Estado del Arte:

• Antecedentes:

En los años 60, con el incremento en la popularidad de los sistemas informáticos, se empezó a dar la necesidad de preguntarse que tan seguros eran los sistemas de información. En 1965 se llevó a cabo una de las primeras conferencias con grandes expertos en la seguridad informática, organizada por COSUDE , contratista del Gobierno americano en ese momento. Durante la conferencia se pudo observar como un empleado habia podido vulnerar facilmente la seguridad del sistema. Como consecuencia, los participantes de la conferencia tomaron la inciativa formal para utilizar el pentest (Examen de Penetración) como herramienta para el estudio de la seguridad en los sistemas.

En 1967 se reunieron nuevamente los especialistas en informatica mas importantes de los Estados Unidos para discutir sus preocupaciones acerca de la seguridad en los sistemas. En ésta conferencia, expertos en seguridad informatica (Willis Ware, Harold Petersen, y Rein Tern) de la Agencia de Seguridad Nacional (NSA) utilizaron la palabra penetración para describir el ataque a un sistema informático. Todos coincidieron en que los sistemas informaticos en linea y la entrada y salida de los computadores permitirian obtener grandes cantidades de información a un programa de penetración.

En 1970 el gobierno creó los llamados equipos tigre, los cuales se encargaban de realizar pentesting sobre los sistemas informaticos para identificar vulnerabilidades y mejorar la seguridad de los mismos.

Estos son los antecedentes de la práctica que hoy en día se conoce como pentesting y es la herramienta que utilizan los hackers éticos para identificar amenazas y vulnerabilidades de seguridad en los sistemas informáticos.

• Experiencias:

Hoy en día es posible encontrar muchos avances en el pentesting, ethical hacking y herramientas automatizadas que permiten facilitar el trabajo al realizar las pruebas de penetración en sistemas de información.

En la disertación Advanced Automated Web Application Vulnerability Analysis realizada por Adam Loe Doup de la Universidad de California; se muestra la investigación realizada por el autor para la evaluación de vulnerabilidades en los sitios web utilizando la estrategia black box. Esto le permitió determinar las formas de asegurar los sitios web de amenazas y vunerabilidades actuales y futuras. El trabajo de investigación le permitió describir un nuevo tipo de vulnerabilidad sobre sitios web llamado EAR (Execution After Redirect) y también realizar una aproximación a como detectar de forma automatica EARs en aplicaciones Web.

Para la estrategia black box es posible encontrar herramientas automatizadas que se encargan de verificar las vulnerabilidades de una aplicación web. Sin embargo, en el articulo Why Johnny can't pentest: An analysis of black-box web vulnerability scanners se hace una evaluación de 11 herramientas de este tipo (comerciales y de código abierto), en las cuales se obtiene como resultado que la gran mayoria de ellas pasan por alto muchas clases de vulnerabilidades en sus respectivos analisis; demostrando que la tarea de rastreo de vulnerabilidades es critica y desafiante.

• Herramientas:

Acoger el uso de herramientas que permitan incrementar los niveles de seguridad de la información y de las aplicaciones, se ha convertido en una práctica que está de moda hoy en día.

Dentro de las herramientas encontramos la adopción en las organizaciones de politicas y procedimientos bien definidos para el uso y aseguramiento de la información; siendo uno de los principales exponentes de ésta práctica las normas y estandares como la ISO/IEC 27001.

Politicas Seguras:

Estas politicas permiten proveer un marco de trabajo para hacer decisiones especificas, como que mecanismos de defensa se van a usar y como se configuran dichos servicios.

Con las politicas de seguridad se pueden cubrir los siguientes aspectos:

• Descripciones de alto nivel técnico de los sitios, entorno legal y alcance de la politica.
• Análisis de riesgos, amenazas existentes y el costo de perdida de la información.
• Pautas de como se debe administrar el sistema.

El exito de una politica de seguridad se basa en el compromiso de administración, soporte tecnológico y conocimiento de seguridad de parte de todos los usuarios.

Practicas de Seguridad:

Dentro de las organizaciones se acogen algunas practicas de seguridad que son permiten incrementar la dificultad a las personas qeu deseen robar información:

• Aseguramiento de que las cuentas de usuario cuenten con passwords con un alto nivel de complejidad.
• Uso de herramientas para ejecución de checksum y almacenamiento criptografico/cifrado.
• Realizar cambios sobre las configuraciones de la red en la medida que vayan apareciendo nuevas vulnerabilidades.
• Realizar constantes revisiones sobre actualizaciones y parches sobre los sistemas de información y sistemas operativos de la organización. Esto puede permitir tener actualizados los equipos de los usuarios frente a nuevas vulnerabilidades.
• Realizar auditorias y revisiones periodicas sobre los sistemas de información y sobre la red. Esto incluye revisión de los log de eventos con el fin de identificar situaciones sospechosas.

Herramientas Técnicas

...

Marco Teórico:

Para la elaboración de un análisis de vulnerabilidades, primero se debe conocer que es una vulnerabilidad.

Una vulnerabilidad es un defecto o debilidad en el diseño , implementación , operación o administración de un sistema que podría ser explotado para comprometer los objetivos de seguridad del sistema.

Testing: Introduction and objectives. (s.f.). Recuperado el 27 agosto de 2015, de https://www.owasp.org/index.php/Testing:_Introduction_and_objectives

De acuerdo a ésta definición, es evidente que una vulnerabilidad se puede encontrar en distintos escenarios del ciclo de vida de una aplicación, convirtiendose en un riesgo que tiene una probabilidad bastante alta de materializarse sino se toman las medidas necesarios para mitigarlo en el momento adecuado.

Luego de que se han hecho evidentes vulnerabilidades en sistema informático, lo siguiente que podremos encontrar serán las amenazas.

Una amenaza es cualquier cosa ( un atacante malicioso externo, un usuario interno , una inestabilidad del sistema, etc ) que pueden dañar los bienes de propiedad de una aplicación (recursos de valor , tales como los datos en una base de datos o en el sistema de archivos ) mediante la explotación de una vulnerabilidad.

Testing: Introduction and objectives. (s.f.). Recuperado el 27 agosto de 2015, de https://www.owasp.org/index.php/Testing:_Introduction_and_objectives

Esto quiere decir que las amenazas serán las que se encarguen de explotar las vulnerabilidades que tiene el sistema informatico y directamente se convierte en el elemento que ejecuta la acción que causa el daño sobre el sistema.

Para poder identificar las vulnerabilidades, se deberán ejecutar una serie de pruebas que permitan descubrirlas. Pero ¿Qué es una prueba?:

Una prueba es una acción para demostrar que una aplicación cumple con los requisitos de seguridad de sus grupos de interés.

Testing: Introduction and objectives. (s.f.). Recuperado el 27 agosto de 2015, de https://www.owasp.org/index.php/Testing:_Introduction_and_objectives

Las pruebas que se ejecuten serán las encargadas de demostrar que existen vulnerabilidades en un sistema informático. De ahí la importancia en la elección de los tipos de pruebas que se van a ejecutar y la cantidad de las mismas, pues esto influirá directamente en el resultado final y será lo que permita evitar que las amenazas exploten alguna vulnerabilidad.

Uno de los tipos de pruebas de seguridad que se deberán realizar, son los relacionados con las aplicaciones Web. La definición que suministra la OWASP (Open Web Application Security Project) para pruebas de seguridad en aplicaciones web es la siguiente:

Una prueba de seguridad es un método de evaluación de la seguridad de un sistema informático o red, al validar y verificar metódicamente la eficacia de los controles de seguridad de la aplicación. Una prueba de seguridad de aplicaciones web se centra sólo en la evaluación de la seguridad de una aplicación web . El proceso consiste en un análisis activo de la aplicación de las debilidades, fallas técnicas, o vulnerabilidades. Todas las cuestiones de seguridad que se encuentran se presentarán al propietario del sistema , junto con una evaluación del impacto , una propuesta de mitigación o una solución técnica .

Testing: Introduction and objectives. (s.f.). Recuperado el 27 agosto de 2015, de https://www.owasp.org/index.php/Testing:_Introduction_and_objectives

Se pueden clasificar las pruebas de penetración como de caja blanca ó de caja negra. En las pruebas de caja blanca, previamente se suministra toda la información de fondo del sistema sobre el cual se va a realizar la prueba de penetración. Por otro lado, las pruebas de caja negra, no se conoce información de fondo del sistema, solamente es necesario conocer el nombre de la empresa.

Justificación:

La aplicación Siebel CRM se implementó en la organización en el año 2009 asumiendo que contaba con las mejores prácticas, partiendo del hecho que es una aplicación comercial desarrollada por Oracle y que la adquieren las mejores compañías del mundo.

Por otro lado, el modelo de negocio de la organización es muy Sui géneris, debido a que es una empresa de servicios especializados y que su modelo de gestión es muy específico. Esto ocasionó que se tomara la decisión de realizar ciertos ajustes sobre la aplicación con el fin de acomodarla al modelo empresarial propio de la organización.

Como consecuencia de esto, la aplicación ha sufrido un gran nivel de personalización que ha ocasionado que sea muy difícil su mantenimiento, parametrización y administración. Del mismo modo, al no tener una implementación genérica, cada vez que los procesos se van ajustando en busca del mejoramiento continuo, es necesario ir realizando estos ajustes sobre la aplicación aumentando su nivel de personalización.

Estos desarrollos personalizados sobre una aplicación con funcionalidad de caja, hacen que ésta se vaya degradando y por ende, las mejores prácticas que trae implementadas también lo hacen. Esto influye en factores como el rendimiento, la confiabilidad y la seguridad de la misma aplicación.

Por ejemplo, se realizaron pruebas de QA sobre los desarrollos realizados por el implementador, sin embargo no se realizó un análisis del código implementando verificando que no hubiera código malicioso en los desarrollos.

Por otro lado, en el momento de la implementación no se contaba con un área de Seguridad de la Información en la organización, que emitiera un concepto sobre la seguridad implícita de la aplicación o de su despliegue. En el transcurso del tiempo estas pruebas no se han realizado.

De acuerdo a lo anterior, para la Organización sería de gran valor poder realizar pruebas de vulnerabilidad sobre la aplicación Siebel CRM, entendiendo que la información que se manipula a través de ella es crítica y de gran importancia, buscando asegurar que se cuenta con la herramienta adecuada o en su defecto, implementar los controles que sean necesarios para que lo sea.

Objetivo General:

Crear una Política de Seguridad de la Información para la aplicación Siebel CRM a través de la elaboración de pruebas de vulnerabilidades, identificación de hallazgos, análisis de riesgos y emisión de recomendaciones en Seguridad de la Información.

Objetivos Específicos:

• Realizar el levantamiento de la información sobre la empresa en la cual está implementado el aplicativo Siebel CRM.
• Identificar los activos de información asociados al aplicativo Siebel CRM.
• Elaborar y ejecutar el plan de pruebas de vulnerabilidades sobre la aplicación Siebel CRM.
• Elaborar el informe de hallazgos (vulnerabilidades y amenazas) en seguridad de la información, encontrados en la aplicación Siebel CRM.
• Analizar los riesgos relacionados con los hallazgos encontrados.
• Elaborar informe de recomendaciones basado en el análisis de riesgos.
• Creación de Política de Seguridad de la Información de la aplicación Siebel CRM.

Metodología:

Para la ejecución del trabajo se establecen las siguientes etapas:

• Levantamiento de Información sobre la Empresa:

En ésta etapa se realizará un reconocimiento sobre la empresa en la cual está implementada la aplicación, y en la que se ejecutará el análisis de vulnerabilidades. Dentro de los principales objetivos de ésta etapa, se encuentra identificar la misión, visión y objetivos de la empresa. Luego se ahondará en la funcionalidad de la aplicación y específicamente, se buscará entender que procesos dentro de la empresa son soportados por la aplicación objetivo del análisis de vulnerabilidad. Esto permitirá enmarcar que tipo de información maneja la empresa a nivel general y también en la aplicación objetivo del trabajo.

• Levantamiento de Activos de Información:

En ésta etapa se realizará un levantamiento de los activos de información que están asociados a la aplicación Siebel CRM. Los activos serán clasificados, se realizará una descripción de cada activo, se identificará su localización y quien es el propietario del activo. Posteriormente, se determinará el grado de seguridad de cada activo y se realizará la valoración respectiva, que permitirá obtener el grado de impacto de activo dentro del negocio.

• Elaboración Plan de Pruebas:

Se realizará un plan de pruebas en donde se consignarán todas las pruebas a realizar sobre el aplicativo objetivo del trabajo. Se realizarán tanto pruebas de seguridad como pruebas de control. Cada prueba será registrada en un formato en donde se especificará el objetivo, recursos y conclusiones de cada prueba.  

• Ejecución Plan de Pruebas:

En ésta etapa se realizará la ejecución del plan de pruebas elaborado en la etapa anterior. Cada prueba que se ejecute, permitirá obtener como resultado un hallazgo que será soportado mediante una evidencia. Se realizará una recopilación de los hallazgos que serán los insumos de la siguiente etapa.

• Análisis de Riesgos, controles y recomendaciones:

En ésta etapa se tomaran como insumo los hallazgos y evidencias encontrados después de la ejecución del plan de pruebas. Serán analizados cada uno para realizar el análisis de los riesgos que pueden desencadenar, así como la elaboración de las recomendaciones que permitan posteriormente establecer los controles necesarios para la mitigación de los riesgos. Nota: Solamente se emitirán recomendaciones. No se realizará implementación de los controles que sean recomendados o sugeridos.

• Política en Seguridad de la Información sobre Siebel CRM:

Crear y establecer la política de seguridad de la información para el aplicativo Siebel CRM.

Actividades y Cronograma:

Plan de Trabajo:

Dentro de las pruebas que se van a realizar se pueden encontrar dos clasificaciones:

Pruebas de Control: Validar que el control existente sirve, es eficiente y es eficaz.

Pruebas de Seguridad (Auditoria): Pruebas que se ejecutan con el fin de vulnerar la seguridad. También pueden ser pruebas de control.

Las pruebas serán consignadas en un plan de pruebas donde se encontraran la totalidad de pruebas a ejecutar. El objetivo del plan de pruebas es planear y controlar cada una de las pruebas.

Para la elaboración del plan de pruebas se utilizará el siguiente formato por cada prueba:

En cada prueba ejecutada se obtendrán evidencias, que son los soportes de la actividad realizada y revisada. Estos se deberán recopilar para anexar al documento final.

Resultados Esperados:

• Realizar el levantamiento de la información sobre la empresa en la cual está implementado el aplicativo Siebel CRM.
• Identificar los activos de información asociados al aplicativo Siebel CRM.
• Elaborar y ejecutar el plan de pruebas de vulnerabilidades sobre la aplicación Siebel CRM.
• Elaborar el informe de hallazgos (vulnerabilidades y amenazas) en seguridad de la información, encontrados en la aplicación Siebel CRM.
• Analizar los riesgos relacionados con los hallazgos encontrados.
• Elaborar informe de recomendaciones basado en el análisis de riesgos.
• Creación de Política de Seguridad de la Información de la aplicación Siebel CRM.

Limitaciones:

• Conocimientos sobre pentesting. Hasta el momento se están adquiriendo conocimientos en ésta área.
• Acceso al hardware relacionado con la aplicación. El hardware de la aplicación Siebel CRM está ubicado en un data center fuera de la ciudad. El acceso a éste data center es restringido y por tanto cualquier actividad relacionada con el conocimiento y acercamiento a este hardware será de difícil acceso.
• Ejecución de las pruebas. En la ejecución de las pruebas será necesario la instalación de herramientas o componentes que no son seguros mediante los cuales se realizaran algunos de los ataques. El antivirus corporativo o las herramientas de detección de intrusos del Área de Seguridad de la Información de la compañía pueden impedir dichas instalaciones, limitando la ejecución de las pruebas.
• Las pruebas deberán ser realizadas en horarios que no comprometan la operación de la compañía. Por tanto estos horarios fuera de operación, dificultaran el ingreso a la dirección general de la compañía y por tanto a la red.

Personal:

Presupuesto:

Referencias: