Blog

Buenas prácticas para realizar auditorías de seguridad a empresas

En este post se darán a conocer ciertas normativas que se deberían seguir a la hora de realizar una auditoría de seguridad informática en empresas.

 

La información expuesta aquí ha sido obtenida de una licitación de un país que requería un ethical hacking. El cual contiene unas normas que creo que deberían seguirse en cualquier auditoria de seguridad. He realizado varias modificaciones del documento original y luego presento el documento que se debería firmar antes de realizar la auditoria.

 

 

 

 

 CUMPLIR LAS PREMISAS DE SEGURIDAD:

 

El pentester deberá cumplir las siguientes premisas de seguridad:

 

a.    Determinar en conjunto con EL SUPERVISOR DEL CONTRATO cómo se considerará el nivel de riesgo estimado (Alto, Medio, Bajo) que se utilizará como parámetro para la calificación de las vulnerabilidades.

 

b.    No se ejecutará simultáneamente más de una herramienta por objetivo de prueba, para evitar o minimizar la explotación accidental de vulnerabilidades que generen errores, fallas en los servidores o dispositivos de conexión.

 

c.    Una misma prueba o fase se podrá ejecutar sobre los Servidores Objetivo más de una vez pero con distinta herramienta, para propósitos de Comparación y optimización de resultados.

 

d.    Registro y documentación de la evidencia y vulnerabilidades identificadas por objetivo de prueba.

 

e.    Las pruebas de vulnerabilidad se deberán realizarán con absoluto cuidado para  no tener caídas o fallas de servidores, ciclos inactivos y otros problemas causados de manera inadvertida por las actividades de escaneo. Para lo cual el pentester deberá previamente determinar que se requiere para ejecutar la prueba en un ambiente controlado.

 

f.     Por ningún motivo se autoriza al pentester a divulgar información que se conozca de la ENTIDAD en desarrollo de la ejecución del contrato.

 

g.    Garantizar el cumplimiento de la política de Gestión Integrado de la ENTIDAD, sus procedimientos, instructivos y manuales.

 

 EQUIPO DE TRABAJO

 

 

El pentester deberá estar directa y constantemente vinculado con la ejecución del contrato, de acuerdo con el plan de cargas y trabajo, durante la realización de cada escenario de las pruebas.

 

El equipo de trabajo debe contar como mínimo con una persona para cada cargo o perfil del Equipo de Trabajo; una misma persona no podrá desempeñar dos cargos a la vez. Sólo se requiere un Gerente de Proyecto y un especialista para las pruebas de vulnerabilidad.

 

 

 Responsabilidad del Gerente del Proyecto o pentester si no lo hay.

 

Serán responsabilidades del Gerente de Proyecto, las siguientes, sin limitarse a ellas:

 

i.        Garantizar el correcto desarrollo de todas las actividades de inicio, ejecución y cierre del proceso de contrato en nombre de la empresa.

ii.       Cumplimiento de principios éticos y de confidencialidad.

iii.      Garantizar la ejecución del plan de cargas y de trabajo del proyecto y mantenerlo actualizado.

iv.          Documentar el plan de ejecución del contrato, de cómo se planeó y como se ejecutó, al igual que las actividades adicionales o modificaciones que fueron necesarias para el logro del desarrollo del contrato.

v.           Velar por el cumplimiento de la prestación de los servicios contratados con las especificaciones y niveles establecidos en la documentación del contrato.

vi.          Mantener informado al supervisor del contrato de LA ENTIDAD sobre el estado y avance del proyecto.

vii.         Definir los mecanismos de monitoreo y seguimiento al desarrollo del proyecto.

viii.        Velar por la administración de la calidad y de los riesgos durante la ejecución del proyecto.

ix.          Velar por el cumplimiento de los resultados del proyecto y formular las acciones que permitan lograr el impacto esperado y la continuidad de los servicios.

x.           Entregar al supervisor del contrato cuando se requiera los entregables que se pacten en desarrollo del proyecto.

xi.          Coordinar el trabajo de cada uno de los miembros del equipo de trabajo que este asignado al proyecto, las actividades que sean necesarias para el logro de los objetivos del proyecto.

xii.         Y las demás que sean necesarias para la cabal y correcta ejecución del objeto del contrato.

 

 Responsabilidades del Especialista Pruebas de Vulnerabilidad (pentester)

 

Serán responsabilidades del Especialista de las Pruebas de Vulnerabilidad, las siguientes, sin limitarse a ellas:

 

i.           Velar por el cumplimiento de la prestación de los servicios contratados con las especificaciones y niveles establecidos.

ii.          Coordinar todas las actividades y ejecución de la prestación de los servicios con el gerente del equipo de trabajo.

iii.         Mantener informado al supervisor del contrato de LA ENTIDAD sobre el estado y avance del proyecto.

iv.        Velar por el cumplimiento de los resultados del proyecto y formular las acciones que permitan lograr las metas esperadas.

v.         Velar por la continuidad de la prestación del servicio de la ENTIDAD, cumpliendo las premisas de seguridad.

vi.        Establecer el plan de pruebas de Vulnerabilidad y de intrusión para verificación y aprobación previa por parte de la ENTIDAD, para que las mismas sean ejecutadas de manera controlada.

vii.       Entregar toda la información, que sea requerida como parte de los entregables en la forma y contenido solicitado.

viii.      Las actividades tendrán como objetivo la obtención de pruebas del tipo “screen prints” o captura de datos representativos.

ix.        En caso de aparición de algún resultado destructivo o de interrupción o se considere riesgoso y atente contra las premisas de seguridad, la prueba deberá ser interrumpida en forma inmediata, informando la novedad al Gerente del equipo de trabajo y a LA ENTIDAD para la ejecución de las tareas de recuperación requeridas.

x.         Las actividades serán reanudadas una vez recibida la indicación formal, tomando las medidas preventivas correspondientes.

xi.        No se realizarán pruebas intrusivas a las vulnerabilidades detectadas, sin evaluar los riesgos correspondientes y previa planeación de la actividad con LA ENTIDAD.

ix.        Y las demás que sean necesarias para la cabal y correcta ejecución del objeto del contrato.

 

 DESARROLLO DE LAS PRUEBAS DE VULNERABILIDAD Y ETHICAL HACKING

 

Durante el plazo de ejecución del contrato EL CONTRATISTA aplicará dos escenarios de pruebas de vulnerabilidades y ethical hacking, de la siguiente infraestructura tecnológica de LA ENTIDAD:

 

Cantidad de Dispositivos  

Mínimo  

Numero de dirección internas a verificar: 

 

Total 90 Direcciones  Internas, así

 

     31  Servidores

     15  Equipos CISCO y 3COM

     07  Switches LAN

     07  Routers de red WAN

     23  Estaciones de trabajo 

     07  Estaciones de Trabajo Intendencias Regionales, una de cada sede.

 

Numero de direcciones externas a verificar:  

23 Dirección IP

 

23 IP Publicas Públicas

 

Cantidad de Dispositivos  

Mínimo  

Escaneo de Redes inalámbricas:  

9 Access Point 

9 Direcciones Inalámbricas

 

Aplicaciones

Pruebas Internas y Externas a Seis Sistemas de

Información 

 

Aplicación

Bases de Datos

Arquitectura

STORM

Informix

Web

SIGS

Informix

Cliente/Servidor

Sistema de

Gestión

Documental

SQLServer Informix

Cliente/Servidor

Web

BARANDA VIRTUAL

Informix, SQLServer

Web

SIREM

DB2

Web

STONE

SQLServer

Cliente/Servidor

 

 

 

De los resultados de las pruebas de vulnerabilidad se seleccionará un máximo de TREINTA (30) objetivos de intrusión, de común acuerdo entre las partes.

 

Cada escenario deberá desarrollarse siguiendo las siguientes fases y presentando toda la documentación a satisfacción de conformidad con la fase de entregables.

 

FASE I. Planeación y definición de mecanismos de seguimiento y control

 

EL CONTRATISTA y LA ENTIDAD ajustaran las fechas de inicio y fin de cada una de las actividades contenidas en el plan de trabajo y además establecerán el criterio de seguimiento y control de los resultados esperados.

 

Se establecerán los recursos de hardware y software necesario en cada una de las actividades.

 

Igualmente deberá identificarse las acciones necesarias para corregir los desfases presentados o los re-direccionamientos necesarios del plan y cargas de trabajo.

 

FASE II. Identificación y evaluación de riesgos de la ejecución de las pruebas

 

EL CONTRATISTA debe realizar como primera etapa la identificación y evaluación de riesgo de la ejecución de las pruebas de vulnerabilidad, que contenga mínimo la siguiente información:

 

       Descripción de la Actividad

       Amenaza

       Vulnerabilidad

       Descripción del Riesgo

       Probabilidad de Ocurrencia

       Impacto 

       Nivel de riesgo 

       Actividades que lo mitigan

 

En esta fase, para la aplicación del segundo escenario de pruebas y ethical hacking, deberá tomar la información encontrada y generada del primer escenario, para realizar un comparativo del estado de identificación y evaluación de riesgo.

 

FASE III. Levantamiento de Información

 

LA ENTIDAD le entregará únicamente las direcciones IP y se deberá recoger toda la información necesaria para las pruebas internas y externas a los activos de información.

 

FASE IV. Análisis de las vulnerabilidades

 

Dependiendo de la información del levantamiento de información EL CONTRATISTA establecerá la o las herramientas necesarias para la aplicación de las pruebas de vulnerabilidad dentro de las cuales debe contemplar:

 

Por cada ciclo de análisis de vulnerabilidades realizada se debe entregar un informe  ejecutivo que contenga como mínimo los siguientes elementos:

 

      Descripción de las pruebas realizadas.

      Metodología utilizada.

      Listado de vulnerabilidades encontradas en los elementos de la plataforma tecnológica.

      Puertos y servicios habilitados.

      Evidencias de la información a la que se tuvo acceso dentro del dispositivo.

      Las acciones que se pudieron realizar.

      Bibliografía con Información de referencias sobre la vulnerabilidad.

      Amenazas hacia la información: Pérdida, Modificación, Fuga u otro, cual.

      Posible solución o recomendación corrección de vulnerabilidades que sea de naturaleza realista y ejecutable por parte de la Entidad, indicando las acciones a seguir.

 

En esta fase, para la aplicación del segundo escenario de pruebas y ethical hacking, deberá tomar la información encontrada y generada del primer escenario, para realizar un comparativo del análisis de vulnerabilidades.

 

a. Pruebas internas y externas 

 

A.    Revisión de la red / pruebas de conectividad:

 

i.           Validar la visibilidad que se tiene desde la posición del equipo del evaluador.

ii.          Revisión de la ruta entre el equipo del evaluador y el objetivo de prueba a evaluar.

iii.         Seleccionar los módulos o plug-ins de las posteriores herramientas a utilizar.

 

B.    Escaneo de Puertos y Servicios de cada uno de los Objetivos:

 

Con esta actividad se identifican los puertos visibles en los objetivos desde la ubicación del evaluador. Esto proporciona una información inicial acerca de potenciales puntos de acceso al Objetivo:

 

i.           Revisión de puertos TCP

ii.          Revisión de puertos UDP disponibles

iii.         Usuarios y contraseñas de sistema operativo.

iv.        Permisos débilmente establecidos sobre archivos de sistema e incluso llaves de registro.

v. Recursos compartidos.

vi.Revelación de información a través de protocolos inseguros (RCP, NetBIOS Shares).

 

C.   Identificación de Servicios y Enumeración: 

 

Una vez se tiene la lista de puertos disponibles, se debe asociar un servicio a cada uno. Para esto EL CONTRATISTA deberá realizar las siguientes tareas:

 

i.           Verificación del servicio existente en cada puerto

ii.          Realizar chequeo de Banners para identificar versiones o actualizaciones instaladas del servicio.

iii.         Enumeración: Extracción de nombres de usuarios, nombres de máquina, recursos de red compartidos en los objetivo de prueba.

 

D.   Aplicación de métodos Cracking por objetivo de prueba

 

Entendida como la forma de recuperar cuentas de usuario y clave o contraseña probando todas las combinaciones posibles hasta encontrar aquella que permita realizar un acceso al objetivo o sistema.

 

E.    Identificación de Vulnerabilidades

 

Partiendo de la información recolectada anteriormente, se procede a revisar qué vulnerabilidades están asociadas a por lo menos los puertos / servicios / sistemas operativos detectados en el servidor objetivo.

 

i.           Utilización de escáneres de vulnerabilidad para determinar las vulnerabilidades existentes.

ii.          Identificación de vulnerabilidades de sistemas operativos, servicios Web o puertos aplicables al servidor objetivo.

iii.         Vulnerabilidades sobre los servicios principales (Web, DNS, FTP, SMTP, SNMP)

iv.        Accesos vulnerables (Telnet, Terminal Services, XWindows, VNC, NFS, cgibin, Samba, entre otros…)

 

b. Sistemas de Información

 

A cada uno de los sistemas de información se aplicarán las pruebas de vulnerabilidad y Ethical Hacking, tanto internas y externas, siempre y cuando aplique, mínimo las siguientes pruebas y las adicionales que se consideren necesarias de acuerdo a cada sistema, las cuales igualmente deberán quedar completamente documentadas y aceptadas previamente por EL SUPERVISOR:

 

 

Tipo de Prueba

 

Tipo Sub-prueba

1.

Autenticación

a.

Non-SSL Password

 

 

b.

Password Auto-Complete

2.

Ataques por Fuerza Bruta 

 

3.

Cross Site scripting

 

4.

Cross Site Request Forgery 

 

 

Tipo de Prueba

 

Tipo Sub-prueba

5.

Information Leaks 

a.

Application Exception

 

 

b.

Form Caching

 

 

c.

HTML & JavaScript Comments

 

 

d.

Non-SSL Form

6.

Ataques de SQL Injection 

 

7.

Configuración del Web Server 

a.

Vulnerabilidades del Web Server 

 

 

b.

Métodos de Check HTTP 

8.

Insecure Direct Object Reference

a.

URL in Query

 

 

b.

Remote File Inclusion 

9.

Insecure Resource Location

a.

File and Directory Discovery

10.

Directory Access 

a.

Directory Browsing

 

FASE V. Determinación de los objetivos de intrusión

 

EL CONTRATISTA y LA ENTIDAD, basado en la información generada anteriormente, se determinarán de común acuerdo con LA ENTIDAD, aquellos objetivos específicos de intrusión que probablemente tengan mayor éxito en orden de prioridad cubriendo un máximo de TREINTA (30)(este número es parte de este ejemplo) direcciones IP internas y/o externas.

 

Las pruebas de Ethical Hacking deben ejecutarse conforme los lineamientos establecidos por organismos reconocidos en el marcado como el EC-COUNCIL y OSSTM, debidamente validado por el Gerente del Proyecto en las actas de seguimiento y deberán ser debidamente planeadas, donde EL CONTRATISTA  debe describir con claridad y con el detalle necesario la metodología que seguirá para la ejecución de las pruebas.

 

Para las pruebas de Ethical Hacking a la red inalámbrica se debe considerar en una primera fase el no conocimiento de información previa acerca de los parámetros y credenciales de autenticación a los Acess Point y en una segunda fase la ejecución de pruebas con conocimiento previo de información en la cual el objetivo es validar los niveles de intrusión que puede lograr un usuario legalmente autenticado en la red.   

 

FASE VI. Intrusión (Ethical Hacking)

 

De manera controlada realizar la explotación de las vulnerabilidades en aquellos objetivos principales seleccionados previamente con el fin de determinar el impacto que esta actividad tendría para LA ENTIDAD, garantizando las premisas de seguridad establecidas en estos términos de referencia.

 

Por cada ciclo de prueba de Ethical Hacking realizada se debe entregar un informe  ejecutivo que contenga como mínimo los siguientes elementos:

 

      Descripción del trabajo realizado

      Resumen de las actividades realizadas  

      Descripción del informe final entregado

      Descripción de principales hallazgos

      Conclusiones

      Recomendaciones

 

FASE VII. Análisis de Resultados

 

Dentro de esta fase el especialista de las pruebas y el gerente del proyecto realizaran un análisis de los resultados obtenidos para determinar si los resultados de las pruebas realizadas han cumplido el objetivo esperado, dependiendo de esta evaluación el CONTRATISTA podrá re-programar las pruebas que sean necesarias previo acuerdo con LA ENTIDAD y luego terminará de preparar los informes y presentación correspondiente.

 

Se realizará un análisis de resultados de lo encontrado en cada escenario de las pruebas y de ethical hacking.

 

Se hará una evaluación de la aplicación de aquellas recomendaciones de solución a las vulnerabilidades que sean realmente aplicables por la Entidad, antes de iniciar el segundo escenario de pruebas.

 

FASE VIII. Entregables.

 

El CONTRATISTA deberá entregar tanto en medio digital, como impreso, junto con el mismo informe escaneado cuando traiga firmas o en los formatos que sean compatibles con las herramientas de Microsoft.

 

Los entregables que se relacionan a continuación deberán ser aplicados a cada escenario de pruebas que se desarrolle 

 

a)    Plan de Trabajo y actividades actualizadas con las actividades desarrollas que incluya la información de lo planeado versus lo ejecutado.

 

Una vez revisado y acordados los tiempos con el Supervisor del Contrato, se procederá a firmar por las partes.

 

Se deberá incorporar un informe sobre los equipos, aplicaciones y demás que serán utilizados para la prestación de servicio, donde conste que son de propiedad del CONTRATISTA.

 

b)    Documentar el plan de ejecución del contrato como se planeó y como se ejecutó, al igual que las actividades adicionales o modificaciones que fueron necesarias para el logro del desarrollo del contrato, en los periodos intermedios de seguimiento acordados y al final del proyecto.

 

c)    Acta de las actividades de seguimiento que realizó EL CONTRATISTA y LA ENTIDAD durante la ejecución del objeto del contrato preparada y coordinada por el gerente del  equipo de trabajo por parte del CONTRATISTA. 

 

d)    Detalle de la definición de la clasificación del nivel de riesgos acordados para el proceso de evaluación de las vulnerabilidades, que se acordó con LA ENTIDAD.

 

e)    Informe detallado del análisis de vulnerabilidades y de Pruebas de Vulnerabilidad y Ethical Hacking.

 

f)     Informe comparativo de análisis de resultados de lo encontrado en cada escenario de las pruebas y de Ethical Hacking.

 

g)    Informe de evaluación de la aplicación de aquellas recomendaciones de solución a las vulnerabilidades que sean realmente aplicables por la Entidad, antes de iniciar el segundo escenario de pruebas.

 

h)    Informe ejecutivo que reúna la información del análisis de vulnerabilidad, pruebas de vulnerabilidad, Ethical Hacking realizado, con las conclusiones, lecciones aprendidas del proceso realizado en la Entidad, dificultades que se presentaron.

 

i)      Realizar una presentación de los resultados ante el Supervisor del Contrato y un informe de nuevos tipos de pruebas que pueden ser aplicados a la infraestructura de la Entidad, que se recomiendan a LA ENTIDAD, como resultado de cada escenario de pruebas.

 

j)      Acta de finalización suscrita entre las partes de recibo a satisfacción de todas las actividades y entregables del escenario de pruebas de vulnerabilidad y ethical hacking.

 

k)    Al finalizar los dos escenarios de las pruebas de vulnerabilidades y ethical hacking, acta de liquidación del contrato.

 

 RECURSO TÉCNICO REQUERIDO

 

El CONTRATISTA deberá proporcionar a todas las personas del equipo de trabajo la materia prima, equipo de cómputo e impresora, laboratorios, licencias de programas, materiales y herramientas necesarios para desarrollar sus funciones de manera eficiente, eficaz y efectiva para el proyecto.

 

En el caso de los equipos estarán bajo responsabilidad y custodia del CONTRATISTA, LA ENTIDAD no responderá en ningún evento, sin embargo, deberá garantizar que la información de LA ENTIDAD que se almacene dentro de los equipos esté protegida ante cualquier pérdida o fuga.

 

Si durante el desarrollo del proyecto el contratista considera que requiere utilizar recursos diferentes o adicionales a los inicialmente propuestos, o en cantidades mayores, no habrá lugar a revisión del precio pactado y será responsabilidad del contratista proveer dichos equipos, software, suministros y papel, sin que estos impliquen costos adicionales para LA ENTIDAD.

 

SEGURIDAD Y CONFIDENCIALIDAD

 

El contratista debe cumplir escrupulosamente la legislación vigente en materia de tratamiento de datos y confidencialidad de los mismos, especialmente la referida a la Protección de Datos de Carácter Personal, en todo el proceso de desarrollo de la consultoría.

 

Todos los soportes, informes y documentos resultantes de los trabajos realizados serán propiedad de LA ENTIDAD. EL CONTRATISTA NO podrá hacer uso de los mismos, ni parcial, ni totalmente. 

 

No podrá transferir información alguna sobre los trabajos, su resultado, a ninguna otra entidad pública o privada.

 

Las personas que conforman el equipo de trabajo para el desarrollo del presente contrato deberán firmar un acuerdo de Confidencialidad de LA ENTIDAD al momento del inicio del contrato.

 

 

OBJETIVOS ESPECÍFICOS

 

       Identificar los objetivos de pruebas de vulnerabilidad y posterior Ethical hacking de acuerdo al alcance de este proceso.

 

       Detectar de manera controlada y preventiva las vulnerabilidades con que cuenta la infraestructura tecnológica de la entidad aplicando las mejores prácticas.

 

       Obtener de los expertos las recomendaciones para mitigar las vulnerabilidades detectadas en los diferentes componentes de la infraestructura tecnológica de la Entidad, orientando un plan de trabajo.

 

       Realizar seguimiento de los resultados las vulnerabilidades y ethical hacking detectadas en el primer escenario y de las recomendaciones dadas para su mitigación, previo a la aplicación del segundo escenario de pruebas y ethical hacking.

 

       Comparar los resultados obtenidos en el primer escenario de aplicación de las pruebas de vulnerabilidad y Ethical hacking con los obtenidos en el segundo escenario de aplicación.

 

       Identificar con los expertos qué otros tipos de pruebas de vulnerabilidades son factibles de aplicar para la infraestructura tecnológica que le permita mejorar este proceso.  

 

       Garantizar el cumplimiento de las premisas de seguridad.

 

METAS

 

Mediante la aplicación de las pruebas de vulnerabilidad y el Ethical Hacking LA ENTIDAD pretende:

 

       Mitigar los posibles riesgos de afectación de la plataforma tecnológica identificando previamente la mayor cantidad de vulnerabilidad a que está expuesta. 

       Establecer los mecanismos reales y aplicables necesarios para corregir siempre y cuando estos no afecten el buen funcionamiento y disponibilidad de la plataforma tecnológica.

       Identificar otros tipos de pruebas de vulnerabilidad que puedan ser aplicables de acuerdo con la plataforma tecnológica existente, los resultados de las pruebas y el conocimiento del CONTRATISTA.

 

 

METODOLOGÍA A UTILIZAR, PLAN Y CARGAS DE TRABAJO.

 

METODOLOGÍA A UTILIZAR

 

La metodología a utilizar debe estar alineada con los conocimientos que para tal fin se consideran requeridos en un Hacker ético, debidamente certificado, donde se describen los diferentes módulos aplicables:  

 

     Module 01: Introduction to Ethical Hacking

     Module 02: Hacking Laws

     Module 03: Footprinting

     Module 04: Google Hacking

     Module 05: Scanning

     Module 06: Enumeration

     Module 07: System Hacking

     Module 08: Trojans and Backdoors

     Module 09: Viruses and Worms

     Module 10: Sniffers

     Module 11: Social Engineering

     Module 12: Phishing

     Module 13: Hacking Email Accounts

     Module 14: Denial of Service

     Module 15: Session Hijacking

     Module 16: Hacking Webservers

     Module 17: Web Application Vulnerabilities

     Module 18: Web Based Password Cracking Techniques

     Module 19: SQL Injection

     Module 20: Hacking Wireless Networks

     Module 21: Physical Security

     Module 22: Linux Hacking

     Module 23: Evading IDS, Honeypots and Firewalls

     Module 24: Buffer Overflows

     Module 25: Cryptography

 

Puede encontrar mayor información en la siguiente dirección de internet:

https://www.eccouncil.org  

 

PLAN Y CARGAS DE TRABAJO

 

Durante la vigencia del contrato se realizarán dos escenarios de pruebas de vulnerabilidad y Ethical Hacking a lo establecido.

 

Una vez formalizado el contrato, se realizará la programación de las fechas en que se aplicará el siguiente plan y cargas de trabajo para cada uno de los escenarios de las pruebas de vulnerabilidad y Ethical Hacking, con una duración máxima para cada escenario de 30 días hábiles:

 

PLAN

EQUIPO DE TRABAJO

CARGA DE TRABAJO

Rol

3.1.FASE I. Planeación y definición de mecanismos de seguimiento y control

25%

Gerente Proyecto

100%

Especialista Proyecto

3.2.FASE II. Identificación y evaluación de riesgos de la ejecución de las pruebas

20%

Gerente Proyecto

3.3.FASE III. Levantamiento de Información

100%

Especialista Proyecto

3.4.FASE IV. Análisis de las vulnerabilidades

100%

Especialista Proyecto

3.5.FASE V. Determinación de los objetivos de intrusión

20%

Gerente Proyecto

100%

Especialista Proyecto

3.6.FASE VI. Intrusión (Ethical Hacking)

20%

Gerente Proyecto

100%

Especialista Proyecto

3.7.FASE VII. Análisis de Resultados

20%

Gerente Proyecto

100%

Especialista Proyecto

3.8.FASE VIII. Entregables.

50%

Gerente Proyecto

100%

Especialista Proyecto

 

 

 

PRODUCTOS ESPERADOS

 

Por cada escenario de la aplicación de las pruebas de vulnerabilidad y ethical hacking cumplidos y recibidos a satisfacción por el supervisor del contrato la totalidad de los entregables de la fase 8 de la ejecución del primer escenario de pruebas.

 

 

 

 

Luego de este magnífico documento del cual se puede aprender muchísimo a cómo realizar una buena auditoria, ha continuación les dejo el documento que se debería firmar al realizar cualquier auditoria.

 

Este documento fue realizado al combinar el acuerdo de confidencialidad de INTECO con información que recabe de internet

 

 

 

 

 

 

 

 

ACUERDO DE CONFIDENCIALIDAD, SECRETO Y AUTORIZACIÓN 

En………………..a……de……….de 20…….

REUNIDOS

D./Dª …………………………………………………………………., mayor de edad, con domicilio en la C/………………………………………………….. Nº…….., Localidad……………………………………. Provincia…………………………………… C.P………….. con D.N.I………………….., y en representación de la compañía……………………. con CIF……………… y domicilio social en……………………………… y,

D./Dª …………………………………………………………………, mayor de edad, con domicilio en la C/….………………………………………………. Nº……., Localidad………………………….. Provincia………………….. C.P………. con D.N.I………………

EXPONEN

  1. Que ambas partes se reconocen capacidad jurídica suficiente para suscribir el presente documento.
  2. Que ambas partes desean iniciar una relación negocial y de colaboración mutua a nivel empresarial.
  3. Que para proteger adecuadamente los activos de tecnología de la información de …………………………………………. se requiere de una persona que evalúe los sistemas de seguridad mediante la realización de evaluaciones de vulnerabilidad y pruebas de penetración. Estas actividades implican escanear equipos informáticos propiedad de …………………………………………………….. de una forma regular y periódica para descubrir las vulnerabilidades presentes en estos sistemas. solo con el conocimiento de estas vulnerabilidades se podrá aplicar parches de seguridad u otros controles de compensación para mejorar la seguridad de la organización.
  4. Que durante la mencionada relación las partes intercambiarán o crearán información que están interesadas en regular su confidencialidad y secreto mediante las siguientes:

AUTORIZA

A D. ……………………………………. para llevar acabo evaluaciones de vulnerabilidad, escanear equipos y pruebas de penetración contra los sistemas informáticos de ……………………………………………...

 

CONDICIONES

I.      Objeto

Con el presente contrato las partes fijan formalmente y por escrito los términos y condiciones bajo las que las partes mantendrán la confidencialidad de la información suministrada y creada entre ellas.

Que a los efectos de este acuerdo, tendrá la consideración de información confidencial, toda la información susceptible de ser revelada por escrito, de palabra o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que posibilite el estado de la técnica en el futuro, intercambiada como consecuencia de este acuerdo.

Este acuerdo no constituye ningún acuerdo de licencia, contrato de desarrollo o similar, obligándose las partes a adoptar las medidas oportunas para asegurar el tratamiento confidencial de dicha información, medidas que no serán menores que las aplicadas por ellas a la propia información confidencial de su compañía.

II.    DURACIÓN

Este acuerdo tendrá una duración indefinida desde el momento de su firma.

En caso de que no se renueve el contrato, ambas partes deberán devolver a la otra toda la información remitida entre sí, comprometiéndose a la destrucción de cualquier copia de la misma, independientemente del soporte o formato en el que se encuentre almacenada.

No obstante, lo dispuesto en el párrafo anterior, cada parte se compromete a mantener el compromiso de confidencialidad respecto a la información y material intercambiado entre las partes, de forma indefinida tras la finalización del presente acuerdo.

III.   CONFIDENCIALIDAD

Las partes se obligan a entregarse todo el material que sea necesario, y en el caso de ser este confidencial se comprometen a:

a.    Utilizar dicha información de forma reservada.

b.    No divulgar ni comunicar la información técnica facilitada por la otra parte.

c.    Impedir la copia o revelación de esa información a terceros, salvo que gocen de aprobación escrita de la otra parte, y únicamente en términos de tal aprobación.

d.    Restringir el acceso a la información a sus empleados y subcontratados, en la medida en que razonablemente puedan necesitarla para el cumplimiento de sus tareas acordadas.

e.    No utilizar la información o fragmentos de ésta para fines distintos de la ejecución de este contrato.

Las partes serán responsables entre sí, ante el incumplimiento de esta obligación, ya sea por sus empleados o por subcontratados.

Las partes mantendrán ésta confidencialidad y evitarán revelar la información a toda persona que no sea empleado o subcontratado, salvo que:

  1. La parte receptora tenga evidencia de que conoce previamente la información recibida.
  2. La información recibida sea de dominio público.
  3. La información recibida proceda de un tercero que no exige secreto.

IV.  DERECHOS PREVIOS SOBRE LA INFORMACIÓN

Toda información puesta en común entre las partes es de propiedad exclusiva de la parte de donde proceda, y no es precisa la concesión de licencia para dicho intercambio. Ninguna de las partes utilizará información previa de la otra parte para su propio uso, salvo que se autorice lo contrario.

La información que se proporciona no da derecho o licencia a la empresa que la recibe sobre las marcas, derechos de autor o patentes que pertenezcan a quien la proporciona. La divulgación de información no implica transferencia o cesión de derechos, a menos que se redacte expresamente alguna disposición al respecto.

V.    CLÁUSULA PENAL

Las partes se comprometen a cumplir con todos los términos fijados en el presente contrato, y muy especialmente aquellos relativos a las cláusulas sobre propiedad intelectual e industrial, confidencialidad y obligación de secreto.

Independientemente de las responsabilidades que pudieran derivarse del incumplimiento del presente acuerdo, así como de las eventuales indemnizaciones por daños y perjuicios de cualquier naturaleza que pudieran establecerse, el incumplimiento de estas obligaciones determinará a elección de la parte que no incumplió el contenido de los términos fijados en el presente contrato:

a.    La resolución del contrato.

b.    El abono de…………. € en concepto de penalización.

VI.  DERECHOS DE PROPIEDAD

Toda información intercambiada es de propiedad exclusiva de la parte de la cual proceda. Ninguna de las partes utilizará información de la otra para su beneficio independiente.

VII. PROTECCIÓN DE DATOS

Para la correcta aplicación del presente acuerdo, ambas partes podrían tener acceso a datos de carácter personal protegidos por la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, por lo que se comprometen a efectuar un uso y tratamiento de los datos afectados que será acorde a las actuaciones que resulten necesarias para la correcta prestación de servicios regulada en este acuerdo, según las instrucciones facilitadas en cada momento.

Asimismo, las partes asumen la obligación de guardar secreto profesional sobre cuanta información pudieran recibir, gestionar y articular con relación a los datos personales y a no comunicarlos a terceros, salvo las excepciones mencionadas, así como a destruirlos, cancelarlos o devolverlos en el momento de la finalización de la relación contractual entre ambas partes, así como a aplicar las medidas de seguridad necesarias.

Los derechos de acceso, rectificación, cancelación y oposición podrán ejercitarse mediante escrito dirigido a las direcciones de los firmantes del presente documento que constan en el encabezamiento.

VIII.       CONFIDENCIALIDAD DEL ACUERDO

Las partes acuerdan que este acuerdo reviste el carácter de confidencial y por tanto se prohíbe su divulgación a terceros.

IX.  MODIFICACIÓN O CANCELACIÓN

Este acuerdo sólo podrá ser modificado con el consentimiento expreso de ambas partes, en documento escrito y mencionando la voluntad de las partes de modificar el presente acuerdo.

X.    JURISDICCIÓN.

Las partes se comprometen a resolver de manera amistosa cualquier desacuerdo que pueda surgir en el desarrollo del presente contrato.

En caso de conflicto ambas partes acuerdan el sometimiento a los Tribunales de……….., con renuncia de su propio fuero.

Y en prueba de conformidad de cuanto antecede, firman el presente acuerdo por duplicado y a un solo efecto en el lugar y fecha citados.

Firmado en _____________ a…….de…………….de 200_.

Espero que les haya gustado

Un saludo a todos.

“La curiosidad mato al gato y a un hacker le dio su ZeroDay”
Sebastian Cornejo.

@ceSytisoiruC sebastian@highsec.es

  1. CorreCaminos
    CorreCaminos07-26-2013

    Muchas gracias por el artículo. Se le ve muy completo, trata todos los puntos de interés a tener en cuenta para una auditoría. Es una buena fuente de informacion 🙂
    Va directo a mis favoritos

    • Sebastian Cornejo
      Sebastian Cornejo07-26-2013

      de nada, para eso estamos.

  2. CorreCaminos
    CorreCaminos07-26-2013

    Muchas gracias por el artículo. Se le ve muy completo, trata todos los puntos de interés a tener en cuenta para una auditoría. Es una buena fuente de informacion 🙂
    Va directo a mis favoritos.

  3. BTshell
    BTshell07-26-2013

    E X C E LE N T E>>>>>>>>>>P O S T>>>>>>>>>>E R E S>>>>>>>>>>E L>>>>>>>>>>A M O, THANK YOU 😉

    • Sebastian Cornejo
      Sebastian Cornejo07-26-2013

      jejejjejej gracias pero no es para tanto XD

  4. Carlos Rebollo
    Carlos Rebollo07-26-2013

    Muy buen Post Sebastian!

    • Sebastian Cornejo
      Sebastian Cornejo07-26-2013

      gracias

  5. Miguel Ángel García
    Miguel Ángel García07-26-2013

    Todo un ABC para poder llevar a cabo una auditoría. Un post de 10! 😉

    • Sebastian Cornejo
      Sebastian Cornejo07-26-2013

      gracias

  6. t31m0
    t31m007-26-2013

    Buena info y ordenada .. xDDD

    Buen post Sebastian 😉

    • Sebastian Cornejo
      Sebastian Cornejo07-27-2013

      gracias

  7. askatuak
    askatuak07-27-2013

    Impresionante!!!!

    Guardado en pdf y en favoritos.

    Si señor!!!!

    Mil gracias!!!

    • Sebastian Cornejo
      Sebastian Cornejo07-27-2013

      de nada, me alegro que sea de utilidad

  8. Israel Araoz
    Israel Araoz10-31-2014

    Excelente post, pocas veces comento un post, en este caso cubre todo los aspectos que se deben cubrir cuando se va a ejecutar un proyecto de este calibre

    Saludos!

Leave a Reply

*

    No Twitter Messages