Propuesta Técnica y Económica para Servicio de: ETHICAL HACKING A ENTIDAD

Enviado por Saul Abad Zambrana Paniagua • 16 de Mayo de 2021 • Monografía • 2.057 Palabras (9 Páginas) • 717 Visitas

Página 1 de 9

Propuesta Técnica y Económica para Servicio de:

ETHICAL HACKING A ENTIDAD

Presentado por:	xxx
Email:	contacto@xxxx
Fecha:

íNDICE:

1. RESUMEN EJECUTIVO 13

1.1. Descripción de la propuesta 13

1.2. ¿Por qué realizar una auditoría de seguridad? 13

1.3. ¿Por qué elegirnos? 14

2. OBJETIVOS 15

2.1. OBJETIVO GENERAL 15

2.2. OBJETIVOS ESPECÍFICOS 15

3. METODOLOGÍA 15

3.1. OSSTMM (Open Source Security Testing Methodology Manual) de ISECOM 15

4. ALCANCE 18

5. CRONOGRAMA DE TRABAJO 20

6. LISTADO DE HERRAMIENTAS USADAS: 21

7. ANÁLISIS DE RIESGOS 22

8. CARTERA DE CLIENTES 23

9. CERTIFICADOS DE RESPALDO POR SERVICIOS 25

10. PERSONAL 25

11. REQUERIMIENTOS PARA LA EJECUCIÓN DEL SERVICIO 33

12. PRINCIPALES ENTREGABLES 33

12.1. Presentaciones 33

12.2. Remisión de entregables 33

13. COSTO DEL SERVICIO 34

RESUMEN EJECUTIVO

Descripción de la propuesta

Este documento es una propuesta de servicios para realizar Ethical Hacking (“Hackeo Ético”), cuya objetivo es proveer una visión del estado de Seguridad Informática de su infraestructura tecnológica y aplicaciones de negocio frente a posibles ataques de “ciberdelincuentes”, personas/empleados malintencionados, criminales que pretenden obtener acceso no autorizado a información sensible a través de las redes internas o externas de la institución (internet).

¿Por qué realizar una auditoría de seguridad?

Cada año existen incidentes de seguridad en entidades públicas y privadas. A raíz de estos incidentes se comprometen datos personales de los usuarios. A continuación se muestra un resumen de las filtraciones de datos a nivel mundial ocurridas el 1er semestre del 2018:

[pic 1]

[pic 2]

Fuente: https://www.cyberriskanalytics.com/

¿Por qué elegirnos?

Tenemos la política de actualizar la batería de pruebas que usa el personal CADA 6 MESES, cubriendo de esta manera las últimas vulnerabilidades reportadas. Esta política nos permite brindar un trabajo especializado de alta calidad técnica para nuestros clientes.
Realizamos PRUEBAS ESPECÍFICAS a la tecnología usada en su infraestructura, además de las pruebas genéricas.
El personal tiene múltiples certificaciones internacionales en ETHICAL HACKING y Seguridad de la Información. Está capacitación constante y alineación a estándares internacionales nos permite entregar resultados óptimos a nuestros clientes.

OBJETIVOS

OBJETIVO GENERAL

Identificar y evaluar posibles vulnerabilidades técnicas internas y externas en la infraestructura tecnológica y en los sistemas de información que se encuentran en producción de la entidad, a través de pruebas de intrusión controladas.

OBJETIVOS ESPECÍFICOS

Identificar los activos de información vulnerables desde los diferentes vectores de ataque;
Identificar errores de configuración de seguridad y debilidades de control;
Determinar la efectividad de los controles tecnológicos de respuesta a ataques;
Verificar si las vulnerabilidades son potencialmente explotables;
Clasificar las vulnerabilidades técnicas en base al nivel de riesgo para el negocio;
Emitir recomendaciones para una remediación de vulnerabilidades;
Brindar información ejecutiva para la toma de decisiones de alta gerencia.

METODOLOGÍA

Empleamos una combinación de metodologías para ejecutar las diferentes pruebas de Ethical Hacking, entre ellas:

OSSTMM (Open Source Security Testing Methodology Manual) de ISECOM

Metodología empleada porque cubre de manera integral toda la entidad. Nos permite evaluar desde el personal hasta los servidores. Para evaluar los distintos módulos se siguen los siguientes pasos:

[pic 3]

Módulos evaluados con la metodología OSSTMM son:

[pic 4]

La explotación de vulnerabilidades en servidores críticos serán coordinados con la entidad.
Las pruebas que pudieran afectar la disponibilidad de servicios o acceso de usuarios legítimos se realizarán en horarios que la entidad disponga, previa coordinación de partes.
Las pruebas de ingeniería social se limitan a personal interno de la entidad (previa coordinación de partes), las mismas no serán dirigidas a clientes de la entidad, socios de negocios, accionistas, directores, asociados o entidades externas.

ALCANCE

El alcance del proyecto incluye la auditoría interna y externa:

[pic 5]

[pic 6]

CRONOGRAMA DE TRABAJO

Nro.	Actividad	Dìa 1	Dìa 2	Dìa 3	Dìa 4	Dìa 5	Día 6	Día 7
A	Test de Penetración Externo
A1.1	Recolección de información
A1.2	Escaneo y mapeo de la red
A1.3	Identificación de vulnerabilidades
A1.4	Hacking del sistema
B	Test de Penetración Interno
B1.1	Recolección de información
B1.2	Escaneo y mapeo de la red
B1.3	Identificación de vulnerabilidades
B1.4	Hacking del sistema
B1.5	Envío en formato digital del informe técnico en borrador
C	Revisión de descargos
C2	Revisión de pruebas de la sub enviados por la entidad
D	Remisión de entregables finales
D1	Informe ejecutivo, informe técnico y auditoría (ejemplares físicos y digitales)

Duración del servicio: 7 días hábiles

FASE	HERRAMIENTA	LICENCIA
Recolección de información	http://viewdns.info/ https://crt.sh/ https://pipl.com/ google hacking, whois theharvester , Maltego fierce dnsenum onesixtyone, snmpbrute enum4linux, smbmap ldapsearch scripts propios smtp-user-enum	GPL (libre)
Mapeo de la red	arp-scan fping nbtscan masscan nmap	GPL (libre)
Identificación de vulnerabilidades	nmap nessus	GPL (libre)
Penetración	metasploit	Edición comunitaria
Escalamiento de privilegios	exploit públicos	GPL (libre)

LISTADO DE HERRAMIENTAS USADAS:

Esta es la lista de herramientas de pruebas genéricas. Cuando se realiza las pruebas específicas se utiliza herramientas acordes a la tecnología que se está evaluando.

ANÁLISIS DE RIESGOS

Para el determinar el nivel de riesgo de las vulnerabilidades técnicas identificadas, se utiliza la siguiente matriz:

[pic 7]

Donde el nivel de riesgo está definido por:

[pic 8]

La probabilidad está definida por la facilidad de explotación de la vulnerabilidad por una amenaza.
El Impacto es igual al daño potencial para el negocio (estimado en términos de valoración del activo de información) causado por la ejecución éxitosa del ataque:

CARTERA DE CLIENTES

Tenemos una amplia cartera de clientes por servicios relacionados a Seguridad de la Información, auditorías de sistemas, Ethical Hacking, capacitación profesional en seguridad, desarrollo de sistemas de control, consultorías especiales, entre otros.

...

Descargar como (para miembros actualizados) txt (14 Kb) pdf (885 Kb) docx (1 Mb)

Leer 8 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

Propuesta De Servicios Profesionales
PROPUESTA DE SERVICIOS PROFESIONALES DEFINICION: Un servicio profesional es toda actividad encaminada a satisfacer alguna necesidad intangible (cuyo satisfactor no sea un bien material) de

15 Páginas • 2019 Visualizaciones
PROCESO DE COMPRAS DE BIENES Y SERVICIOS EN UNA ENTIDAD AUTÓNOMA
PROCESO DE COMPRAS DE BIENES Y SERVICIOS EN UNA ENTIDAD AUTÓNOMA Comprar bienes y servicios en una entidad del Estado, debe cumplir ciertos lineamientos los

7 Páginas • 1228 Visualizaciones
Propuesta Basada En El Modelo Americano De Calidad, Para Mejorar El Transporte público De "Empresa Transporte Y Servicio Cruz De La EsperanzaS.A.deChiclayo, 2012.
ESQUEMA DEL PROYECTO DE INVESTIGACIÓN I. DATOS GENERALES 1.1. Título Tentativo Propuesta basada en el modelo americano de calidad, para mejorar el transporte público de

33 Páginas • 2312 Visualizaciones
Propuesta de servicios de auditoría de centros de cómputo
Propuesta de servicios de auditoría de centros de cómputo Módulo IV Administración y Auditoría de Centros de Cómputo Formato C. Ejemplo de propuesta de servicios

2 Páginas • 659 Visualizaciones
Propuesta De Intervención De Relaciones públicas Para El Desarrollo De Un Departamento De Comunicaciones En Servicio Publico
Propuesta del plan de intervención en el área de Relaciones Públicas 1.1 justificación de la existencia de un departamento de comunicaciones y relaciones públicas en

6 Páginas • 1028 Visualizaciones
Propuesta Tecnica Del Servicio De Taxi
PROPUESTA TECNICA DEL SERVICIO I. DESCRIPCION El servicio consiste en trasladar a los empleados y/o clientes de las empresas a los lugares indicados en la

9 Páginas • 1797 Visualizaciones
Organizar La Oferta De Productos Y Servicios, Determinando La Oferta A Realizar. Es Importante Presentar Una Oferta De Productos Y Servicios Para La Entidad Y Una Por Separado Para Los Funcionarios, Y Especialmente Para Los Cargos De Dirección
INTRODUCION Para toda organización, independientemente del tamaño o del sector al cual pertenece, la actividad comercial es la primera y la mas importante fuente de

2 Páginas • 2291 Visualizaciones
PROPUESTAS PARA LA MEJORA DEL SERVICIO EDUCATIVO EN PADRE ABAD
1. Considerar al SUTEPA en el COPALE. 2. Estamos en nuevos tiempos y el cambio es imperativo para ajustarnos a las circunstancias comunicativas cibernéticas, por

2 Páginas • 472 Visualizaciones
Introducción Al Ethical Hacking
Introducción al Ethical Hacking Al finalizar el capítulo, el alumno podrá: • Explicar los conceptos relacionados al Ethical Hacking. • Identificar los tipos de Ethical

23 Páginas • 339 Visualizaciones
Ensayo “Ethical Hacking”
Ensayo “Ethical Hacking” Hoy en día las organizaciones alrededor del mundo están siendo víctimas sistemáticamente de ataques de hackers (piratas informáticos), capaces de comprometer un

2 Páginas • 509 Visualizaciones