En la actualidad, las empresas de índole pública y privada se enfrentan a un nivel alto de competencia basadas en entornos corporativos, para el aumento y el desarrollo de las actividades productivas, que conlleva hacia el logro de supervivencia, y el proceso de mejora continua que ayuda a evolucionar y renovarse de forma fluida y constante. El ciclo PHVA de mejora continua es una herramienta de gestiónpresentada en los años 50 por el estadístico estadounidense Edward Deming.
Las fases del ciclo PHVA
Las siglas del ciclo o fórmula PHVA forman un acrónimo compuesto por las iniciales de las palabras Planificar, Hacer, Verificar y Actuar. Cada uno de estos 4 conceptos corresponde a una fase o etapa del ciclo:
Planificar: En la etapa de planificación se establecen los objetivos principales de cada organización para la mejora de los procesos y la implementación de otros, además se identifican los requerimientos del cliente para la ejecución de procedimientos que ayuden a mejorar la productividad del negocio logrando así resultados positivos adaptados a
52 las políticas de la organización. En esta etapa se determinan también los parámetros de medición que se van a utilizar para controlar y seguir el proceso.
Hacer: En esta fase consiste en la realización de nuevos cambios o acciones requeridas para lograr las mejoras planteadas en la etapa anterior. Con el objeto de ganar eficiencia y poder edificar fácilmente los posibles errores presentes en la ejecución, normalmente se desarrolla un plan piloto a modo de prueba o testeo.
Verificar: Una vez efectuada las 2 primeras fases se pone en marcha el plan de mejoras, estableciéndolo en un periodo de prueba para medir y valorar la efectividad de los cambios. Se trata de una fase de regulación y ajuste.
Actuar: Realizadas las mediciones, en el caso de que los resultados no se ajusten a las expectativas y objetivos predefinidos, se realizan las correcciones y modificaciones necesarias. Por otro lado, se toman las decisiones y acciones pertinentes para mejorar continuamente el desarrollo de los procesos por parte de la organización.
53 Gráfico 11 Ciclo PHVA
Fuente: Trabajo de investigación Autor: Erick Yánez – Milagros Parra
Herramientas aplicadas a la metodología de seguridad informática OSSTMM
NESSUS: Es una de las aplicaciones que es utilizada especialmente para la ejecución de escaneo de vulnerabilidades detallándolas por medio de porcentajes, esta herramienta es compatible con sistemas operativos Linux y Windows para la realización de auditorías de seguridad informática. Nessus se actualiza constantemente, con más de 70.000 complementos para el escaneo de fallos de seguridad en los sistemas implementados en las organizaciones. Las características que posee la herramienta en mención incluyen los respectivos controles de seguridad remotos, locales y autenticados. Nessus es una arquitectura cliente-servidor que integra una interfaz web y un lenguaje scripting para escribir los propios complementos o concebir los existentes.
MALTEGO: Esta herramienta posee la capacidad de proporcionar datos de
54
institucional, información de procesos organizacionales, Tecnologías Informáticas, números telefónicos y demás por medio de este software facilitara al auditor demostrar a la empresa cual es el tipo de información relevante que puede ser accedida por los atacantes que se conectan a la web o utilizan este programa para la recopilación de activos lógicos; también la aplicación tiene la funcionalidad de encontrar distintos tipos de artículos como son autos, motos, aviones, entre otros.
A continuación se detallara el funcionamiento de la herramienta Maltego: Maltego envía peticiones a los servidores de semillas en formato XML a
través de conexiones HTTPS.
La petición del servidor de semilla se da a los servidores TAS que son transmitidos a los proveedores de servicios de internet.
Los resultados obtenidos por medio de las peticiones se envían al cliente Maltego.
FOCA: Es una herramienta para la recolección de archivos metadatos e información oculta en documentos de ofimática como Word, Excel, PDF, Power Point, Open Office y documentos PS/EPS, la finalidad de extraer todos los datos de un dominio organizacional, comprimiendo los ficheros al máximo, cruzar la información solicitada para obtener datos relevantes de una empresa de carácter corporativo.
La aplicación de foca cumple la misma función que Google y Bing Hacking para descubrir los archivos ofimáticos que tiene un dominio, los descarga masivamente, les extrae los metadatos, organiza los datos y nos muestra la siguiente información:
Nombres de usuarios del sistema. Rutas de archivos.
Versión del Software utilizado. Correos electrónicos encontrados.
55 Sistema operativo desde donde crearon el documento.
Nombre de las impresoras utilizadas.
Permite descubrir subdominios y mapear la red de la organización. Nombres e IPs descubiertos en Metadatos.
Búsqueda de nombres de dominio en Web: Google o Bing [Interfaz web o API].
Búsqueda de registros Well-Known en servidor DNS. Búsqueda de nombres comunes en servidor DNS. Búsqueda de IPs con resolución DNS.
Búsqueda de nombres de dominio con BingSearch IP.
Búsqueda de nombres con PTR Scanning del segmento de red con DNS interno.
Transferencia de Zonas.
Detección automática de DNS Cache. Vista de Roles.
Filtro de criticidad en el log.
NMAP: Esta herramienta es de acceso libre y de código abierto, utilizada para la escaneo de puertos de redes y servicios de índole corporativo. Algunos de los administradores de sistemas y redes en un centro de cómputo de empresas encuentran útil la aplicación en si para la ejecución de tareas tales como la auditoria de redes, administración de programas de actualización de servicio y supervisión del tiempo de actividad del servidor. Nmap es un software que manipula paquetes IP para determinar qué hosts están disponibles en la red, servicios tales como (nombre y versión de la aplicación, sistema operativo orientado a servidores, estaciones de trabajo y demás) además el programa en mención ejecuta, varios tipos de filtros - firewalls de paquetes para realizar el escaneo de puertos al dominio de una empresa o un host específico. Nmap es compatible en todas las versiones de sistemas
56 operativos de computadoras y los paquetes binarios oficiales están disponibles en Linux, Windows y Mac OS X. Además Nmap se ejecuta por medio de línea de comandos, el paquete Nmap incluye una GUI avanzada y visualizador de resultados como ZENMAP donde es una herramienta de transferencia, redirección y depuración de datos flexible.
THEHARVESTER: El objetivo de la aplicación es recolectar correos electrónicos de carácter corporativo, subdominios, hosts, nombres de usuarios de empresas, banners de diferentes fuentes públicas como motores de búsqueda, servidores de claves PGP y bases de datos de computadoras SHODAN.
La finalidad de esta herramienta es ayudar a los probadores de penetración o auditores de seguridad informática, en las primeras etapas de la prueba de penetración comprender la huella del cliente en Internet. Además el software tiene la utilidad de saber lo que un atacante puede ver sobre su organización especifica.
Los puntos importantes de la herramienta THEHARVESTER son los siguientes:
Retrasos de tiempo entre la solicitud. Búsqueda de todas las fuentes. Verificador de host virtual.
Enumeración activa (enumeración de DNS, búsqueda inversa, expansión de TLD).
Integración con la base de datos informática SHODAN, para obtener los puertos y banners abiertos.
Guardar en XML y HTML. Gráfico básico con estadísticas. Nuevas fuentes.
57 FUNDAMENTACION SOCIAL
El impacto que generara a nivel social las instituciones de enseñanza del ecuador es la forma de tener una seguridad informática gestionada y el mantenimiento de la información confidencial en los usuarios estudiantiles y en el personal de tecnología que pertenezcan a la institución académica. Para evitar alguna intrusión maliciosa se debe planificar lo siguiente.
Auditorias de seguridad informática de forma periódica. Dispositivos de seguridad de alta gama.
Cifrado de la información de carácter sensible. Conexiones remotas por medio de túneles VPN. Sistemas de detección de intrusos.