AUDITORIA AL SISTEMA DE ATENCIÓN AL CIUDADANO -SAC- …
Transcript of AUDITORIA AL SISTEMA DE ATENCIÓN AL CIUDADANO -SAC- …
AUDITORIA AL SISTEMA DE ATENCIÓN AL CIUDADANO -SAC- DEL
MINISTERIO DE EDUCACIÓN NACIONAL BAJO LA METODOLOGÍA OWASP
EDWIN NEYID FERNÁNDEZ MAHECHA
ANDERSON JULIAN LLANOS RUIZ
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE
INFORMACIÓN
BOGOTÁ D.C JUNIO 2018
AUDITORIA AL SISTEMA DE ATENCIÓN AL CIUDADANO -SAC- DEL
MINISTERIO DE EDUCACIÓN NACIONAL BAJO LA METODOLOGÍA OWASP
EDWIN NEYID FERNÁNDEZ MAHECHA
ANDERSON JULIAN LLANOS RUIZ
Trabajo de grado para obtener el título de Especialista en Auditoria de Sistemas de
Información.
PhD. ALEXANDRA LÓPEZ SEVILLANO
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE
INFORMACIÓN
BOGOTÁ D.C JUNIO 2018
4
TABLA DE CONTENIDO
RESUMEN .......................................................................................................................................... 11
ABSTRACT .......................................................................................................................................... 12
INTRODUCCIÓN ................................................................................................................................. 13
1. GENERALIDADES ........................................................................................................................ 14
1.1. LINEA DE INVESTIGACIÓN ................................................................................................. 14
1.2. PLANTEAMIENTO DEL PROBLEMA .................................................................................... 14
1.2.1. FORMULACIÓN DEL PROBLEMA ................................................................................ 14
1.2.2. ANTECEDENTES DEL PROBLEMA ............................................................................... 15
1.2.3. PREGUNTA DE INVESTIGACIÓN ................................................................................. 17
1.2.4. VARIABLES DEL PROBLEMA ....................................................................................... 17
1.2.5. ALCANCE Y LIMITACIONES......................................................................................... 18
1.3. JUSTIFICACIÓN................................................................................................................... 19
1.4. OBJETIVOS ......................................................................................................................... 20
1.4.1. OBJETIVO GENERAL ................................................................................................... 20
1.4.2. OBJETIVOS ESPECÍFICOS ............................................................................................ 20
2. MARCO DE REFERENCIA ............................................................................................................ 21
2.2. MARCO CONCEPTUAL ....................................................................................................... 21
2.2.1. SISTEMA DE INFORMACIÓN ...................................................................................... 21
2.2.2. INFORMÁTICA ........................................................................................................... 21
2.2.3. CONCEPTOS DE AUDITORIA INFORMÁTICA .............................................................. 21
2.2.4. TIPOS DE AUDITORÍA INFORMÁTICA......................................................................... 22
2.2.5. FUNCIÓN DE UNA AUDITORIA ................................................................................... 23
5
2.2.6. PROBABILIDAD .......................................................................................................... 24
2.2.7. FRECUENCIA .............................................................................................................. 24
2.2.8. RIESGO ....................................................................................................................... 24
2.2.9. MONITOREO .............................................................................................................. 24
2.2.10. PROCESO ................................................................................................................... 25
2.2.11. AMENAZA .................................................................................................................. 25
2.2.12. VULNERABILIDAD ...................................................................................................... 25
2.2.13. EVIDENCIA ................................................................................................................. 25
2.2.14. CONTROLES ............................................................................................................... 26
2.3. MARCO TEÓRICO ............................................................................................................... 26
2.3.1. OSSTMM .................................................................................................................... 26
2.3.2. OWASP Testing Guide ............................................................................................... 27
2.3.3. ISO 27001 .................................................................................................................. 29
2.3.4. MAGERIT ................................................................................................................... 31
2.3.5. CISA............................................................................................................................ 31
2.4. MARCO JURÍDICO .............................................................................................................. 34
2.4.1. LEY DE HÁBEAS DATA ................................................................................................ 34
2.4.2. LEY DE PROTECCIÓN DE DATOS PERSONALES 1581 DE 2012. .................................. 35
2.4.3. LEY 1755 DE 2015 ...................................................................................................... 36
2.5. MARCO GEOGRÁFICO........................................................................................................ 38
2.6. MARCO DEMOGRÁFICO .................................................................................................... 39
2.7. ESTADO DEL ARTE ............................................................................................................. 40
2.7.1. HERRAMIENTAS DE AUDITORIA ................................................................................ 40
2.7.2. ATENCIÓN EN LÍNEA AL CIUDADANO EN EL MINISTERIO DE EDUCACIÓN ............... 41
3. METODOLOGÍA .......................................................................................................................... 42
3.1. FASES DE LA METODOLOGÍA ............................................................................................. 42
6
3.2. INSTRUMENTOS O HERRAMIENTAS .................................................................................. 43
3.2.1. ANÁLISIS DE DOCUMENTOS ...................................................................................... 43
3.2.2. ENTREVISTAS ............................................................................................................. 44
3.2.3. EJECUCIÓN DE PROCEDIMIENTOS DE AUDITORIA .................................................... 45
4. DESARROLLO DE LA PROPUESTA ............................................................................................... 48
4.1. ANÁLISIS DE RIESGOS ........................................................................................................ 48
4.2. EJECUCIÓN DE LA GUIA DE AUDITORIA OWASP ............................................................... 53
4.2.1. RECOPILACIÓN DE INFORMACIÓN ............................................................................ 53
4.2.2. PRUEBAS DE SEGURIDAD A LA CONFIGURACIÓN Y DESPLIEGUE .............................. 55
4.2.3. PRUEBAS DE ADMINISTRACIÓN DE IDENTIDAD ........................................................ 56
4.2.4. PRUEBAS DE AUTENTICACIÓN .................................................................................. 59
4.2.5. PRUEBAS DE AUTORIZACIÓN .................................................................................... 60
4.2.6. PRUEBAS DE ADMINISTRACIÓN DE SESIÓN .............................................................. 61
4.2.7. PRUEBAS DE VALIDACIÓN DE ENTRADAS ................................................................. 63
4.2.8. PRUEBAS DE MANEJO DE ERRORES .......................................................................... 65
4.2.9. PRUEBAS PARA CRIPTOGRAFÍA DÉBIL ....................................................................... 66
4.2.10. PRUEBA DE LA LÓGICA DEL NEGOCIO ....................................................................... 66
4.2.11. PRUEBAS EN EL LADO DEL CLIENTE ........................................................................... 67
4.3. INSTALACIÓN DE HERRAMIENTAS DE AUDITORIA ............................................................ 68
4.3.1. OWASP ZAP (Zed Attack Proxy) ................................................................................. 68
4.3.2. NMAP ('Network Mapper')........................................................................................ 70
4.3.3. WIRESHARK ............................................................................................................... 72
4.3.4. THC-HYDRA ................................................................................................................ 73
5. PRODUCTOS A ENTREGAR ......................................................................................................... 74
6. RESULTADOS ............................................................................................................................. 75
6.1. MATRIZ DE RIESGOS .......................................................................................................... 75
7
6.2. INFORME DE AUDITORIA OWASP ..................................................................................... 79
6.3. ENTREGA DE HERRAMIENTAS DE AUDITORIA DE SEGURIDAD WEB ................................ 81
CONCLUSIONES ................................................................................................................................. 84
BIBLIOGRAFIA .................................................................................................................................... 86
ANEXOS ............................................................................................................................................. 88
MEMORANDO DE PLANEACION .................................................................................................... 88
OBJETIVO DE LA AUDITORIA: .................................................................................................... 88
ALCANCE ................................................................................................................................... 88
RECURSO ................................................................................................................................... 88
FAMILIARIZACION AUDITORIA BASES DE DATOS .......................................................................... 89
FICHA TECNICA .......................................................................................................................... 89
ESQUEMA DE SEGURIDAD Y CONTROL ......................................................................................... 90
SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA ........................................................................... 91
INTEGRIDAD .............................................................................................................................. 91
CONTINUIDAD ........................................................................................................................... 91
SEGURIDAD EN EL AMBIENTE ................................................................................................... 91
EVALUACIÓN ............................................................................................................................. 92
MATRIZ SEGURIDAD LOGICA Y PISTAS DE AUDITORIA ................................................................. 92
MATRIZ INTEGRIDAD ..................................................................................................................... 93
MATRIZ CONTINUIDAD ................................................................................................................. 94
MATRIZ SEGURIDAD EN EL AMBIENTE .......................................................................................... 95
DISEÑO Y EJECUCCIÓN DE PRUEBAS ............................................................................................. 96
PROGRAMACIÓN DE PRUEBAS .................................................................................................. 96
SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA ........................................................................... 97
INTEGRIDAD ............................................................................................................................ 100
CONTINUIDAD ......................................................................................................................... 103
8
SEGURIDAD EN EL AMBIENTE ................................................................................................. 105
CUESTIONARIO SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA ................................................... 107
CUESTIONARIO INTEGRIDAD ....................................................................................................... 108
CUESTIONARIO CONTINUIDAD ................................................................................................... 110
CUESTIONARIO SEGURIDAD EN EL AMBIENTE ............................................................................ 112
9
LISTA DE ILUSTRACIONES
Ilustración 1: Marco Conceptual Auditoría. (Australiano, 2000) ......................................... 22
Ilustración 2:Marco conceptual objetivos de auditoria (Amaya, 2015) ............................... 23
Ilustración 3 Ubicación del Ministerio de Educación. (Google Maps 2018) ....................... 38
Ilustración 4 Fases del proyecto. Fuente: Elaboración propia .............................................. 43
Ilustración 5: Impacto de un ataqué (OWASP Foundation, 2017) ....................................... 47
Ilustración 6: Escaneo web mediante OWASP-ZAP ........................................................... 54
Ilustración 7: Búsqueda en motor de búsqueda Google ....................................................... 54
Ilustración 8: Metadatos ....................................................................................................... 56
Ilustración 9: Listado de archivos y carpetas........................................................................ 56
Ilustración 10: Formulario de creación de cuentas ............................................................... 58
Ilustración 11: Inicio de sesión ............................................................................................. 58
Ilustración 12: Intentos de sesión por medio de hydra ......................................................... 60
Ilustración 13: Metadatos aplicación web ............................................................................ 61
Ilustración 14: Captura de sesión en cookies........................................................................ 62
Ilustración 15: Modificación de cookies de sesión ............................................................... 62
Ilustración 16: Inyección SQL .............................................................................................. 64
Ilustración 17: Manejos de errores con código SQL ............................................................ 65
Ilustración 18: Extensiones permitidas para cargar en el SAC ........................................... 67
Ilustración 19: Instalación de OWASP-ZAP ........................................................................ 69
Ilustración 20: Configuración de OWASP-ZAP .................................................................. 69
Ilustración 21: OWASP-ZAP ejecutándose en su propio servidor web ............................... 70
Ilustración 22: Descarga de Nmap........................................................................................ 71
Ilustración 23: Instalación de Nmap ..................................................................................... 71
Ilustración 24: Instalación de Wireshark .............................................................................. 72
Ilustración 25: Instalación de THC- Hydra .......................................................................... 73
10
LISTADO DE TABLAS
Tabla 1 Cuadro comparativo de metodologías (Elaboración propia) ................................... 33
Tabla 2 Metodologías para auditorias de SI. (López Provencio, 2015) ............................... 33
Tabla 3: Investigación Cualitativa vs Cuantitativa (Pita Fernández, 2002) ......................... 45
Tabla 4 Población Entrevistada (Elaboración propia) .......................................................... 50
Tabla 5 Evaluación de Conocimiento de Políticas de Seguridad ......................................... 51
Tabla 6 Resumen de resultados de Conocimiento de Seguridad .......................................... 51
Tabla 7 Extracto de Activos Componente Hardware y redes Aplicación SAC ................... 52
Tabla 8: Pruebas de Recopilación de Información ............................................................... 53
Tabla 9: Pruebas de Seguridad a la configuración y despliegue .......................................... 55
Tabla 10: Pruebas de Administración de identidad .............................................................. 57
Tabla 11: Pruebas de Autenticación ..................................................................................... 59
Tabla 12: Pruebas de Autorización ....................................................................................... 60
Tabla 13: Pruebas de administración de sesión .................................................................... 61
Tabla 14: Pruebas Validación de Entradas ........................................................................... 64
Tabla 15: Pruebas de manejo de errores ............................................................................... 65
Tabla 16: Pruebas para criptografía débil ............................................................................. 66
Tabla 17: Pruebas de la lógica del negocio .......................................................................... 67
Tabla 18: Pruebas en el lado del cliente ............................................................................... 68
Tabla 19: Productos a entregar ............................................................................................. 74
Tabla 20: Matriz de Riesgos SAC. ....................................................................................... 78
Tabla 21: Resultado de prueba de auditoria OWASP .......................................................... 79
11
RESUMEN
Administrar la información de los PQRS de las Secretarías de Educación a nivel
Nacional es un proceso complejo y de difícil gestión, debido a la cantidad de trámites y
requerimientos creados por los ciudadanos en cada una de las Entidades adscritas al
Ministerio de Educación Nacional.
Agilizar los procesos, mitigar riesgos y disponer de información precisa, integra,
confidencial y eficaz, es un reto actual de todas las organizaciones y en este afán, el
Ministerio de Educación Nacional y las Secretarias de Educación adscritas no pueden ser la
excepción. Motivo por el cual, apoyados en las nuevas técnicas y herramientas de auditoria
de sistemas, se ofrece las entidades vinculadas en este proyecto, un marco de trabajo, el cual,
articulado a sus planes de calidad actuales, permita gestionar de manera práctica y eficiente
los riesgos a nivel de seguridad y tratamiento de información que se presentan en el desarrollo
de la integración de los sistemas de información.
OWASP (Open Web Application Security Project) es una metodología de seguridad
de auditoría web, abierta y colaborativa, orientada al análisis de seguridad de aplicaciones
Web, y usada como referente en auditorías de seguridad. Apoyados en este marco, se realizó
el análisis y evaluación de los riesgos evidenciados, se realizaron las pruebas
correspondientes, el levantamiento de evidencias y se dictaminan los puntos de mejora,
donde deben concentrarse los esfuerzos de los equipos de trabajo, para mitigar los efectos
que puede causar de la materialización de los riesgos evaluados.
12
Palabras clave: Gestión, riesgos, modelo, controles, proceso, herramientas, auditoría
de sistemas, activos informáticos, seguridad, OWASP.
ABSTRACT
Managing the information of the PQRS of the Secretariats of Education at a national
level is a complex process and error management, due to the amount of procedures and
requirements created by the citizens in all the entities attached to the Ministry of National
Education.
Streamline processes, mitigate risks and have accurate information, integrate,
confidential and effective, that is, update organizations and in this country, the Ministry of
Education and the attached Secretariats of Education cannot be the exception. Reason for
which, supported by the new techniques and systems audit tools, offers the functions linked
in this project, a framework, which, articulated to its current quality plans, allows to manage
the practical and efficient way of the risks at the level of security and information processing
that arise in the development of the integration of information systems.
OWASP (Open Web Application Security Project) is an open and collaborative web
audit security methodology, focused on the analysis of application security. Web, and used
as a reference in security audits. Supported in this framework, analysis and evaluation of the
evidenced risks, the corresponding tests, the lifting of tests and the opinion of the points of
improvement, where the efforts of the work teams should be concentrated, to mitigate the
effects that the materialization can cause of the risks evaluated.
Keywords: Management, risks, model, controls, process, tools, systems audit,
computer assets, security, OWASP
13
INTRODUCCIÓN
La auditoría de sistemas de información es la ciencia y el estudio que comprende el
análisis y gestión de sistemas de información, llevados a cabo para identificar, enumerar y
posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una
revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones, servidores o
aplicaciones en una organización. Una vez obtenidos los resultados, se detallan y reportan a
los responsables quienes deberán establecer medidas de control, siguiendo siempre un
proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas,
aprendiendo de los errores cometidos con anterioridad.
Este proceso inicia con la planificación, continua con un estudio y evaluación del
sistema, sigue con la fase de obtención de evidencias las cuales se almacenan en documentos
de trabajo y finaliza con el informe de no conformidades o hallazgos detectados en las
pruebas. Siendo el objetivo primordial de la auditoria el evaluar el cumplimiento de planes,
políticas, normas y lineamientos, así como las actividades que se desarrollan dentro de una
empresa.
La auditoría permite conocer en el momento de su realización, cuál es la situación
exacta de los activos de información, en cuanto a protección, control y medidas de seguridad,
buscando el cumplimiento de dichos controles, evidenciando sus fallas y buscando una
mejora continua de los procesos y actividades que logren alcanzar el total aseguramiento de
los activos de información y mitigando la vulnerabilidad en el escenario de materialización
de un riesgo en la organización.
14
1. GENERALIDADES
1.1. LINEA DE INVESTIGACIÓN
El ámbito en el cual se desarrollada esta propuesta, la cual pretende, mediante la
realización de acciones por parte de los investigadores con una comunidad, modificar un
evento, lo ubica dentro de la línea de investigación “Software Inteligente y convergencia
tecnológica”.
Toda vez que busca brindar a las organizaciones involucradas en el proceso, una
recopilación de técnicas, mecanismos y herramientas, dentro de la metodología OWASP, que
sean de fácil utilización y reutilización, para evaluar los controles y la seguridad de sus
actuales y futuras implementaciones de sistemas de información y aplicaciones.
1.2. PLANTEAMIENTO DEL PROBLEMA
1.2.1. FORMULACIÓN DEL PROBLEMA
En este continuo proceso de investigación y modernización, surge la necesidad de ir
a la vanguardia en las TI para y ofrecer de manera oportuna, confiable y precisa, la
información que se brinda a los ciudadanos que desean realizar sus trámites de forma virtual
y responder sus peticiones, quejas, reclamos y sugerencias sin la obligación de desplazarse a
una oficina física.
15
Motivo por el cual, surge en la Entidad la necesidad de implementar una herramienta
tecnológica que integre los diferentes roles que conforman el proceso desde el momento de
la solicitud por parte del ciudadano hasta la respuesta emitida por el funcionario asignado.
Esta herramienta es el Sistema de Atención al Ciudadano por sus siglas SAC, el cual
constituye la columna vertebral de la misión y visión de la Entidad.
Garantizar que esta transformación tecnológica, cumpla con las expectativas de la
organización, hace necesario evaluar, que la herramienta, su tecnología y la infraestructura
implementada, cumplen con los criterios de calidad y seguridad, enmarcados por el modelo
OWASP, el cual busca combatir las causas que hacen el software inseguro.
La revisión de los controles definidos por esta metodología permite asegurar una
exploración completa y correcta de la plataforma, garantizando que todos los vectores de
ataque han sido analizados y que los fallos de seguridad han sido detectados.
1.2.2. ANTECEDENTES DEL PROBLEMA
En las últimas dos décadas, el sistema educativo colombiano ha experimentado una
transformación fundamental. El acceso a la educación ha sido una prioridad, con políticas
ambiciosas que buscan incrementar el número de estudiantes matriculados en todos los
niveles y llevar los servicios educativos a todos los rincones del país.
16
En solo una década, la esperanza de vida escolar ha aumentado dos años, y la
participación en la Atención Integral y Educación de la Primera Infancia (EIAIPI) y la
educación superior se ha incrementado en más del doble; hasta el 40% y 50%
respectivamente. (OCDE, 2016)
Respecto a los docentes, de acuerdo con el MEN, en el 2015 el sistema de educación
superior contaba con 148.689 profesores, en promedio para ambos semestres, de los cuales
45.362 (30,5%) laboraban con un contrato de tiempo completo, 14.048 (9,4%) en la
modalidad de medio tiempo y 90.763 (61,0%) con un esquema parcial o de hora cátedra. Por
nivel de formación, para los 144.270 profesores que indicaron máximo nivel de formación,
el 2,1% de estos docentes tenía título de técnico o tecnólogo, el 29,9% tenían título de
pregrado, el 30,6% de especialización, el 30,7% de magíster y el 6,7% de doctorado o
posdoctorado. Llama la atención la alta proporción de profesores catedráticos (61%) y el bajo
porcentaje de docentes con doctorado (6,7%), que además están concentrados en pocas
universidades. Esta situación puede estar afectando las actividades de investigación, la
formación académica de los estudiantes y, en general, los resultados del sistema educativo.
(Melo, Ramos, & Hernández, 2017)
Administrar de manera eficiente, eficaz y segura la información de las secretarias de
educación en el país es uno de los objetivos claves del Ministerio de Educación, lograr el
aseguramiento de su proceso de gestión de información y dotar a sus colaboradores de un
sistema moderno, ágil, seguro y eficiente es la tarea que da origen a este trabajo de
investigación.
17
1.2.3. PREGUNTA DE INVESTIGACIÓN
¿Cómo las herramientas de auditora pueden ayudar a las entidades a garantizar la
implementación segura de un sistema de información?
1.2.4. VARIABLES DEL PROBLEMA
Teniendo en cuenta lo crítico del proceso de integración de los sistemas de
información en una organización, en este caso el Sistema de Atención al Ciudadano -SAC,
las variables que se tomaron en cuenta, para la realización de este trabajo son las siguientes:
1.2.4.1.VARIABLES DEPENDIENTES:
• Tipos de organización contratantes del servicio de TI.
• Tipos de organización prestadoras de los servicios de TI.
• El talento humano de las organizaciones.
• Áreas de las organizaciones involucradas en los procesos de TI
• Infraestructura de implementación de sistemas de información
• Software.
• Herramientas de auditoria.
• Procesos de control interno de las organizaciones.
18
1.2.4.2.VARIABLES INDEPENDIENTES:
• Población objetivo del sistema de información.
• Escenario de utilización del sistema de información.
1.2.5. ALCANCE Y LIMITACIONES
Se realizó una auditoría de aplicación web para conocer el nivel real de riesgo de la
organización frente al Sistema de Atención al Ciudadano (SAC), las vulnerabilidades,
debilidades y las consecuencias de sufrir cada tipo de ataque descrito en la metodología
OWASP 4.0; y se hicieron recomendaciones para prevenir y eliminar dichas
vulnerabilidades.
La auditoría se realizó a nivel de software del Sistema de Atención al Ciudadano
(SAC), aplicación que utilizan las Secretarías de Educación a nivel nacional para registrar
las peticiones, quejas, reclamos y sugerencias (PQRS) de los estudiantes, docentes,
administrativos, padres de familia y ciudadanía en general que necesiten acudir a algún
trámite en las correspondientes entidades adscritas al Ministerio de Educación.
Debido a que la aplicación web se encuentra desplegada en un servidor alojado en el
Ministerio de Educación Nacional, el proyecto se desarrolló dentro del área de Tecnología
donde se encuentra alojada la herramienta, se evaluó los módulos y funcionalidades del
aplicativo, revisando las actividades propuestas por la metodología OWASP.
19
1.3. JUSTIFICACIÓN
El problema del software inseguro es quizás el reto técnico más importante de
nuestros tiempos. La seguridad es ahora el factor clave limitante sobre que podemos crear
con la tecnología de la información, la comunidad OWASP puede evolucionar y expandir la
información en esta guía para mantenerse al ritmo de los rápidos movimientos en amenazas
de seguridad de las aplicaciones. (Foundation, 2008)
La realización de este proyecto fue viable y oportuna dado que, al realizar la
evaluación de su implementación tecnológica bajo la metodología OWASP brinda a las
entidades un conocimiento del nivel de madurez con el que cuentan sus tecnologías
informáticas, también les permite conocer oportunidades de mejora y les presenta una visión
de hacia dónde deben dirigir sus esfuerzos tecnológicos.
Se benefician todos los ciudadanos con sus diferentes roles (docentes, estudiantes,
administrativos, padres de familia, ciudadanía en general) a nivel nacional que requieran
hacer trámites y requerimientos, las Secretarias de Educación, el Ministerio de Educación, y
los demás entes relacionados con la educación en el país, al contar con sistema de
información (SAC), que ha sido evaluado rigurosamente con unos altos estándares de calidad
y seguridad, lo cual garantizara contar con una aplicación fiable y eficiente.
20
1.4. OBJETIVOS
1.4.1. OBJETIVO GENERAL
Auditar el Sistema de Atención al Ciudadano -SAC- del Ministerio de Educación
Nacional bajo la metodología OWASP.
1.4.2. OBJETIVOS ESPECÍFICOS
1. Realizar el análisis de riesgos bajo la metodología OWASP para el Sistema de Atención
al Ciudadano -SAC.
2. Ejecutar la guía de pruebas de auditoría bajo la metodología OWASP para el Sistema de
Atención al ciudadano -SAC.
3. Dotar a la organización de una suite de técnicas y herramientas de auditoria para la
evaluación de aplicaciones.
21
2. MARCO DE REFERENCIA
2.2.MARCO CONCEPTUAL
2.2.1. SISTEMA DE INFORMACIÓN
Un sistema de información es una combinación organizada de personas, hardware,
software, redes de comunicaciones y recursos de datos que reúne, transforma y disemina
información en una organización.(O’Brien, 2006)
2.2.2. INFORMÁTICA
La informática es el procesamiento de información de forma automática. El término
informática proviene precisamente de estas dos palabras, información y automática. Para
realizar este tratamiento de la información nuestros sistemas informáticos deben llevar a cabo
las siguientes tareas básicas:
• Entrada de datos: captación de la información.
• Procesamiento/tratamiento de esta información.
Salida de datos: transmisión de los resultados. (UPC, 2008)
2.2.3. CONCEPTOS DE AUDITORIA INFORMÁTICA
Es el proceso formal ejecutado por especialistas del área de auditoría e informática;
se orienta a la verificación y aseguramiento para que las políticas y procedimientos
establecidos para el manejo y uso adecuado de la tecnología informática en la organización
se realiza de manera oportuna y eficiente. (Amaya, 2015)
22
2.2.4. TIPOS DE AUDITORÍA INFORMÁTICA
• Auditoría de la gestión.
• Auditoría de los datos.
• Auditoría de las bases de datos.
• Auditoría de la seguridad.
• Auditoría de la seguridad física.
• Auditoría de la seguridad lógica.
• Auditoría de las comunicaciones.
• Auditoría de la seguridad en producción. (Amaya, 2015)
Ilustración 1: Marco Conceptual Auditoría. (Australiano, 2000)
23
Ilustración 2:Marco conceptual objetivos de auditoria (Amaya, 2015)
La auditoría es el examen crítico y sistemático que realiza una persona o grupo de
personas independientes del sistema auditado.
2.2.5. FUNCIÓN DE UNA AUDITORIA
La función de auditoría interna comprende un departamento, división, equipo de
consultores, u otros practicantes que proporcionan servicios independientes y objetivos de
aseguramiento y consulta, concebidos para agregar valor y mejorar las operaciones de una
organización. (Amaya, 2015)
24
2.2.6. PROBABILIDAD
La probabilidad se expresa como un número entre 0 y 1, donde 0 indica un evento o
resultado imposible y 1 indica un evento o resultado cierto (Australiano, 2000).
2.2.7. FRECUENCIA
Es una medida del coeficiente de ocurrencia de un evento expresado como la cantidad
de ocurrencias de un evento en un tiempo dado. Ver también Probabilidad (Australiano,
2000).
2.2.8. RIESGO
El riesgo es la exposición a una situación donde hay una posibilidad de sufrir un daño
o de estar en peligro. Es esa vulnerabilidad o amenaza a que ocurra un evento y sus efectos
sean negativos y que alguien o algo puedan verse afectados por él.
2.2.9. MONITOREO
Comprobar, supervisar, observar críticamente, o registrar el progreso de una
actividad, acción o sistema en forma sistemática para identificar cambios (tecnologicas,
2008).
25
2.2.10. PROCESO
Es una secuencia de pasos dispuesta con algún tipo de lógica que se enfoca en lograr
algún resultado específico. (Tecnologia, 2017).
2.2.11. AMENAZA
“Se define como un peligro potencial a la información a sistema. Una amenaza se
presenta cuando un atacante identifica una vulnerabilidad sobre un activo y es usada para
generar daños que afectan la compañía” (Tecnologia, 2017).
2.2.12. VULNERABILIDAD
“Una vulnerabilidad es una debilidad a nivel de software, hardware, procedimientos
o error humano que permite a un atacante aprovecharla para causar daño. La vulnerabilidad
de caracteriza por ausencia en controles de seguridad que permite ser explotada” (Tecnologia,
2017).
2.2.13. EVIDENCIA
“Material físico o digital que permita probar un proceso, un dicho o una afirmación”
(Amaya, 2015).
26
2.2.14. CONTROLES
“Son aquellos mecanismos utilizados para monitorear y controlar acciones que son
consideradas sospechosas y que pueden afectar de alguna manera los bienes de la compañía”
(ISO EN ESPAÑOL, 2012)
2.3.MARCO TEÓRICO
2.3.1. OSSTMM
Open Source Security Testing Methodology Manual (OSSTMM) es un proyecto de
software libre enfocado a la auditoria de seguridad de un sistema informático desarrollado
por ISECOM. La intención de OSSTMM es definir el alcance de una auditoria de seguridad,
así como establecer una métrica que nos informe sobre los elementos que deben ser auditados
y en que apartados de la auditoria. (Jack et al., 2001)
2.3.1.1.MÉTRICAS
La métrica utilizada en OSSTMM está enfocada a calcular la superficie de ataque de
un sistema, los puntos por los que puede ser atacado y los controles establecidos para impedir
un ataque. Con estos datos nos ofrece una medida objetiva sobre qué puntos del sistema
analizado son vulnerables, están protegidos e incluso si están sobreprotegidos, es decir, se
encuentra más de un elemento de control para ese punto que actúa sobre el aspecto que se
controla. Esta redundancia provoca que sea necesario controlar a los elementos de control
aumentando la complejidad del sistema sin aportar por ello una mayor seguridad, de hecho,
en muchos casos esta redundancia lleva a una menor seguridad. (López Provencio, 2015)
27
Pros y contras encontrados en esta metodología:
Pros:
• Presenta diferentes módulos que se encargan de cubrir diferentes áreas de seguridad
en una organización.
• Ofrece una métrica sobre el nivel de seguridad de la organización, así como la forma
de utilizarla.
Contras:
• Algunos de los controles de seguridad propuestos pueden resultar excesivos para la
mayoría de las organizaciones.
• Está enfocada a medir los elementos para ser auditados dentro de una organización,
no se puede ejecutar en proyectos específicos.
2.3.2. OWASP Testing Guide
OWASP es una organización sin ánimo de lucro que gestiona diferentes proyectos
relacionados con la seguridad informática. Entre los proyectos que gestionan se encuentra la
OWASP Testing Guide. (OWASP Foundation, 2017)
En la guía encontramos tres apartados diferenciados.
2.3.2.1. ¿QUÉ ES EL TESTING?
En este apartado se hace una breve introducción de que es el testing de seguridad,
cuáles son las principales técnicas utilizadas y los requisitos que se deben cumplir para que
el testing llevado a cabo sea significativo.
28
2.3.2.2.FRAMEWORK OWASP
En esta sección se presenta la metodología de trabajo propuesta por OWASP al
respecto de la seguridad de un software.
En la metodología se hace una breve lista de diferentes consideraciones a tener en
cuenta y tareas a añadir al propio desarrollo que facilitan la detección temprana de problemas
de seguridad en el código. (OWASP Foundation, 2017)
Como punto final de la metodología se recomienda llevar a cabo una auditoria del
software para asegurar que no han quedado vulnerabilidades.
Pros y contras encontrados en esta metodología:
Pros:
• Explica a nivel de detalle diferentes técnicas utilizadas para llevar a cabo una
auditoria de seguridad de una aplicación web.
• Se enfoca en la ejecución de auditorías a sistemas de información, por lo cual es la
más cercana para la ejecución del proyecto.
Contras:
• Los tipos de proyecto cubiertos por esta metodología solo son de aplicaciones web,
no se aplica dentro de una organización o a sus áreas de negocio.
• Algunas fases del ciclo de vida solo se describen de forma general sin detallar cada
una de ellas.
29
2.3.3. ISO 27001
La norma ISO 27001 a diferencia de OSSTMM 2.1.1 y de OWSAP 2.1.2 no presenta
casos concretos sobre los que trabajar en cambio proporciona un marco de trabajo con el que
se facilita la gestión de la seguridad de la información de una organización.
2.3.3.1.GESTIÓN DE LA SEGURIDAD
La norma está centrada en proporcionar un modelo sobre el que basarse para
establecer los procedimientos necesarios para gestionar la seguridad informática de una
organización. Al establecer los objetivos que debe cumplir un SGSI sin marcar ningún
procedimiento para conseguirlos nos permite escoger libremente el método con el cual la
organización va a llevar a cabo los objetivos marcados. Este detalle hace que la ISO 27001
sea capaz de continuar siendo válida en el tiempo con pocas o ninguna modificación.
2.3.3.2.PUNTOS DE CONTROL
Anexo al documento se encuentra una lista ordenada por categorías con los diferentes
puntos que un sistema de seguridad debería cubrir. Algunos puntos interesantes que
encontramos en la lista que ofrecen son:
Tratamiento de la seguridad en contratos con terceras personas. Tiene en cuenta que
una organización puede necesitar que sus datos sean manejados por organizaciones o
personas ajenas y que no por ello debemos despreocuparnos de la seguridad con que se lleva
a cabo el procesado externo.
Compromiso de la gerencia con la seguridad de la información. Sin la colaboración
de la gerencia no es viable lograr que se puedan aplicar las medidas necesarias para evitar
30
que un ataque tenga éxito. Eso es debido a que es necesario comprar equipos dedicados, así
como establecer protocolos a la hora de llevar a cabo ciertas tareas como puede ser la
instalación o actualización de un software.
2.3.3.3.GESTIÓN DE CAPACIDAD.
Un sistema cuyo uso se acerca o está por encima de su capacidad es especialmente
vulnerable a cualquier fallo en la infraestructura facilitando la perdida de datos y una
degradación en el servicio.
2.3.3.4.ELIMINACIÓN DE MEDIOS.
A la hora de desechar soportes como un disco duro hay que tener en cuenta que la
información contenida en los mismos no desaparece al ser desconectados del equipo, y que
por tanto la información contenida en ellos debe ser borrada antes de poder desecharlos.
Pros y contras encontrados en esta metodología:
Pros:
• Ofrece una buena guía para la gestión de toda la documentación referente a la
seguridad.
Contras:
• Tiene un nivel de lectura demasiado complejo por lo que puede llegar a confundir
alguna de sus fases y ejecutar de diferentes formas los controles propuestos.
• No está encaminada a cubrir soluciones de proyectos de auditorías de sistemas de
información específicos, si no a nivel de organización.
31
2.3.4. MAGERIT
MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo
Superior de Administración Electrónica, como respuesta a la percepción de que la
Administración, y, en general, toda la sociedad, dependen de forma creciente de las
tecnologías de la información para el cumplimiento de su misión. (MAP, 2012)
La razón de ser de MAGERIT está directamente relacionada con la generalización
del uso de las tecnologías de la información, que supone unos beneficios evidentes para los
ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de
seguridad que generen confianza.
MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas
informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella,
son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a
protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es,
simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una
aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad
del analista. (MAP, 2012.)
2.3.5. CISA
CISA (Certified Information Systems Auditor) es una certificación para auditores de
seguridad. Esta certificación presenta ciertas similitudes con OSSTMM en el alcance,
32
cubriendo toda la seguridad de la información de una organización. Aun así, logra
diferenciarse gracias al hecho que es capaz de tener en cuenta la visión de negocio de una
organización y los diferentes niveles de seguridad que pueden ser necesarios dependiendo de
la información que debe ser salvaguardada. A diferencia de la ISO 27001 que solo da una
guía de actuación gen Érica en CISA encontramos que los controles ofrecidos son de mayor
especificidad. Aun así, nos encontramos con la misma situación que hemos visto en
OSSTMM y ISO 27001, solo se cubren aspectos referentes a la organización, como es la
gobernanza o el trato con los empleados. Pros y contras encontrados en esta metodología:
Pros:
• Cubre de forma clara y concisa la seguridad de la información dentro de la
organización.
• Ayuda en la gestión documental dando unas indicaciones para ejecutar controles en
esta área.
Contras:
• No contempla una guía detallada para auditorias en sistemas de información, está más
encaminada en la gestión documental.
Cuadro comparativo
Teniendo en cuenta cada una de las metodologías, hemos realizado un cuadro
comparativo de acuerdo con los pro y los contra, de esta forma definimos cual se ajusta más
a nuestra necesidad de auditar un sistema de información:
33
Concepto OSSTMM OWASP ISO 27001 CISA
Metodología de
trabajo
Cubre la auditoria
del producto final
Cubre el
desarrollo del
producto
Da
indicaciones para
la gestión
documental
Da
indicaciones para
la gestión
documental
Métrica de la
seguridad del
sistema
Calculo detallado Proporciona
actividades para
evaluar la
seguridad.
No
proporciona
No
proporciona
Lista de
vulnerabilidades
en el código
No
proporciona
Proporciona para
aplicaciones web
No
proporciona
No
proporciona
Configuración
del servidor
No No No Alguna
indicación
genérica
Tabla 1 Cuadro comparativo de metodologías (Elaboración propia)
Así mismo encontramos una comparación de diferentes de metodologías aplicadas a
la auditoria de sistemas de información:
Tabla 2 Metodologías para auditorias de SI. (López Provencio, 2015)
34
2.4.MARCO JURÍDICO
2.4.1. LEY DE HÁBEAS DATA
Es el derecho a su intimidad personal y familiar y a su buen nombre”, el cual está
consagrado desde 1991 en la Constitución Política de Colombia, en esta se declara que los
ciudadanos tienen derecho a saber cómo y para qué se usa la información que se brinda a las
distintas entidades en el país. (Corte Constitucional de Colombia, 1991)
La Ley faculta al Estado Colombiano para controlar a las entidades en la
administración de las bases de datos. En avisos en medios de comunicación, en atención a la
Ley 1581 de 2012 y el Decreto 1377 de 2013, las empresas informaron que habían
recolectado algunos datos personales con la intención de registrarlos en sus bases y así
desarrollar diferentes actividades (Certicámara S, 2013)
Por lo que debemos respetan en nuestro desarrollo y en la recolección de nuestros
datos que sean sensibles los siguientes riesgos que a continuación se detallan:
Acceso abusivo a un sistema informático: El que, sin autorización o por fuera de lo
acordado, acceda en todo o en parte a un sistema.
Interceptación de datos informáticos: El que, sin orden judicial previa, intercepte
datos informáticos en su origen, destino o en el interior de un sistema informático, o las
emisiones electromagnéticas provenientes de un sistema informático que los transporte.
(Certicámara S, 2013; Comercio & Turismo, 2013)
35
Violación de datos personales: La persona que con provecho propio o de un tercero,
obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue,
modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos,
bases de datos o medios semejantes. (Diario Oficial, 2009)
Suplantación de sitios web para capturar datos personales: Este delito es para quien
diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o
ventanas emergentes. (Diario Oficial, 2009)
2.4.2. LEY DE PROTECCIÓN DE DATOS PERSONALES 1581 DE 2012.
La Ley de Protección de Datos Personales reconoce y protege el derecho que tienen
todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en bases de datos o archivos que sean susceptibles de tratamiento por entidades
de naturaleza pública o privada. (Certicámara S, 2013)
Cuando se habla de datos personales, se hace referencia a toda aquella información
asociada a una persona y que permite su identificación. Por ejemplo, su documento de
identidad, el lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria
académica, laboral, o profesional. Existe también información más sensible como su estado
de salud, sus características físicas, ideología política, vida sexual, entre otros aspectos.
Las disposiciones sobre protección de datos establecen tipologías de datos según el
mayor o menor grado de aceptabilidad de la divulgación: (Certicámara S, 2013)
36
• Dato Público: Es el dato que la ley o la Constitución Política determina como tal, así
como todos aquellos que no sean semiprivados o privados.
• Dato Semiprivado: Es el dato que no tiene naturaleza íntima, reservada, ni pública y
cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto
sector o grupo de personas.
• Dato Privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante
para el titular de la información.
• Dato Sensible: Es el dato que afecta la intimidad del titular o cuyo uso indebido puede
generar su discriminación. (Certicámara S, 2013)
2.4.3. LEY 1755 DE 2015
Por medio de la cual se regula el Derecho Fundamental de Petición y se sustituye un
título del Código de Procedimiento Administrativo y de lo Contencioso Administrativo.
(Diario Oficial, 2015)
2.4.3.1.¿Cuál es el término para resolver peticiones?
Para peticiones generales 15 días; peticiones de documentos e información 10 días,
no responder en término, implica una aceptación a la solicitud y las copias se deben entregar
en los 3 días siguientes. El término para resolver consultas es de 30 días. Cuando no se pueda
resolver en estos plazos, se debe informar al interesado antes del vencimiento del término los
motivos de la demora y el plazo para responder, que no podrá exceder del doble del
inicialmente previsto. (Diario Oficial, 2015)
37
2.4.3.2.¿Qué información tiene carácter reservado ante las autoridades públicas?
La información y documentos sometidos a reserva según la Constitución y la Ley. En
especial: asuntos de defensa o seguridad nacional; instrucciones en materia diplomática o
sobre negociaciones reservadas; los que involucren el derecho a la privacidad e intimidad
incluidas las hojas de vida, historia laboral, expedientes pensionales y demás registros de
personal que estén en las instituciones públicas o privadas, así como la historia clínica; las
condiciones financieras de las operaciones de crédito público y tesorería de la nación y los
estudios técnicos de valoración de los activos de la nación, esta información tendrá una
reserva de 6 meses contados desde la realización de la operación; información financiera y
comercial según la Ley Estatutaria 1266 de 2008; los protegidos por el secreto comercial o
industrial y los planes estratégicos de las empresas públicas de servicios públicos; el secreto
profesional y los datos genéticos humanos. (Diario Oficial, 2015)
2.4.3.3.¿Cuál es el procedimiento cuando se solicita información reservada a las autoridades
públicas?
La autoridad puede rechazar la solicitud motivándola, indicando las normas que
impiden su entrega. Ante la insistencia del peticionario, el juez o tribunal administrativo
competente decidirá dentro de los 10 días siguientes.
El carácter reservado de la información no es oponible a las autoridades judiciales,
legislativas y administrativas. Estas entidades deberán asegurarse de la reserva de la
información. (Diario Oficial, 2015)
38
2.4.3.4.¿Qué sucede ante la falta de atención a las peticiones?
Es una falta grave para el servidor público y genera sanciones disciplinarias. Los
derechos de petición ante quienes administren archivos y bases de datos de carácter
financiero, crediticio, comercial, de servicios y de terceros países se regirán por la Ley
Estatutaria de Habeas Data (Ley 1581 de 2012). Quien no reciba las solicitudes podrá ser
sancionado o multado por las autoridades competentes. (Diario Oficial, 2015)
2.5. MARCO GEOGRÁFICO
El proyecto se desarrolló en la ciudad de Bogotá, en la sede del Ministerio de
Educación Nacional, la cual está ubicada en la Cll 43 # 57 – 14, Centro Administrativo
Nacional, CAN, Bogotá, lugar donde se encuentran los servidores y la infraestructura
tecnológica que soporta el Sistema de Atención al Ciudadano -SAC, donde se realizó el
diseño, la codificación y migración, del sistema de información.
Ilustración 3 Ubicación del Ministerio de Educación. (Google Maps 2018)
39
2.6. MARCO DEMOGRÁFICO
En el desarrollo de este proyecto, se evidenció que en el tipo de población relacionada
se encuentras actores relacionados al ámbito académico, personas que necesitan realizar
trámites correspondientes a estudios en el exterior, información académica nacional, trámites
docentes y administrativos, entre otros aspectos que apuntan al mismo esquema.
Así mismo se ha evidenciado cuatro roles definidos como usuarios del Sistema de
información SAC.
• Ciudadanos: Usuarios estudiantes, docentes, padres de familia, administrativos o
ciudadanía en general interesados en realizar algún tipo de requerimiento a las
diferentes Secretarías de Educación.
• Operador: Usuario de la Secretaría de Educación encargado de radicar los
requerimientos de los ciudadanos presentados de forma presencial, además de
asignarlos a las dependencias y funcionarios.
• Funcionario: Usuario encargado de la gestión, seguimiento y respuesta al trámite
asignado del ciudadano en los tiempos designados.
• Administrador: Usuario responsable de la parametrización y administración del
Sistema de Atención al Ciudadano por cada Secretaría de Educación.
40
2.7.ESTADO DEL ARTE
2.7.1. HERRAMIENTAS DE AUDITORIA
Existe en la actualidad un numero considerado de herramientas para realizar
auditorías de sistemas de información, algunas de ellas ya están obsoletas, de código cerrado
y otras son comerciales, aun así, existen herramientas conocidas para realizar auditorías de
seguridad y que presentan características similares a la solución propuesta
La primera de ellas Burp de la compañía PortSwigger es una herramienta comercial
bastante potente y no excesivamente cara si es comparada con otras herramientas similares
disponibles en el mercado. Sin embargo, debido a su naturaleza de código cerrado y su
licencia privativa no es posible para la comunidad de software libre crear trabajos derivados
bien sea extendiéndola con nuevas funcionalidades o aprovechando código de ésta para otras
herramientas. (Hermoso Metaute, 2013)
La segunda Zed Attack Proxy o ZAP por el contrario es una herramienta libre y de
código abierto creada por OWASP (Open Web Application Security Project). Desarrollada
en Java íntegramente dispone de una API para python que facilita el desarrollo de
extensiones. Se debe observar sin embargo que una vez instalada ocupa un considerable
espacio en disco duro, y que, si además se tiene en cuenta que requiere la máquina virtual de
java para ejecutarse, y el intérprete de python en caso de se quiera realizar ninguna extensión,
se convierte en una aplicación poco portable. (Hermoso Metaute, 2013)
Se puede apreciar que existe un vació considerable en la evolución de herramientas
que permitan realizar tareas de auditoria a sistemas de información de forma amigable,
eficiente, portables y de código abierto frente a la aparición de las nuevas tecnologías.
41
2.7.2. ATENCIÓN EN LÍNEA AL CIUDADANO EN EL MINISTERIO DE
EDUCACIÓN
Con el propósito de facilitar la interacción con los usuarios, el MEN creó el Sistema
de Información al Servicio Ciudadano, Vía Internet que le permitirá al usuario obtener una
respuesta rápida, confiable y oportuna a sus inquietudes.
Atención oportuna: Por medio de internet el usuario podrá ingresar a la página web
del ministerio www.mineducacion.gov.co. Una vez allí, se le otorga un código único y
privado para tener acceso a su carpeta de Atención al Ciudadano desde donde el usuario
señala si su inquietud es una queja, consulta, opinión o sugerencia.
La opción que escoja automáticamente llega a la oficina de Atención al
Ciudadano, quien la transmite a la entidad o dependencia correspondiente. El servidor
público encargado tiene un plazo para que desde su cuenta directa responda.
Con la aplicación de este sistema, el usuario puede hacerle un seguimiento periódico
a su cuenta para conocer en qué va su solicitud. Por su parte, el servidor público adquiere un
mayor compromiso para el mejoramiento de la atención y la inmediatez de la respuesta.
Ventajas: El usuario tiene la certeza de que recibieron su consulta puesto que todos
los movimientos, ingresos y respuestas son registrados electrónicamente de manera
inmediata, lo que proporciona mayor confiabilidad y seguridad.
La solicitud realizada por el usuario puede ser consultada por él, en cualquier
momento.
42
Tanto el usuario como la entidad mantienen un archivo de consulta y registro en línea
(comunicado permanentemente entre sí, con las entidades del sector), no es necesario tener
una cuenta de correo, lo único indispensable es tener acceso a Internet.
El ciudadano tiene la opción de suscribirse a la lista de información que genera el
Ministerio de Educación para recibir vía correo electrónico los boletines, comunicados y
demás informes que genere la entidad.
Las quejas pueden hacerse anónimamente si el usuario así lo desea, con la
implementación del Sistema de Información al Servicio Ciudadano vía Internet, quedarán en
línea y al instante el Ministerio de Educación, sus entidades y el usuario, quien recibe una
oportuna y mejor atención. (Melo et al., 2017)
3. METODOLOGÍA
3.1.FASES DE LA METODOLOGÍA
Para el desarrollo oportuno y acertado de este proyecto, y para alcanzar las
metas propuestas en los diferentes objetivos presentados, se despliega en cinco fases: la fase
uno, de planeación, donde se desarrolla la propuesta y presenta el anteproyecto, los cuales
siendo aprobados permiten iniciar con la fase dos, que se consolida en el desarrollo de las
tareas de familiarización, y evaluación del sistema de control interno, para la fase tres, se
43
realizara en análisis de riesgos y en la fase cuatro, la ejecución de procedimientos de auditoria
y para en la fase cinco, hacer la evaluación de hallazgos y el informe.
Ilustración 4 Fases del proyecto. Fuente: Elaboración propia
3.2.INSTRUMENTOS O HERRAMIENTAS
3.2.1. ANÁLISIS DE DOCUMENTOS
El análisis de documentos es la técnica de investigación donde los analistas de
sistemas y diseñadores deben tratar de encontrar la información necesaria para comenzar las
investigaciones. En los documentos se puede encontrar la historia de una entidad,
características, comportamientos, estados y descripción de la misma. (Dulzaides Iglesias &
Molina Gómez, 2004)
Un documento, es un soporte en papel o un elemento electrónico donde, existe una
serie de datos incluidos en un orden determinado, sobre un tema específico, estos datos tienen
un sentido simbólico, el cual puede ser extraído de ellos. Los documentos pueden tener un
contenido expresivo (lo que dice) y un contenido instrumental (lo que motiva). (EA, 2015)
Fase 1: Planeación
Fase 2: Familiarización
Fase 3: AnálisisFase 4:
EjecuciónFase 5:
Evaluación
44
3.2.2. ENTREVISTAS
Una entrevista es un intercambio de ideas, opiniones mediante una conversación que
se da entre una, dos o más personas donde un entrevistador es el designado para preguntar,
todos aquellos presentes en la charla dialogan en pos de una cuestión determinada planteada
por el profesional.
Una entrevista es recíproca, donde el entrevistado utiliza una técnica de recolección
mediante una interrogación estructurada o una conversación totalmente libre; en ambos casos
se utiliza un formulario o esquema con preguntas o cuestiones para enfocar la charla que
sirven como guía. Es por esto, que siempre encontraremos dos roles claros, el del
entrevistador y el del entrevistado (o receptor). (A., 2017)
3.2.2.1.ANÁLISIS CUALITATIVO.
La investigación cualitativa trata de identificar la naturaleza profunda de las
realidades, su sistema de relaciones, su estructura dinámica; mientras que la investigación
cuantitativa trata de determinar la fuerza de asociación o correlación entre variables, la
generalización y objetivación de los resultados a través de una muestra para hacer inferencia
a una población de la cual toda muestra procede. Tras el estudio de la asociación o correlación
pretende, a su vez, hacer inferencia causal que explique por qué las cosas suceden o no de
una forma determinada. (Pita Fernández & Pértegas Díaz, 2002)
El empleo de ambos procedimientos cuantitativos y cualitativos en una investigación
probablemente podría ayudar a corregir los sesgos propios de cada método, pero el hecho de
que la metodología cuantitativa se la más empleada no es producto del azar sino de la
evolución de método científico a lo largo de los años. Creemos en ese sentido que la
45
cuantificación incrementa y facilita la compresión del universo que nos rodea y ya mucho
antes de los positivistas lógicos o neopositivistas Galileo Galilei afirmaba en este sentido
"mide lo que sea medible y haz medible lo que no lo sea". (Pita Fernández & Pértegas Díaz,
2002)
Diferencias entre investigación cualitativa y cuantitativa
Investigación cualitativa Investigación cuantitativa
Centrada en la fenomenología y
comprensión
Basada en la inducción probabilística
del positivismo lógico
Observación naturista sin control Medición penetrante y controlada
Subjetiva Objetiva
Inferencias de sus datos Inferencias más allá de los datos
Exploratoria, inductiva y
descriptiva
Confirmatoria, inferencial, deductiva
Orientada al proceso Orientada al resultado
Datos "ricos y profundos" Datos "sólidos y repetibles"
No generalizable Generalizable
Holista Particularista
Realidad dinámica Realidad estática
Tabla 3: Investigación Cualitativa vs Cuantitativa (Pita Fernández & Pértegas Díaz, 2002)
3.2.3. EJECUCIÓN DE PROCEDIMIENTOS DE AUDITORIA
La ejecución de procedimientos de auditoria consistió en la utilización de
herramientas automatizadas y métodos de toma de evidencias, para documentar el archivo
permanente, el cual sirve como punto de partida documentado, del proceso de evaluación del
modelo de control interno.
Este procedimiento de auditoria se construyó a partir de las buenas prácticas
propuestas por la guía OWASP, donde indica que, en cada una de las fases de construcción
46
y mantenimiento de un aplicativo y en cada uno de los artefactos involucrados en el
despliegue, se debe procurar por establecer controles de seguridad, al funcionamiento de los
sistemas, estos solicitados a partir de la evaluación de riesgos tecnológicos del proceso
automatizado.
3.2.3.1.PROCEDIMIENTO
Inicialmente se realiza un levantamiento de información de la documentación técnica
y funcional, que se encuentra disponible, en la base de conocimientos del área de tecnología,
con la revisión de esta documentación, se realiza una identificación de las áreas y los
responsables donde se lleva a cabo la aplicación de la entrevista, posterior a esto, se solicita
hacer una contextualización básica, del objetivo de la aplicación a auditar, esta
contextualización aplica de igual forma para todas las áreas entrevistadas, cabe aclarar que
en marco del proyecto, las entrevistas se aplicaron de forma personal e independiente, es por
esto que se diseña un cuestionario único, para cada responsable dentro del área de tecnología
del ministerio y las áreas funcionales que inter actúan con la aplicación.
Después de efectuadas las entrevistas a cada responsable, por cada área, se procede a
analizar la información recolectada, se agrupan las opiniones y se procede con el análisis de
cada uno de los puntos en cuanto a la eficacia, eficiencia, fortalezas y debilidades de cada
uno de los controles y disposiciones evaluadas para nuestro proyecto.
Una vez analizados e identificados los controles propuestos, se realiza la ejecución de
las pruebas de auditoria, todas estas realizadas bajo la metodología OQASP, estas pruebas se
47
realizan por componente con la ejecución de las mismas, se certifica la existencia y estado
de los controles propuestos, se documentan las evidencias, para ser anexadas al archivo de
auditoria.
Después de ejecutar y documentar las pruebas y estas ser anexadas al archivo de
auditoria, se procede a realizar el informe, en el cual se plasman los resultados de las pruebas
y se da una conclusión acerca de las conformidades o no conformidades evidenciadas en los
controles, para de esta manera finalizar con el caso de estudio propuesto.
Consiste en utilizar herramientas automatizadas y métodos de toma de evidencias,
para documentar el archivo permanente, el cual sirve como punto de partida documentado,
del proceso de evaluación del modelo de control interno.
Ilustración 5: Impacto de un ataqué (OWASP Foundation, 2017)
48
4. DESARROLLO DE LA PROPUESTA
4.1.ANÁLISIS DE RIESGOS
Como punto de partida, se efectúa una recolección y revisión, de la documentación
técnica y funcional, que se encuentra disponible, en la base de conocimiento del área de
tecnología, para el aplicativo a evaluar.
También se ubica la documentación de los casos de uso o historias de usuario, sobre
los cuales se construyó la solución, en estos se hace principal hincapié, en la identificación
de los temas relacionados a los requerimientos no funcionales, tiempos de respuesta
esperados y solicitudes específicas de seguridad, como lo son la identificación de usuarios
por funcionalidad, permisos en los módulos, gestión de contraseñas, niveles de autenticación
y demás factores de acceso al aplicativo.
Adicional a esto, se hace una revisión, de los documentos que articulan los procesos
y procedimientos, que se deben realizar para eventos claves en el funcionamiento de la
aplicación, tal como lo son el despliegue de la solución, la disponibilidad del ambiente, el
mantenimiento, los controles de cambio y la atención a funcionamientos inesperados de la
misma.
Este estudio se realizó con el fin de verificar el nivel de madurez de las áreas
involucradas en los procesos de mantenimiento y uso del aplicativo, identificar el nivel de
seguridad solicitado para el aplicativo, evaluar la calidad y cantidad de documentación
existente para la aplicación e identificar de primera mano si los responsables e interesados
en la solución están debida y efectivamente identificados e informados.
49
Después de hacer el análisis de la documentación del aplicativo, se procede a realizar
la clasificación de los activos que soportan la aplicación a auditar, se aclara que estos
elementos son los que tiene la organización para el procesamiento de su información como
lo pueden ser el recurso humano, el hardware, el software y las propias instalaciones de la
organización.
Posterior a la revisión y evaluación de la documentación, habiendo
identificado a los responsables e interesados del aplicativo, se procede a efectuar las
entrevistas, estas se realizan de forma directa y personal, a los siguientes perfiles por parte
del ministerio de educación nacional:
• Coordinador del área de sistemas.
• Líder técnico o arquitecto de aplicaciones.
• DBA.
• Líder de aplicación
Los cuestionarios, se diseñaron, permitiendo una contextualización clara y sencilla
del usuario entrevistado, hacia la funcionalidad de la aplicación y su nivel de interacción con
la misma, las preguntas formuladas a cada uno de los perfiles están directamente
relacionadas, con su rol, en la interacción con la solución y articuladas con el objetivo general
y los objetivos específicos de este proyecto.
Se configuraron, en la mayoría de los casos, preguntas cerradas, buscando recopilar
información concreta y que no dé lugar a presunciones, en cuanto a procedimientos y
acciones respecto a las rutinas realizadas y evaluadas.
50
Esta información, recopilada en las entrevistas, de clasifico por responsable, todos
ellos pertenecientes al área de sistemas, se etiqueto y adjunto al archivo inicial del proceso
de auditoría, para proceder después de esto analizar esta información recolectada.
A el DBA, se le indaga sobre el conocimiento e implementación de las políticas de
seguridad a nivel de bases de datos e infraestructura, su conocimiento de procedimientos de
back up, perfilamiento de usuarios por base de datos, ejecución de consultas y demás temas
relacionados al acceso de la información a nivel físico lógico, sin incluir la interfaz del
aplicativo y que hayan sido definidos para el aplicativo en evaluación.
Por parte del Líder Técnico (Arquitecto), se indago sobre su discernimiento acerca de
la definición de características de seguridad para el aplicativo en cada una de sus capas, bien
sea base de datos, capa de aplicación, capa de presentación e infraestructura.
Y al líder funcional se le indaga acerca del conocimiento y/o definición de
características de seguridad propias del aplicativo, así como son perfiles de usuario, módulos,
niveles de acceso a la información
Área/ Responsable Tecnología
DBA 1
LIDER TECNICO 1
LIDER FUNCIONAL 1
Total 3
Tabla 4 Población Entrevistada (Elaboración propia)
51
Las preguntas, aunque únicas por cada entrevista, estaban articuladas para los tres
frentes en 10 grandes macros de conocimiento dentro de los cuales se agruparon para su
tabulación, a continuación, se presenta la evaluación de los 5 principales. VER ANEXO 1 -
ENCUESTAS.
DBA LT LF
Implementación Controles de Seguridad
SI X X X
NO
Definición de Requerimientos de Seguridad
SI X X
NO X
Conocimiento de Procedimientos de Seguridad
SI X X
NO X
Ejecución de Procedimientos de Seguridad
SI X X
NO X
Retroalimentación de Acciones de Seguridad
SI X
NO X X
Tabla 5 Evaluación de Conocimiento de Políticas de Seguridad
Criterio SI NO
Existen Implementados Controles de Seguridad
X
Existe definición de Requerimientos de Seguridad
X
Existe Conocimiento de Procedimientos de Seguridad
X
Se realiza ejecución de Procedimiento de Seguridad
X
Se realiza retroalimentación de los incidentes presentados con los procedimientos de seguridad
X
Tabla 6 Resumen de resultados de Conocimiento de Seguridad
52
Habiendo obtenido y evaluado estos resultados en las entrevistas, pudimos detectar
que la entidad cuenta con un conocimiento adelantado con respecto a la seguridad en las
aplicaciones, partiendo de esta base nos concentramos en la definición de la matriz de riesgos.
Teniendo en cuenta la definición de Riesgo Tecnológico de la metodología OWASP,
la cual nos indica que, riesgo es la probabilidad de sufrir pérdidas por caídas o fallos en los
sistemas informáticos o transmisión de datos, errores de programación u otros, siendo un
componente del riesgo operativo, se realiza de primera mano una identificación de los activos
de información, los cuales la entidad tiene previamente identificados y clasificados, ver
anexo (activos de información SED)
OBJETIVO DE LA APLICACIÓN: SAC:
ESTADO: OPERATIVO EN PRODUCCION
Hardware y Software del servidor Servidor de base de datos:
RAM: 24Gb
SO: Centos 6.7
Disco duro: 450Gb
Procesadores: Intel® Xeon® 2.4Ghz *4
Servidor de aplicaciones:
RAM: 24Gb
SO: Windows Server 202 R2 x64
Disco duro: 300gb
Procesadores: Intel® Xeon® 2.10Ghz *6
Hardware y Software de los PCS • Software:
Navegador de internet: Google Chrome,
Mozilla, Internet Explorer, Safari, otros)
Sistema operativo: Windows, Linux, MacOs
• Hardware:
Procesador: Core 2 duo o superior.
Memoria RAM: 2gb o superior.
Disco duro: 500gb o superior.
Redes • LAN Interna 10/100 Cableada.
• Red Interna Wi Fi Access Point en cada
piso Soporte para 150 Usuarios.
• Firewall
• Canal Principal Proveedor ETB
• Canal Alterno Proveedor TIGO UNE
Tabla 7 Extracto de Activos Componente Hardware y redes Aplicación SAC
53
4.2.EJECUCIÓN DE LA GUIA DE AUDITORIA OWASP
La Guía de Pruebas de OWASP (OWASP Testing Guide) versión 4, es un esfuerzo
del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) por recopilar y
estructurar todas las posibles pruebas de seguridad enfocadas en las aplicaciones web. Está
dividida en 11 categorías y 91 controles.
4.2.1. RECOPILACIÓN DE INFORMACIÓN
Se basa en la búsqueda de información en los motores de búsqueda de
Internet, descubrimiento de tecnología por su huella digital, análisis de archivos, rutas,
comentarios, robots.txt. Identificación de puntos de entradas y representación de su
arquitectura.
REFERENCIA CONTROL
OTG-INFO-001 Mediante un motor de búsqueda, realice una búsqueda de
descubrimiento/reconocimiento de fugas de información
OTG-INFO-002 Use huellas digitales en el servidor web
OTG-INFO-003 Revise los meta archivos del servidor web en busca de fugas de información
OTG-INFO-004 Enumere las aplicaciones en el servidor web
OTG-INFO-005 Revise los comentarios sobre el sitio web y los metadatos en busca de fugas
de información
OTG-INFO-006 Identificar puntos de entrada de la aplicación
OTG-INFO-007 Cree mapas de las rutas de ejecución a través de la aplicación
OTG-INFO-008 Framework referencial para el uso de huellas digitales en aplicaciones web
OTG-INFO-009 Aplicación de huellas digitales para web
OTG-INFO-010 Cree un mapa de la arquitectura de la aplicación
Tabla 8: Pruebas de Recopilación de Información
54
Mediante la herramienta OWASP-ZAP se realizó un escaneo a la aplicación web del
Sistema de Atención al Ciudadano -SAC- buscando información que sirva de evidencia para
la primera fase de recopilación de información.
De esta forma se evidenció de forma positiva que el archivo robots.txt no se encuentra
público, pero se logró conocer información acerca de la versión del apache instalado y
sistema operativo del servidor:
Ilustración 6: Escaneo web mediante OWASP-ZAP
También se realizó una búsqueda de cache de la página del Ministerio de Educación
en el buscador Google, obteniendo resultados satisfactorios.
Ilustración 7: Búsqueda en motor de búsqueda Google
55
De esta forma se puede encontrar fuga de información en motores de búsqueda como
Google de la página de la Entidad encontrando contenido histórico alojado en la cache y que
posiblemente no se encuentre habilitado en la página hoy en día.
4.2.2. PRUEBAS DE SEGURIDAD A LA CONFIGURACIÓN Y DESPLIEGUE
El objetivo de esta fase es recopilar información sobre sobre la infraestructura que
incluye aspectos relacionados directamente con la aplicación web. Se ve reflejado el análisis
de la configuración de la infraestructura, descubrimiento de información mediante la
manipulación de extensiones, análisis de paneles de administración, métodos HTTP
permitidos, revisión de las políticas de conexión seguras, etc.
REFERENCIA CONTROL
OTG-CONFIG-001 Pruebe la configuración de la infraestructura y la red
OTG-CONFIG-002 Pruebe la Configuración de la Plataforma de Aplicaciones
OTG-CONFIG-003 Pruebe el manejo de archivos de extensiones en busca de información
sensible
OTG-CONFIG-004 Revise archivos viejos, copias de seguridad y archivos no referenciados en
busca de información sensible
OTG-CONFIG-005 Infraestructura de Enumeración e Interfaces de Administración de
Aplicaciones
OTG-CONFIG-006 Pruebe los métodos HTTP
OTG-CONFIG-007 Pruebe el HTTP Strict Transport Security
OTG-CONFIG-008 Pruebe la Política de Dominio Cruzado RIA
Tabla 9: Pruebas de Seguridad a la configuración y despliegue
De igual forma, se analizaron los meta de los archivos del servidor buscando fuga de
información y se evidenció la versión del apache y el sistema operativo del servidor web
donde se encuentra alojado el aplicativo.
56
Ilustración 8: Metadatos
Se logró obtener información de algunos nombres de archivos y carpetas alojados en
el servidor web:
Ilustración 9: Listado de archivos y carpetas
De esta forma un atacante puede utilizar estos directorios para conocer la ubicación
de los archivos con extensión .php y cargar contenidos.
4.2.3. PRUEBAS DE ADMINISTRACIÓN DE IDENTIDAD
Durante esta fase se realizan las pruebas de seguridad asociadas a la gestión de
credenciales de los usuarios. Se incluyen análisis de la definición de roles, comprobación del
57
proceso de registro del usuario, revisión de los mecanismos de aprovisionamiento de
usuarios, estudio de los métodos presentes que facilitan la enumeración de usuarios, análisis
de las políticas de reforzamiento de contraseñas, descubrimientos de credenciales de pruebas,
mecanismos de suspensión y habilitación de credenciales.
REFERENCIA CONTROL
OTG-IDENT-001 Pruebe las Definiciones de Roles
OTG-IDENT-002 Pruebe el Proceso de Registro del Usuario
OTG-IDENT-003 Pruebe el Proceso de Creación de Cuentas
OTG-IDENT-004 Pruebas de enumeración de cuentas y adivinanza de cuentas de usuario
OTG-IDENT-005 Pruebe las políticas de nombre de usuario débiles o sin fuerza
Tabla 10: Pruebas de Administración de identidad
Se realizó una revisión a los mecanismos de creación de cuentas de usuarios para el
rol de ciudadano y se identificó que no cuenta con un mecanismo de contraseña segura en el
formulario de registro, solo es necesario 4 caracteres sin condiciones minimas para el uso de
la misma.
Adicional como punto positivo se evidenció que cuenta con un sistema de seguridad
conocido como catpcha que ayuda a prevenir la creación de cuentas por medio de
mecanismos automatizados.
58
Ilustración 10: Formulario de creación de cuentas
En el módulo de inicio de sesión se identificó que cuenta con una alerta de usuario o
contraseña invalido al digitar el usuario o la contraseña de forma incorrecta, pero no tiene
configurado el campo de contraseña para evitar autocompletar los datos ya ingresados.
Ilustración 11: Inicio de sesión
59
4.2.4. PRUEBAS DE AUTENTICACIÓN
A continuación, se ejecutan pruebas de seguridad para evaluar el proceso de
autenticación. Dentro de las pruebas de seguridad propuestas se encuentra el análisis para
determinar si las credenciales son transmitidas sobre un canal encriptado, identificación de
credenciales por defecto, comprobación de los mecanismos de bloqueo de credenciales.
También se incluye las pruebas de fortalezas de los sistemas de preguntas y respuestas,
cambio y reinicio de contraseñas, políticas de creación de contraseñas y descubrimiento de
mecanismos de autenticación.
REFERENCIA CONTROL
OTG-AUTHN-001 Pruebas del transporte de credenciales en un canal encriptado
OTG-AUTHN-002 Pruebas de las credenciales por defecto
OTG-AUTHN-003 Pruebas para determinar un mecanismo de bloqueo débil
OTG-AUTHN-004 Pruebas para eludir el esquema de autenticación
OTG-AUTHN-005 Pruebas para recordatorios de contraseñas vulnerables
OTG-AUTHN-006 Pruebas para buscar la debilidad de memoria caché del navegador
OTG-AUTHN-007 Pruebas para determinar las políticas de contraseñas débiles
OTG-AUTHN-008 Pruebas para determinar la seguridad débil de pregunta/respuesta
OTG-AUTHN-009 Pruebas para determinar un cambio débil de contraseña o funciones de
restablecimiento
OTG-AUTHN-010 Pruebas para determinar la autenticación más débil en un canal alternativo
Tabla 11: Pruebas de Autenticación
De igual forma, se realizaron pruebas con multiples contraseñas por defecto desde la
interfaz de login del sistema sin encontrar resultado exitoso, pero nunca se presentaron alertas
del sistema indicando el bloqueo de usuario por reiterativos intentos de logeo fallido.
Posteriormente se utilizó la herramienta hydra para automatizar el proceso de login
por medio de fuerza bruta y diccionarios de datos.
60
Ilustración 12: Intentos de sesión por medio de hydra
En esta fase se puede concluir que el Sistema de Atención al Ciudadano -SAC- no
cuenta con un modulo de seguridad robusto que bloquee el intento reiterativo de inicios de
sesión, de esta forma un atacante puede escanear por medio de mecanismos de fuerza bruta
y diccionarinarios de datos diferentes opciones de usuario y contraseña hasta llegar a
encontrar alguno que permita iniciar sesión.
4.2.5. PRUEBAS DE AUTORIZACIÓN
El objetivo de la fase es comprobar si es posible evadir el sistema de autorización.
Dentro de las vulnerabilidades más frecuentes que deben ser comprobadas se incluye
el directorio transversal, la escalada de privilegios y la referencia directa insegura a objetos.
REFERENCIA CONTROL
OTG-AUTHZ-001 Probar la inclusión de archivos de directorio de circulación
OTG-AUTHZ-002 Pruebas para eludir el esquema de autorización
OTG-AUTHZ-003 Pruebas para determinar el escalamiento de privilegios
OTG-AUTHZ-004 Pruebas de las referencias de objetos directos inseguros
Tabla 12: Pruebas de Autorización
61
Por medio de la herramienta owasp-zap se capturó la sesión de las cookie pero no fue
posible el escalamiento de privilegios.
Ilustración 13: Metadatos aplicación web
4.2.6. PRUEBAS DE ADMINISTRACIÓN DE SESIÓN
La gestión de sesiones es un componente fundamental en las aplicaciones web debido
a las limitantes del protocolo HTTP. Por ese motivo, las pruebas de seguridad están
orientadas, entre otras cosas, a determinar si es posible evadir el mecanismo de gestión de
sesiones, si están presentes los atributos adecuados en las cookies. Si la aplicación web es
vulnerable a un ataque de fijación de sesiones, si se exponen las variables de sesión o si no
tiene protección ante un ataque de CSRF (Cross Site Request Forgery).
REFERENCIA CONTROL
OTG-SESS-001 Prueba para evadir el esquema de administración de sesión
OTG-SESS-002 Prueba para atributos de cookies
OTG-SESS-003 Prueba de fijación de sesión
OTG-SESS-004 Prueba de exposición de variables de sesión
OTG-SESS-005 Prueba para falsificación de petición de sitio cruzado (CSRF)
OTG-SESS-006 Pruebas funcionales de cierre de sesión
OTG-SESS-007 Pruebas del tiempo de cierre de sesión
OTG-SESS-008 Prueba para sobrecargar de variables (Session puzzling)
Tabla 13: Pruebas de administración de sesión
62
Para realizar pruebas de administración de sesión por medio de la extensión head live
de Google Chrome se capturaron las variables de sesión que se almacenan en las cookies
mientras se navega por la aplicación (Sistema de Atención al Ciudadano)
Ilustración 14: Captura de sesión en cookies
Una vez se consiguieron algunas variables de sesión, se procedió a abrir una nueva
ventana y se modificaron las variables de sesión por las encontradas anteriormente.
Ilustración 15: Modificación de cookies de sesión
63
Favorablemente para la entidad no se obtuvo un resultado de ataque final exitoso, aun
así, se logró por medio de herramientas capturar información enviada por métodos POST Y
GET.
4.2.7. PRUEBAS DE VALIDACIÓN DE ENTRADAS
Esta es la fase más extensa de pruebas debido a que incluye pruebas de seguridad a
todos los puntos de entrada de la aplicación web y es donde se encuentran la mayoría de las
vulnerabilidades:
• Manipulación de campos de encabezados de peticiones HTTP.
• Inyección de código SQL a los sistemas gestores de bases de datos como Oracle, MS
SQL Server, PostgreSql y otros.
• Inclusión local y remota de archivos.
• Inyección de cadenas bajo codificaciones diversas.
• Inyección de códigos XML, ORM, SSI, XPath, IMAP/SMTP, entre otros.
• Inyección de comandos del sistema operativo.
• Intentos de desbordamiento de buffer.
REFERENCIA CONTROL
OTG-INPVAL-001 Pruebas para la reflexión de Cross Site Scripting
OTG-INPVAL-002 Pruebas de Cross Site Scripting almacenados
OTG-INPVAL-003 Pruebas de manipulación de verbos en HTTP
OTG-INPVAL-004 Pruebas de contaminación de parámetros HTTP
OTG-INPVAL-005 Pruebas de inyecciones de SQL
Pruebas en Oracle
Pruebas de MySQL
Pruebas del servidor SQL (SQL Server)
Probar la seguridad del proyecto de acceso restringido PostgresSQL de
OWASP
64
Pruebas para MS Access
Pruebas de inyección NoSQL
OTG-INPVAL-006 Pruebas de inyección LDAP
OTG-INPVAL-007 Pruebas de inyección de ORM
OTG-INPVAL-008 Pruebas de inyección de XML
OTG-INPVAL-009 Pruebas de inyección SSL
OTG-INPVAL-010 Pruebas de inyección XPath
OTG-INPVAL-011 Pruebas de inyección de IMAP/SMTP
OTG-INPVAL-012 Pruebas de inyección de código
Pruebas para determinar la inclusión de documentos locales
Pruebas para la inclusión remota de archivos
OTG-INPVAL-013 Pruebas de inyección de comandos
OTG-INPVAL-014 Pruebe la saturación del Búfer
Pruebas de saturación de Heap
Probar la saturación de pila de datos
Pruebas para la cadena de formato
OTG-INPVAL-015 Pruebas de las vulnerabilidades incubadas
OTG-INPVAL-016 Pruebas para verificar la separación/contrabando de HTTP
Tabla 14: Pruebas Validación de Entradas
Utilizando las herramientas de auditoria logramos encontrar que la aplicación se
encuentra vulnerable a ataques de injección de codigo sql, en este ejemplo entontramos una
estructura sql propia de la aplicación, de esta forma conocemos el nombre de una de sus
tablas donde se encuentra alojada las conexiones:
Ilustración 16: Inyección SQL
65
4.2.8. PRUEBAS DE MANEJO DE ERRORES
En este punto se comprueba la preparación de la aplicación web ante eventos que
generan errores y la información que exponen durante el proceso.
REFERENCIA CONTROL
OTG-ERR-001 Pruebas de errores de código
OTG-ERR-002 Pruebas para determinar los rastros de pila de datos
Tabla 15: Pruebas de manejo de errores
Durante las pruebas de manejo de errores dentro del Sistema de Atención al
Ciudadano, se evidenció al insertar un registro de un formulario dentro de la aplicación que
fue posible visualizar el comando sql que se ejecuta para guardar la información en la base
de datos, este error es delicado ya que se puede tomar la estructura de la sentencia SQL para
modificarla y realizar otro tipo de transacciones.
Ilustración 17: Manejos de errores con código SQL
66
4.2.9. PRUEBAS PARA CRIPTOGRAFÍA DÉBIL
Se comprueba si están presentes debilidades en los mecanismos de cifrados SSL/TLS,
comprobación de los certificados digitales, evasión de los canales seguros a través de HTTP,
vulnerabilidades ante ataques BREACH, BEAST, CRIME, HeartBleed, entre otros.
REFERENCIA CONTROL
OTG-CRYPST-001 Prueba de codificadores SSL/TLS débiles, protección de transporte de
capas insuficientes
OTG-CRYPST-002 Prueba del Padding Oracle (Relleno de Oracle)
OTG-CRYPST-003 Pruebas para el envío de información sensible por canales sin encriptar
Tabla 16: Pruebas para criptografía débil
4.2.10. PRUEBA DE LA LÓGICA DEL NEGOCIO
Dentro de las fases de pruebas, esta es una en la que se requiere mayor nivel de
creatividad por parte del especialista de seguridad, debido a que cada aplicación web gestiona
procesos diferentes. Se incluyen pruebas de seguridad para comprobar si es posible evadir el
flujo de trabajo, si es posible manipular los parámetros, datos de entradas y módulos, si se
impide la subida de archivos con extensiones no consideradas dentro del proceso y con
códigos dañinos. Si se realizan comprobaciones de integridad y validación de datos de
entrada.
REFERENCIA CONTROL
OTG-BUSLOGIC-001 Pruebas de la validación de datos de la lógica del negocio
OTG-BUSLOGIC-002 Pruebas de la habilidad para manipular consultas
OTG-BUSLOGIC-003 Pruebas de comprobación de integridad
67
OTG-BUSLOGIC-004 Pruebas del tiempo de procesamiento
OTG-BUSLOGIC-005 Pruebas del número de veces que limita el uso de una función
OTG-BUSLOGIC-006 Pruebas para la evasión de los flujos de trabajo
OTG-BUSLOGIC-007 Pruebas de las defensas contra el mal uso de la aplicación
OTG-BUSLOGIC-008 Prueba de la posibilidad de carga de tipos de archivo inesperados
OTG-BUSLOGIC-009 Prueba de la posibilidad de carga de archivos maliciosos
Tabla 17: Pruebas de la lógica del negocio
En este caso se trató de subir un archivo shell a la aplicación por medio de un
formulario que permitía el cargue de documentos al servidor, teniendo como limitante el
cargue de archivos con extensión .php, en este caso no fue posible cargar el backdoor en el
servidor pero por medio de archivos .rar se pueden cargar y por medio de algunas
herramientas es posible ejecutar estos archivos con código malicioso.
Ilustración 18: Extensiones permitidas para cargar en el SAC
4.2.11. PRUEBAS EN EL LADO DEL CLIENTE
En esta última fase se comprueban vulnerabilidades de la aplicación web del lado del
cliente. Se incluyen, entre otros, el análisis de debilidades que pueden ser aprovechadas para
la manipulación de recursos mediante el DOM (Document Object Model), inyección de
códigos HTML, CSS, de JavaScript y otros similares. También se incluye la comprobación
68
de vulnerabilidades ante ataques de secuestros de clic (Clickjacking) y el almacenamiento de
datos locales.
REFERENCIA CONTROL
OTG-CLIENT-001 Prueba del Cross Site Scripting basado en DOM
OTG-CLIENT-002 Pruebas de la ejecución de JavaScript
OTG-CLIENT-003 Prueba de inyección de HTML
OTG-CLIENT-004 Pruebas de redireccionamiento de la URL del lado del cliente
OTG-CLIENT-005 Pruebas de inyección de CSS
OTG-CLIENT-006 Pruebas de manipulación de recursos del lado del cliente
OTG-CLIENT-007 Pruebas para el intercambio de recursos de origen cruzado
OTG-CLIENT-008 Pruebas de Cross Site Flashing
OTG-CLIENT-009 Pruebas de Clickjacking
OTG-CLIENT-010 Pruebas de WebSockets
OTG-CLIENT-011 Prueba de mensajería web
OTG-CLIENT-012 Prueba de almacenamiento local
Tabla 18: Pruebas en el lado del cliente
4.3. INSTALACIÓN DE HERRAMIENTAS DE AUDITORIA
Finalmente, como aporte a la entidad, se realiza la instalación y configuraciones de
herramientas que realizan auditorías a sistemas de información, esto con el ánimo que sean
utilizadas en futuras implementaciones:
4.3.1. OWASP ZAP (Zed Attack Proxy)
OWASP ZAP (Zed Attack Proxy) es un escáner de seguridad de aplicaciones web de
código abierto. Está destinado a ser utilizado tanto por los nuevos en la seguridad de las
aplicaciones, así como pruebas de penetración profesional.
La primera herramienta para instalar y muy importante fue OWASP-ZAP en un
sistema operativo Windows, la herramienta es multiplataforma y por medio de su instalador
permite la ejecución sin ningún inconveniente.
69
Ilustración 19: Instalación de OWASP-ZAP
Una vez instalada se procedió a configurarla para que funcione de la manera
adecuada, en la configuración del proxy local, se introduce los datos del dirección y Puerto
por el cual correrá el servicio web
Ilustración 20: Configuración de OWASP-ZAP
70
Concluida la configuración del navegador web, ya estamos en condiciones de
comenzar a monitorear todo el flujo de peticiones y respuestas HTTP. Ya estamos en
condiciones de realizar pruebas de seguridad como la OTG-AUTHN-005 y la OTG-
CONFIG-007, las cuales dependen de la intercepción por proxy para su realización.
Ilustración 21: OWASP-ZAP ejecutándose en su propio servidor web
4.3.2. NMAP ('Network Mapper')
Nmap ('Network Mapper'), es una herramienta open source, diseñada para explorar y
para realizar auditorías de seguridad en una red, fue creado originalmente para Linux aunque
actualmente es multiplataforma.
Como primer paso se descargo la versión adecuada para el sistema operativo de la
pagina oficial https://nmap.org/download.html
71
Ilustración 22: Descarga de Nmap
Una vez descargado se procede a realizar la instalación en el sistema operativo
Windows destinado para tal fin, al seguir los pasos del instalador esta tarea se convierte muy
fácil de ejecutar
Ilustración 23: Instalación de Nmap
72
4.3.3. WIRESHARK
Wireshark es el analizador de protocolos de red más popular del mundo para
Windows y Unix, y es el estándar por defecto (o por derecho) en muchas industrias e
instituciones educativas. Wireshark fue escrito por expertos en redes alrededor del mundo, y
es un ejemplo del poder de la fuente abierta.
Wireshark es completamente gratuito y está disponible para ser utilizado en todas las
versiones de Windows después de Windows 2000, Linux, Unix, FreeBSD y Mac OS X.
Ilustración 24: Instalación de Wireshark
73
4.3.4. THC-HYDRA
THC-Hydra es un software que se utiliza para crackear los sistemas de login de
diferentes servicios como HTTP, FTP, TELNET, IMAP, SMB, SSH, etc. de una manera muy
fácil y rápida.
Esta herramienta ha obtenido una gran reputación gracias a poder ser ejecutada desde
consola tanto en sistemas Linux como Windows. Para realizar los ataques, su funcionamiento
se basa en el uso de diccionarios, los cuales contendrán todas aquellas posibles opciones que
se quieran probar. Siendo estos completamente necesarios para la ejecución del programa e
ir probando las diferentes posibilidades y poder llegar así a obtener las credenciales de
usuario.
Ilustración 25: Instalación de THC- Hydra
74
5. PRODUCTOS A ENTREGAR
Como resultado de los objetivos planteados para este proyecto, a continuación se
describen los productos resultantes del mismo, inicialmente se realiza la clasificación y mapa
de calor de los riesgos de tecnología bajo la metodología OWASP para la aplicación Sistema
Integral de Información del Investigador de Colciencias (SII), posterior a esto se diseñó y
ejecuto el plan de auditoria teniendo como marco de referencia el modelo OWASP,
obteniendo como resultado el informe de auditoría del SII y por último se entrega a las
organizaciones la suite de cuestionarios, técnicas y herramientas de auditoria, que se
utilizaron para tomar las evidencias y hacer las respectivas pruebas de auditoria al sistema.
ITEM OBJETIVO ENTREGABLE
1 Matriz de Riesgos de la Aplicación
SAC
MATRIZ DE RIESGOS
2 Auditoria OWASP INFORME DE AUDITORIA OWASP
3 Suite de herramientas de auditoria ACTA DE ENTREGA DE
INSTALACIÓN DE HERRAMIENTAS
Tabla 19: Productos a entregar
75
6. RESULTADOS
Se evidenció que la entidad cuenta con un modelo de gestión de riesgos maduro, a
nivel de macroprocesos de las áreas, en el cual se identifican los principales subprocesos del
área de tecnología. Pero, por razones claramente expuestas por los interlocutores, este modelo
no evalúa directamente la vulnerabilidad tecnológica y a las aplicaciones.
6.1.MATRIZ DE RIESGOS
Teniendo en cuenta la metodología OWASP, en la cual se define, evalúa y prioriza el
peligro tecnológico, se llevó a cabo la identificación y clasificación de los riesgos
evidenciados para la aplicación SAC, obteniendo de esta forma la matriz de riesgos, la cual
se agrupo por ítem evaluado, descripción del riesgo detectado y el control propuesto para
mitigar dicho peligro. Tomando esta clasificación, se presenta el estado actual de la
implementación del control y el responsable de su validación, obteniendo como resultado el
siguiente listado de riesgos.
76
MATRIZ DE RIESGOS APLICACIÓN SAC
ITEM
EVALUADO RIESGO CONTROL PROPUESTO
ESTADO
CONTROL RESPONSABLE
Gestión de Log de
Auditoria
Perdida de integridad de la información
originada por falta de rastreo de
transacciones en la base de datos.
Activar el Log del Sistema Gestor de
Base de datos, al nivel que permita
rastreo de transacciones.
Implementado DBA
Perdida de disponibilidad de la
información originada por falta de
disponibilidad de la base de datos.
Implementar procedimiento de
verificación de información de errores
obtenidos en los archivos Log de
SGBD.
Implementado Operario BD
Perdida de disponibilidad de la
información originada por fallas del
servidor.
Activar el archivo de registro de Log
a nivel que permita validar las
actividades del sistema operativo de
servidor.
Implementado DBA
Gestión de Accesos
Perdida de integridad de la información
originada por no tener un control de
usuarios de la base de datos.
Implementar matriz de roles y perfiles
para la Base de Datos Implementado Líder Técnico
Perdida de confidencialidad de la base de
datos originada por no tener contraseñas
de usuario actualizadas.
Implementar el proceso de
vencimiento de las contraseñas de los
usuarios de la base de datos.
No Implementada DBA
Perdida de confidencialidad de la
información originada por usuarios no
controlados en la base de datos.
Implementar procedimiento de
eliminación de usuarios Genéricos en
la base de datos.
Implementada DBA
Gestión Diccionario
de datos
Perdida de disponibilidad de la
información originada por actualizaciones
no controladas.
Implementar ambientes de
desarrollo, pruebas y calidad
independientes.
Implementado BDA
77
Perdida de integridad de la información
originada por actualizaciones a la base de
datos no documentadas.
Implementar plantilla de control de
actualización al modelo de Datos. Implementado
Arquitecto - Líder
Técnico
Perdida de disponibilidad de la
información originada por no
licenciamiento del SGBD.
Implementar proceso de adquisición
y actualización de licenciamiento y
mantenimiento del SGDB.
Implementado Gerente de Tecnologia
Cargue de Datos
Perdida de confidencialidad de la
información, originada por extracción de
información sensible.
Definir procedimiento para la
encriptación de data sensible. Implementado
Arquitecto – Líder
Técnico
Perdida de integridad de la información
por perdida de datos
Definir el procedimiento de
extracción y carga de datos a la base
de datos.
No Implementado DBA
Perdida de integridad de la información
por modificación de entidades de la base
de datos.
Definir el procedimiento de
actualización y aprobación de
actualizaciones de la estructura de la
base de datos.
Implementado Líder Técnico
Gestión de Backups
Perdida de información originada por
daños en discos de respaldo
Establecer ejecución de backups
automatizados. Implementado DBA
Interrupción del servicio originada por
fallas en el servidor de base de datos
Implementar manuales de
restauración de backups. Implementado DBA
Pérdida de credibilidad originada por falta
de backups
Divulgar políticas de mantenimiento
de hardware y software. Implementado DBA
78
Recuperación de
desastres
Daño o perdida de activos originada por
desastres naturales.
Activar servidor de contingencia
alterno de base de datos. Implementado Líder técnico - DBA
Divulgación de información confidencial o
sensible originada por robo.
Establecer pruebas de contingencia. No implementado Líder técnico - DBA
Persecuciones legales originadas por no
disponibilidad del servicio.
Implementar documentos de
continuidad de negocio Implementado
Gestor de la
configuración
Seguridad de
equipos de computo
Divulgación de información confidencial o
sensible originado por extracción de
archivos en medios magnéticos.
Implementar el bloqueo de puertos
USB y accesos a páginas
restringidas.
Implementado Oficial de seguridad
Perdida de información originado por virus
informáticos.
Instalación de parches de antivirus
para los equipos cliente Implementado Líder técnico
Daño o perdida de activos originado por
cortes de energía eléctrica.
Activar el sistema de energía
eléctrico alterno para los equipos de
cómputo.
Implementado Líder técnico
Administración de
red
Interrupción del servicio originado por
ineficiencia en los procedimientos de
mantenimiento.
Definir procedimientos de
mantenimientos de redes en la
organización.
No implementado Líder técnico
Pérdida de credibilidad originado por
conexión de equipos de cómputo externos.
Divulgar conexión segura para
conexiones de equipos fuera de la red
LAN.
Implementado Oficial de seguridad
Fraude originado por acceso no autorizado.
Implementar accesos a través de
firewall para los servidores de bases
de datos
Implementado Oficial de seguridad
Tabla 20: Matriz de Riesgos SAC.
79
6.2.INFORME DE AUDITORIA OWASP
De acuerdo con la evaluación que fue realizada con base a la guía de pruebas OWASP
4.0, donde se tomaron los 11 controles propuestos por la metodología analizados con
diferentes herramientas de seguridad y mecanismos para la recopilación de información, los
resultados de la evaluación se describen a partir del mismo de la siguiente forma:
CONTROL RESULTADO
Recopilación de información Vulnerable
Pruebas de Seguridad a la configuración y despliegue Parcial
Pruebas de administración de identidad Vulnerable
Pruebas de autenticación Vulnerable
Pruebas de autorización No detectado
Pruebas de administración de sesión Parcial
Pruebas de validación de entradas Vulnerable
Pruebas de manejo de errores Vulnerable
Pruebas para criptografía débil Parcial
Pruebas de la lógica del negocio Vulnerable
Pruebas en el lado del cliente No detectado
Tabla 21: Resultado de prueba de auditoria OWASP
De esta forma se evidencia que 6 de los 10 controles presentan un alto riesgo de
ataques al encontrarse vulnerable a las pruebas ejecutadas, así mismo 3 controles se
encuentran en estado parcial, ya que se encontró algunas irregularidades al momento de
ejecutar las pruebas y por último 2 controles con un estado de no detectado al no lograr
resultados satisfactorios a nivel de prueba de seguridad pero que posiblemente con más
tiempo se puede encontrar alguna novedad.
80
De esta manera se realizó recomendaciones a nivel de seguridad como las siguientes:
• Definición e implantación de las políticas y procedimientos de actualizacíon y aplicación
de parches de seguridad sobre los servidores donde se ejecutan la aplicación.
• Verificar los servicios que se ejecutan en los servidores y las reglas del firewall para
garantizar que solo se utilizan los servicios necesarios, de esta forma se cierran puertas a
posibles vulnerabilidades.
• Implementación de un WAF (Web Aplication Firewall) ya que realiza un filtrado de
peticiones no autorizadas sobre la aplicación web antes de que lleguen al servidor, de esta
forma permite proteger los servidores de aplicaciones de determinados ataques
específicos como lo son:
- Cross-site scripting: consiste en la inclusión de código script malicioso.
- SQL injectión: se trata de introducir código SQL que vulnere la base de datos del
servidor.
- Denial of service: el servidor de aplicación se vuelve incapaz de recibir peticiones
por parte del usuario realización una denegación del servicio.
Es necesario realizar la implementación del servicio WAF una vez se realicen las
correcciones a la aplicación web, en caso contrario se puede seguir exponiendo la aplicación
a las vulnerabilidades detectadas.
81
• Realizar un proceso de hardening que consiste en asegurar el sistema mediante la
reducción de vulnerabilidades en el mismo, eliminando software, servicios, usuarios,
etc.; innecesarios en el sistema, así mismo cerrando puertos que no estén en uso, así
se entorpece la labor del atacante y se gana tiempo para poder minimizar las
consecuenticas de un posible ataque
• Realizar una reevaluación de auditoria mediante la guía de pruebas OWASP una vez
se tomen las acciones correspondientes, de esta forma se puede verificar si se logró
corregir o minimizar los riesgos encontrados en esta auditoría.
6.3. ENTREGA DE HERRAMIENTAS DE AUDITORIA DE SEGURIDAD WEB
Dando alcance al objetivo de dotar a la organización de una suite de técnicas y
herramientas de auditoria para la evaluación de aplicaciones y sistemas de información. Se
evidencio que la organización Ministerio de Educación Nacional, no cuenta, en su inventario
de aplicaciones y o activos de información, para el área de tecnología, con herramientas pagas
o gratuitas, para hacer pruebas de seguridad o vulnerabilidad de sus aplicaciones.
También se demostró que el personal del área de sistemas de la organización tiene un
conocimiento de nivel adecuado, sobre el tema de riesgos de tecnología y maneja
adecuadamente los procedimientos de seguridad pre establecidos, por el área para la gestión
82
de la seguridad, pero no cuenta con la capacidad técnica para realizar tareas de ejecución de
pruebas de seguridad a las aplicaciones disponibles para el ministerio de educación nacional.
Como resultado del cumplimiento de la entrega de las herramientas de auditoria de
aplicaciones web, se realizó un acta donde se hizo entrega oficial de las aplicaciones
instaladas y configuradas además de una capacitación sobre el uso de las mismas para futuros
análisis de auditoria.
FECHA REUNIÓN: 25 de mayo de 2018
ASISTENTES
NOMBRE CARGO NOMBRE CARGO
Anderson Julian
Llanos
ANALISTA DE
AUDITORIA Edwin N. Fernández M. Analista de Auditoria
NOMBRE CARGO NOMBRE CARGO
D.B.A. Líder de
Infraestructura
ACTUALIZACION
(Nombre de la Actualización)
PUNTOS REVISADOS (Relacione por cada punto revisado)
Descripción punto revisado: En la presente acta, se realiza la descripcion de la entrega
del catalogo de aplicaciones, utilizados por los analistas de
auditoria, para realizar en analisis de los controles de
seguridad implementados en la aplicación Sistema de
Atencion al Ciudadano SAC.
Listado de Aplicaciones.
83
La siguiente es la lista de aplicaciones instaladas y utilizadas para realizar la auditoria de
seguridad OWASP, a la aplicación SAC.
• Owas-zap
• Nmap
• Hydra
• Nessus
• Wireshark
• Burp Suite Scanner
Resultado de la
entrega A satisfacción.
No. OBERVACIONES
1 Las aplicaciones utilizadas son de uso libre y no requieren de licenciamiento pago para su utilización en las instalaciones del MEN.
2
FIRMA DE ASISTENTES
Realizado y aprobado por (Profesional que realizó y aprobó las pruebas)
Asistido por (Profesional que asistió las pruebas)
Nombres y Apellidos Nombres y Apellidos
84
CONCLUSIONES
• Se ejecuto de manera satisfactoria el proceso de auditoría al Sistema de atención al
Ciudadano -SAC- del Ministerio de Educación Nacional bajo la metodología
OWASP, obteniendo un conocimiento y estado claro del nivel de seguridad
implementado a la fecha para el aplicativo.
• Se realizo el análisis de riesgos de tecnología, para el Sistema de Atención al
Ciudadano -SAC, en el Ministerio de Educación Nacional, bajo la metodología
OWASP, brindando a la entidad un mapa claro y actualizado de los peligros, que, a
nivel de tecnología puede correr con la aplicación.
• Se brindo al área de tecnología del Ministerio de Educación Nacional una suite de
técnicas y herramientas de auditoria para la evaluación de aplicaciones, las cuales se
aplicaron de manera satisfactoria al Sistema de Atención al Ciudadano.
• Se identifico a nivel de base de datos el estado de implementación de los controles de
seguridad propuestos por OWASP, así como las responsabilidades y los encargados
de llevar a cabo dichos controles.
• Se realizaron pruebas a nivel de aplicación al Sistema de Atención al Ciudadano, de
los controles propuestos por OWASP en el apartado de seguridad, encontrando un
nivel de implementación medio, lo cual indica que se debe seguir trabajando en
implementar y fortalecer los controles para mitigar riesgos en la aplicación.
85
• Se realizo la revisión a la documentación técnica y funcional del aplicativo SAC,
evidenciando que, a nivel de solicitudes de controles de seguridad a implementar en
el sistema, se cuenta con una madures de nivel medio, se propone solicitar controles
de cambio para el aplicativo que incluyan la brecha de lo solicitado vs lo
implementado para adquirir un nivel superior de madures del sistema.
• Se evidencia la solicitud e implementación clara, de una matriz de roles y permisos,
tanto a nivel de base de datos, como de aplicativo, brindando de esta forma un nivel
de protección medio – alto, a la información que se administra con el sistema,
permitiendo diferenciar perfectamente responsabilidades y niveles de acceso a la
misma. Se recomienda realizar un mantenimiento y/o actualización del sistema, de
manera semestral que permita actualizar la matriz de roles y permisos y contar con
información actualizada de la misma.
• Se evidencia, a nivel de requerimientos de infraestructura, una clara delimitación de
los componentes que articulan el SAC, así como correcta descripción de los puertos
y tipos de conexiones requeridos para su correcta configuración y despliegue.
• Se evidencia a nivel de infraestructura una falta de definición de usuarios de
plataforma y recomendaciones de gestión de seguridad de estos, ocasionando un
vacío a nivel de seguridad de los componentes expuestos en cada servidor, se
recomienda crear una política de recomendaciones de seguridad, a nivel de
infraestructura, que aplique para la configuración de la aplicación SAC.
86
BIBLIOGRAFIA
A. (2017). ¿Qué es Entrevista? - Concepto, Definición y Características. Retrieved May 22,
2018, from http://concepto.de/que-es-entrevista/
Certicámara S. (2013). Proteger Los Datos Personales, 5. Retrieved from
https://colombiadigital.net/publicaciones_ccd/anexos/certicamara_proteccion_datos_a
go28.pdf
Comercio, M. D. E., & Turismo, I. Y. (2013). Decreto 1377 de 2012. Ministerio de Comerico,
Industria Y Turismo, decreto 13, 1–11. Retrieved from
http://www.mintic.gov.co/portal/604/articles-4274_documento.pdf
Corte Constitucional de Colombia. (1991). Constituci{ó}n pol{í}tica de Colombia
actualizada con los actos legislativos a 2015. Corte Constitucional de Colombi, 121.
https://doi.org/2344-8997
Diario Oficial. (2009). Ley 1273 De 2009. Retrieved from
http://acueductopopayan.com.co/wp-content/uploads/2012/08/ley-1273-2009.pdf
Diario Oficial. (2015). Ley 1755 de 2015 Nivel Nacional. Retrieved April 26, 2018, from
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=62152
Dulzaides Iglesias, M. E., & Molina Gómez, A. M. (2004). Análisis documental y de
información: dos componentes de un mismo proceso. Retrieved May 31, 2018, from
http://bvs.sld.cu/revistas/aci/vol12_2_04/aci11204.htm
EA, C. (2015). Analisis y Diseños de Sistemas de Informacion. PhD Proposal, 1, 101.
https://doi.org/10.1017/CBO9781107415324.004
Foundation, O. (2008). Guía de pruebas OWASP v3., 0, 372. Retrieved from
https://www.owasp.org/images/8/80/Guía_de_pruebas_de_OWASP_ver_3.0.pdf
Hermoso Metaute, A. (2013). Seguridad en Aplicativos Web. Retrieved from
http://diposit.ub.edu/dspace/bitstream/2445/49106/1/AdrianHermoso_memoria.pdf
Jack, T. H. E., Jack, T. H. E., All, O. F., All, O. F., Security, T., Security, T., … Supplement,
T. (2001). OSSTMM 2.1 - The Open Source Security Testing Methodology Manual.
Isecom, 133.
López Provencio, F. (2015). Desarrollo dirigido por la seguridad. Retrieved from
http://upcommons.upc.edu/handle/2099.1/24902
MAP. (2012). PAe - MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Retrieved May 22, 2018, from
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodol
og/pae_Magerit.html#.WwSgToiFOUl
87
Melo, L. A., Ramos, J. E., & Hernández, P. O. (2017). La educación superior en Colombia:
situación actual y análisis de eficiencia. Desarrollo Y Sociedad, 2(78), 59–111.
https://doi.org/10.13043/DYS.78.2
O’Brien, J. A. (2006). Sistemas de información gerencial. (MCGRAW-HILL /
INTERAMERICANA DE MEXICO, Ed.) (7a ed.).
OCDE. (2016). Revisión de políticas nacionales de educación. Educación en Colombia.
https://doi.org/10.1787/9789264250604-en
OWASP Foundation. (2017). OWASP Top 10 -2017, 25. Retrieved from
https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
Pita Fernández, S., & Pértegas Díaz, S. (2002). Investigación cuantitativa y cualitativa.
Retrieved May 22, 2018, from
https://www.fisterra.com/mbe/investiga/cuanti_cuali/cuanti_cuali.asp
UPC, F. (2008). Guía del taller de iniciación a la informática.
88
ANEXOS
MEMORANDO DE PLANEACION
OBJETIVO DE LA AUDITORIA:
Evaluar las medidas de control tecnológico, para la aplicación Sistema de Atención
al Ciudadano, SAC, del Ministerio de Educación Nacional, con el propósito de determinar
su estado, nivel de confiabilidad de la información y si las actividades de control que se
ejercen actualmente son eficaces y eficientes en la prevención y/o corrección, de situaciones
generadas por la materialización de riesgos en la gestión de la información de la entidad.
ALCANCE
El alcance propuesto para esta auditoría es la verificación y evaluación de la
efectividad e idoneidad de los controles lógicos, de integridad, de continuidad y de ambiente,
existentes, a nivel de base de datos, para la aplicación SAC, del Ministerio de Educación
Nacional.
RECURSO
Para la ejecución de la auditoria se tendrá en cuenta los siguientes recursos:
Humanos:
Equipo de Auditoria
• Edwin Fernández Ingeniero telemático
• Anderson Julian Llanos Ruiz. Ingeniero de sistemas
Equipo Técnico:
89
• Equipo DBA Ministerio de Educación Nación Nacional.
Tecnológicos:
• Portatil Asus 14”, DD: 750gb, Ram 10gb, Intel Core i5
• Portatil Acer Aspire, DD: 1TB, Ram 12 Gb, Intel Core i5
• Estaciones de computo del MEN.
Físicos:
• Formatos
• Cuestionarios
FAMILIARIZACION AUDITORIA BASES DE DATOS
El levantamiento de información para la auditoria de base de datos se realizó en las
instalaciones del Ministerio de educación Nacional.
Nombre del encuestado: Fabian Restrepo
Fecha: 02/04/2018
Cargo: DBA
FICHA TECNICA
OBJETIVO DE LA APLICACIÓN: SAC:
ESTADO: OPERATIVO EN PRODUCCION
AREAS DE USO: •
PLATAFORMA
Hardware y Software del servidor
Servidor de base de datos:
RAM: 24Gb
SO: Centos 6.7
Disco duro: 450Gb
Procesadores: Intel® Xeon® 2.4Ghz *4
Servidor de aplicaciones:
RAM: 24Gb
SO: Windows Server 202 R2 x64
90
Disco duro: 300gb
Procesadores: Intel® Xeon® 2.10Ghz *6
Hardware y Software de los PCS • Software:
Navegador de internet: Google Chrome,
Mozilla, Internet Explorer, Safari, otros)
Sistema operativo: Windows, Linux,
MacOs
• Hardware:
Procesador: Core 2 duo o superior.
Memoria RAM: 2gb o superior.
Disco duro: 120gb o superior.
Redes • LAN Interna 10/100 Cableada.
• Red Interna Wi Fi Access Point en cada
piso Soporte para 150 Usuarios.
• Firewall
• Canal Principal Proveedor ETB
• Canal Alterno Proveedor TIGO UNE
• Expuesta para acceso por Internet para
los usuarios (vigilados).
Módulos del aplicativo •
Documentación General • Manual de usuario
• Modelo de aplicaciones
• Modelo Entidad – Relación
ESQUEMA DE SEGURIDAD Y CONTROL
Se realizó una serie de preguntas al DBA, del Ministerio de Educación Nacional,
dentro de las cuales, se incluyen algunas sobre los controles propuestos por OWASP, para
conocer y dar claridad del entorno de base de datos, esta información se toma como punto de
partida del proceso de auditoría, a nivel de base de datos, para la aplicación SAC.
91
SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA
En la seguridad lógica y pistas de auditoria se evalúa los niveles de control de acceso
a la base de datos, usuarios creados, logs de auditoria, triggers, entre otros, se realizó un
cuestionario que se puede observar en el Anexo 1.
INTEGRIDAD
En la integridad se tiene en cuenta lo referente a calidad de los datos en la base de
datos, aquí se aprecia los diccionarios de base de datos, el procedimiento para su
actualización, el nivel de encripción de los datos, la documentación y demás factores que
involucran la integridad, en el Anexo 2 se podrá apreciar el cuestionario realizado.
CONTINUIDAD
En la continuidad se analiza y evalúa los procedimientos de backups que existen en
la base de datos, se tiene en cuenta la documentación referente y todas las validaciones y
monitoreos que se deben ejecutar para ejercer la continuidad en el negocio frente a cualquier
anomalía, en el Anexo 3 se encuentra una encuesta referente a este proceso.
SEGURIDAD EN EL AMBIENTE
En este punto de seguridad en el ambiente se evalúa los factores que rodean el
ambiente de base de datos, como, por ejemplo: las licencias, políticas de cambios, antivirus,
sistemas de detección de incendios, distribución en red, firewall, proxy y demás componentes
para garantizar el correcto funcionamiento de la base de datos. En el Anexo 4 se encuentra
una encuesta realizada.
92
EVALUACIÓN
Para la evaluación del proceso de auditoría, se tomó como referencia los puntos evaluados en la entrevista, se tienen en cuenta
los parámetros de actividades, riesgos, controles, estado de control y responsable.
MATRIZ SEGURIDAD LOGICA Y PISTAS DE AUDITORIA
SEGURIDAD LOGICA Y PISTAS DE AUDITORIA
ACTIVIDADES RIESGOS CONTROLES ESTADO
CONTROL RESPONSABLE
Gestión de Log
de Auditoria
Perdida de integridad de la información
originada por falta de rastreo de transacciones
en la base de datos.
Activar el Log del Sistema Gestor
de Base de datos, al nivel que
permita rastreo de transacciones.
Implementado DBA
Perdida de disponibilidad de la información
originada por falta de disponibilidad de la base
de datos.
Implementar procedimiento de
verificación de información de
errores obtenidos en los archivos
Log de SGBD.
Implementado Operario BD
Perdida de disponibilidad de la información
originada por fallas del servidor.
Activar el archivo de registro de
Log a nivel que permita validar
las actividades del sistema
operativo de servidor.
Implementado DBA
Gestión de
Accesos
Perdida de integridad de la información
originada por no tener un control de usuarios de
la base de datos.
Implementar matriz de roles y
perfiles para la Base de Datos Implementado Líder Técnico
Perdida de confidencialidad de la base de datos
originada por no tener contraseñas de usuario
actualizadas.
Implementar el proceso de
vencimiento de las contraseñas de
los usuarios de la base de datos.
No Implementada DBA
Perdida de confidencialidad de la información
originada por usuarios no controlados en la base
de datos.
Implementar procedimiento de
eliminación de usuarios
Genéricos en la base de datos.
Implementada DBA
93
MATRIZ INTEGRIDAD
INTEGRIDAD
ACTIVIDADES RIESGOS CONTROLES ESTADO
CONTROL RESPONSABLE
Gestión
Diccionario de
datos
Perdida de disponibilidad de la
información originada por
actualizaciones no controladas.
Implementar ambientes de desarrollo,
pruebas y calidad independientes. Implementado BDA
Perdida de integridad de la
información originada por
actualizaciones a la base de datos
no documentadas.
Implementar plantilla de control de
actualización al modelo de Datos. Implementado
Arquitecto - Líder
Técnico
Perdida de disponibilidad de la
información originada por no
licenciamiento del SGBD.
Implementar proceso de adquisición y
actualización de licenciamiento y
mantenimiento del SGDB.
Implementado Gerente de
Tecnologia
Cargue de Datos
Perdida de confidencialidad de la
información, originada por
extracción de información
sensible.
Definir procedimiento para la
encriptación de data sensible. Implementado
Arquitecto – Líder
Técnico
Perdida de integridad de la
información por perdida de datos
Definir el procedimiento de extracción
y carga de datos a la base de datos. No Implementado DBA
Perdida de integridad de la
información por modificación de
entidades de la base de datos.
Definir el procedimiento de
actualización y aprobación de
actualizaciones de la estructura de la
base de datos.
Implementado Líder Técnico
94
MATRIZ CONTINUIDAD
CONTINUIDAD
ACTIVIDADES RIESGOS CONTROLES ESTADO
CONTROL RESPONSABLE
Gestión de
backups
Perdida de información originada por
daños en discos de respaldo
Establecer ejecución de backups
automatizados. Implementado DBA
Interrupción del servicio originada
por fallas en el servidor de base de
datos
Implementar manuales de
restauración de backups. Implementado DBA
Pérdida de credibilidad originada por
falta de backups
Divulgar políticas de
mantenimiento de hardware y
software.
Implementado DBA
Recuperación de
desastres
Daño o perdida de activos originada
por desastres naturales.
Activar servidor de contingencia
alterno de base de datos. Implementado
Líder técnico -
DBA
Divulgación de información
confidencial o sensible originada por
robo.
Establecer pruebas de
contingencia. No implementado
Líder técnico -
DBA
Persecuciones legales originadas por
no disponibilidad del servicio.
Implementar documentos de
continuidad de negocio Implementado
Gestor de la
configuración
95
MATRIZ SEGURIDAD EN EL AMBIENTE
SEGURIDAD EN EL AMBIENTE
ACTIVIDADES RIESGOS CONTROLES ESTADO
CONTROL RESPONSABLE
Seguridad de
equipos de
computo
Divulgación de información
confidencial o sensible originado por
extracción de archivos en medios
magnéticos.
Implementar el bloqueo de puertos
USB y accesos a páginas
restringidas.
Implementado Oficial de
seguridad
Perdida de información originado por
virus informáticos.
Instalación de parches de antivirus
para los equipos cliente Implementado Líder técnico
Daño o perdida de activos originado
por cortes de energía eléctrica.
Activar el sistema de energía
eléctrico alterno para los equipos
de cómputo.
Implementado Líder técnico
Administración
de red
Interrupción del servicio originado
por ineficiencia en los
procedimientos de mantenimiento.
Definir procedimientos de
mantenimientos de redes en la
organización.
No implementado Líder técnico
Pérdida de credibilidad originado por
conexión de equipos de cómputo
externos.
Divulgar conexión segura para
conexiones de equipos fuera de la
red LAN.
Implementado Oficial de
seguridad
Fraude originado por acceso no
autorizado.
Implementar accesos a través de
firewall para los servidores de
bases de datos
Implementado Oficial de
seguridad
96
DISEÑO Y EJECUCCIÓN DE PRUEBAS
PROGRAMACIÓN DE PRUEBAS
REF. DESCRIPCION DE LA PRUEBA
Página
P1
Verificar que el Log del SGBD está activo, registra información y
el nivel de registro maneja el nivel de detalle necesario.
P2
Certificar que la matriz de Roles y permisos este implementada en
la base de datos.
P3
Verificar que se encuentren instalados y configurados de manera
independiente, los ambientes de trabajo, para desarrollo, pruebas y
calidad (QA).
P4
Validar que se encuentra implementado un procedimiento de
encriptado de datos para la información considerada sensible.
P5
Evaluar que se realice la ejecución y restauración de backups de
base de datos de forma automática y verificar que los medios donde
se están almacenando las copias.
P6
Verificar que exista definido un plan de continuidad de desastre e
identificar el historial de interrupciones de servicio.
P7
Verificar que se encuentre implementados controles de bloqueo de
puertos usb y acceso a internet a páginas no autorizadas por la
Entidad.
P8
Analizar los niveles de seguridad de la red inalámbrica y carpetas
compartidas.
97
SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA
SISTEMA DE ATENCION AL CIUDADANO SAC, DEL MINISTERIO DE
EDUCACION NACIONAL
DISENO DE PRUEBAS DE AUDITORIA
ACTIVIDAD: SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA
PRUEBA No: PR01
PROCESO: Gestión de Log de Auditoria
OBJETIVO DE LA PRUEBA:
Verificar que el Log del SGBD está activo, registra información y el nivel de registro
maneja el nivel de detalle necesario.
TIPO: Manual
CONTROL A PROBAR
Activar el Log del Sistema Gestor de Base de datos, al nivel que permita rastreo de
transacciones.
RECURSOS NECESARIOS PARA APLICARLA
SOFTWARE: SGBD Oracle 11g,TOAD , ScreenHunter, Chrome ScreenCastify
HARDWARE: Equipo PC de escritorio, Servidor de Base de datos
PERSONAL: DBA, Auditor
PROCEDIMIENTO A EMPLEAR
1. Solicitar al DBA, presentar la información de la configuración del registro del log
del SGBD con el nivel de rastreo completo de transacciones activo y la ruta de
almacenamiento del log configurada.
2. Registrar imagen de evidencia de la configuración.
3. Validar la existencia de la ruta de almacenamiento del archivo Log.
4. Registrar imagen evidencia de ruta de almacenamiento.
5. Verificar que en la ruta sugerida y configurada existan archivos de registro de log
de mínimo 10 días de anterioridad a la fecha de toma de la evidencia.
6. Seleccionar uno de los archivos de registro de LOG de alguno de los 10 días de
almacenamiento y validar que contenga la información de registro.
7. Del archivo seleccionado, validar que la información que contenga corresponda
con el nivel de traza de registro completo de transacciones.
8. Registrar imagen de evidencia del archivo LOG seleccionado con extracto de
información de transacciones.
Elaborado por: ________________________ Fecha: ____/_____/______
Revisado por: ________________________ Fecha: ____/_____/______
98
SISTEMA DE ATENCION AL CIUDADANO SAC, DEL MINISTERIO DE
EDUCACION NACIONAL
DISENO DE PRUEBAS DE AUDITORIA
ACTIVIDAD: SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA
PRUEBA No: PR02
PROCESO: Gestión de Accesos
OBJETIVO DE LA PRUEBA:
Certificar que la matriz de Roles y permisos este implementada en la base de datos.
TIPO: Asistida
CONTROL A PROBAR
Implementar matriz de roles y perfiles para la Base de Datos.
RECURSOS NECESARIOS PARA APLICARLA
SOFTWARE: SGBD Oracle 11g,TOAD, SQL Developer , ScreenHunter, Chrome
ScreenCastify, Excel
HARDWARE: Equipo PC de escritorio, Servidor de Base de datos
PERSONAL: DBA, Auditor
PROCEDIMIENTO A EMPLEAR
1. Solicitar al DBA, presentar documento en Excel o Word con la información de la
matriz de roles y permisos.
2. Solicitar copia del documento de Matriz de roles y permisos para adjuntarlo como
evidencia al documento de auditoria.
3. Solicitar al DBA, conectarse por medio de SQL Developer o TOAD, a la base de
datos, como usuario SYSDBA.
4. Ejecutar el siguiente select en la base de datos:
SELECT USERNAME FROM DBA_USERS
5. Tomar una imagen de evidencia del listado de usuarios generados por la consulta
para adjuntarlo al informe.
6. Validar que el listado de usuarios que devuelve la sentencia de registrados en la
base de datos, corresponda con el listado de usuarios registrados en la matriz.
7. Seleccionar un USERNAME de la matriz de roles y permisos, y validar que la
configuración de perfil y accesos en la Base de datos, corresponda a la indicada en
el documento de perfiles, ejecutando el siguiente select:
99
Select
lpad(' ', 2*level) || granted_role "User, his roles and privileges"
from
(
/* THE USERS */
select
null grantee,
username granted_role
from
dba_users
where
username like upper('%&enter_username%')
/* THE ROLES TO ROLES RELATIONS */
union
select
grantee,
granted_role
from
dba_role_privs
/* THE ROLES TO PRIVILEGE RELATIONS */
union
select
grantee,
privilege
from
dba_sys_privs
)
start with grantee is null
connect by grantee = prior granted_role;
8. Tomar imagen de evidencia de los permisos configurados en la base de
datos.
9. Validar, chequeando los permisos devueltos por el select, que el resultado
corresponda con los accesos que debe tener el usuario.
Elaborado por: ________________________ Fecha: ____/_____/______
Revisado por: ________________________ Fecha: ____/_____/______
100
INTEGRIDAD
DISENO DE PRUEBAS DE AUDITORIA
ACTIVIDAD: INTEGRIDAD
PRUEBA No: PR03
PROCESO: Gestión Diccionario de Datos
OBJETIVO DE LA PRUEBA:
Verificar que se encuentren instalados y configurados de manera independiente, los
ambientes de trabajo, para desarrollo, pruebas y calidad (QA).
TIPO: Manual
CONTROL A PROBAR
Implementar ambientes de desarrollo, pruebas y calidad independientes
RECURSOS NECESARIOS PARA APLICARLA
SOFTWARE: SGBD Oracle 11g,TOAD, SQL Developer , ScreenHunter, Chrome
ScreenCastify, Excel
HARDWARE: Equipo PC de escritorio, Equipo PC Portátil conectado a la red, Servidor
de Base de datos
PERSONAL: DBA, Gestor de la configuración, Auditores.
PROCEDIMIENTO A EMPLEAR
1. Solicitar al Gestor de la Configuración, copia de los diagramas de configuración de
los ambientes de desarrollo, pruebas y producción.
2. Tomar evidencia de los diagramas para adjuntarlos al informe final.
3. De los ambientes configurados para el sistema (desarrollo, pruebas, producción),
seleccionar el ambiente de desarrollo y verificar la disponibilidad de los
componentes de infraestructura para base de datos descritos en el diagrama.
4. Solicitar al DBA o al Gestor de la Configuración, las IPS del servidor de base de
datos y la instancia de desarrollo
5. Realizar una conexión a dicho entorno de desarrollo con los datos entregados por
el DBA o el GC y tomar evidencia de dicha conexión para adjuntar al informe
6. Solicitar al DBA, conectarse por medio de SQL Developer o SQL PLUS o TOAD,
al esquema de base de datos de desarrollo y solicitar un listado de los objetos de
tipo TABLA del esquema.
7. Guardar el listado de tablas del ambiente de desarrollo obtenidos para adjuntar al
informe.
8. Solicitar al DBA o al Gestor de la Configuración, las IPS del servidor de base de
datos y la instancia de pruebas.
101
9. Realizar una conexión al entorno de pruebas con los datos entregados por el DBA
o el GC y tomar evidencia de dicha conexión para adjuntar al informe.
10. Solicitar al DBA, conectarse por medio de SQL Developer o SQL PLUS o TOAD,
al esquema de base de datos de pruebas y solicitar un listado de los objetos de tipo
TABLA del esquema.
11. Guardar el listado de tablas del ambiente de pruebas obtenidos para adjuntar al
informe.
12. Solicitar al DBA o al Gestor de la Configuración, las IPS del servidor de base de
datos y la instancia de producción.
13. Realizar una conexión a dicho entorno de producción con los datos entregados por
el DBA o el GC y tomar evidencia de dicha conexión para adjuntar al informe
14. Solicitar al DBA, conectarse por medio de SQL Developer o SQL PLUS o TOAD,
al esquema de base de datos de producción y solicitar un listado de los objetos de
tipo TABLA del esquema.
15. Guardar el listado de tablas del ambiente de producción obtenidos para adjuntar al
informe.
16. En Excel copiar los 3 listados de tablas obtenidos, y validar que en los tres
ambientes exista el mismo número de objetos tipo Tabla y que sus nombres
correspondan.
17. Guardar el documento Excel como “Anexo Tablas Ambientes.xlsx” y adjuntar al
informe.
Elaborado por : ________________________ Fecha: ____/_____/______
Revisado por: ________________________ Fecha: ____/_____/______
DISENO DE PRUEBAS DE AUDITORIA
ACTIVIDAD: INTEGRIDAD
PRUEBA No: PR04
PROCESO: Cargue de Datos
OBJETIVO DE LA PRUEBA:
Validar que se encuentra implementado un procedimiento de encriptado de datos para la
información considerada sensible.
TIPO: Manual
CONTROL A PROBAR
Definir procedimiento para la encriptación de data sensible.
102
RECURSOS NECESARIOS PARA APLICARLA
SOFTWARE: SGBD Oracle 11g,TOAD, SQL Developer , ScreenHunter, Chrome
ScreenCastify, Excel
HARDWARE: Equipo PC de escritorio, Equipo PC Portátil conectado a la red, Servidor
de Base de datos
PERSONAL: DBA, Gestor de la configuración, Auditores.
PROCEDIMIENTO A EMPLEAR
1. Solicitar al Arquitecto o al líder técnico de la aplicación, el listado de campos
seleccionados como sensibles para la aplicación (contraseñas, direcciones, número
de teléfono).
2. Tomar evidencia del listado de campos y las tablas donde se encuentran dichos
datos para adjuntarlos al informe final.
3. Solicitar al arquitecto o líder técnico, la definición del protocolo de encriptación
utilizado para hacer el proceso de protección de datos.
4. Tomar evidencia de la definición de dicho protocolo y adjuntarla al informe.
5. Solicitar al BDA, realizar una conexión al entorno de pruebas de la base de datos.
6. Generar una población de datos de las tablas y campos indicados por el arquitecto
o líder técnico, como datos sensibles o encriptados.
7. Validar que la información de las tablas y los campos descritos no sea de fácil
identificación, es decir se encuentre encriptada.
8. Tomar evidencia de los datos encriptados y adjuntarla al informe.
9. Seleccionar un dato al azar y aplicarle el proceso de des encriptado.
10. Validar que la información des encriptada corresponde con un dato consistente
comparándolo con el dato en pantalla de la aplicación.
11. Tomar evidencia de los datos encriptados y des encriptado y adjuntarla al informe.
Elaborado por: ________________________ Fecha: ____/_____/______
Revisado por: ________________________ Fecha: ____/_____/______
103
CONTINUIDAD
DISENO DE PRUEBAS DE AUDITORIA
ACTIVIDAD: Continuidad
PRUEBA No: PR05
PROCESO: Gestión de backups
OBJETIVO DE LA PRUEBA:
Evaluar que se realice la ejecución de backups de base de datos de forma automática y verificar
que los medios donde se están almacenando las copias funcionan de manera adecuada y permiten
una restauración de la base de datos.
TIPO: Automatizado
RECURSOS NECESARIOS PARA APLICARLA
Conexión a base de datos, del servidor de respaldo y medios de almacenamiento en compañía del
DBA y administrador de servidores.
PROCEDIMIENTO A EMPLEAR
1. Verificar el proceso de ejecución de backups automatizados de base de datos.
2. Identificar la periodicidad de generación de backups y tomar muestra de ejecución del
backup automatizado del día anterior.
3. Solicitar los medios físicos de almacenamiento de backups y revisar etiquetado de los
medios.
4. Verificar que existan copias de backups alternas y revisar que se encuentren actualizadas
al último corte del backup realizado.
5. Restaurar backup del día anterior en un ambiente de prueba y verificar que la información
recuperada corresponda a la fecha de corte del backup.
6. Verificar el log de ejecución de backup y comprobar que se genere de forma exitosa.
Elaborado por: ________________________ Fecha: ____/_____/______
Revisado por: ________________________ Fecha: ____/_____/______
104
DISENO DE PRUEBAS DE AUDITORIA
ACTIVIDAD: Continuidad
PRUEBA No: PR06
PROCESO: Recuperación de desastres
OBJETIVO DE LA PRUEBA:
Verificar que exista definido un plan de continuidad de desastre e identificar el historial de
interrupciones de servicio.
TIPO: Manual
RECURSOS NECESARIOS PARA APLICARLA
Es necesario la verificación visual de las instalaciones de la Entidad, datacenter, extintores y
mecanismos de prevención de incendios; este recorrido se debe realizar en compañía del líder
técnico.
PROCEDIMIENTO A EMPLEAR
1. Recopilar todos los documentos relevantes de la infraestructura de redes, como los
diagramas de las redes, la configuración de los equipos y bases de datos.
2. Identificar las amenazas contra la infraestructura de TI que la dirección considere más
preocupantes: por ejemplo, incendios, errores humanos, apagones de energía, fallo de los
sistemas.
3. Identificar aquello que la dirección considera que son las principales vulnerabilidades de
la infraestructura: por ejemplo, inexistencia de sistemas de respaldo en caso de apagón
eléctrico, copias de bases de datos obsoletas.
4. Examinar el historial previo de apagones e interrupciones de servicio, y cómo fueron
gestionados por la entidad.
5. Identificar los activos TI que la dirección considera de importancia crítica. Por ejemplo:
centro de llamadas, centro de servidores, acceso a internet.
Elaborado por: ________________________ Fecha: ____/_____/______
Revisado por: ________________________ Fecha: ____/_____/______
105
SEGURIDAD EN EL AMBIENTE
DISENO DE PRUEBAS DE AUDITORIA
ACTIVIDAD: Seguridad en el ambiente
PRUEBA No: PR07
PROCESO: Seguridad de equipos de computo
OBJETIVO DE LA PRUEBA:
Verificar que se encuentre implementados controles de bloqueo de puertos usb y acceso a internet
a páginas no autorizadas por la Entidad.
TIPO: Manual
RECURSOS NECESARIOS PARA APLICARLA
La verificación se realizará con un equipo de la entidad conectado a la red LAN, esta verificación
se llevará a cabo en compañía al oficial de seguridad.
PROCEDIMIENTO A EMPLEAR
1. Hacer uso de un pc de la entidad e insertar una memoria usb en uno de sus puertos, validar
si el contenido del dispositivo es accesible.
2. Desactivar el antivirus y verificar si es posible la lectura de medios extraíbles.
3. Desconectar el cable de red y validar que el contenido del dispositivo usb sea accesible.
4. Ejecutar un navegador de internet e ingresar a páginas de redes sociales (Facebook,
Youtube…),
5. Realizar la descarga de un programa y proceder a instalarlo en un computador de la
Entidad
Elaborado por: ________________________ Fecha: ____/_____/______
Revisado por: ________________________ Fecha: ____/_____/______
106
DISENO DE PRUEBAS DE AUDITORIA
ACTIVIDAD: Seguridad en el ambiente
PRUEBA No: PR08
PROCESO: Administración de redes
OBJETIVO DE LA PRUEBA:
Analizar los niveles de seguridad de la red inalámbrica y carpetas compartidas.
TIPO: Manual
RECURSOS NECESARIOS PARA APLICARLA
La verificación se realizará con un equipo de la entidad conectado a la red LAN, esta verificación
se llevará a cabo en compañía al oficial de seguridad.
PROCEDIMIENTO A EMPLEAR
1. Hacer uso de la red inalámbrica de la Entidad, verificar si es posible el acceso a páginas
de redes sociales.
2. Acceder al servidor de carpetas compartidas desde un equipo portátil externo de la entidad
conectado por medio de la red wifi.
3. Acceder a la intranet de la Entidad con un dispositivo conectado por medio de la red wifi,
tomar capturas de pantalla.
4. Verificar si es posible acceder a todas las carpetas alojadas en el servidor de carpetas
compartidas con un usuario que tenga perfil básico.
5. Ingresar al correo electrónico institucional desde la red LAN, red WIFI e internet.
Elaborado por: ________________________ Fecha: ____/_____/______
Revisado por: ________________________ Fecha: ____/_____/______
107
CUESTIONARIO SEGURIDAD LÓGICA Y PISTAS DE AUDITORIA
No Pregunta Si No Observaciones
1 Las contraseñas de los usuarios
SYS, SYSTEM, se han
cambiado y son diferentes.
X
2 Conoce el número de usuarios
para los cuales va a estar
disponible el aplicativo.
X
3 ¿Existe una matriz de usuarios
y permisos para el acceso a la
base de datos del aplicativo?
X
4 ¿Se cuenta con un
procedimiento para la creación
de usuarios, para el aplicativo
SAC a nivel de base de datos?
X
5 ¿Existe segregación de
funciones a nivel de
administración de la base de
datos?
X
6 ¿El DBA realiza la gestión
(creación, eliminación,
inactivación, activación) de
usuarios de la BD?
X
7 ¿Existe un control de cantidad
de sesiones simultáneas de un
usuario sobre la base de datos?
X
8 ¿Están habilitados los logs de
auditoria del DBMS? X
9 ¿Hay implementada una
política de cambio de Password
de usuarios a nivel de base de
datos?
X
10 ¿Existe una política de longitud
de las contraseñas? X
11 Están activos los logs del
sistema operativo que aloja el
DBMS.
X
12 Existe una política para
actualización y parcheo del
sistema operativo.
X
13 Existe una política para
actualización y parcheo del
DBMS
X
108
CUESTIONARIO INTEGRIDAD
No Pregunta Si No Observaciones
1 ¿Está documentado el modelo
entidad relación del aplicativo? X
2 ¿Tiene acceso al diccionario de
datos del aplicativo? X
3 ¿Existe un procedimiento
documentado para la X
14 ¿Se controla el número de
intentos fallidos de inicio de
sesión en la base de datos?
X
15 ¿Se cuenta con una política de
vigencia de las sesiones de un
usuario en la base de datos?
X
16 Existen usuarios que accedan
directamente a la base de datos
del aplicativo.
X
17 Existe una política para
eliminación de usuarios de base
de datos.
X
18 Existen cuentas de usuario
genéricas para el aplicativo. X
19 Existe una política de
vencimiento de contraseñas. X
20 ¿Se validan los logs de base de
datos generados? X
21 ¿Se validan los logs generados
por el sistema operativo? X
22 ¿Existe una política de respaldo
de las contraseñas de los DBA? X
23 ¿Existe una administración
bajo custodia de las
contraseñas de DBA?
X
24 ¿Existe un procedimiento para
la eliminación o bloqueo de
usuarios de la base de datos?
X
25 Existen usuarios genéricos a
nivel del SO donde se
encuentra alojada la base de
datos
109
actualización del diccionario
de datos?
4 ¿Existe un procedimiento
documentado para actualizar el
modelo entidad relación del
aplicativo?
X
5 Con que frecuencia de tiempo
se realiza la actualización del
diccionario de base de datos
6 Cuenta con independencia de
los ambientes de desarrollo,
calidad y producción.
X
7 Existe un proceso de
sincronización (actualización)
de datos entre ambientes.
(Producción – QA) (QA -
Desarrollo).
X
8 La actualización de los datos de
los ambientes de desarrollo y
QA se realiza con frecuencia
Semanal
X
9 La actualización de los datos de
los ambientes de Producción y
desarrollo se realiza de manera
quincenal.
X
9 La actualización de los datos de
los ambientes de desarrollo y
QA se realiza con frecuencia
Mensual.
X
10 Se realizan actualizaciones de
los datos de los ambientes de
Desarrollo y QA, por
solicitudes de los
desarrolladores o analistas de
pruebas.
X
11 Cuenta con un procedimiento
documentado para el paso de
desarrollos del ambiente de
desarrollo a calidad y de
calidad a producción
X
12 Cuenta con un procedimiento
documentado para hacer un
retorno de estado, de un paso a
producción.
X
110
13 ¿La gestión a la base de datos
se realiza con las herramientas
nativas del motor?
X
14 ¿La versión del motor de base
de datos se encuentra
licenciada?
X
15 ¿Se tiene implementado algún
estándar para la encriptación de
la información?
X
CUESTIONARIO CONTINUIDAD
No Pregunta Si No Observaciones
1 Los procedimientos de
BackUps están programados
periódicamente
X
2 Se encuentran definidos RTO
(Recovery Time Objective),
para la base de datos del
aplicativo
X
3 Se encuentran definidos RPO
(Recovery Point Objective),
para los datos del aplicativo.
X
5 ¿El backup se genera de forma
automática? X
6 ¿Los backups, se almacenan en
diferentes medios? X
7 ¿Se realiza validación de los
backups generados de la BD? X
8 ¿Se realiza monitoreo del
proceso de backup? X
9 ¿Existe una política de
mantenimiento de Hardware? X
10 ¿Cuenta con un data center
alterno? X
12 ¿Existe una política de gestión
de los medios backups de las
bases de datos?
X
13 Se realizan back ups de la
configuración. X
14 Se realizan pruebas de
restauración de los BackUps de
la base de datos.
X
111
15 Se realizan pruebas de
restauración de las
configuraciones.
X
16 ¿Los nombres de los backpups
de la base de datos incluyen la
fecha y la hora?
X
17 ¿Se cuenta con un plan de
contingencia para la base de
datos?
X
18 La base de datos del aplicativo,
¿es considerada Core de
Negocio?
X
19 El área posee un documento de
recuperación ante desastres X
20 ¿Se almacenan backups de la
base de datos en ubicaciones
externas al datacenter?
X
21 ¿Existe un responsable de la
custodia de los backups en la
entidad?
X
22 ¿Se almacenan backups de las
configuraciones en ubicaciones
externas a la organización?
X
23 ¿Se realizan pruebas de
contingencia? X
24 ¿Se cuenta con un sitio de
operación de contingencia? X
25 ¿Se cuenta con canales de
comunicación alternos? X
26 ¿Se cuenta con equipos de
cómputo de respaldo? X
27 ¿Se cuenta con un cronograma
de responsables en situación
de desastre?
X
28 ¿Existen procedimientos de
recuperación ante fallas de los
componentes de Hardware del
SGBD?
X
29 ¿Existen procedimientos de
recuperación ante fallas de los
componentes de SW del
SGBD?
X
112
CUESTIONARIO SEGURIDAD EN EL AMBIENTE
No Pregunta Si No Observaciones
1 Existe una política para el
backups de los Equipos
servidores.
X
2 ¿Existe una política para
cambios de plataforma? X
3 ¿Tienen licencias de antivirus
para los equipos clientes del
aplicativo dentro de la
empresa?
X
4 ¿Existe una política de control
de instalación de parches de
antivirus para los equipos
cliente?
X
5 ¿Existe un contrato de soporte
y mantenimiento para los
antivirus de los equipos
cliente?
X
6 ¿Se cuenta con un fireweall con
políticas activas en los equipos
cliente?
X
7 ¿El centro de datos cuenta con
un sistema de detección de
incendio?
X
8 ¿El centro de datos cuenta con
sistema de aspersores para
extinguir incendios?
X
9 ¿El centro de datos está
ubicado de tal forma que evite
ser afectado por una
inundación?
X
10 ¿Existe implementada una
política de conexión segura
para equipos por fuera de la
LAN?
X
11 ¿Existe un sistema de energía
alterna para el centro de
cómputo?
X
12 ¿Esta implementado un control
de acceso físico a las
instalaciones del data center?
X
113
13 ¿Esta implementado un control
de acceso biométrico a las
instalaciones del data center?
X
14 La distribución lógica de la red,
ubica los equipos servidores de
bases de datos, en el segmento
de granja de servidores
privados, protegidos por
firewall.
X
15 ¿Existe un diagrama de la red
de la organización? X
16 ¿Hay implementado un
firewall en la red? X
17 ¿Hay implementado un proxy
en la red? X
18 Se realiza monitoreo a la red de
la organización. X
19 Están implementadas VPN
para conexión de clientes
remotos con la empresa.
X
20 ¿Existe el rol de administrador
de infraestructura en la
organización?
X
21 ¿Esta administración incluye el
servidor de base de datos? X
22 ¿Existe una matriz de
responsabilidades para la
gestión del centro de cómputo?
X
23 ¿Se realiza mantenimiento a la
red de datos de la
organización?
X
24 Existe un segmento Wi Fi de la
red de la compañía. X
25 Existen políticas de seguridad
para el canal Wi Fi. X
26 Se monitora el segmento Wi Fi
de la compañía. X
27 Se puede acceder a las bases de
datos desde el segmento Wi Fi. X
28 Se puede acceder a los
servidores desde el segmento
Wi Fi
X