrimiento de tecnología por su huella digital, análisis de archivos, rutas,

comentarios, robots.txt. Identificación de puntos de entradas y representación de su

arquitectura.

REFERENCIA CONTROL

OTG-INFO-001 Mediante un motor de búsqueda, realice una búsqueda de

descubrimiento/reconocimiento de fugas de información

OTG-INFO-002 Use huellas digitales en el servidor web

OTG-INFO-003 Revise los meta archivos del servidor web en busca de fugas de información

OTG-INFO-004 Enumere las aplicaciones en el servidor web

OTG-INFO-005 Revise los comentarios sobre el sitio web y los metadatos en busca de fugas

de información

OTG-INFO-006 Identificar puntos de entrada de la aplicación

OTG-INFO-007 Cree mapas de las rutas de ejecución a través de la aplicación

OTG-INFO-008 Framework referencial para el uso de huellas digitales en aplicaciones web

OTG-INFO-009 Aplicación de huellas digitales para web

OTG-INFO-010 Cree un mapa de la arquitectura de la aplicación

Tabla 8: Pruebas de Recopilación de Información

54

Mediante la herramienta OWASP-ZAP se realizó un escaneo a la aplicación web del

Sistema de Atención al Ciudadano -SAC- buscando información que sirva de evidencia para

la primera fase de recopilación de información.

De esta forma se evidenció de forma positiva que el archivo robots.txt no se encuentra

público, pero se logró conocer información acerca de la versión del apache instalado y

sistema operativo del servidor:

Ilustración 6: Escaneo web mediante OWASP-ZAP

También se realizó una búsqueda de cache de la página del Ministerio de Educación

en el buscador Google, obteniendo resultados satisfactorios.

Ilustración 7: Búsqueda en motor de búsqueda Google

55

De esta forma se puede encontrar fuga de información en motores de búsqueda como

Google de la página de la Entidad encontrando contenido histórico alojado en la cache y que

posiblemente no se encuentre habilitado en la página hoy en día.

4.2.2. PRUEBAS DE SEGURIDAD A LA CONFIGURACIÓN Y DESPLIEGUE

El objetivo de esta fase es recopilar información sobre sobre la infraestructura que

incluye aspectos relacionados directamente con la aplicación web. Se ve reflejado el análisis

de la configuración de la infraestructura, descubrimiento de información mediante la

manipulación de extensiones, análisis de paneles de administración, métodos HTTP

permitidos, revisión de las políticas de conexión seguras, etc.

REFERENCIA CONTROL

OTG-CONFIG-001 Pruebe la configuración de la infraestructura y la red

OTG-CONFIG-002 Pruebe la Configuración de la Plataforma de Aplicaciones

OTG-CONFIG-003 Pruebe el manejo de archivos de extensiones en busca de información

sensible

OTG-CONFIG-004 Revise archivos viejos, copias de seguridad y archivos no referenciados en

busca de información sensible

OTG-CONFIG-005 Infraestructura de Enumeración e Interfaces de Administración de

Aplicaciones

OTG-CONFIG-006 Pruebe los métodos HTTP

OTG-CONFIG-007 Pruebe el HTTP Strict Transport Security

OTG-CONFIG-008 Pruebe la Política de Dominio Cruzado RIA

Tabla 9: Pruebas de Seguridad a la configuración y despliegue

De igual forma, se analizaron los meta de los archivos del servidor buscando fuga de

información y se evidenció la versión del apache y el sistema operativo del servidor web

donde se encuentra alojado el aplicativo.

56

Ilustración 8: Metadatos

Se logró obtener información de algunos nombres de archivos y carpetas alojados en

el servidor web:

Ilustración 9: Listado de archivos y carpetas

De esta forma un atacante puede utilizar estos directorios para conocer la ubicación

de los archivos con extensión .php y cargar contenidos.

4.2.3. PRUEBAS DE ADMINISTRACIÓN DE IDENTIDAD

Durante esta fase se realizan las pruebas de seguridad asociadas a la gestión de

credenciales de los usuarios. Se incluyen análisis de la definición de roles, comprobación del

57

proceso de registro del usuario, revisión de los mecanismos de aprovisionamiento de

usuarios, estudio de los métodos presentes que facilitan la enumeración de usuarios, análisis

de las políticas de reforzamiento de contraseñas, descubrimientos de credenciales de pruebas,

mecanismos de suspensión y habilitación de credenciales.

REFERENCIA CONTROL

OTG-IDENT-001 Pruebe las Definiciones de Roles

OTG-IDENT-002 Pruebe el Proceso de Registro del Usuario

OTG-IDENT-003 Pruebe el Proceso de Creación de Cuentas

OTG-IDENT-004 Pruebas de enumeración de cuentas y adivinanza de cuentas de usuario

OTG-IDENT-005 Pruebe las políticas de nombre de usuario débiles o sin fuerza

Tabla 10: Pruebas de Administración de identidad

Se realizó una revisión a los mecanismos de creación de cuentas de usuarios para el

rol de ciudadano y se identificó que no cuenta con un mecanismo de contraseña segura en el

formulario de registro, solo es necesario 4 caracteres sin condiciones minimas para el uso de

la misma.

Adicional como punto positivo se evidenció que cuenta con un sistema de seguridad

conocido como catpcha que ayuda a prevenir la creación de cuentas por medio de

mecanismos automatizados.

58

Ilustración 10: Formulario de creación de cuentas

En el módulo de inicio de sesión se identificó que cuenta con una alerta de usuario o

contraseña invalido al digitar el usuario o la contraseña de forma incorrecta, pero no tiene

configurado el campo de contraseña para evitar autocompletar los datos ya ingresados.

Ilustración 11: Inicio de sesión

59

4.2.4. PRUEBAS DE AUTENTICACIÓN

A continuación, se ejecutan pruebas de seguridad para evaluar el proceso de

autenticación. Dentro de las pruebas de seguridad propuestas se encuentra el análisis para

determinar si las credenciales son transmitidas sobre un canal encriptado, identificación de

credenciales por defecto, comprobación de los mecanismos de bloqueo de credenciales.

También se incluye las pruebas de fortalezas de los sistemas de preguntas y respuestas,

cambio y reinicio de contraseñas, políticas de creación de contraseñas y descubrimiento de

mecanismos de autenticación.

REFERENCIA CONTROL

OTG-AUTHN-001 Pruebas del transporte de credenciales en un canal encriptado

OTG-AUTHN-002 Pruebas de las credenciales por defecto

OTG-AUTHN-003 Pruebas para determinar un mecanismo de bloqueo débil

OTG-AUTHN-004 Pruebas para eludir el esquema de autenticación

OTG-AUTHN-005 Pruebas para recordatorios de contraseñas vulnerables

OTG-AUTHN-006 Pruebas para buscar la debilidad de memoria caché del navegador

OTG-AUTHN-007 Pruebas para determinar las políticas de contraseñas débiles

OTG-AUTHN-008 Pruebas para determinar la seguridad débil de pregunta/respuesta

OTG-AUTHN-009 Pruebas para determinar un cambio débil de contraseña o funciones de

restablecimiento

OTG-AUTHN-010 Pruebas para determinar la autenticación más débil en un canal alternativo

Tabla 11: Pruebas de Autenticación

De igual forma, se realizaron pruebas con multiples contraseñas por defecto desde la

interfaz de login del sistema sin encontrar resultado exitoso, pero nunca se presentaron alertas

del sistema indicando el bloqueo de usuario por reiterativos intentos de logeo fallido.

Posteriormente se utilizó la herramienta hydra para automatizar el proceso de login

por medio de fuerza bruta y diccionarios de datos.

60

Ilustración 12: Intentos de sesión por medio de hydra

En esta fase se puede concluir que el Sistema de Atención al Ciudadano -SAC- no

cuenta con un modulo de seguridad robusto que bloquee el intento reiterativo de inicios de

sesión, de esta forma un atacante puede escanear por medio de mecanismos de fuerza bruta

y diccionarinarios de datos diferentes opciones de usuario y contraseña hasta llegar a

encontrar alguno que permita iniciar sesión.

4.2.5. PRUEBAS DE AUTORIZACIÓN

El objetivo de la fase es comprobar si es posible evadir el sistema de autorización.

Dentro de las vulnerabilidades más frecuentes que deben ser comprobadas se incluye

el directorio transversal, la escalada de privilegios y la referencia directa insegura a objetos.

REFERENCIA CONTROL

OTG-AUTHZ-001 Probar la inclusión de archivos de directorio de circulación

OTG-AUTHZ-002 Pruebas para eludir el esquema de autorización

OTG-AUTHZ-003 Pruebas para determinar el escalamiento de privilegios

OTG-AUTHZ-004 Pruebas de las referencias de objetos directos inseguros

Tabla 12: Pruebas de Autorización

61

Por medio de la herramienta owasp-zap se capturó la sesión de las cookie pero no fue

posible el escalamiento de privilegios.

Ilustración 13: Metadatos aplicación web

4.2.6. PRUEBAS DE ADMINISTRACIÓN DE SESIÓN

La gestión de sesiones es un componente fundamental en las aplicaciones web debido

a las limitantes del protocolo HTTP. Por ese motivo, las pruebas de seguridad están

orientadas, entre otras cosas, a determinar si es posible evadir el mecanismo de gestión de

sesiones, si están presentes los atributos adecuados en las cookies. Si la aplicación web es

vulnerable a un ataque de fijación de sesiones, si se exponen las variables de sesión o si no

tiene protección ante un ataque de CSRF (Cross Site Request Forgery).

REFERENCIA CONTROL

OTG-SESS-001 Prueba para evadir el esquema de administración de sesión

OTG-SESS-002 Prueba para atributos de cookies

OTG-SESS-003 Prueba de fijación de sesión

OTG-SESS-004 Prueba de exposición de variables de sesión

OTG-SESS-005 Prueba para falsificación de petición de sitio cruzado (CSRF)

OTG-SESS-006 Pruebas funcionales de cierre de sesión

OTG-SESS-007 Pruebas del tiempo de cierre de sesión

OTG-SESS-008 Prueba para sobrecargar de variables (Session puzzling)

Tabla 13: Pruebas de administración de sesión

62

Para realizar pruebas de administración de sesión por medio de la extensión head live

de Google Chrome se capturaron las variables de sesión que se almacenan en las cookies

mientras se navega por la aplicación (Sistema de Atención al Ciudadano)

Ilustración 14: Captura de sesión en cookies

Una vez se consiguieron algunas variables de sesión, se procedió a abrir una nueva

ventana y se modificaron las variables de sesión por las encontradas anteriormente.

Ilustración 15: Modificación de cookies de sesión

63

Favorablemente para la entidad no se obtuvo un resultado de ataque final exitoso, aun

así, se logró por medio de herramientas capturar información enviada por métodos POST Y

GET.

4.2.7. PRUEBAS DE VALIDACIÓN DE ENTRADAS

Esta es la fase más extensa de pruebas debido a que incluye pruebas de seguridad a

todos los puntos de entrada de la aplicación web y es donde se encuentran la mayoría de las

vulnerabilidades:

• Manipulación de campos de encabezados de peticiones HTTP.

• Inyección de código SQL a los sistemas gestores de bases de datos como Oracle, MS

SQL Server, PostgreSql y otros.

• Inclusión local y remota de archivos.

• Inyección de cadenas bajo codificaciones diversas.

• Inyección de códigos XML, ORM, SSI, XPath, IMAP/SMTP, entre otros.

• Inyección de comandos del sistema operativo.

• Intentos de desbordamiento de buffer.

REFERENCIA CONTROL

OTG-INPVAL-001 Pruebas para la reflexión de Cross Site Scripting

OTG-INPVAL-002 Pruebas de Cross Site Scripting almacenados

OTG-INPVAL-003 Pruebas de manipulación de verbos en HTTP

OTG-INPVAL-004 Pruebas de contaminación de parámetros HTTP

OTG-INPVAL-005 Pruebas de inyecciones de SQL

Pruebas en Oracle

Pruebas de MySQL

Pruebas del servidor SQL (SQL Server)

Probar la seguridad del proyecto de acceso restringido PostgresSQL de

OWASP

64

Pruebas para MS Access

Pruebas de inyección NoSQL

OTG-INPVAL-006 Pruebas de inyección LDAP

OTG-INPVAL-007 Pruebas de inyección de ORM

OTG-INPVAL-008 Pruebas de inyección de XML

OTG-INPVAL-009 Pruebas de inyección SSL

OTG-INPVAL-010 Pruebas de inyección XPath

OTG-INPVAL-011 Pruebas de inyección de IMAP/SMTP

OTG-INPVAL-012 Pruebas de inyección de código

Pruebas para determinar la inclusión de documentos locales

Pruebas para la inclusión remota de archivos

OTG-INPVAL-013 Pruebas de inyección de comandos

OTG-INPVAL-014 Pruebe la saturación del Búfer

Pruebas de saturación de Heap

Probar la saturación de pila de datos

Pruebas para la cadena de formato

OTG-INPVAL-015 Pruebas de las vulnerabilidades incubadas

OTG-INPVAL-016 Pruebas para verificar la separación/contrabando de HTTP

Tabla 14: Pruebas Validación de Entradas

Utilizando las herramientas de auditoria logramos encontrar que la aplicación se

encuentra vulnerable a ataques de injección de codigo sql, en este ejemplo entontramos una

estructura sql propia de la aplicación, de esta forma conocemos el nombre de una de sus

tablas donde se encuentra alojada las conexiones:

Ilustración 16: Inyección SQL

65

4.2.8. PRUEBAS DE MANEJO DE ERRORES

En este punto se comprueba la preparación de la aplicación web ante eventos que

generan errores y la información que exponen durante el proceso.

REFERENCIA CONTROL

OTG-ERR-001 Pruebas de errores de código

OTG-ERR-002 Pruebas para determinar los rastros de pila de datos

Tabla 15: Pruebas de manejo de errores

Durante las pruebas de manejo de errores dentro del Sistema de Atención al

Ciudadano, se evidenció al insertar un registro de un formulario dentro de la aplicación que

fue posible visualizar el comando sql que se ejecuta para guardar la información en la base

de datos, este error es delicado ya que se puede tomar la estructura de la sentencia SQL para

modificarla y realizar otro tipo de transacciones.

Ilustración 17: Manejos de errores con código SQL

66

4.2.9. PRUEBAS PARA CRIPTOGRAFÍA DÉBIL

Se comprueba si están presentes debilidades en los mecanismos de cifrados SSL/TLS,

comprobación de los certificados digitales, evasión de los canales seguros a través de HTTP,

vulnerabilidades ante ataques BREACH, BEAST, CRIME, HeartBleed, entre otros.

REFERENCIA CONTROL

OTG-CRYPST-001 Prueba de codificadores SSL/TLS débiles, protección de transporte de

capas insuficientes

OTG-CRYPST-002 Prueba del Padding Oracle (Relleno de Oracle)

OTG-CRYPST-003 Pruebas para el envío de información sensible por canales sin encriptar

Tabla 16: Pruebas para criptografía débil

4.2.10. PRUEBA DE LA LÓGICA DEL NEGOCIO

Dentro de las fases de pruebas, esta es una en la que se requiere mayor nivel de

creatividad por parte del especialista de seguridad, debido a que cada aplicación web gestiona

procesos diferentes. Se incluyen pruebas de seguridad para comprobar si es posible evadir el

flujo de trabajo, si es posible manipular los parámetros, datos de entradas y módulos, si se

impide la subida de archivos con extensiones no consideradas dentro del proceso y con

códigos dañinos. Si se realizan comprobaciones de integridad y validación de datos de

entrada.

REFERENCIA CONTROL

OTG-BUSLOGIC-001 Pruebas de la validación de datos de la lógica del negocio

OTG-BUSLOGIC-002 Pruebas de la habilidad para manipular consultas

OTG-BUSLOGIC-003 Pruebas de comprobación de integridad

67

OTG-BUSLOGIC-004 Pruebas del tiempo de procesamiento

OTG-BUSLOGIC-005 Pruebas del número de veces que limita el uso de una función

OTG-BUSLOGIC-006 Pruebas para la evasión de los flujos de trabajo

OTG-BUSLOGIC-007 Pruebas de las defensas contra el mal uso de la aplicación

OTG-BUSLOGIC-008 Prueba de la posibilidad de carga de tipos de archivo inesperados

OTG-BUSLOGIC-009 Prueba de la posibilidad de carga de archivos maliciosos

Tabla 17: Pruebas de la lógica del negocio

En este caso se trató de subir un archivo shell a la aplicación por medio de un

formulario que permitía el cargue de documentos al servidor, teniendo como limitante el

cargue de archivos con extensión .php, en este caso no fue posible cargar el backdoor en el

servidor pero por medio de archivos .rar se pueden cargar y por medio de algunas

herramientas es posible ejecutar estos archivos con código malicioso.

Ilustración 18: Extensiones permitidas para cargar en el SAC

4.2.11. PRUEBAS EN EL LADO DEL CLIENTE

En esta última fase se comprueban vulnerabilidades de la aplicación web del lado del

cliente. Se incluyen, entre otros, el análisis de debilidades que pueden ser aprovechadas para

la manipulación de recursos mediante el DOM (Document Object Model), inyección de

códigos HTML, CSS, de JavaScript y otros similares. También se incluye la comprobación

68

de vulnerabilidades ante ataques de secuestros de clic (Clickjacking) y el almacenamiento de

datos locales.

REFERENCIA CONTROL

OTG-CLIENT-001 Prueba del Cross Site Scripting basado en DOM

OTG-CLIENT-002 Pruebas de la ejecución de JavaScript

OTG-CLIENT-003 Prueba de inyección de HTML

OTG-CLIENT-004 Pruebas de redireccionamiento de la URL del lado del cliente

OTG-CLIENT-005 Pruebas de inyección de CSS

OTG-CLIENT-006 Pruebas de manipulación de recursos del lado del cliente

OTG-CLIENT-007 Pruebas para el intercambio de recursos de origen cruzado

OTG-CLIENT-008 Pruebas de Cross Site Flashing

OTG-CLIENT-009 Pruebas de Clickjacking

OTG-CLIENT-010 Pruebas de WebSockets

OTG-CLIENT-011 Prueba de mensajería web

OTG-CLIENT-012 Prueba de almacenamiento local

Tabla 18: Pruebas en el lado del cliente

4.3. INSTALACIÓN DE HERRAMIENTAS DE AUDITORIA

Finalmente, como aporte a la entidad, se realiza la instalación y configuraciones de

herramientas que realizan auditorías a sistemas de información, esto con el ánimo que sean

utilizadas en futuras implementaciones:

4.3.1. OWASP ZAP (Zed Attack Proxy)

OWASP ZAP (Zed Attack Proxy) es un escáner de seguridad de aplicaciones web de

código abierto. Está destinado a ser utilizado tanto por los nuevos en la seguridad de las

aplicaciones, así como pruebas de penetración profesional.

La primera herramienta para instalar y muy importante fue OWASP-ZAP en un

sistema operativo Windows, la herramienta es multiplataforma y por medio de su instalador

permite la ejecución sin ningún inconveniente.

69

Ilustración 19: Instalación de OWASP-ZAP

Una vez instalada se procedió a configurarla para que funcione de la manera

adecuada, en la configuración del proxy local, se introduce los datos del dirección y Puerto

por el cual correrá el servicio web

Ilustración 20: Configuración de OWASP-ZAP

70

Concluida la configuración del navegador web, ya estamos en condiciones de

comenzar a monitorear todo el flujo de peticiones y respuestas HTTP. Ya estamos en

condiciones de realizar pruebas de seguridad como la OTG-AUTHN-005 y la OTG-

CONFIG-007, las cuales dependen de la intercepción por proxy para su realización.

Ilustración 21: OWASP-ZAP ejecutándose en su propio servidor web

4.3.2. NMAP ('Network Mapper')

Nmap ('Network Mapper'), es una herramienta open source, diseñada para explorar y

para realizar auditorías de seguridad en una red, fue creado originalmente para Linux aunque

actualmente es multiplataforma.

Como primer paso se descargo la versión adecuada para el sistema operativo de la

pagina oficial https://nmap.org/download.html

71

Ilustración 22: Descarga de Nmap

Una vez descargado se procede a realizar la instalación en el sistema operativo

Windows destinado para tal fin, al seguir los pasos del instalador esta tarea se convierte muy

fácil de ejecutar

Ilustración 23: Instalación de Nmap

72

4.3.3. WIRESHARK

Wireshark es el analizador de protocolos de red más popular del mundo para

Windows y Unix, y es el estándar por defecto (o por derecho) en muchas industrias e

instituciones educativas. Wireshark fue escrito por expertos en redes alrededor del mundo, y

es un ejemplo del poder de la fuente abierta.

Wireshark es completamente gratuito y está disponible para ser utilizado en todas las

versiones de Windows después de Windows 2000, Linux, Unix, FreeBSD y Mac OS X.

Ilustración 24: Instalación de Wireshark

73

4.3.4. THC-HYDRA

THC-Hydra es un software que se utiliza para crackear los sistemas de login de

diferentes servicios como HTTP, FTP, TELNET, IMAP, SMB, SSH, etc. de una manera muy

fácil y rápida.

Esta herramienta ha obtenido una gran reputación gracias a poder ser ejecutada desde

consola tanto en sistemas Linux como Windows. Para realizar los ataques, su funcionamiento

se basa en el uso de diccionarios, los cuales contendrán todas aquellas posibles opciones que

se quieran probar. Siendo estos completamente necesarios para la ejecución del programa e

ir probando las diferentes posibilidades y poder llegar así a obtener las credenciales de

usuario.

Ilustración 25: Instalación de THC- Hydra

74

5. PRODUCTOS A ENTREGAR

Como resultado de los objetivos planteados para este proyecto, a continuación se

describen los productos resultantes del mismo, inicialmente se realiza la clasificación y mapa

de calor de los riesgos de tecnología bajo la metodología OWASP para la aplicación Sistema

Integral de Información del Investigador de Colciencias (SII), posterior a esto se diseñó y

ejecuto el plan de auditoria teniendo como marco de referencia el modelo OWASP,

obteniendo como resultado el informe de auditoría del SII y por último se entrega a las

organizaciones la suite de cuestionarios, técnicas y herramientas de auditoria, que se

utilizaron para tomar las evidencias y hacer las respectivas pruebas de auditoria al sistema.

ITEM OBJETIVO ENTREGABLE

1 Matriz de Riesgos de la Aplicación

SAC

MATRIZ DE RIESGOS

2 Auditoria OWASP INFORME DE AUDITORIA OWASP

3 Suite de herramientas de auditoria ACTA DE ENTREGA DE

INSTALACIÓN DE HERRAMIENTAS

Tabla 19: Productos a entregar

75

6. RESULTADOS

Se evidenció que la entidad cuenta con un modelo de gestión de riesgos maduro, a

nivel de macroprocesos de las áreas, en el cual se identifican los principales subprocesos del

área de tecnología. Pero, por razones claramente expuestas por los interlocutores, este modelo

no evalúa directamente la vulnerabilidad tecnológica y a las aplicaciones.

6.1.MATRIZ DE RIESGOS

Teniendo en cuenta la metodología OWASP, en la cual se define, evalúa y prioriza el

peligro tecnológico, se llevó a cabo la identificación y clasificación de los riesgos

evidenciados para la aplicación SAC, obteniendo de esta forma la matriz de riesgos, la cual

se agrupo por ítem evaluado, descripción del riesgo detectado y el control propuesto para

mitigar dicho peligro. Tomando esta clasificación, se presenta el estado actual de la

implementación del control y el responsable de su validación, obteniendo como resultado el

siguiente listado de riesgos.

76

MATRIZ DE RIESGOS APLICACIÓN SAC

ITEM

EVALUADO RIESGO CONTROL PROPUESTO

ESTADO

CONTROL RESPONSABLE

Gestión de Log de

Auditoria

Perdida de integridad de la información

originada por falta de rastreo de

transacciones en la base de datos.

Activar el Log del Sistema Gestor de

Base de datos, al nivel que permita

rastreo de transacciones.

Implementado DBA

Perdida de disponibilidad de la

información originada por falta de

disponibilidad de la base de datos.

Implementar procedimiento de

verificación de información de errores

obtenidos en los archivos Log de

SGBD.

Implementado Operario BD

Perdida de disponibilidad de la

información originada por fallas del

servidor.

Activar el archivo de registro de Log

a nivel que permita validar las

actividades del sistema operativo de

servidor.

Implementado DBA

Gestión de Accesos

Perdida de integridad de la información

originada por no tener un control de

usuarios de la base de datos.

Implementar matriz de roles y perfiles

para la Base de Datos Implementado Líder Técnico

Perdida de confidencialidad de la base de

datos originada por no tener contraseñas

de usuario actualizadas.

Implementar el proceso de

vencimiento de las contraseñas de los

usuarios de la base de datos.

No Implementada DBA

Perdida de confidencialidad de la

información originada por usuarios no

controlados en la base de datos.

Implementar procedimiento de

eliminación de usuarios Genéricos en

la base de datos.

Implementada DBA

Gestión Diccionario

de datos

Perdida de disponibilidad de la

información originada por actualizaciones

no controladas.

Implementar ambientes de

desarrollo, pruebas y calidad

independientes.

Implementado BDA

77

Perdida de integridad de la información

originada por actualizaciones a la base de

datos no documentadas.

Implementar plantilla de control de

actualización al modelo de Datos. Implementado

Arquitecto - Líder

Técnico

Perdida de disponibilidad de la

información originada por no

licenciamiento del SGBD.

Implementar proceso de adquisición

y actualización de licenciamiento y

mantenimiento del SGDB.

Implementado Gerente de Tecnologia

Cargue de Datos

Perdida de confidencialidad de la

información, originada por extracción de

información sensible.

Definir procedimiento para la

encriptación de data sensible. Implementado

Arquitecto – Líder

Técnico

Perdida de integridad de la información

por perdida de datos

Definir el procedimiento de

extracción y carga de datos a la base

de datos.

No Implementado DBA

Perdida de integridad de la información

por modificación de entidades de la base

de datos.

Definir el procedimiento de

actualización y aprobación de

actualizaciones de la estructura de la

base de datos.

Implementado Líder Técnico

Gestión de Backups

Perdida de información originada por

daños en discos de respaldo

Establecer ejecución de backups

automatizados. Implementado DBA

Interrupción del servicio originada por

fallas en el servidor de base de datos

Implementar manuales de

restauración de backups. Implementado DBA

Pérdida de credibilidad originada por falta

de backups

Divulgar políticas de mantenimiento

de hardware y software. Implementado DBA

78

Recuperación de

desastres

Daño o perdida de activos originada por

desastres naturales.

Activar servidor de contingencia

alterno de base de datos. Implementado Líder técnico - DBA

Divulgación de información confidencial o

sensible originada por robo.

Establecer pruebas de contingencia. No implementado Líder técnico - DBA

Persecuciones legales originadas por no

disponibilidad del servicio.

Implementar documentos de

continuidad de negocio Implementado

Gestor de la

configuración

Seguridad de

equipos de computo

Divulgación de información confidencial o

sensible originado por extracción de

archivos en medios magnéticos.

Implementar el bloqueo de puertos

USB y accesos a páginas

restringidas.

Implementado Oficial de seguridad

Perdida de información originado por virus

informáticos.

Instalación de parches de antivirus

para los equipos cliente Implementado Líder técnico

Daño o perdida de activos originado por

cortes de energía eléctrica.

Activar el sistema de energía

eléctrico alterno para los equipos de

cómputo.

Implementado Líder técnico

Administración de

red

Interrupción del servicio originado por

ineficiencia en los procedimientos de

mantenimiento.

Definir procedimientos de

mantenimientos de redes en la

organización.

No implementado Líder técnico

Pérdida de credibilidad originado por

conexión de equipos de cómputo externos.

Divulgar conexión segura para

conexiones de equipos fuera de la red

LAN.

Implementado Oficial de seguridad

Fraude originado por acceso no autorizado.

Implementar accesos a través de

firewall para los servidores de bases

de datos

Implementado Oficial de seguridad

Tabla 20: Matriz de Riesgos SAC.

79

6.2.INFORME DE AUDITORIA OWASP

De acuerdo con la evaluación que fue realizada con base a la guía de pruebas OWASP

4.0, donde se tomaron los 11 controles propuestos por la metodología analizados con

diferentes herramientas de seguridad y mecanismos para la recopilación de información, los

resultados de la evaluación se describen a partir del mismo de la siguiente forma:

CONTROL RESULTADO

Recopilación de información Vulnerable

Pruebas de Seguridad a la configuración y despliegue Parcial

Pruebas de administración de identidad Vulnerable

Pruebas de autenticación Vulnerable

Pruebas de autorización No detectado

Pruebas de administración de sesión Parcial

Pruebas de validación de entradas Vulnerable

Pruebas de manejo de errores Vulnerable

Pruebas para criptografía débil Parcial

Pruebas de la lógica del negocio Vulnerable

Pruebas en el lado del cliente No detectado

Tabla 21: Resultado de prueba de auditoria OWASP

De esta forma se evidencia que 6 de los 10 controles presentan un alto riesgo de

ataques al encontrarse vulnerable a las pruebas ejecutadas, así mismo 3 controles se

encuentran en estado parcial, ya que se encontró algunas irregularidades al momento de

ejecutar las pruebas y por último 2 controles con un estado de no detectado al no lograr

resultados satisfactorios a nivel de prueba de seguridad pero que posiblemente con más

tiempo se puede encontrar alguna novedad.

80

De esta manera se realizó recomendaciones a nivel de seguridad como las siguientes:

• Definición e implantación de las políticas y procedimientos de actualizacíon y aplicación

de parches de seguridad sobre los servidores donde se ejecutan la aplicación.

• Verificar los servicios que se ejecutan en los servidores y las reglas del firewall para

garantizar que solo se utilizan los servicios necesarios, de esta forma se cierran puertas a

posibles vulnerabilidades.

• Implementación de un WAF (Web Aplication Firewall) ya que realiza un filtrado de

peticiones no autorizadas sobre la aplicación web antes de que lleguen al servidor, de esta

forma permite proteger los servidores de aplicaciones de determinados ataques

específicos como lo son:

- Cross-site scripting: consiste en la inclusión de código script malicioso.

- SQL injectión: se trata de introducir código SQL que vulnere la base de datos del

servidor.

- Denial of service: el servidor de aplicación se vuelve incapaz de recibir peticiones

por parte del usuario realización una denegación del servicio.

Es necesario realizar la implementación del servicio WAF una vez se realicen las

correcciones a la aplicación web, en caso contrario se puede seguir exponiendo la aplicación

a las vulnerabilidades detectadas.

81

• Realizar un proceso de hardening que consiste en asegurar el sistema mediante la

reducción de vulnerabilidades en el mismo, eliminando software, servicios, usuarios,

etc.; innecesarios en el sistema, así mismo cerrando puertos que no estén en uso, así

se entorpece la labor del atacante y se gana tiempo para poder minimizar las

consecuenticas de un posible ataque

• Realizar una reevaluación de auditoria mediante la guía de pruebas OWASP una vez

se tomen las acciones correspondientes, de esta forma se puede verificar si se logró

corregir o minimizar los riesgos encontrados en esta auditoría.

6.3. ENTREGA DE HERRAMIENTAS DE AUDITORIA DE SEGURIDAD WEB

Dando alcance al objetivo de dotar a la organización de una suite de técnicas y

herramientas de auditoria para la evaluación de aplicaciones y sistemas de información. Se

evidencio que la organización Ministerio de Educación Nacional, no cuenta, en su inventario

de aplicaciones y o activos de información, para el área de tecnología, con herramientas pagas

o gratuitas, para hacer pruebas de seguridad o vulnerabilidad de sus aplicaciones.

También se demostró que el personal del área de sistemas de la organización tiene un

conocimiento de nivel adecuado, sobre el tema de riesgos de tecnología y maneja

adecuadamente los procedimientos de seguridad pre establecidos, por el área para la gestión

82

de la seguridad, pero no cuenta con la capacidad técnica para realizar tareas de ejecución de

pruebas de seguridad a las aplicaciones disponibles para el ministerio de educación nacional.

Como resultado del cumplimiento de la entrega de las herramientas de auditoria de

aplicaciones web, se realizó un acta donde se hizo entrega oficial de las aplicaciones

instaladas y configuradas además de una capacitación sobre el uso de las mismas para futuros

análisis de auditoria.

FECHA REUNIÓN: 25 de mayo de 2018

ASISTENTES

NOMBRE CARGO NOMBRE CARGO

Anderson Julian

Llanos

ANALISTA DE

AUDITORIA Edwin N. Fernández M. Analista de Auditoria

NOMBRE CARGO NOMBRE CARGO

D.B.A. Líder de

Infraestructura

ACTUALIZACION

(Nombre de la Actualización)

PUNTOS REVISADOS (Relacione por cada punto revisado)

Descripción punto revisado: En la presente acta, se realiza la descripcion de la entrega

del catalogo de aplicaciones, utilizados por los analistas de

auditoria, para realizar en analisis de los controles de

seguridad implementados en la aplicación Sistema de

Atencion al Ciudadano SAC.

Listado de Aplicaciones.

83

La siguiente es la lista de aplicaciones instaladas y utilizadas para realizar la auditoria de

seguridad OWASP, a la aplicación SAC.

• Owas-zap

• Nmap

• Hydra

• Nessus

• Wireshark

• Burp Suite Scanner

Resultado de la

entrega A satisfacción.

No. OBERVACIONES

1 Las aplicaciones utilizadas son de uso libre y no requieren de licenciamiento pago para su utilización en las instalaciones del MEN.

2

FIRMA DE ASISTENTES

Realizado y aprobado por (Profesional que realizó y aprobó las pruebas)

Asistido por (Profesional que asistió las pruebas)

Nombres y Apellidos Nombres y Apellidos

84

CONCLUSIONES

• Se ejecuto de manera satisfactoria el proceso de auditoría al Sistema de atención al

Ciudadano -SAC- del Ministerio de Educación Nacional bajo la metodología

OWASP, obteniendo un conocimiento y estado claro del nivel de seguridad

implementado a la fecha para el aplicativo.

• Se realizo el análisis de riesgos de tecnología, para el Sistema de Atención al

Ciudadano -SAC, en el Ministerio de Educación Nacional, bajo la metodología

OWASP, brindando a la entidad un mapa claro y actualizado de los peligros, que, a

nivel de tecnología puede correr con la aplicación.

• Se brindo al área de tecnología del Ministerio de Educación Nacional una suite de

técnicas y herramientas de auditoria para la evaluación de aplicaciones, las cuales se

aplicaron de manera satisfactoria al Sistema de Atención al Ciudadano.

• Se identifico a nivel de base de datos el estado de implementación de los controles de

seguridad propuestos por OWASP, así como las responsabilidades y los encargados

de llevar a cabo dichos controles.

• Se realizaron pruebas a nivel de aplicación al Sistema de Atención al Ciudadano, de

los controles propuestos por OWASP en el apartado de seguridad, encontrando un

nivel de implementación medio, lo cual indica que se debe seguir trabajando en

implementar y fortalecer los controles para mitigar riesgos en la aplicación.

85

• Se realizo la revisión a la documentación técnica y funcional del aplicativo SAC,

evidenciando que, a nivel de solicitudes de controles de seguridad a implementar en

el sistema, se cuenta con una madures de nivel medio, se propone solicitar controles

de cambio para el aplicativo que incluyan la brecha de lo solicitado vs lo

implementado para adquirir un nivel superior de madures del sistema.

• Se evidencia la solicitud e implementación clara, de una matriz de roles y permisos,

tanto a nivel de base de datos, como de aplicativo, brindando de esta forma un nivel

de protección medio – alto, a la información que se administra con el sistema,

permitiendo diferenciar perfectamente responsabilidades y niveles de acceso a la

misma. Se recomienda realizar un mantenimiento y/o actualización del sistema, de

manera semestral que permita actualizar la matriz de roles y permisos y contar con

información actualizada de la misma.

• Se evidencia, a nivel de requerimientos de infraestructura, una clara delimitación de

los componentes que articulan el SAC, así como correcta descripción de los puertos

y tipos de conexiones requeridos para su correcta configuración y despliegue.

• Se evidencia a nivel de infraestructura una falta de definición de usuarios de

plataforma y recomendaciones de gestión de seguridad de estos, ocasionando un

vacío a nivel de seguridad de los componentes expuestos en cada servidor, se

recomienda crear una política de recomendaciones de seguridad, a nivel de

infraestructura, que aplique para la configuración de la aplicación SAC.

86

BIBLIOGRAFIA

A. (2017). ¿Qué es Entrevista? - Concepto, Definición y Características. Retrieved May 22,

2018, from http://concepto.de/que-es-entrevista/

Certicámara S. (2013). Proteger Los Datos Personales, 5. Retrieved from

https://colombiadigital.net/publicaciones_ccd/anexos/certicamara_proteccion_datos_a

go28.pdf

Comercio, M. D. E., & Turismo, I. Y. (2013). Decreto 1377 de 2012. Ministerio de Comerico,

Industria Y Turismo, decreto 13, 1–11. Retrieved from

http://www.mintic.gov.co/portal/604/articles-4274_documento.pdf

Corte Constitucional de Colombia. (1991). Constituci{ó}n pol{í}tica de Colombia

actualizada con los actos legislativos a 2015. Corte Constitucional de Colombi, 121.

https://doi.org/2344-8997

Diario Oficial. (2009). Ley 1273 De 2009. Retrieved from

http://acueductopopayan.com.co/wp-content/uploads/2012/08/ley-1273-2009.pdf

Diario Oficial. (2015). Ley 1755 de 2015 Nivel Nacional. Retrieved April 26, 2018, from

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=62152

Dulzaides Iglesias, M. E., & Molina Gómez, A. M. (2004). Análisis documental y de

información: dos componentes de un mismo proceso. Retrieved May 31, 2018, from

http://bvs.sld.cu/revistas/aci/vol12_2_04/aci11204.htm

EA, C. (2015). Analisis y Diseños de Sistemas de Informacion. PhD Proposal, 1, 101.

https://doi.org/10.1017/CBO9781107415324.004

Foundation, O. (2008). Guía de pruebas OWASP v3., 0, 372. Retrieved from

https://www.owasp.org/images/8/80/Guía_de_pruebas_de_OWASP_ver_3.0.pdf

Hermoso Metaute, A. (2013). Seguridad en Aplicativos Web. Retrieved from

http://diposit.ub.edu/dspace/bitstream/2445/49106/1/AdrianHermoso_memoria.pdf

Jack, T. H. E., Jack, T. H. E., All, O. F., All, O. F., Security, T., Security, T., … Supplement,

T. (2001). OSSTMM 2.1 - The Open Source Security Testing Methodology Manual.

Isecom, 133.

López Provencio, F. (2015). Desarrollo dirigido por la seguridad. Retrieved from

http://upcommons.upc.edu/handle/2099.1/24902

MAP. (2012). PAe - MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información. Retrieved May 22, 2018, from

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodol

og/pae_Magerit.html#.WwSgToiFOUl

87

Melo, L. A., Ramos, J. E., & Hernández, P. O. (2017). La educación superior en Colombia:

situación actual y análisis de eficiencia. Desarrollo Y Sociedad, 2(78), 59–111.

https://doi.org/10.13043/DYS.78.2

O’Brien, J. A. (2006). Sistemas de información gerencial. (MCGRAW-HILL /

INTERAMERICANA DE MEXICO, Ed.) (7a ed.).

OCDE. (2016). Revisión de políticas nacionales de educación. Educación en Colombia.

https://doi.org/10.1787/9789264250604-en

OWASP Foundation. (2017). OWASP Top 10 -2017, 25. Retrieved from

https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf

Pita Fernández, S., & Pértegas Díaz, S. (2002). Investigación cuantitativa y cualitativa.

Retrieved May 22, 2018, from

https://www.fisterra.com/mbe/investiga/cuanti_cuali/cuanti_cuali.asp

UPC, F. (2008). Guía del taller de iniciación a la informática.

88

ANEXOS

MEMORANDO DE PLANEACION

OBJETIVO DE LA AUDITORIA:

Evaluar las medidas de control tecnológico, para la aplicación Sistema de Atención

al Ciudadano, SAC, del Ministerio de Educación Nacional, con el propósito de determinar

su estado, nivel de confiabilidad de la información y si las actividades de control que se

ejercen actualmente son eficaces y eficientes en la prevención y/o corrección, de situaciones

generadas por la materialización de riesgos en la gestión de la información de la entidad.

ALCANCE

El alcance propuesto para esta auditoría es la verificación y evaluación de la

efectividad e idoneidad de los controles lógicos, de integridad, de continuidad y de ambiente,

existentes, a nivel de base de datos, para la aplicación SAC, del Ministerio de Educación

Nacional.

RECURSO

Para la ejecución de la auditoria se tendrá en cuenta los siguientes recursos:

Humanos:

Equipo de Auditoria

• Edwin Fernández Ingeniero telemático

• Anderson Julian Llanos Ruiz. Ingeniero de sistemas

Equipo Técnico:

89

• Equipo DBA Ministerio de Educación Nación Nacional.

Tecnológicos:

• Portatil Asus 14”, DD: 750gb, Ram 10gb, Intel Core i5

• Portatil Acer Aspire, DD: 1TB, Ram 12 Gb, Intel Core i5

• Estaciones de computo del MEN.

Físicos:

• Formatos

• Cuestionarios

FAMILIARIZACION AUDITORIA BASES DE DATOS

El levantamiento de información para la auditoria de base de datos se realizó en las

instalaciones del Ministerio de educación Nacional.

Nombre del encuestado: Fabian Restrepo

Fecha: 02/04/2018

Cargo: DBA

FICHA TECNICA

OBJETIVO DE LA APLICACIÓN: SAC:

ESTADO: OPERATIVO EN PRODUCCION

AREAS DE USO: •

PLATAFORMA

Hardware y Software del servidor

Servidor de base de datos:

RAM: 24Gb

SO: Centos 6.7

Disco duro: 450Gb

Procesadores: Intel® Xeon® 2.4Ghz *4

Servidor de aplicaciones:

RAM: 24Gb

SO: Windows Server 202 R2 x64

90

Disco duro: 300gb

Procesadores: Intel® Xeon® 2.10Ghz *6

Hardware y Software de los PCS • Software:

Navegador de internet: Google Chrome,

Mozilla, Internet Explorer, Safari, otros)

Sistema operativo: Windows, Linux,

MacOs

• Hardware:

Procesador: Core 2 duo o superior.

Memoria RAM: 2gb o superior.

Disco duro: 120gb o superior.

Redes • LAN Interna 10/100 Cableada.

• Red Interna Wi Fi Access Point en cada

piso Soporte para 150 Usuarios.

• Firewall

• Canal Principal Proveedor ETB

• Canal Alterno Proveedor TIGO UNE

• Expuesta para acceso por Internet para

los usuarios (vigilados).

Módulos del aplicativo •

Documentación General • Manual de usuario

• Modelo de aplicaciones

• Modelo Entidad – Relación

ESQUEMA DE SEGURIDAD Y CONTROL

Se realizó una serie de preguntas al DBA, del Ministerio de Educación Nacional,

dentro de las cuales, se incluyen algunas sobre los controles propuestos por OWASP, para

conocer y dar claridad del entorno de base de datos, esta información se toma como punto de

partida del proceso de auditoría, a nivel de base de datos, para la aplicación SAC.

91

SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA

En la seguridad lógica y pistas de auditoria se evalúa los niveles de control de acceso

a la base de datos, usuarios creados, logs de auditoria, triggers, entre otros, se realizó un

cuestionario que se puede observar en el Anexo 1.

INTEGRIDAD

En la integridad se tiene en cuenta lo referente a calidad de los datos en la base de

datos, aquí se aprecia los diccionarios de base de datos, el procedimiento para su

actualización, el nivel de encripción de los datos, la documentación y demás factores que

involucran la integridad, en el Anexo 2 se podrá apreciar el cuestionario realizado.

CONTINUIDAD

En la continuidad se analiza y evalúa los procedimientos de backups que existen en

la base de datos, se tiene en cuenta la documentación referente y todas las validaciones y

monitoreos que se deben ejecutar para ejercer la continuidad en el negocio frente a cualquier

anomalía, en el Anexo 3 se encuentra una encuesta referente a este proceso.

SEGURIDAD EN EL AMBIENTE

En este punto de seguridad en el ambiente se evalúa los factores que rodean el

ambiente de base de datos, como, por ejemplo: las licencias, políticas de cambios, antivirus,

sistemas de detección de incendios, distribución en red, firewall, proxy y demás componentes

para garantizar el correcto funcionamiento de la base de datos. En el Anexo 4 se encuentra

una encuesta realizada.

92

EVALUACIÓN

Para la evaluación del proceso de auditoría, se tomó como referencia los puntos evaluados en la entrevista, se tienen en cuenta

los parámetros de actividades, riesgos, controles, estado de control y responsable.

MATRIZ SEGURIDAD LOGICA Y PISTAS DE AUDITORIA

SEGURIDAD LOGICA Y PISTAS DE AUDITORIA

ACTIVIDADES RIESGOS CONTROLES ESTADO

CONTROL RESPONSABLE

Gestión de Log

de Auditoria

Perdida de integridad de la información

originada por falta de rastreo de transacciones

en la base de datos.

Activar el Log del Sistema Gestor

de Base de datos, al nivel que

permita rastreo de transacciones.

Implementado DBA

Perdida de disponibilidad de la información

originada por falta de disponibilidad de la base

de datos.

Implementar procedimiento de

verificación de información de

errores obtenidos en los archivos

Log de SGBD.

Implementado Operario BD

Perdida de disponibilidad de la información

originada por fallas del servidor.

Activar el archivo de registro de

Log a nivel que permita validar

las actividades del sistema

operativo de servidor.

Implementado DBA

Gestión de

Accesos

Perdida de integridad de la información

originada por no tener un control de usuarios de

la base de datos.

Implementar matriz de roles y

perfiles para la Base de Datos Implementado Líder Técnico

Perdida de confidencialidad de la base de datos

originada por no tener contraseñas de usuario

actualizadas.

Implementar el proceso de

vencimiento de las contraseñas de

los usuarios de la base de datos.

No Implementada DBA

Perdida de confidencialidad de la información

originada por usuarios no controlados en la base

de datos.

Implementar procedimiento de

eliminación de usuarios

Genéricos en la base de datos.

Implementada DBA

93

MATRIZ INTEGRIDAD

INTEGRIDAD

ACTIVIDADES RIESGOS CONTROLES ESTADO

CONTROL RESPONSABLE

Gestión

Diccionario de

datos

Perdida de disponibilidad de la

información originada por

actualizaciones no controladas.

Implementar ambientes de desarrollo,

pruebas y calidad independientes. Implementado BDA

Perdida de integridad de la

información originada por

actualizaciones a la base de datos

no documentadas.

Implementar plantilla de control de

actualización al modelo de Datos. Implementado

Arquitecto - Líder

Técnico

Perdida de disponibilidad de la

información originada por no

licenciamiento del SGBD.

Implementar proceso de adquisición y

actualización de licenciamiento y

mantenimiento del SGDB.

Implementado Gerente de

Tecnologia

Cargue de Datos

Perdida de confidencialidad de la

información, originada por

extracción de información

sensible.

Definir procedimiento para la

encriptación de data sensible. Implementado

Arquitecto – Líder

Técnico

Perdida de integridad de la

información por perdida de datos

Definir el procedimiento de extracción

y carga de datos a la base de datos. No Implementado DBA

Perdida de integridad de la

información por modificación de

entidades de la base de datos.

Definir el procedimiento de

actualización y aprobación de

actualizaciones de la estructura de la

base de datos.

Implementado Líder Técnico

94

MATRIZ CONTINUIDAD

CONTINUIDAD

ACTIVIDADES RIESGOS CONTROLES ESTADO

CONTROL RESPONSABLE

Gestión de

backups

Perdida de información originada por

daños en discos de respaldo

Establecer ejecución de backups

automatizados. Implementado DBA

Interrupción del servicio originada

por fallas en el servidor de base de

datos

Implementar manuales de

restauración de backups. Implementado DBA

Pérdida de credibilidad originada por

falta de backups

Divulgar políticas de

mantenimiento de hardware y

software.

Implementado DBA

Recuperación de

desastres

Daño o perdida de activos originada

por desastres naturales.

Activar servidor de contingencia

alterno de base de datos. Implementado

Líder técnico -

DBA

Divulgación de información

confidencial o sensible originada por

robo.

Establecer pruebas de

contingencia. No implementado

Líder técnico -

DBA

Persecuciones legales originadas por

no disponibilidad del servicio.

Implementar documentos de

continuidad de negocio Implementado

Gestor de la

configuración

95

MATRIZ SEGURIDAD EN EL AMBIENTE

SEGURIDAD EN EL AMBIENTE

ACTIVIDADES RIESGOS CONTROLES ESTADO

CONTROL RESPONSABLE

Seguridad de

equipos de

computo

Divulgación de información

confidencial o sensible originado por

extracción de archivos en medios

magnéticos.

Implementar el bloqueo de puertos

USB y accesos a páginas

restringidas.

Implementado Oficial de

seguridad

Perdida de información originado por

virus informáticos.

Instalación de parches de antivirus

para los equipos cliente Implementado Líder técnico

Daño o perdida de activos originado

por cortes de energía eléctrica.

Activar el sistema de energía

eléctrico alterno para los equipos

de cómputo.

Implementado Líder técnico

Administración

de red

Interrupción del servicio originado

por ineficiencia en los

procedimientos de mantenimiento.

Definir procedimientos de

mantenimientos de redes en la

organización.

No implementado Líder técnico

Pérdida de credibilidad originado por

conexión de equipos de cómputo

externos.

Divulgar conexión segura para

conexiones de equipos fuera de la

red LAN.

Implementado Oficial de

seguridad

Fraude originado por acceso no

autorizado.

Implementar accesos a través de

firewall para los servidores de

bases de datos

Implementado Oficial de

seguridad

96

DISEÑO Y EJECUCCIÓN DE PRUEBAS

PROGRAMACIÓN DE PRUEBAS

REF. DESCRIPCION DE LA PRUEBA

Página

P1

Verificar que el Log del SGBD está activo, registra información y

el nivel de registro maneja el nivel de detalle necesario.

P2

Certificar que la matriz de Roles y permisos este implementada en

la base de datos.

P3

Verificar que se encuentren instalados y configurados de manera

independiente, los ambientes de trabajo, para desarrollo, pruebas y

calidad (QA).

P4

Validar que se encuentra implementado un procedimiento de

encriptado de datos para la información considerada sensible.

P5

Evaluar que se realice la ejecución y restauración de backups de

base de datos de forma automática y verificar que los medios donde

se están almacenando las copias.

P6

Verificar que exista definido un plan de continuidad de desastre e

identificar el historial de interrupciones de servicio.

P7

Verificar que se encuentre implementados controles de bloqueo de

puertos usb y acceso a internet a páginas no autorizadas por la

Entidad.

P8

Analizar los niveles de seguridad de la red inalámbrica y carpetas

compartidas.

97

SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA

SISTEMA DE ATENCION AL CIUDADANO SAC, DEL MINISTERIO DE

EDUCACION NACIONAL

DISENO DE PRUEBAS DE AUDITORIA

ACTIVIDAD: SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA

PRUEBA No: PR01

PROCESO: Gestión de Log de Auditoria

OBJETIVO DE LA PRUEBA:

Verificar que el Log del SGBD está activo, registra información y el nivel de registro

maneja el nivel de detalle necesario.

TIPO: Manual

CONTROL A PROBAR

Activar el Log del Sistema Gestor de Base de datos, al nivel que permita rastreo de

transacciones.

RECURSOS NECESARIOS PARA APLICARLA

SOFTWARE: SGBD Oracle 11g,TOAD , ScreenHunter, Chrome ScreenCastify

HARDWARE: Equipo PC de escritorio, Servidor de Base de datos

PERSONAL: DBA, Auditor

PROCEDIMIENTO A EMPLEAR

1. Solicitar al DBA, presentar la información de la configuración del registro del log

del SGBD con el nivel de rastreo completo de transacciones activo y la ruta de

almacenamiento del log configurada.

2. Registrar imagen de evidencia de la configuración.

3. Validar la existencia de la ruta de almacenamiento del archivo Log.

4. Registrar imagen evidencia de ruta de almacenamiento.

5. Verificar que en la ruta sugerida y configurada existan archivos de registro de log

de mínimo 10 días de anterioridad a la fecha de toma de la evidencia.

6. Seleccionar uno de los archivos de registro de LOG de alguno de los 10 días de

almacenamiento y validar que contenga la información de registro.

7. Del archivo seleccionado, validar que la información que contenga corresponda

con el nivel de traza de registro completo de transacciones.

8. Registrar imagen de evidencia del archivo LOG seleccionado con extracto de

información de transacciones.

Elaborado por: ________________________ Fecha: ____/_____/______

Revisado por: ________________________ Fecha: ____/_____/______

98

SISTEMA DE ATENCION AL CIUDADANO SAC, DEL MINISTERIO DE

EDUCACION NACIONAL

DISENO DE PRUEBAS DE AUDITORIA

ACTIVIDAD: SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA

PRUEBA No: PR02

PROCESO: Gestión de Accesos

OBJETIVO DE LA PRUEBA:

Certificar que la matriz de Roles y permisos este implementada en la base de datos.

TIPO: Asistida

CONTROL A PROBAR

Implementar matriz de roles y perfiles para la Base de Datos.

RECURSOS NECESARIOS PARA APLICARLA

SOFTWARE: SGBD Oracle 11g,TOAD, SQL Developer , ScreenHunter, Chrome

ScreenCastify, Excel

HARDWARE: Equipo PC de escritorio, Servidor de Base de datos

PERSONAL: DBA, Auditor

PROCEDIMIENTO A EMPLEAR

1. Solicitar al DBA, presentar documento en Excel o Word con la información de la

matriz de roles y permisos.

2. Solicitar copia del documento de Matriz de roles y permisos para adjuntarlo como

evidencia al documento de auditoria.

3. Solicitar al DBA, conectarse por medio de SQL Developer o TOAD, a la base de

datos, como usuario SYSDBA.

4. Ejecutar el siguiente select en la base de datos:

SELECT USERNAME FROM DBA_USERS

5. Tomar una imagen de evidencia del listado de usuarios generados por la consulta

para adjuntarlo al informe.

6. Validar que el listado de usuarios que devuelve la sentencia de registrados en la

base de datos, corresponda con el listado de usuarios registrados en la matriz.

7. Seleccionar un USERNAME de la matriz de roles y permisos, y validar que la

configuración de perfil y accesos en la Base de datos, corresponda a la indicada en

el documento de perfiles, ejecutando el siguiente select:

99

Select

lpad(' ', 2*level) || granted_role "User, his roles and privileges"

from

(

/* THE USERS */

select

null grantee,

username granted_role

from

dba_users

where

username like upper('%&enter_username%')

/* THE ROLES TO ROLES RELATIONS */

union

select

grantee,

granted_role

from

dba_role_privs

/* THE ROLES TO PRIVILEGE RELATIONS */

union

select

grantee,

privilege

from

dba_sys_privs

)

start with grantee is null

connect by grantee = prior granted_role;

8. Tomar imagen de evidencia de los permisos configurados en la base de

datos.

9. Validar, chequeando los permisos devueltos por el select, que el resultado

corresponda con los accesos que debe tener el usuario.

Elaborado por: ________________________ Fecha: ____/_____/______

Revisado por: ________________________ Fecha: ____/_____/______

100

INTEGRIDAD

DISENO DE PRUEBAS DE AUDITORIA

ACTIVIDAD: INTEGRIDAD

PRUEBA No: PR03

PROCESO: Gestión Diccionario de Datos

OBJETIVO DE LA PRUEBA:

Verificar que se encuentren instalados y configurados de manera independiente, los

ambientes de trabajo, para desarrollo, pruebas y calidad (QA).

TIPO: Manual

CONTROL A PROBAR

Implementar ambientes de desarrollo, pruebas y calidad independientes

RECURSOS NECESARIOS PARA APLICARLA

SOFTWARE: SGBD Oracle 11g,TOAD, SQL Developer , ScreenHunter, Chrome

ScreenCastify, Excel

HARDWARE: Equipo PC de escritorio, Equipo PC Portátil conectado a la red, Servidor

de Base de datos

PERSONAL: DBA, Gestor de la configuración, Auditores.

PROCEDIMIENTO A EMPLEAR

1. Solicitar al Gestor de la Configuración, copia de los diagramas de configuración de

los ambientes de desarrollo, pruebas y producción.

2. Tomar evidencia de los diagramas para adjuntarlos al informe final.

3. De los ambientes configurados para el sistema (desarrollo, pruebas, producción),

seleccionar el ambiente de desarrollo y verificar la disponibilidad de los

componentes de infraestructura para base de datos descritos en el diagrama.

4. Solicitar al DBA o al Gestor de la Configuración, las IPS del servidor de base de

datos y la instancia de desarrollo

5. Realizar una conexión a dicho entorno de desarrollo con los datos entregados por

el DBA o el GC y tomar evidencia de dicha conexión para adjuntar al informe

6. Solicitar al DBA, conectarse por medio de SQL Developer o SQL PLUS o TOAD,

al esquema de base de datos de desarrollo y solicitar un listado de los objetos de

tipo TABLA del esquema.

7. Guardar el listado de tablas del ambiente de desarrollo obtenidos para adjuntar al

informe.

8. Solicitar al DBA o al Gestor de la Configuración, las IPS del servidor de base de

datos y la instancia de pruebas.

101

9. Realizar una conexión al entorno de pruebas con los datos entregados por el DBA

o el GC y tomar evidencia de dicha conexión para adjuntar al informe.

10. Solicitar al DBA, conectarse por medio de SQL Developer o SQL PLUS o TOAD,

al esquema de base de datos de pruebas y solicitar un listado de los objetos de tipo

TABLA del esquema.

11. Guardar el listado de tablas del ambiente de pruebas obtenidos para adjuntar al

informe.

12. Solicitar al DBA o al Gestor de la Configuración, las IPS del servidor de base de

datos y la instancia de producción.

13. Realizar una conexión a dicho entorno de producción con los datos entregados por

el DBA o el GC y tomar evidencia de dicha conexión para adjuntar al informe

14. Solicitar al DBA, conectarse por medio de SQL Developer o SQL PLUS o TOAD,

al esquema de base de datos de producción y solicitar un listado de los objetos de

tipo TABLA del esquema.

15. Guardar el listado de tablas del ambiente de producción obtenidos para adjuntar al

informe.

16. En Excel copiar los 3 listados de tablas obtenidos, y validar que en los tres

ambientes exista el mismo número de objetos tipo Tabla y que sus nombres

correspondan.

17. Guardar el documento Excel como “Anexo Tablas Ambientes.xlsx” y adjuntar al

informe.

Elaborado por : ________________________ Fecha: ____/_____/______

Revisado por: ________________________ Fecha: ____/_____/______

DISENO DE PRUEBAS DE AUDITORIA

ACTIVIDAD: INTEGRIDAD

PRUEBA No: PR04

PROCESO: Cargue de Datos

OBJETIVO DE LA PRUEBA:

Validar que se encuentra implementado un procedimiento de encriptado de datos para la

información considerada sensible.

TIPO: Manual

CONTROL A PROBAR

Definir procedimiento para la encriptación de data sensible.

102

RECURSOS NECESARIOS PARA APLICARLA

SOFTWARE: SGBD Oracle 11g,TOAD, SQL Developer , ScreenHunter, Chrome

ScreenCastify, Excel

HARDWARE: Equipo PC de escritorio, Equipo PC Portátil conectado a la red, Servidor

de Base de datos

PERSONAL: DBA, Gestor de la configuración, Auditores.

PROCEDIMIENTO A EMPLEAR

1. Solicitar al Arquitecto o al líder técnico de la aplicación, el listado de campos

seleccionados como sensibles para la aplicación (contraseñas, direcciones, número

de teléfono).

2. Tomar evidencia del listado de campos y las tablas donde se encuentran dichos

datos para adjuntarlos al informe final.

3. Solicitar al arquitecto o líder técnico, la definición del protocolo de encriptación

utilizado para hacer el proceso de protección de datos.

4. Tomar evidencia de la definición de dicho protocolo y adjuntarla al informe.

5. Solicitar al BDA, realizar una conexión al entorno de pruebas de la base de datos.

6. Generar una población de datos de las tablas y campos indicados por el arquitecto

o líder técnico, como datos sensibles o encriptados.

7. Validar que la información de las tablas y los campos descritos no sea de fácil

identificación, es decir se encuentre encriptada.

8. Tomar evidencia de los datos encriptados y adjuntarla al informe.

9. Seleccionar un dato al azar y aplicarle el proceso de des encriptado.

10. Validar que la información des encriptada corresponde con un dato consistente

comparándolo con el dato en pantalla de la aplicación.

11. Tomar evidencia de los datos encriptados y des encriptado y adjuntarla al informe.

Elaborado por: ________________________ Fecha: ____/_____/______

Revisado por: ________________________ Fecha: ____/_____/______

103

CONTINUIDAD

DISENO DE PRUEBAS DE AUDITORIA

ACTIVIDAD: Continuidad

PRUEBA No: PR05

PROCESO: Gestión de backups

OBJETIVO DE LA PRUEBA:

Evaluar que se realice la ejecución de backups de base de datos de forma automática y verificar

que los medios donde se están almacenando las copias funcionan de manera adecuada y permiten

una restauración de la base de datos.

TIPO: Automatizado

RECURSOS NECESARIOS PARA APLICARLA

Conexión a base de datos, del servidor de respaldo y medios de almacenamiento en compañía del

DBA y administrador de servidores.

PROCEDIMIENTO A EMPLEAR

1. Verificar el proceso de ejecución de backups automatizados de base de datos.

2. Identificar la periodicidad de generación de backups y tomar muestra de ejecución del

backup automatizado del día anterior.

3. Solicitar los medios físicos de almacenamiento de backups y revisar etiquetado de los

medios.

4. Verificar que existan copias de backups alternas y revisar que se encuentren actualizadas

al último corte del backup realizado.

5. Restaurar backup del día anterior en un ambiente de prueba y verificar que la información

recuperada corresponda a la fecha de corte del backup.

6. Verificar el log de ejecución de backup y comprobar que se genere de forma exitosa.

Elaborado por: ________________________ Fecha: ____/_____/______

Revisado por: ________________________ Fecha: ____/_____/______

104

DISENO DE PRUEBAS DE AUDITORIA

ACTIVIDAD: Continuidad

PRUEBA No: PR06

PROCESO: Recuperación de desastres

OBJETIVO DE LA PRUEBA:

Verificar que exista definido un plan de continuidad de desastre e identificar el historial de

interrupciones de servicio.

TIPO: Manual

RECURSOS NECESARIOS PARA APLICARLA

Es necesario la verificación visual de las instalaciones de la Entidad, datacenter, extintores y

mecanismos de prevención de incendios; este recorrido se debe realizar en compañía del líder

técnico.

PROCEDIMIENTO A EMPLEAR

1. Recopilar todos los documentos relevantes de la infraestructura de redes, como los

diagramas de las redes, la configuración de los equipos y bases de datos.

2. Identificar las amenazas contra la infraestructura de TI que la dirección considere más

preocupantes: por ejemplo, incendios, errores humanos, apagones de energía, fallo de los

sistemas.

3. Identificar aquello que la dirección considera que son las principales vulnerabilidades de

la infraestructura: por ejemplo, inexistencia de sistemas de respaldo en caso de apagón

eléctrico, copias de bases de datos obsoletas.

4. Examinar el historial previo de apagones e interrupciones de servicio, y cómo fueron

gestionados por la entidad.

5. Identificar los activos TI que la dirección considera de importancia crítica. Por ejemplo:

centro de llamadas, centro de servidores, acceso a internet.

Elaborado por: ________________________ Fecha: ____/_____/______

Revisado por: ________________________ Fecha: ____/_____/______

105

SEGURIDAD EN EL AMBIENTE

DISENO DE PRUEBAS DE AUDITORIA

ACTIVIDAD: Seguridad en el ambiente

PRUEBA No: PR07

PROCESO: Seguridad de equipos de computo

OBJETIVO DE LA PRUEBA:

Verificar que se encuentre implementados controles de bloqueo de puertos usb y acceso a internet

a páginas no autorizadas por la Entidad.

TIPO: Manual

RECURSOS NECESARIOS PARA APLICARLA

La verificación se realizará con un equipo de la entidad conectado a la red LAN, esta verificación

se llevará a cabo en compañía al oficial de seguridad.

PROCEDIMIENTO A EMPLEAR

1. Hacer uso de un pc de la entidad e insertar una memoria usb en uno de sus puertos, validar

si el contenido del dispositivo es accesible.

2. Desactivar el antivirus y verificar si es posible la lectura de medios extraíbles.

3. Desconectar el cable de red y validar que el contenido del dispositivo usb sea accesible.

4. Ejecutar un navegador de internet e ingresar a páginas de redes sociales (Facebook,

Youtube…),

5. Realizar la descarga de un programa y proceder a instalarlo en un computador de la

Entidad

Elaborado por: ________________________ Fecha: ____/_____/______

Revisado por: ________________________ Fecha: ____/_____/______

106

DISENO DE PRUEBAS DE AUDITORIA

ACTIVIDAD: Seguridad en el ambiente

PRUEBA No: PR08

PROCESO: Administración de redes

OBJETIVO DE LA PRUEBA:

Analizar los niveles de seguridad de la red inalámbrica y carpetas compartidas.

TIPO: Manual

RECURSOS NECESARIOS PARA APLICARLA

La verificación se realizará con un equipo de la entidad conectado a la red LAN, esta verificación

se llevará a cabo en compañía al oficial de seguridad.

PROCEDIMIENTO A EMPLEAR

1. Hacer uso de la red inalámbrica de la Entidad, verificar si es posible el acceso a páginas

de redes sociales.

2. Acceder al servidor de carpetas compartidas desde un equipo portátil externo de la entidad

conectado por medio de la red wifi.

3. Acceder a la intranet de la Entidad con un dispositivo conectado por medio de la red wifi,

tomar capturas de pantalla.

4. Verificar si es posible acceder a todas las carpetas alojadas en el servidor de carpetas

compartidas con un usuario que tenga perfil básico.

5. Ingresar al correo electrónico institucional desde la red LAN, red WIFI e internet.

Elaborado por: ________________________ Fecha: ____/_____/______

Revisado por: ________________________ Fecha: ____/_____/______

107

CUESTIONARIO SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA

No Pregunta Si No Observaciones

1 Las contraseñas de los usuarios

SYS, SYSTEM, se han

cambiado y son diferentes.

X

2 Conoce el número de usuarios

para los cuales va a estar

disponible el aplicativo.

X

3 ¿Existe una matriz de usuarios

y permisos para el acceso a la

base de datos del aplicativo?

X

4 ¿Se cuenta con un

procedimiento para la creación

de usuarios, para el aplicativo

SAC a nivel de base de datos?

X

5 ¿Existe segregación de

funciones a nivel de

administración de la base de

datos?

X

6 ¿El DBA realiza la gestión

(creación, eliminación,

inactivación, activación) de

usuarios de la BD?

X

7 ¿Existe un control de cantidad

de sesiones simultáneas de un

usuario sobre la base de datos?

X

8 ¿Están habilitados los logs de

auditoria del DBMS? X

9 ¿Hay implementada una

política de cambio de Password

de usuarios a nivel de base de

datos?

X

10 ¿Existe una política de longitud

de las contraseñas? X

11 Están activos los logs del

sistema operativo que aloja el

DBMS.

X

12 Existe una política para

actualización y parcheo del

sistema operativo.

X

13 Existe una política para

actualización y parcheo del

DBMS

X

108

CUESTIONARIO INTEGRIDAD

No Pregunta Si No Observaciones

1 ¿Está documentado el modelo

entidad relación del aplicativo? X

2 ¿Tiene acceso al diccionario de

datos del aplicativo? X

3 ¿Existe un procedimiento

documentado para la X

14 ¿Se controla el número de

intentos fallidos de inicio de

sesión en la base de datos?

X

15 ¿Se cuenta con una política de

vigencia de las sesiones de un

usuario en la base de datos?

X

16 Existen usuarios que accedan

directamente a la base de datos

del aplicativo.

X

17 Existe una política para

eliminación de usuarios de base

de datos.

X

18 Existen cuentas de usuario

genéricas para el aplicativo. X

19 Existe una política de

vencimiento de contraseñas. X

20 ¿Se validan los logs de base de

datos generados? X

21 ¿Se validan los logs generados

por el sistema operativo? X

22 ¿Existe una política de respaldo

de las contraseñas de los DBA? X

23 ¿Existe una administración

bajo custodia de las

contraseñas de DBA?

X

24 ¿Existe un procedimiento para

la eliminación o bloqueo de

usuarios de la base de datos?

X

25 Existen usuarios genéricos a

nivel del SO donde se

encuentra alojada la base de

datos

109

actualización del diccionario

de datos?

4 ¿Existe un procedimiento

documentado para actualizar el

modelo entidad relación del

aplicativo?

X

5 Con que frecuencia de tiempo

se realiza la actualización del

diccionario de base de datos

6 Cuenta con independencia de

los ambientes de desarrollo,

calidad y producción.

X

7 Existe un proceso de

sincronización (actualización)

de datos entre ambientes.

(Producción – QA) (QA -

Desarrollo).

X

8 La actualización de los datos de

los ambientes de desarrollo y

QA se realiza con frecuencia

Semanal

X

9 La actualización de los datos de

los ambientes de Producción y

desarrollo se realiza de manera

quincenal.

X

9 La actualización de los datos de

los ambientes de desarrollo y

QA se realiza con frecuencia

Mensual.

X

10 Se realizan actualizaciones de

los datos de los ambientes de

Desarrollo y QA, por

solicitudes de los

desarrolladores o analistas de

pruebas.

X

11 Cuenta con un procedimiento

documentado para el paso de

desarrollos del ambiente de

desarrollo a calidad y de

calidad a producción

X

12 Cuenta con un procedimiento

documentado para hacer un

retorno de estado, de un paso a

producción.

X

110

13 ¿La gestión a la base de datos

se realiza con las herramientas

nativas del motor?

X

14 ¿La versión del motor de base

de datos se encuentra

licenciada?

X

15 ¿Se tiene implementado algún

estándar para la encriptación de

la información?

X

CUESTIONARIO CONTINUIDAD

No Pregunta Si No Observaciones

1 Los procedimientos de

BackUps están programados

periódicamente

X

2 Se encuentran definidos RTO

(Recovery Time Objective),

para la base de datos del

aplicativo

X

3 Se encuentran definidos RPO

(Recovery Point Objective),

para los datos del aplicativo.

X

5 ¿El backup se genera de forma

automática? X

6 ¿Los backups, se almacenan en

diferentes medios? X

7 ¿Se realiza validación de los

backups generados de la BD? X

8 ¿Se realiza monitoreo del

proceso de backup? X

9 ¿Existe una política de

mantenimiento de Hardware? X

10 ¿Cuenta con un data center

alterno? X

12 ¿Existe una política de gestión

de los medios backups de las

bases de datos?

X

13 Se realizan back ups de la

configuración. X

14 Se realizan pruebas de

restauración de los BackUps de

la base de datos.

X

111

15 Se realizan pruebas de

restauración de las

configuraciones.

X

16 ¿Los nombres de los backpups

de la base de datos incluyen la

fecha y la hora?

X

17 ¿Se cuenta con un plan de

contingencia para la base de

datos?

X

18 La base de datos del aplicativo,

¿es considerada Core de

Negocio?

X

19 El área posee un documento de

recuperación ante desastres X

20 ¿Se almacenan backups de la

base de datos en ubicaciones

externas al datacenter?

X

21 ¿Existe un responsable de la

custodia de los backups en la

entidad?

X

22 ¿Se almacenan backups de las

configuraciones en ubicaciones

externas a la organización?

X

23 ¿Se realizan pruebas de

contingencia? X

24 ¿Se cuenta con un sitio de

operación de contingencia? X

25 ¿Se cuenta con canales de

comunicación alternos? X

26 ¿Se cuenta con equipos de

cómputo de respaldo? X

27 ¿Se cuenta con un cronograma

de responsables en situación

de desastre?

X

28 ¿Existen procedimientos de

recuperación ante fallas de los

componentes de Hardware del

SGBD?

X

29 ¿Existen procedimientos de

recuperación ante fallas de los

componentes de SW del

SGBD?

X

112

CUESTIONARIO SEGURIDAD EN EL AMBIENTE

No Pregunta Si No Observaciones

1 Existe una política para el

backups de los Equipos

servidores.

X

2 ¿Existe una política para

cambios de plataforma? X

3 ¿Tienen licencias de antivirus

para los equipos clientes del

aplicativo dentro de la

empresa?

X

4 ¿Existe una política de control

de instalación de parches de

antivirus para los equipos

cliente?

X

5 ¿Existe un contrato de soporte

y mantenimiento para los

antivirus de los equipos

cliente?

X

6 ¿Se cuenta con un fireweall con

políticas activas en los equipos

cliente?

X

7 ¿El centro de datos cuenta con

un sistema de detección de

incendio?

X

8 ¿El centro de datos cuenta con

sistema de aspersores para

extinguir incendios?

X

9 ¿El centro de datos está

ubicado de tal forma que evite

ser afectado por una

inundación?

X

10 ¿Existe implementada una

política de conexión segura

para equipos por fuera de la

LAN?

X

11 ¿Existe un sistema de energía

alterna para el centro de

cómputo?

X

12 ¿Esta implementado un control

de acceso físico a las

instalaciones del data center?

X

113

13 ¿Esta implementado un control

de acceso biométrico a las

instalaciones del data center?

X

14 La distribución lógica de la red,

ubica los equipos servidores de

bases de datos, en el segmento

de granja de servidores

privados, protegidos por

firewall.

X

15 ¿Existe un diagrama de la red

de la organización? X

16 ¿Hay implementado un

firewall en la red? X

17 ¿Hay implementado un proxy

en la red? X

18 Se realiza monitoreo a la red de

la organización. X

19 Están implementadas VPN

para conexión de clientes

remotos con la empresa.

X

20 ¿Existe el rol de administrador

de infraestructura en la

organización?

X

21 ¿Esta administración incluye el

servidor de base de datos? X

22 ¿Existe una matriz de

responsabilidades para la

gestión del centro de cómputo?

X

23 ¿Se realiza mantenimiento a la

red de datos de la

organización?

X

24 Existe un segmento Wi Fi de la

red de la compañía. X

25 Existen políticas de seguridad

para el canal Wi Fi. X

26 Se monitora el segmento Wi Fi

de la compañía. X

27 Se puede acceder a las bases de

datos desde el segmento Wi Fi. X

28 Se puede acceder a los

servidores desde el segmento

Wi Fi

X