anÁlisis de la seguridad a la red wifi eventos coop de …
TRANSCRIPT
ANÁLISIS DE LA SEGURIDAD A LA RED WIFI EVENTOS_COOP DE LA
UNIVERSIDAD COOPERATIVA DE COLOMBIA CAMPUS ARAUCA.
Nayibe Carreño García
Maria Camila Alfonso Sarmiento
UNIVERSIDAD COOPERATIVA DE COLOMBIA
PROGRAMA DE INGENIERÍA DE SISTEMAS
ARAUCA-ARAUCA
2020
2
ANÁLISIS DE LA SEGURIDAD A LA RED WIFI EVENTOS_COOP DE LA
UNIVERSIDAD COOPERATIVA DE COLOMBIA CAMPUS ARAUCA.
Nayibe Carreño García
Maria Camila Alfonso Sarmiento
Seminario de profundización para optar por el título de Ingeniero de Sistemas
Universidad Cooperativa De Colombia
2020
Notas de autor
Docente: Carlos Eduardo Puentes Figueroa, Ingeniero en telecomunicaciones, Especialista
en servicios telemáticos y telecomunicaciones, asesor de la modalidad de grado, Programa de
Ingeniería de Sistemas, Arauca
Universidad Cooperativa de Colombia
Correspondencia relacionada con este documento debe ser enviada a:
3
TABLA DE CONTENIDO
LISTA DE FIGURAS Y TABLAS ................................................................................ 4
1. INTRODUCCIÓN ............................................................................................... 5
2. PLANTEAMIENTO DEL PROBLEMA .............................................................. 7
3. JUSTIFICACIÓN ................................................................................................ 8
4. OBJETIVOS........................................................................................................ 9
5. MARCO TEÓRICO ........................................................................................... 10
5.1. ESTADO DEL ARTE. ................................................................................... 17
6. METODOLOGÍA .............................................................................................. 18
7. DISEÑO ............................................................................................................ 19
8. INSTRUMENTOS ............................................................................................. 20
9. DESARROLLO ................................................................................................. 21
9.1. Análisis del estado actual (objetivo específico 1) ............................................. 21
9.2. Escaneo de la red wifi eventos_coop (Objetivo específico 2)............................ 23
9.2.1. Pruebas de la vulnerabilidad. ....................................................................... 23
9.2.2. Reporte de análisis de vulnerabilidades ........................................................ 24
10. EVALUACIÓN DE CONTROLES, POLÍTICAS Y PROCEDIMIENTOS DE
SEGURIDAD EN LA RED WIFI EVENTOS_COOP DE (objetivo específico 3) .................... 26
10.1. EVALUACIÓN DE LOS CONTROLES ..................................................... 27
11. SOLUCIONES A LA VULNERABILIDAD ENCONTRADA (objetivo específico
4) 29
12. RECOMENDACIONES .................................................................................... 34
13. CONCLUSIONES ............................................................................................. 35
14. REFERENTES BIBLIOGRÁFICOS .................................................................. 36
4
15. ANEXOS .......................................................................................................... 38
15.1. Anexo A: Checklist identificación del riesgo de los activos de información. . 38
LISTA DE FIGURAS Y TABLAS
Ilustración 1: ciclo PDCA ............................................................................................ 13
Ilustración 2:ISO 31000 - Marco de trabajo para la gestión de riesgos ........................... 15
Ilustración 3. Planos Distribución de equipos (Autores: Área de TI de la universidad) .. 22
Ilustración 4. Escaneo a la red wifi con el CMD ........................................................... 23
Ilustración 5 Análisis de vulnerabilidades .................................................................... 24
Ilustración 6 Escaneo en el host ................................................................................... 26
Ilustración 7 Políticas locales> Opciones de seguridad ................................................ 30
Ilustración 8 Carpeta de opción de seguridad .............................................................. 31
Ilustración 9 Servidor de red de Microsoft: firmar digitalmente las
comunicaciones(siempre)> Habilitado .................................................................................... 31
Ilustración 10 Análisis con plataforma wirelessMon ..................................................... 32
Ilustración 11 Muestra de los equipos que se conectados a la red eventos_coop ............ 32
Ilustración 12 Análisis con Zenmap.............................................................................. 33
Ilustración 13 Análisis con Zenmap.............................................................................. 33
LISTA DE TABLAS
Tabla 1 Resumen Checklist .......................................................................................... 27
Tabla 2 valoración de los controles .............................................................................. 28
Tabla 3 nivel de cumplimiento ..................................................................................... 28
LISTA DE GRAFICAS
Gráfica 1 Resumen del checklist .................................................................................. 27
Gráfica 2 Cumplimiento de los controles ..................................................................... 29
5
1. INTRODUCCIÓN
Actualmente en nuestro país hay millones de personas quieren estar comunicadas
virtualmente desde cualquier lugar, esto lo hacen aún más estando en sus estaciones de trabajo,
universidades, etc. Con la continua implementación de redes WIFI abiertas promovidas por los
actuales planes de gobierno en ámbitos de conectividad, se plantea este proyecto conociendo las
necesidades con las que cuenta cada persona y buscando informar a cada usuario el riesgo que
conlleva conectarse a una red wifi abierta.
Para ello se decidió realizar un análisis minucioso de los riesgos y vulnerabilidades,
mediante el uso de diversas herramientas en donde se busca la intrusión en la red, para poner en
análisis las herramientas que normalmente se usan para la protección de la información, con el fin
de conocer cuáles de ellas cuentan con un protocolo de seguridad que garantice la confiabilidad
de datos personales del usuario y poder generar recomendaciones de seguridad en cuanto el uso
de este tipo de conexiones abiertas, que permitan de una forma segura, el acceso a personas
diferentes a la comunidad académica universitaria
El propósito actual es identificar posibles riesgos y vulnerabilidades de seguridad en
la red WIFI_EVENTOS_COOP de la Universidad Cooperativa de Colombia campus Arauca,
Porque es una red utilizada por toda la comunidad universitaria mediante una contraseña
divulgada en la cartelera y sitios estratégicos del campus. Seguido del logueo del hostpost en cuál
es el usuario y número de identificación del estudiante.
Palabras clave: Amenaza, controles, seguridad de la información, vulnerabilidad, wifi
6
ABSTRAC
Currently in our country there are millions of people who want to be communicated
virtually from anywhere, they do this even more while at their workstations, universities, etc.
With the continuous implementation of open WIFI networks promoted by current government
plans in areas of connectivity, this project is proposed knowing the needs of each person and
seeking to inform each user of the risk involved in connecting to an open Wi-Fi network.
For this, it was decided to carry out a thorough analysis of risks and vulnerabilities, by
using various tools that search for intrusion into the network, to put into analysis the tools that are
normally used for the protection of information, in order to orden know which of them have a
security protocol that guarantees the reliability of the user's personal data and to be able to
generate security recommendations regarding the use of this type of open connections, which
allow in a secure way, access to people other than the university academic community
The current purpose is to identify possible risks and security vulnerabilities in the
WIFI_EVENTOS_COOP network of the Cooperativa de Colombia University Arauca campus,
because it is a network used by the entire university community through a password disclosed on
the billboard and strategic campus sites. Followed by the hostpost login in which is the username
and student identification number.
Keywords: Threat, controls, information security, vulnerability, wifi
7
2. PLANTEAMIENTO DEL PROBLEMA
La evolución de las tecnologías ha permitido a las universidades implementar,
herramientas que permiten proteger la información y los sistemas de telecomunicaciones, es por
ello que hay una gran invención de herramientas y técnicas con un propósito práctico, con el
trascurrir del tiempo la tecnología avanza a pasos gigantes en pleno siglo XXI los avances que se
están dando nos siguen sorprendiendo.
Hoy en día tenemos equipos de telecomunicación para almacenar, recuperar, transmitir y
manipular datos, con frecuencia utilizado en el contexto de los negocios u otras empresas, de esta
forma como crece la tecnología también las amenazas a la seguridad, en donde la información se
puede ver afectada y así pondrán a sus usuarios en riesgo dejando en desprestigio la empresa.
Es por ello que cada vez hay más dispositivos conectados a las redes wifi que se
encuentran en el entorno, se generan grandes cantidades de tráfico por minuto. Se estima que un
grupo importante de personas se exponen regularmente a los peligros de enviar información a
través de una red sin cifrado, esta situación se presenta en parte debido a la falta de conocimiento
respecto de las vulnerabilidades asociadas a las redes wifi-abiertas, razón por la cual se observa la
necesidad de trabajar en temas asociados a la concientización de la ciudadanía en general
Es por esto que, al observar las diferentes redes wifi de la universidad, es la red eventos
que cuenta con más usuarios conectados por ser de conocimiento público, en la cual pueden
navegar, consultar, pagar o enviar información y datos libremente, datos que llegan a ser
sensibles, por ende, pueden surgir problemas si alguien más tiene acceso a ellos y los usa de
forma indebida actualmente.
8
3. JUSTIFICACIÓN
En los últimos años las redes inalámbricas abiertas se han convertido en una tendencia
tecnológica usualmente utilizada para proveer conectividad al público en diferentes lugares como
entidades, establecimientos, institutos, centros de recreación públicos, entre otros, se genera una
gran cantidad de tráfico de información que queda expuesta a las vulnerabilidades propias de las
redes abiertas.
Por este motivo se busca analizar a detalle qué tipo de información es vulnerable y como se
pueden tomar acciones para mejorar la seguridad al utilizar la red wifi eventos_coop en la
Universidad Cooperativa de Colombia, Igualmente las redes de datos han sido factores
fundamentales, siempre y cuando estén disponibles constantemente, y no se presenten
interrupciones del rendimiento óptimo.
Es por eso, que se realiza un análisis de seguridad de la red wifi eventos_coop basados con
la norma ISO/IEC 27002:2013 analizando los siguientes procesos: la Política de seguridad, y
Seguridad en las Telecomunicaciones. En la Universidad Cooperativa de Colombia la cual tiene
el propósito de identificar las medidas de seguridad, mitigando los riesgos a que está expuesta la
red wifi eventos_coop.
Finalmente, ante el dilema que encontramos se propone realizar un estudio que permita
mantener un control en las redes de wifi para así obtener una buena seguridad. Es considerable
resaltarle a la universidad que podrá conocer la situación verdadero desenlace que arroje el
análisis, esto depende de la información que nos puedan suministrar el personal encargado del
área de ti.
9
4. OBJETIVOS
4.1 Objetivo general.
✓ Realizar un análisis de Seguridad a la red wifi eventos_coop de la Universidad cooperativa
de Colombia campus Arauca, basados en las normas ISO/IEC 27002:2013
4.1.1 Objetivos específicos.
✓ Analizar el estado actual de la red wifi eventos_coop de la universidad cooperativa de
Colombia, campus Arauca
✓ Identificar las amenazas y riesgos para la red wifi eventos_coop de la universidad
cooperativa de Colombia, campus Arauca
✓ Evaluar los controles, políticas y procedimientos de seguridad en la red wifi eventos_coop
de la universidad cooperativa.
✓ Sugerir mejoras al esquema de seguridad de la red wifi eventos_coop, teniendo en cuenta
los hallazgos recuperados.
10
5. MARCO TEÓRICO
Auditoría de Sistemas.
Es la revisión que se dirige a evaluar los métodos y procedimientos de uso en una entidad,
con el propósito de determinar si su diseño y aplicación son correctos; y comprobar el sistema de
procesamiento de Información como parte de la evaluación de control interno; así como para
identificar aspectos susceptibles de mejorarse o eliminarse. (Anónimo, s.f.)
Historia de la empresa
La Universidad Cooperativa de Colombia es una institución privada de educación
superior que pertenece al sector de la economía solidaria creada en 1983, como sucesora del
Instituto de Economía Social y Cooperativismo - INDESCO, sujeta a inspección y vigilancia por
medio de la Ley 1740 de 2014 y la ley 30 de 1992 del Ministerio de Educación de Colombia. La
universidad está conformada por estudiantes y un cuerpo docente de 4182 profesores de planta y
catedráticos. Cuenta con 7 facultades, 39 programas de pregrado, 25 especializaciones, y 14
maestrías. Su presencia en 18 ciudades del país la hace la tercera universidad con mayor
población estudiantil de Colombia después de la Universidad Nacional Abierta y a Distancia y la
Universidad Nacional de Colombia. (Universidad Cooperativa de Colombia, s.f.)
Activos.
Los activos son los recursos que utiliza un Sistema de Gestión de Seguridad de la
Información para que las organizaciones funcionen y consigan los objetivos que se han propuesto
por la alta dirección (SGSI, 2017).
Amenaza.
Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir
un daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad
Informática, los Elementos de Información.
11
Vulnerabilidad
La Vulnerabilidad es la capacidad, las condiciones y características del sistema mismo
(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de
sufrir algún daño. En otras palabras, es la capacitad y posibilidad de un sistema de responder o
reaccionar a una amenaza o de recuperarse de un daño
Las vulnerabilidades están en directa interrelación con las amenazas porque si no existe una
amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede ocasionar
un daño. (Luis Rubiano Orozco, s.f.)
Telecomunicaciones
Las telecomunicaciones son la trasmisión a distancia de datos de información por medios
electrónicos y/o tecnológicos. Los datos de información son transportados a los circuitos de
telecomunicaciones mediante señales eléctricas.
Red de telecomunicaciones
Una red de telecomunicaciones consiste en múltiples estaciones de receptores y
transmisores interligados que intercambian información. La red más amplia y conocida es la
Internet. Otras redes más pequeñas son las redes telefónicas y radioemisiones privadas.
ISO 27001.
Es una norma internacional que permite el aseguramiento, la confidencialidad e integridad
de los datos y de la información, así como de los sistemas que la procesan (ISOTools, 2020)
Seguridad de la Información.
Está definida como todas las medidas preventivas y de reacción del individuo, la
organización y las tecnologías, para proteger la información; buscando mantener en esta la
confidencialidad, la autenticidad e Integridad. Hay que tener claro que los términos Seguridad de
la información y Seguridad Informática son diferentes. La segunda trata solamente de la
seguridad en el medio informático, mientras que la primera es para cualquier tipo de información,
sea esta digital o impresa. (Libre, 2020)
12
Software.
Conjunto de programas, instrucciones y reglas para ejecutar ciertas tareas en una
computadora u ordenador (ESPAÑOLA, 2008-2020).
Software Malicioso.
El software malicioso, conocido en inglés como “malware”, es un software diseñado
específicamente para obtener acceso a un equipo o dañarlo sin que el usuario tenga conocimiento.
Hay distintos tipos de software malicioso, como el spyware, los registradores de pulsaciones, los
virus, los gusanos o cualquier tipo de código malicioso que se infiltre en un equipo. (Norton, 2020).
Ciclo de Deming.
El ciclo PDCA (o PHVA en español) es una herramienta para la mejora continua,
diseñada por el Dr. Walter Shewhart en el año 1920 y presentada por Edwards Deming a partir
del año 1950, la cual se basa en un ciclo de cuatro pasos (Díaz, 2010). Plan (planificar), Do
(hacer), Check (verificar) y Act (actuar). A continuación, se describirán brevemente los pasos que
se siguen en el ciclo de Deming (Aliaga, 2013). También es conocido como Ciclo de mejora
continua o Círculo de Deming, por ser Edwards Deming su autor. Esta metodología describe los
cuatro pasos esenciales que se deben llevar a cabo de forma sistemática para lograr la mejora
continua, entendiendo como tal al mejoramiento continuado de la calidad (disminución de fallos,
aumento de la eficacia y eficiencia, solución de problemas, previsión y eliminación de riesgos
potenciales…). El círculo de Deming lo componen 4 etapas cíclicas, de forma que una vez
acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo, de forma que las
actividades son reevaluadas periódicamente para incorporar nuevas mejoras. Plan (planificar): Se
establecen las actividades y procesos necesarios para alcanzar los resultados esperados
establecidos por la(s) parte(s) interesada(s). (Bustamante Maldonado & Osorio Cano, 2014) La
aplicación de esta metodología está enfocada principalmente para para ser usada en empresas y
organizaciones.
13
Ilustración 1: ciclo PDCA
1- PLAN (planificar):
En esta fase se trabaja en la identificación del problema o actividades susceptibles de
mejora, se establecen los objetivos a alcanzar, se fijan los indicadores de control y se definen los
métodos o herramientas para conseguir los objetivos establecidos.
Una forma de identificar estas mejoras puede ser realizando grupos de trabajo o bien buscar
nuevas tecnologías o herramientas que puedan aplicarse a los procesos actuales. Para detectar
tecnologías o herramientas a veces es conveniente fijarse en otros sectores, esto aporta una visión
diferente, pero muchas de las soluciones pueden aplicarse a más de un sector.
2 – DO (hacer/ejecutar):
Llega el momento de llevar a cabo el plan de acción, mediante la correcta realización de
las tareas planificadas, la aplicación controlada del plan y la verificación y obtención del
feedback necesario para el posterior análisis.
En numerosas ocasiones conviene realizar una prueba piloto para probar el
funcionamiento antes de realizar los cambios a gran escala. La selección del piloto debe
realizarse teniendo en cuenta que sea suficientemente representativo, pero sin que suponga un
riesgo excesivo para la organización.
3 – CHECK (comprobar/verificar):
14
Una vez implantada la mejora se comprueban los logros recuperados en relación a las
metas u objetivos que se marcaron en la primera fase del ciclo mediante herramientas de control
(Diagrama de Pareto, Check lists, KPIs, etc.)Para evitar subjetividades, es conveniente definir
previamente cuáles van a ser las herramientas de control y los criterios para decidir si la prueba
ha funcionado o no.
4 – ACT (actuar):
Por último, tras comparar el resultado recuperado con el objetivo marcado inicialmente, es
el momento de realizar acciones correctivas y preventivas que permitan mejorar los puntos o
áreas de mejora, así como extender y aprovechar los aprendizajes y experiencias adquiridas a
otros casos, y estandarizar y consolidar metodologías efectivas.
(Bernal, 2013)
Metodología Magerit.
MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el antiguo
Consejo Superior de Administración Electrónica (actualmente Comisión de Estrategia TIC),
como respuesta a la percepción de que la Administración, y, en general, toda la sociedad,
dependen de forma creciente de las tecnologías de la información para el cumplimiento de su
misión.
La razón de ser de MAGERIT está directamente relacionada con la generalización del uso
de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos;
pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que
generen confianza.
MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas
informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son
valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo.
Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente,
imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica
que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.
15
Ilustración 2:ISO 31000 - Marco de trabajo para la gestión de riesgos
MAGERIT persigue los siguientes Objetivos Directos:
1. Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y
de la necesidad de gestionarlos
2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la
información y comunicaciones (TIC)
3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control
Indirectos
4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación,
según corresponda en cada caso
MAGERIT versión 3 se estructura en tres libros: "Método", "Catálogo de Elementos" y
"Guía de Técnicas".
Se estructura de la siguiente forma:
• El capítulo 2 presenta los conceptos informalmente. En particular se enmarcan las actividades de
análisis y tratamiento dentro de un proceso integral de gestión de riesgos.
• El capítulo 3 concreta los pasos y formaliza las actividades de análisis de los riesgos.
• El capítulo 4 describe opciones y criterios de tratamiento de los riesgos y formaliza las
actividades de gestión de riesgos.
16
• El capítulo 5 se centra en los proyectos de análisis de riesgos, proyectos en los que nos veremos
inmersos para realizar el primer análisis de riesgos de un sistema y eventualmente cuando hay
cambios sustanciales y hay que rehacer el modelo ampliamente.
• El capítulo 6 formaliza las actividades de los planes de seguridad, a veces denominados planes
directores o planes estratégicos.
• El capítulo 7 se centra en el desarrollo de sistemas de información y cómo el análisis de riesgos
sirve para gestionar la seguridad del producto final desde su concepción inicial hasta su puesta en
producción, así como a la protección del propio proceso de desarrollo.
• El capítulo 8 se anticipa a algunos problemas que aparecen recurrentemente cuando se realizan
análisis de riesgos.
Se persiguen dos objetivos:
1. Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de
ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo
específico del sistema objeto del análisis.
2. Por otra, homogeneizar los resultados de los análisis, promoviendo una terminología y unos
criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes
equipos.
Cada sección incluye una notación XML que se empleará para publicar regularmente los
elementos en un formato estándar capaz de ser procesado automáticamente por herramientas de
análisis y gestión.
Si el lector usa una herramienta de análisis y gestión de riesgos, este catálogo será parte de la
misma; si el análisis se realiza manualmente, este catálogo proporciona una amplia base de
partida para avanzar rápidamente sin distracciones ni olvidos.
Guía de Técnicas
Aporta luz adicional y orientación sobre algunas técnicas que se emplean habitualmente para llevar
a cabo proyectos de análisis y gestión de riesgos:
Marca unas pautas en cuanto a:
• Tipos de activos
• Dimensiones de valoración de los activos
• Criterios de valoración de los activos
17
• Amenazas típicas sobre los sistemas de información
• Salvaguardas a considerar para proteger sistemas de información
• (MAGERIT, 2009)
5.1.ESTADO DEL ARTE.
TITULO: Análisis, diseño y despliegue de una red Wifi en Santillana del Mar
AUTORES: Moreno Martín, Marta
AÑO: 2015
APORTE: Implementar una red de comunicaciones haciendo uso de tecnologías inalámbricas que
permitan ofrecer una cobertura Wifi total en un municipio de Cantabria, Santillana del Mar, así
como interconectar las diferentes áreas con la finalidad de permitir un despliegue ordenado a lo
largo del territorio.
FUENTE: http://hdl.handle.net/10486/663743
TITULO: Estudio, análisis y optimización del tráfico de las redes wifi en la facultad de ingeniería en
electricidad y computación
AUTORES: Prado Bermúdez, Gianella Estefanía; Armijos De La Vera, Elena Esther
AÑO: 2015
APORTE: Propone emplear una red en malla en conjunto con dispositivos Cisco como son la Controladora
local inalámbrica 2504 y Puntos de acceso series 1570 - 1700, con el fin de proporcionar una
comunicación efectiva en la red inalámbrica de la FIEC. El rendimiento de la red mejoraría con
respecto a la movilidad del usuario dentro de la red sin sufrir ningún tipo de desconexión, al
implementar una red en malla, estimando lograr la cobertura de la facultad al 100%.
FUENTE: http://www.dspace.espol.edu.ec/xmlui/handle/123456789/31268
TITULO: Análisis de la calidad de señal en una red wifi con la herramienta netstumbler
AUTORES: Susan Martínez Cordero
AÑO: 2005
APORTE: la relación entre la potencia de la señal y la potencia del ruido (SNR) en una red Wifi tanto en
interiores como exteriores, por medio de la herramienta Network Stumbler
FUENTE: https://www.redalyc.org/pdf/304/30400708.pdf
18
TITULO: diagnóstico de riesgos y vulnerabilidades generados por software malicioso a la red
wifi_ucc_estudiantes de la universidad cooperativa sede Bogotá, basado en la aplicación de la
norma ISO 27001:2013.
AUTORES: Jeisson Fabián Machuca Ramírez, Juan Daniel Ortegón Molina
AÑO: 2019
APORTE: Identificar los posibles riesgos y vulnerabilidades a los que se encuentra expuesta la RED
denominada WIFI_UCC_ESTUDIANTES basados en la norma ISO2001:2013 e IEEE802 de la
Universidad Cooperativa de Colombia sede Bogotá
Fuente: https://repository.ucc.edu.co/bitstream/20.500.12494/11349/1/2019_Seguridad_Wifi_UCC.pdf
6. METODOLOGÍA
La metodología que se manejará, para este proyecto será cuantitativa, basándonos en la
información suministrada, para esto se realizará una recolección de datos tanto del área de TI de
la universidad como de los encargados de esta, previamente a esto se efectuará un análisis, que
nos permitirá saber si los errores en los sistemas de seguridad de la universidad
• Etapa 1 definir el alcance: en esta primera etapa se realizará el levantamiento de los
requerimientos para establecer el alcance de nuestro proyecto, el cual se centrará en la
red wifi eventos_coop administrada por el área de TI de la universidad
• Etapa 2 caracterización de activos: en esta etapa se procede a identificar todos
aquellos activos tanto tangibles como intangibles que guarden relación alguna con la
red wifi eventos_coop.
• Etapa 3 identificación de amenazas: una vez identificados los activos se procede a
valorar el rango de criticidad que posee
• Etapa 4: caracterización de las salvaguardas: en esta etapa procedemos a
identificar las salvaguardas que el área de TI de la universidad tiene establecidas para
la protección de la información.
• Etapa 5 evaluar el riesgo: teniendo ya toda la información de las etapas anteriores se
procede a realizar un informe de estado del riesgo al que está expuesta la red wifi
eventos_coop.
19
• Etapa 6 tratamiento del riesgo: en esta etapa se generaremos un plan estratégico,
para la mitigación del riesgo presentado en la red wifi eventos_coop.
7. DISEÑO
(Extensión máxima de 1 página)
Actividades M
es
M
es 1
Me
s 2
Me
s 3
Planificar las distintas
actividades que permitan realizar
el proceso de auditoria
Estructuración y
aplicación de las herramientas
de recolección de la información
Evaluar los controles,
políticas y procedimientos de
seguridad en la red wifi de la
universidad cooperativa.
Identificar el estado
actual de la Seguridad de la
Información basado en la
metodología Magerit.
Analizar y valorar los
riesgos con la información
recopilada
Determinar los posibles
puntos de accesos vulnerables
dentro de la universidad a través
de irrupciones controladas
(hacking ético)
20
Generar las tablas de
estimación de riesgo y el
impacto de este
Validar los resultados de la
evaluación con el personal
responsable de área de
telecomunicaciones.
Redacción del
documento final
Socialización de los
hallazgos recuperados
8. INSTRUMENTOS
Nessus. Es escáner de vulnerabilidades más usado en el mundo. Esta herramienta de alto
nivel detecta amenazas en tiempo real y gracias a su precisión, evita la generación de falsos
positivos. El poderoso Nessus previene eficientemente los ataques de red identificando las
debilidades y errores de configuración que pueden ser usados para permitir el ingreso de
amenazas al sistema.
Cmd. El cmd se puede utilizar para escribir comandos y ejecutarlos, lo que puede ser
especialmente útil para automatizar tareas mediante secuencias de comandos y archivos por lotes,
así como para llevar a cabo funciones administrativas avanzadas y solucionar muchos problemas
en Windows.
WirelessMon. Se trata de un programa muy completo de gestión de redes Wi-Fi y puntos
de acceso, Wirelessmon reúne información sobre los puntos de acceso disponibles y
las estadísticas mostrándolos en forma gráfica.
Zenmap. Zenmap es una herramienta gratuita que podemos utilizar para escanear los
puertos. Podemos saber cuáles tenemos abiertos, para evitar problemas a la hora de usar algunos
21
programas o acceder a un servidor. Se trata de la interfaz gráfica del popular programa de código
abierto Nmap, que permite hacer un escaneo de puertos completo de cualquier equipo conectado.
Herramienta en nuestro ordenador para Administrar la Configuración de las
directivas de seguridad. Las directivas de configuración de seguridad son reglas que puedes
configurar en un dispositivo o en varios dispositivos con el fin de proteger los recursos de un
dispositivo o red. La extensión Configuración de seguridad del complemento Editor de directivas
de grupo local (Gpedit.msc) permite definir configuraciones de seguridad como parte de un
objeto de directiva de grupo (GPO). Los GPO están vinculados a contenedores de Active
Directory, como sitios, dominios y unidades organizativas, y permiten a los administradores
administrar la configuración de seguridad de varios equipos desde cualquier dispositivo unido al
dominio.
Checklist. Los listados de control, listados de chequeo, checklist u hojas de verificación,
siendo formatos generados para realizar actividades repetitivas, controlar el cumplimiento de un
listado de requisitos o recolectar datos ordenadamente y de manera sistemática. Se utilizan para
hacer comprobaciones sistemáticas de actividades o productos asegurándose de que el trabajador
o inspector no se olvida de nada importante.
9. DESARROLLO
9.1.Análisis del estado actual (objetivo específico 1)
Para realizar análisis de este tipo es importante llevar a cabo un análisis del estado actual
que en este caso es el estado actual de la red wifi eventos_coop, esto con el fin de indagar sobre
cuan protegida esta la red de la universidad, para esto se realiza un checklist sobre el dominio de
seguridad en las telecomunicaciones y seguridad física y ambiental. (Ver anexo A). también se
realiza una indagación sobre la topología de red utilizada y su distribución como se muestra a
continuación.
En la ilustración 3 que les presentamos a continuación nos muestra como está distribuido
los equipos de la Universidad cooperativa de Colombia sede Arauca, aquí podemos observar
que esta red brinda un acceso a internet a los estudiantes y al personal administrativo, esta red
permite tener conectividad a los equipos de cómputo de dicha universidad también a teléfonos y
22
todo aquel dispositivo que necesite conexión a internet o que requiera conexión inalámbrica por
medio del cifrado Wap2, permitiéndoles tener al alcance el acceso a internet, tales como para
consultas institucionales y de libre acceso a navegación. Para nosotros acceder a dicha red se
requiere una autenticación la cual la da la Ucc por medio de una contraseña que es publicada en
el mural de la Universidad, por este motivo pensamos que este cifrado Wap2 no está exento de
sufrir cierto ataque por personas ajenas a la Ucc.
En esta distribución se puede observar cómo está constituida y cómo está conformada la
distribución de los equipos de toda la universidad .Basándonos en esta topología se realizó un
escaneo una sola red que estaba funcionan en la entidad educativa mostrándonos si tenían
vulnerabilidades en entorno a la red wifi de la Ucc cede Arauca este escaneo lo que hace es
verificar las vulnerabilidades que se encuentran en dirección a la red, que se encuentren en un
rango de direcciones IP, a raíz de esto se seguirán con el reconocimiento de la red de la
universidad cooperativa de Colombia sede Arauca, mostrándonos sus principales equipos y
acceso a internet.
Maqueta de la distribución de los equipos de la universidad cooperativa de Colombia
Ilustración 3. Planos Distribución de equipos (Autores: Área de TI de la universidad)
23
9.2.Escaneo de la red wifi eventos_coop (Objetivo específico 2)
Una vez se ha realizado el análisis del estado actual de la red se procede a realizar el
escaneo a la red, para esto lo primero que hicimos fue un reconocimiento de la red, lo que
conlleva a utilizar la información para hacer el respectivo análisis de las vulnerabilidades,
a continuación, en la ilustración nos mostrara unas características de la tarjeta de red y su
direccionamiento IP. Esto fue tomado mediante la consola CMD en nuestro ordenador
arrojándonos la IP y su respectiva configuración.
Ilustración 4. Escaneo a la red wifi con el CMD
9.2.1. Pruebas de la vulnerabilidad.
En este paso se evidencia el desarrollo del proceso de escanear la red Wifi eventos_coop
con el programa llamado Nessus este lo que hace es escanear las vulnerabilidades de la más baja
hasta la más crítica, esto se hace con el fin de detectar los riesgos a los que está expuesta la red
Wifi de la Universidad Cooperativa de Colombia sede Arauca, como sabemos esta red hace un
papel primordial para los usuarios a la hora de tener una buena conectividad, tales como los
estudiantes y administrativos.
Para hacer este proceso se tomó la dirección IP de la Ucc, una vez se identifica el equipo
se realiza un análisis, el cual la herramienta nos genera un reporte donde nos indica las
vulnerabilidades encontradas y sus posibles soluciones.
24
9.2.2. Reporte de análisis de vulnerabilidades
Se muestra la evidencia de que el servidor es vulnerable tras haberla detectado mediante
la herramienta Nessus.
Ilustración 5 Análisis de vulnerabilidades
Como se evidencia en la ilustración 5. Se muestra un análisis avanzado de las
vulnerabilidades que existen en la red wifi de la Universidad, este escaneo clasifica las
vulnerabilidades dependiendo de si es crítica, alto, medio o bajo, por el momento no se evidencia
alguna vulnerabilidad critica, pero si nos arrojó una vulnerabilidad Media la cual nos dice que
(no se requiere firma smb) esto a su vez nos quiere decir que (La firma no es necesaria en el
servidor SMB remoto. Un atacante remoto no autenticado puede explotar esto para realizar
ataques, en medio contra el servidor SMB), sin embargo, hay que tener en cuenta que hay que
escanearlas constantemente para saber si existe alguna vulnerabilidad critica etc., ya que estas
pueden afectar la integridad de la red y los que por ella navegan.
25
Que es el protocolo SMB
En redes de computadoras, Bloque de mensajes del servidor (SMB), una versión de la cual
también se conoció como Sistema de archivos de Internet común, funciona como un protocolo de
red de capa de aplicación utilizado principalmente para proporcionar acceso compartido a archivos,
impresoras y puertos serie y comunicaciones misceláneas entre nodos en una red. También
proporciona un mecanismo de comunicación entre procesos autenticado. (Oracle, 2013,2014)
La mayoría del uso de SMB involucra computadoras que ejecutan Microsoft Windows,
donde se conocía como "Red de Microsoft Windows" antes de la introducción de directorio Activo.
Microsoft recomienda encarecidamente aplicar el parche de seguridad
que corrige la vulnerabilidad, tanto en los dispositivos cliente, como en el servidor para evitar que
posibles atacantes puedan hacer uso de la misma.
Para minimizar el riesgo, desde Microsoft también recomiendan bloquear mediante el
firewall de la empresa las conexiones TCP al puerto 445 que provengan de Internet, ya que este es
el puerto utilizado por SMB para comunicarse. De esta manera, se evita que los ciberdelincuentes
sean capaces de aprovechar la vulnerabilidad o hacer los siguientes pasos que les vamos a mostrar.
(2020)
Después de haber realizado los pasos anteriores, verificamos que la vulnerabilidad este
remediada utilizando de nuevo la herramienta Nessus.
Descripción
Escaneo al host, para verificar que el host no tenga ninguna vulnerabilidad. Nessus pudo
determinar si el host remoto está activo utilizando uno o más de los siguientes tipos de ping:
- Un ping ARP, siempre que el host esté en la subred local y Nessus se esté ejecutando a
través de Ethernet.
- Un ping ICMP.
- Un ping TCP, en el que el complemento envía al host remoto un paquete con el
indicador SYN, y el host responderá con un RST o un SYN / ACK.
- Un ping UDP (por ejemplo, DNS, RPC y NTP).
26
Ilustración 6 Escaneo en el host
10. EVALUACIÓN DE CONTROLES, POLÍTICAS Y PROCEDIMIENTOS DE
SEGURIDAD EN LA RED WIFI EVENTOS_COOP DE (objetivo específico 3)
Para recolectar información pertinente sobre los controles, se utiliza la herramienta
checklist, el cual es un formato con una serie de preguntas basadas en los controles a evaluar.
Dicha herramienta es utilizada para la recolección de información de forma ordenada y concreta,
permitiendo que su registro sea de forma fácil para su interpretación.
En el checklist aplicado se evaluaron 2 dominios de seguridad, el dominio 11. Seguridad
física y ambiental y el dominio 13. Seguridad en las telecomunicaciones en donde se evaluaron 2
objetivos de control y 3 controles.
• Dominio 11: Seguridad física y ambiental
Control evaluado: 11.1.1 Perímetro de seguridad física, se formularon preguntas para
evidenciar el estado de seguridad físico del área de TI en donde se administra la red wifi
eventos_coop
• Dominio 13: Seguridad en las telecomunicaciones
Control evaluado: 13.1.1 Controles de red, se plantearon preguntas para establecer si la
universidad emplea mecanismo de protección para la red eventos_coop
27
Control evaluado: 13.1.2 Mecanismos de seguridad asociados a servicios en red, control
en el cual se plantean preguntas para establecer la seguridad en los servicios en red.
A continuación, en la tabla 1 se muestra un resumen del checklist, es decir la cantidad
total de preguntas con su debida respuesta, además se encuentra también la grafica 1 para mejor
interpretación y en la tabla 2 se encuentra el formato completo del checklist.
Tabla 1 Resumen Checklist
Gráfica 1 Resumen del checklist
10.1. EVALUACIÓN DE LOS CONTROLES
Una vez aplicado el checklist, se procede a evaluar el cumplimiento de los
controles, es decir, que tan implementados están esto controles. Para este estudio hemos
desarrollado la tabla 3 valoración de los controles en donde se establecen los niveles de acuerdo a
cada porcentaje:
• Nivel bajo: controles con poco cumplimiento
• Nivel medio: controles que se han instaurado o están en proceso de desarrollo
RESUMEN RESULTADO CHECKLIST
DOMINIO PREGUNTAS SI NO N/A
11 5 4 1 0
12 13 11 2 0
TOTAL 18 15 3 0
28
• Nivel alto: controles debidamente instaurados y documentados.
Tabla 2 valoración de los controles
VALORACION DE LOS CONTROLES
ITEM PORCENTAJE NIVEL
1 0% - 30% BAJO
2 30% - 70% MEDIO
3 70% - 100% ALTO
En la tabla 4, encontramos los 3 controles evaluados con su respectivo porcentaje
posicionándolos en los niveles medio y alto, por lo cual los 3 controles evaluados tienen un
porcentaje de cumplimiento mayor al 80% para mejor interpretación esta la grafica 2. Con el
cumplimiento de los porcentajes.
Tabla 3 nivel de cumplimiento
DOMINI
O
CONTROL A
EVALUAR DESCRIPCIÓN
NIVE
L
11 Perímetro de
seguridad física.
Las instalaciones de la data
center, cuentan con su perímetro de
seguridad correspondiente, sin
embargo, no cuenta con un sistema
de detección de intrusos
70%
13
Controles de
red.
La universidad tiene
empleados diferentes mecanismos de
control de red
90%
Mecanismos
de seguridad
asociados a servicios
en red.
En cuanto a servicios en red
la universidad gestiona y protege de
forma adecuada
90%
29
Gráfica 2 Cumplimiento de los controles
11. SOLUCIONES A LA VULNERABILIDAD ENCONTRADA (objetivo específico 4)
Para darle solución a esta vulnerabilidad se debe habilitar la opción: firmar las
comunicaciones digitalmente (Sign communications digitally) en las políticas de seguridad local
del servidor, esta vulnerabilidad es aprovechada por el protocolo SMB. en el puerto 445 del
servidor, comúnmente es usado para compartir archivos, impresoras, redes y otros recursos. Se
siguen los siguientes pasos en la interfaz gráfica del servidor:
Herramientas administrativas> Directiva de seguridad local o Política de seguridad
local como lo tengan.
Esta configuración de seguridad determina si el componente del servidor SMB requiere la
firma de paquetes.
El protocolo de bloque de mensajes del servidor (SMB) proporciona la base para
compartir archivos e impresiones de Microsoft y muchas otras operaciones de red, como la
administración remota de Windows. Para evitar ataques "man-in-the-middle" que modifican los
paquetes SMB en tránsito, el protocolo SMB admite la firma digital de paquetes SMB. Esta
70%
90% 90%83,33%
0%
20%
40%
60%
80%
100%
Perímetro deseguridad física.
Controles de red. Mecanismos deseguridad
asociados aservicios en red.
Cumplimiento totalNiv
el d
e cu
mp
limie
no
controles
Cumplimiento de los controles
NIVEL
30
configuración de directiva determina si se debe negociar la firma de paquetes SMB antes de que
se permita la comunicación adicional con un cliente SMB.
Si esta configuración está habilitada, el servidor de red de Microsoft no se comunicará
con un cliente de red de Microsoft a menos que ese cliente acepte realizar la firma de paquetes
SMB. Si esta configuración está deshabilitada, la firma de paquetes SMB se negocia entre el
cliente y el servidor.
Por defecto:
• Deshabilitado para servidores miembros.
• Habilitado para controladores de dominio.
Puede configurar esta configuración de seguridad abriendo la política adecuada y expandiendo
el árbol de la consola como tal: Configuración del equipo \ Configuración de Windows \
Configuración de seguridad \ Políticas locales \ Opciones de seguridad. (Microsoft, Servidor de
red de Microsoft: firmar digitalmente las comunicaciones , 2009)
Ilustración 7 Políticas locales> Opciones de seguridad
31
Ilustración 8 Carpeta de opción de seguridad
Ilustración 9 Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre)> Habilitado
En la ilustración 10 podemos apreciar las características de la red y direccionamiento IP,
evidenciando la conectividad inalámbrica que tenemos al momento de establecer la conexión, en
el SSID podemos ver el nombre de la red la cual estamos analizando, también podemos apreciar
la MAC siendo la dirección única que tiene asignada en el punto de acceso a la cual estamos
32
conectados, también nos muestra la intensidad de la señal, también nos muestra la puerta de
entrada en este caso es la WAP2 la señal que utiliza es HMz.
Características de la tarjeta de red y direccionamiento IP
Ilustración 10 Análisis con plataforma wirelessMon
En la Ilustración 11 podemos evidenciar los equipos que detecto el programa de
WirelessMon mostrándonos los equipos que están conectados a la red wifi, aunque no son
muchos los que están conectados, también nos muestra los rangos de frecuencia con su
dirección Mac y la intensidad de la señal.
Puntos de acceso SSID
Ilustración 11 Muestra de los equipos que se conectados a la red eventos_coop
Como podemos ver en esta Ilustración 12 y 13 utilizamos la herramienta NMAP, esta
herramienta nos permite hacer un análisis detectando los puertos que están escuchando en
33
una IP o un rango, nmap nos permite identificar que tecnología o producto o versión hay
detrás de un puerto abierto o incluso que sistema operativo está utilizando.
Ilustración 12 Análisis con Zenmap
Ilustración 13 Análisis con Zenmap
34
12. RECOMENDACIONES
Establecer revisiones periódicas a los mecanismos de seguridad, para mantener el riesgo y
las vulnerabilidades en un margen de error aceptable, de igual forma realizar pruebas de intrusión
para verificar la existencia de nuevas vulnerabilidades para tomar acciones correctivas de forma
oportuna. Además de seguir dando cumplimiento a las políticas de seguridad establecidas por la
universidad, como por ejemplo la actualización oportuna de los ordenadores o dispositivos y
parches de seguridad para así de esta forma poder evitar tener cualquier vulnerabilidad y que una
persona extraña, hacker o intruso pueda entrar a la red sin ser invitado
Mejorar el perímetro de seguridad del área de TI que administra las redes, si bien está
definido no cumple con todos los parámetros de áreas seguras, ya que no tiene un sistema
establecido de detección de intrusos, siendo esta un área de fácil acceso.
Establecer un sistema de autenticación y de detección de intrusos en la red, de esta forma
solo se permite el acceso a usuarios identificados y se restringe el acceso a usuarios desconocidos
permitiendo así saber que uso anormal se le está dando a la red, ejemplo de herramientas para la
detección de intrusos en la red es suricata 3.0 que ofrece a los usuarios un sistema de detección de
intrusos, un sistema de prevención de intrusos y un completo monitor de seguridad para cualquier
servidor conectado a la red todo en tiempo real.
35
13. CONCLUSIONES
El desarrollo del presente proyecto nos permitió afianzar los conocimientos sobre la
norma ISO 27001:2013 el cual es el estándar para la seguridad de la información, mostrándonos
todo el tema de gestión de la seguridad a través de sus diversos controles de seguridad, que
sumado a la elección correcta de herramientas de detección de vulnerabilidades permiten conocer
de forma oportuna las falencias en el sistema, permitiendo tomar acciones correctivas para
minimizar el impacto negativo, se logró con el análisis saber que cumplen los controles de red y
con los mecanismos de seguridad que tiene la universidad.
También debemos tener en cuenta que nuestros información siempre va estar protegida y
que no va hacer divulgada, además el encargado del área siempre debe informar de cualquier
vulnerabilidad que se pueda presentar en algún momento y tomar las acciones preventivas
correspondientes, por eso con mayor razón la universidad cuenta con unas buenas políticas de
seguridad, como lo son sus niveles de protección que les permite conocer que ocurre con la red
de la universidad, también debemos tener en cuenta que la seguridad de la red el 100% por el
momento no existe por eso lo que se busca que la seguridad llegue a un porcentaje lo más
cercano que se pueda para así tener una buenas seguridad de dicha red para dar un óptimo
servicio garantizando siempre la confidencialidad, integridad y disponibilidad de la información
36
14. REFERENTES BIBLIOGRÁFICOS
Anónimo. (s.f.). Ecured. Recuperado de https://www.ecured.cu/Auditor%C3%ADa_de_sistemas
Aréa de TI UCC. (2020).
Armijos de la Vera, Prado Bermúdez, Durango Espinoza. (Agosto de 2015). “ESTUDIO,
ANÁLISIS Y OPTIMIZACIÓN DEL TRÁFICO DE LAS REDES WIFI EN LA. Recuperado
de
https://www.dspace.espol.edu.ec/bitstream/123456789/43734/1/ARMIJOS%20DE%20L
A%20VERA%20ELENA%20ESTHER%20Y%20PRADO%20BERM%c3%9aDEZ%20
GIANELLA%20ESTEFAN%c3%8dA.pdf
Bernal, J. J. (26 de 08 de 2013). PDCA. Recuperado de https://www.pdcahome.com/5202/ciclo-
pdca/
División, comunicaciones . (19 de Agosto de 2019). Golsystem. Recuperado de
https://www.golsystems.mx/2019/08/28/access-point-para-tu-hogar-o-
empresa/#:~:text=Un%20punto%20de%20acceso%20es,Fi%20en%20un%20%C3%A1re
a%20designada.
ESPAÑOLA, R. A. (2008-2020). Recuperado de https://definicion.de/software/
Fundación Universitaria Konrad Lorenz. (10 de Julio de 2014). Para Autores: Revista
Latinoamericana de Psicología. Recuperado de
http://publicaciones.konradlorenz.edu.co/index.php/rlpsi/about/submissions#onlineSubmi
ssions
Hernández, R., Fernández, C., & Baptista, P. (2006). Metodología de la investigación. México:
MacGraw-Hill.
ISOTools. (2020). Recuperado de https://www.isotools.org/normas/riesgos-y-seguridad/iso-
27001/
Libre, U. (2020). Universidad Libre. Recuperado de
http://www.unilibre.edu.co/bogota/ul/noticias/noticias-universitarias/152-seguridad-de-la-
informacion#:~:text=La%20Seguridad%20de%20la,confidencialidad%2C%20la%20aute
nticidad%20e%20Integridad.
Luis Rubiano Orozco, M. B. (s.f.). Seguridad informatica. Recuperado de
https://sites.google.com/site/infrmasegura/amenazas-y-vulnerabilidades
37
MAGERIT. (2 de 10 de 2018). Recuperado de
https://interpolados.wordpress.com/2018/10/02/magerit-v-3-metodologia-de-analisis-y-
gestion-de-riesgos-de-los-sistemas-de-informacion/
Martín, M. M. (s.f.). Recuperado de
http://arantxa.ii.uam.es/~jms/pfcsteleco/anteproyectos/Moreno_Martin_Marta_AntePFC.p
df
Martínez Cordero, S. (Diciembre de 2005). Recuperado de
https://www.redalyc.org/pdf/304/30400708.pdf
Norton. (2020). Norton. Recuperado de https://co.norton.com/internetsecurity-malware.html
Softwarelab. (2014). Softwarelab.org. Recuperado de https://softwarelab.org/es/que-es-wifi-que-
significa-y-para-que-
sirve/#:~:text=%C2%BFQu%C3%A9%20es%20WiFi%3F,sin%20la%20necesidad%20de
%20cables.
Universidad Cooperativa de Colombia. (s.f.). Universidad Cooperativa de Colombia. Recuperado
el octubre de 2020, de https://www.ucc.edu.co/institucion/Paginas/historia.aspx
Oracle. Recuperado de 2013,2014.
https://docs.oracle.com/cd/E55837_01/html/E54251/makehtml-id-24.html
Instituto Nacional de Ciberseguridad 11/06/2020. Recuperado de
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/detectada-
vulnerabilidad-afecta-al-protocolo-smb-windows
Seabrookewindows 2021 agosto 26 Recuperado de.
https://www.seabrookewindows.com/qP3y1E5MG/
38
15. ANEXOS
15.1. Anexo A: Checklist identificación del riesgo de los activos de información.
Tabla 4 Formato checklist