ebook img

metodología para realizar hacking ético en bases de datos para positiva compañía de seguros sa ... PDF

70 Pages·2017·1.89 MB·English
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview metodología para realizar hacking ético en bases de datos para positiva compañía de seguros sa ...

METODOLOGÍA PARA REALIZAR HACKING ÉTICO EN BASES DE DATOS PARA POSITIVA COMPAÑÍA DE SEGUROS S.A EN LA CIUDAD DE BOGOTÁ JORGE ALONSO FLOREZ ROJANO UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS E INGENIERIA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA BOGOTÁ 2017 METODOLOGÍA PARA REALIZAR HACKING ÉTICO EN BASES DE DATOS PARA POSITIVA COMPAÑÍA DE SEGUROS S.A EN LA CIUDAD DE BOGOTÁ JORGE ALONSO FLOREZ ROJANO PROYECTO DE GRADO Director YINA ALEXANDRA GONZALEZ SANABRIA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS E INGENIERIA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA BOGOTÁ 2017 Nota de Aceptación: ______________________________________ ______________________________________ ______________________________________ ______________________________________ ______________________________________ ______________________________________ ______________________________________ Firma del Presidente del Jurado ______________________________________ Firma del Jurado _____________________________________ Firma del Jurado Bogotá D.C. 30/11/2017 DEDICATORIA El proyecto de grado lo dedico a mi esposa e hijos, quienes con su amor y apoyo me acompañan en todas las experiencias que adelanto. Sin ellos todo este esfuerzo no habría tenido significado AGRADECIMIENTOS A Dios por darme esta oportunidad luego de superar momentos difíciles y por permitirme alcanzar la meta, a mi familia, en especial a mis hermanos por su espera y paciencia, a compañeros de trabajo como Andrés Moncada y Eddi Romero quienes siempre brindaron el acompañamiento en la “última milla” y al Ing. Salomón García González por su guía y constante retroalimentación. TABLA DE CONTENIDO Pag. RESUMEN ............................................................................................................. 10 INTRODUCCIÒN ................................................................................................... 12 1. TITULO ........................................................................................................... 13 2. DEFINICIÓN DEL PROBLEMA ...................................................................... 14 3. JUSTIFICACIÒN ............................................................................................. 16 4. OBJETIVOS .................................................................................................... 17 4.1 GENERAL ....................................................................................................... 17 4.2 ESPECÍFICOS ................................................................................................ 17 5. MARCO REFERENCIAL ................................................................................. 18 5.1 ANTECEDENTES ........................................................................................... 18 5.2 CONTEXTO .................................................................................................... 18 5.3 VICEPRESIDENCIA TECNOLOGÍAS INFORMACIÓN Y COMUNICACIONES ............................................................................................................................... 20 5.3.1 CARGOS Y FUNCIONES DE LA VICEPRESIDENCIA DE TIC .................. 20 5.4 MARCO TEÓRICO ......................................................................................... 23 5.4.1 DESARROLLO DE LAS FASES DE IMPLEMENTACIÓN DEL HACKING ÉTICO .................................................................................................................... 26 5.5 MARCO CONCEPTUAL .................................................................................. 27 5.5.1 HACKER ÉTICO ........................................................................................... 27 5.5.2 METODOLOGÍA DE SEGURIDAD ............................................................... 27 5.5.3 HERRAMIENTAS DE TESTING A BASES DE DATOS ............................... 28 5.6 MARCO LEGAL ............................................................................................... 28 6. DISEÑO METODOLÓGICO ............................................................................ 31 6.1 LÍNEA Y TIPO DE INVESTIGACIÓN .............................................................. 31 6.2 TIPO DE INVESTIGACIÓN ............................................................................ 31 6.2.1 INVESTIGACIÓN EXPLORATORIA ............................................................ 31 6.2.2 INVESTIGACIÓN DESCRIPTIVA ................................................................ 31 6.3 AREA DE INVESTIGACIÓN .......................................................................... 32 6.4 TECNICAS E INSTRUMENTOS DE RECOLECCION DE INFORMACIÓN ... 32 6.4.1 OBSERVACIÓN: ........................................................................................... 32 6.4.2 ENTREVISTA ESTRUCTURADA: ................................................................ 32 6.4.3 ENCUESTA: ................................................................................................. 33 6.5 POBLACIÓN Y MUESTRA ............................................................................. 33 6.5.1 POBLACIÓN: ................................................................................................ 33 6.5.2 MUESTRA: ................................................................................................... 33 6.6 METODOLOGÍA DE DESARROLLO .............................................................. 33 6.6.1 DEFINICIÓN DE ACTIVIDADES .............................................................. 33 6.6.2. CONCATENACIÓN DE ACTIVIDADES ................................................... 34 6.6.3. METODOLOGÍA DE ANÁLISIS DE SEGURIDAD ....................................... 35 6.6.4. ESTIMACIÓN DE RECURSOS NECESARIOS PARA CADA ACTIVIDAD 35 6.6.5. ESTIMACIÓN DE LA DURACIÓN DE CADA ACTIVIDAD .......................... 36 6.6.6. GRUPOS DE PROCESOS Y ÁREAS DE CONOCIMIENTO:...................... 36 7. ANALISIS SITUACIÓN ACTUAL DE LA CASA MATRIZ DE POSITIVA ......... 38 7.1 FASE 1. DIAGNÓSTICO DE APLICATIVOS, SISTEMAS OPERATIVOS Y BASES DE DATOS................................................................................................ 38 7.2 FASE 2. TIPOS DE PRUEBAS PARA VERIFICAR LA SEGURIDAD EN LA ORGANIZACIÓN ................................................................................................... 40 7.3 FASE 3. DEFINICIÓN DE LA METODOLOGÍA DE ANÁLISIS DE SEGURIDAD ......................................................................................................... 42 7.4 FASE 4. ELABORACIÓN DEL INFORME EJECUTIVO ................................. 50 7.4.1 RECOMENDACIONES ................................................................................ 56 8. METODOLOGIA DE DIAGNÓSTICO DE SEGURIDAD DE LAS BASES DE DATOS PARA POSITIVA COMPAÑÍA DE SEGUROS S.A ............................. 58 9. CONCLUSIONES ............................................................................................ 60 10. RESULTADOS ............................................................................................. 61 11. DIVULGACIÓN ............................................................................................ 63 BIBLIOGRAFÍA ...................................................................................................... 64 TABLA DE ILUSTRACIONES Pág. Ilustración 1 Organigrama ...................................................................................... 19 Ilustración 2 Arquitectura TI ................................................................................... 38 Ilustración 3 Objetivo estratégico TI ....................................................................... 39 Ilustración 4 Metodología de Pruebas .................................................................... 43 Ilustración 5 Información Básica ............................................................................ 45 Ilustración 6 Seleccionar Dispositivos Objetivo ...................................................... 45 Ilustración 7 Establecer opciones de escaneo ....................................................... 46 Ilustración 8 Registrar usuarios y permisos ........................................................... 46 Ilustración 9 Establecer parámetros por dispositivo ............................................... 47 Ilustración 10 Programar ejecución del escaneo ................................................... 47 Ilustración 11 Servidores por Severidad ................................................................ 48 Ilustración 12 Vulnerabilidades por clase ............................................................... 48 Ilustración 13 Resumen de vulnerabilidades por ocurrencia .................................. 49 Ilustración 14 Remediación .................................................................................... 49 Ilustración 15 Gestión de Vulnerabilidades ............................................................ 51 Ilustración 16 Vulnerabilidades por componente ................................................... 51 Ilustración 17 Gestión de vulnerabilidades AP ....................................................... 51 Ilustración 18 Gestión de vulnerabilidades Aplicaciones: ...................................... 53 Ilustración 19 Gestión de vulnerabilidades Bases de Datos .................................. 53 Ilustración 20 Gestión de vulnerabilidades Server ................................................. 55 Ilustración 21 Acceso a redes inalámbricas ........................................................... 61 RESUMEN El Proyecto de grado corresponde al diseño de una metodología para la Casa Matriz de Positiva Compañía de Seguros S.A. que al final de las pruebas de Hacking ético a bases de datos le entrega el resultado con la lista detallada de las vulnerabilidades encontradas así como la lista de recomendaciones, que les permita entender los riesgos potenciales sobre su negocio, para que sean aplicadas por los responsables de seguridad en la organización . Dicha metodología contempla las fases en que se debe abordar una tarea de Hacking ético a bases de datos en una organización, las pruebas de penetración que permitan la identificación de debilidades provocadas por una mala configuración de las aplicaciones, además de categorizar las debilidades con base al impacto potencial y la posibilidad que se convierta en realidad La estructura del proyecto, está dada por secciones, la primera de ellas concierne al marco referencial el cual consta de marco de antecedentes, contextual, teórico, conceptual y legal que soportan la investigación a desarrollar; seguidamente se encuentra el aparte del diseño metodológico en el cual se describe los pasos a seguir a fin de recopilar información relevante, por ejemplo: línea y tipo de investigación, área de investigación, técnicas y herramientas de recolección de información. La Metodología de desarrollo que por planteamiento relaciona, cuatro fases vitales, a saber: Fase 1: Diagnostico de la situación actual teniendo en cuenta los aplicativos, sistemas operativos y motores de bases de datose n Casa Matriz, identificando los diferentes dispositivos pertenecientes a la infraestructura específica de la red informática. Fase 2: Establecer los tipos de pruebas que se deben realizar con el objetivo de verificar la seguridad implantada en la organización Fase 3: Definición de la Metodología de Análisis de seguridad contemplando aspectos como las tareas que se debe realizar al abordar un testeo de seguridad, la manera en la que los resultados de éste deben ser presentados, las normas éticas y legales que deben tenerse en cuenta al momento de concretar el test .

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.