Ethical Hacking in Perú -- 2

El alcance del servicio contempla las direcciones IP públicas de la entidad, pruebas de penetración a las aplicaciones web e infraestructura.

Recursos informáticos considerados para el análisis de vulnerabilidades:

Descripción Cantidad

Aplicaciones web 13

IPs públicas 16

Servidores de aplicación (servidor de archivos, controlador de dominio, intranet) 3

Servidores físicos 6

Servidores virtuales 24

Se deberán desarrollar las siguientes actividades:

a) Planificación:

Identificar los factores externos que deben tenerse en cuenta para la realización del servicio de Ethical Hacking. Estos factores incluyen las políticas de seguridad existentes, fechas y horarios autorizados para las pruebas, así como el desarrollo del plan de trabajo.

b) Reconocimiento:

Realizar el reconocimiento tipo de caja negra, recopilar información sobre los sistemas informáticos de la entidad, reunir las fuentes para adquirir conocimientos acerca de la red, servidores, aplicaciones y usuarios. Posterior a ello, toda la evaluación de seguridad se hará únicamente contra las direcciones IP y aplicaciones declaradas en el alcance.

c) Escaneo de servicios:

Realizar un análisis exhaustivo de la superficie de ataque expuesta a todos los hosts considerados, previamente identificados en la fase de reconocimiento. Debiendo considerar como mínimo:

‐ Detección de conexiones externas.

‐ Obtención rangos de Direcciones IP

‐ Análisis de Dispositivos de Comunicaciones

‐ Escaneo y detección de protocolos TCP y UDP

‐ Escaneo y detección de servicios

d) Análisis de vulnerabilidades:

Realizar pruebas manuales y automatizadas para identificar vulnerabilidades potenciales dentro de la red. Las pruebas manuales deben evaluar las superficies de ataque expuestas y la identificación de los hallazgos que no pueden ser descubiertos utilizando herramientas automatizadas.

Las vulnerabilidades identificadas de forma automatizada deberán ser validadas manualmente a fin de conocer si se tratan o no de falsos positivos.

Las pruebas de seguridad de las aplicaciones web contemplan la ejecución de intentos de vulnerar la seguridad de las aplicaciones y servicios web. Estas pruebas se realizarán con y sin credenciales, con un máximo de hasta 2 perfiles por aplicación, 5 formularios por aplicación web.

e) Definición de escenarios de ataque y explotación de vulnerabilidades

Revisar las vulnerabilidades y errores de configuración identificados para determinar su impacto. Asimismo, se debe realizar pruebas de penetración específica y/o pruebas de vulnerabilidades, ejecución código exploits y verificación de resultados.

La explotación de vulnerabilidades no deberá afectar ni degradar el servicio de las aplicaciones y/o direcciones IP a auditar.

f) Generación de recomendaciones y documentación final:

Presentación de Resultados y Recomendaciones de mejoras, tales como políticas, normas, estándares, procesos, procedimientos de seguridad de la información, acuerdos organizacionales, propuestas de actualización tecnológica para superar las vulnerabilidades encontradas, buenas prácticas de seguridad de la información y recomendaciones de mejoras para respuesta a incidentes.

PERFIL DEL PERSONAL:

a) Estudios: Profesional Titulado en ingeniería de sistemas y/o computación y/o Informática y/o Telecomunicaciones y/o Sistemas y/o Industrial y/o Electrónica

Acreditado, mediante la presentación de la copia simple del diploma o grado académico.

b) Experiencia general no menor a (03) años en entidades públicas y/o privadas.

Acreditado mediante contratos o constancias de trabajo, y/o constancias, certificados, resoluciones de designación, ordenes de servicio.

c) Conocimientos y otros: El especialista debe tener algunos de estos conocimientos:

Análisis informático Forense

Éthical Hacking

Especialización en ciberseguridad y ciberdefensa

Formación de peritos en análisis informático forense de la evidencia digital

Gestión de seguridad de la información ISO 27001.

Auditor interno ISO 27001

Análisis de vulnerabilidades digitales

Fundamentos de Ciberseguridad basado en la ISO 27032

Inteligencia de Fuentes abiertas (OSINT)

FORENSIC LAB

Certificado Gestion de riesgos digitales

Certificado implementacion NIST Cybersecurit Framework

Certificado Taller de implementacion del SOC

Certificado Taller de implementacion MISP

Certificado Fundamentos de Ciberseguridad basado en la ISO 27032

Certificado Analisis Forense Digital

Certificado Analisis de vulnerabilidades digitales

CERTIFICADO Plataforma Nacional de Gestión de Incidentes

Acreditado mediante certificados

Se acreditará el perfil solicitado con copia simple de certificados, títulos, constancias, contratos, órdenes y conformidades o cualquier otra documentación que de manera fehaciente demuestre la experiencia del proveedor.

Nota: De contar con documentos, certificados, títulos, constancias, contratos, órdenes y conformidades en idioma extranjero estas deberán contar con una traducción simple en idioma español.

El plazo de ejecución del servicio de Ethical Hacking se realizará hasta en 15 días calendario

Entregable final:

1.- Informe ejecutivo.

2.-Informe técnico, que detalle las vulnerabilidades encontradas, técnicas y herramientas utilizadas,

evidencias que corroboren la existencia de la vulnerabilidad, recomendaciones que detallen la solución

alcanzable para cada una de las vulnerabilidades. Las vulnerabilidades serán presentadas priorizadas

según el nivel de riesgo que representen para la ENTIDAD. Asimismo, se adjuntar la documentación de

soporte del trabajo realizado (resultados de las pruebas, logs, entre otros

3.-Detalle de las actividades desarrolladas.

4.-Fotos de los trabajos realizados.

Seguridad en Internet Security Systems Certified Information Systems Security Professional (CISSP) Network Security Certified Ethical Hacking

Nº del proyecto: #37944796

Sobre el proyecto