Regresar

Auditoría de seguridad informática basada en el estándar ISO 27001:2013 para detectar y explotar vulnerabilidades en una red administrativa simulada para una empresa proveedora de servicios.

Abstract:

En este presente proyecto sobre la ejecución de una auditoría de seguridad informática basado en la norma ISO 27001 se demostró que se pueden establecer conexiones locales y remotas con ordenadores con sistema operativo Windows sin la necesidad de inyectar un malware en el terminal cliente ya que en Windows existe una vulnerabilidad con código CVE: 2017-0143 que es sumamente explotable y al explotarla mediante el exploit eternalblue permite, el acceso, la creación de directorios, archivos de texto y almacenar virus informáticos en rutas programadas por el atacante. Además, se verifico que una empresa proveedora de servicios posee sistemas Windows desactualizados otorgando una puerta grande a los crackers en aprovecharse de las posibles vulnerabilidades de dicho sistema, adicionalmente en el marco teórico se detallaron los tipos de ataque como: Puerta Trasera, Inyección de SQL, Puerta Trasera para aplicaciones web, WannaCry, Ransomware, Botnet, Malware Android y demás. También se desarrolló un banco de pruebas de Hacking Ético utilizando la herramienta Kali Linux para detectar los posibles riesgos, amenazas y fallos de seguridad, y en base a los escenarios realizados se anexo una matriz de valoración de riesgos detallando los controles de la ISO 27001, con el objetivo de implementar medidas de protección adecuadas. De esta manera se evita incidentes de seguridad en una red administrativa