09/05/2024

Nacionales

diferencias

Diferencia entre evaluación de vulnerabilidades y pruebas de penetración.

Guido Rosales 10/04/2023

En Bolivia desde el año 2013 las Entidades reguladas por ASFI deben efectuar un Analisis de Vulnerabilidades Tecncias, como dice el RGSI - Reglamento de Gestion de Seguridad de la Informacion.

El problema se da cuando se interpreta este reglamento segun el conocimiento de las personas y los recursos presupuestados como 2 factores mas relevantes.

Con el paso del tiempo este AVT se ha convertido en un informe de Analisis automatizado de vulnerabilidades traducido al español. Inclusive en muchos casos a las entidades reguladas no les gusta un trabajo minusiosamente realizado por cuanto o desnuda debilidades que han estado presentes tiempo atras, o supone modificaciones a su infraestructura actual, aplicaciones o controles que no tienen planificado hacerlo.

Lamentablemente tambien el TOPTEN de OWASP ha sido tomado como el UNICO referente para estos trabajos. Es decir estamos evaluando la seguridad con la misma vara por ya casi 10 años. Los terminos de referencia no varian, no hay innovacion tanto del cliente y consecuentemente del proveedor. Mucho radica en el presupuesto. 

Entonces, recomendamos a ASFI establecer lineamientos mas claros para lograr mayor beneficio de esta inversion que se hace.

Que dice el RGSI de ASFI?

Pruebas de intrusión (Pen test): Son pruebas controladas que permiten identificar posibles debilidades de los recursos tecnológicos de la Entidad Supervisada, que un intruso podría llegar a explotar para obtener el control de sus sistemas de información, redes de computadoras, aplicaciones web, bases de datos, servidores y/o dispositivos de red. Las pruebas de intrusión pueden ser realizadas a través de la intranet, desde Internet, accesos remotos o cualquier otro medio.

Las pruebas de intrusión se clasifican, dependiendo del origen del ataque, en:
1. Externas, cuando se busca identificar las posibles vulnerabilidades que se encontrarían
ante una acción maliciosa externa;
2. Internas, cuando se busca identificar las vulnerabilidades ante acciones que se
produzcan dentro de la propia Entidad Supervisada.

 

Artículo 8° - (Análisis de vulnerabilidades técnicas) La Entidad Supervisada es responsable de implementar una gestión de vulnerabilidades técnicas, a cuyo efecto debe contar con políticas y procedimientos formales que le permitan identificar su exposición a las mismas y adoptar las acciones preventivas y/o correctivas que correspondan, considerando los siguientes aspectos:

a. La evaluación de vulnerabilidades técnicas debe efectuarse por lo menos una (1) vez por año y ante un cambio en la infraestructura tecnológica. La ejecución de pruebas de seguridad debe considerar la realización de pruebas de intrusión controladas internas, externas o ambas de acuerdo con los resultados del análisis y evaluación de riesgos en seguridad de la información, efectuado por la Entidad Supervisada;

b. El conjunto de políticas y procedimientos referido a la gestión de vulnerabilidades técnicas debe ser revisado y actualizado (si corresponde), por lo menos una (1) vez al año;

c. La Entidad Supervisada debe exigir a la(s) empresa(s) y/o persona(s) que le preste(n) servicios de evaluación de seguridad de la información, la respectiva documentación que acredite la experiencia necesaria para realizar este tipo de trabajos, adicionalmente debe(n) garantizar que el personal que realice las pruebas de intrusión controladas sea certificado y firme un acuerdo de confidencialidad conforme se establece en el Artículo 4° de la presente Sección;

d. El análisis de vulnerabilidades técnicas puede ser realizado por personal externo, interno o ambos, conforme con los resultados del análisis y evaluación de riesgos en seguridad de la información, efectuado por la Entidad Supervisada. Al efecto, el personal interno asignado para esta tarea debe ser ajeno al (las) área(s) de tecnologías y sistemas de información.

Evaluación de vulnerabilidades VS pruebas de penetración.

La evaluación de vulnerabilidades y las pruebas de penetración son dos técnicas comunes utilizadas en la seguridad de la información para evaluar la seguridad de los sistemas y aplicaciones. Ambas técnicas tienen como objetivo identificar y remediar las vulnerabilidades que puedan ser explotadas por atacantes malintencionados, sin embargo, hay algunas diferencias importantes entre ellas.

La evaluación de vulnerabilidades es un proceso automatizado o manual que consiste en escanear los sistemas y aplicaciones para identificar posibles vulnerabilidades de seguridad. Este proceso se centra en la identificación de vulnerabilidades comunes y conocidas, así como en la evaluación de la efectividad de las medidas de seguridad existentes. El resultado de una evaluación de vulnerabilidades es un informe que enumera las vulnerabilidades identificadas junto con una calificación de la gravedad de cada una y recomendaciones sobre cómo abordarlas.

Por otro lado, las pruebas de penetración son una técnica más avanzada que implica la simulación de un ataque real para identificar las vulnerabilidades que podrían ser explotadas por un atacante. Durante una prueba de penetración, un equipo de expertos en seguridad informática realiza una serie de pruebas manuales y automatizadas para identificar las vulnerabilidades y explotarlas de forma segura, sin dañar el sistema o la aplicación. El resultado de una prueba de penetración es un informe que detalla las vulnerabilidades identificadas junto con información sobre cómo se identificaron y cómo se pueden remediar.

En resumen, la evaluación de vulnerabilidades se centra en identificar las vulnerabilidades comunes y conocidas, mientras que las pruebas de penetración van más allá al simular un ataque real para identificar vulnerabilidades que pueden no haber sido detectadas por la evaluación de vulnerabilidades y evaluar la efectividad de las medidas de seguridad existentes.

Cual es mas caro?

En términos de intensidad, el test de penetración es más riguroso y exhaustivo que el análisis de vulnerabilidades, ya que implica la simulación de un ataque real y la identificación de posibles vectores de ataque. Por lo tanto, se podría decir que el test de penetración es más completo y riguroso que el análisis de vulnerabilidades. Sin embargo, ambos son importantes y deben ser realizados como parte de una evaluación completa de la seguridad de un sistema o red.

Entonces un test de penetracion tiende a costar mas.

convocatoria

ESPECIALISTA EN SEGURIDAD INFORMÁTICA – BANCO GANADERO

Guido Rosales 30/03/2023

SEDE SANTA CRUZ - FECHA LIMITE 31 DE MARZO

REQUISITOS:

  • Licenciatura en Ingeniería en Sistemas y/o ramas afines.

  • Experiencia en al menos 3 de los siguientes dominios: seguridad de infraestructura tecnológica, seguridad de aplicaciones, seguridad de datos, seguridad en la nube o seguridad de dispositivo integrado.

  • Experiencia con problemas de cumplimiento normativo ISO, NIST, otros, así como mejores prácticas en seguridad de aplicaciones y redes.

  • Habilidades excepcionales de comunicación, interacción, planificación y organización.

  • Administración de herramientas basadas de Secretos: Kubernetes Secrets, Hashicorp Vault u Otra.

  • Capacidad de realizar monitoreo de sistemas, actividades de tareas de penetración y tests regulares, ej. manejo de herramientas NESSUS o similar, etc.

  • Experiencia en procesos de Ethical Hacking, deseado con certificación CEH
    Log analysis por medio de herramientas EKS o similar Kibana, Elasticsearch, Logstash.

  • Conocimiento de prácticas de seguridad recomendadas por OWASP, DevSecOps y conocimiento de herramientas como HashiCorp.

  • Manejo del concepto de la infraestructura como código. Contenedores, Docker, Swarm, construcción de imágenes (Kubernetes es un plus), Deseable.

  • Conocimiento Avanzado de cloud providers AWS, Google Compute Cloud, Azure, SaS, ventajas comparativas y productos cloud.

  • Uso de herramientas de Monitoreo (Prometheus, Grafana, Dynatrace, o similar).

  • Dominio de estándares de autenticación y seguridad. (JWT, OAuth2).

  • Habilidades excepcionales en administración de infraestructura tecnológica “on premise y nube”, endurecimiento “hardening” de la infraestructura de Firewall de seguridad de Red (NAC, NGFW y antiDDOS) y Aplicaciones WAF, Servidores sistemas operativos, RHEL, MS-Windows, UNIX, herramientas de seguridad control de acceso MFA, SENTINEL, CyberArk, otros.

  • Conocimiento de prácticas de seguridad recomendadas por PCI-DSS Ver. 4+.

  • Habilidades excepcionales para detectar tempranamente vulnerabilidades de seguridad (cyberataques).

  • Capacidad para poder contener ataques informáticos, DDoS, Ransomware, otros.

  • Experiencia en análisis de vulnerabilidades y aplicación de parches correctivos en dispositivos activos de redes, servidores, etc.

ESPECIALISTA EN SEGURIDAD INFORMÁTICA

REQUISITOS:

  • Licenciatura en Ingeniería en Sistemas y/o ramas afines.

  • Experiencia en al menos 3 de los siguientes dominios: seguridad de infraestructura tecnológica, seguridad de aplicaciones, seguridad de datos, seguridad en la nube o seguridad de dispositivo integrado.

  • Experiencia con problemas de cumplimiento normativo ISO, NIST, otros, así como mejores prácticas en seguridad de aplicaciones y redes.

  • Habilidades excepcionales de comunicación, interacción, planificación y organización.

  • Administración de herramientas basadas de Secretos: Kubernetes Secrets, Hashicorp Vault u Otra.

  • Capacidad de realizar monitoreo de sistemas, actividades de tareas de penetración y tests regulares, ej. manejo de herramientas NESSUS o similar, etc.

  • Experiencia en procesos de Ethical Hacking, deseado con certificación CEH
    Log analysis por medio de herramientas EKS o similar Kibana, Elasticsearch, Logstash.

  • Conocimiento de prácticas de seguridad recomendadas por OWASP, DevSecOps y conocimiento de herramientas como HashiCorp.

  • Manejo del concepto de la infraestructura como código. Contenedores, Docker, Swarm, construcción de imágenes (Kubernetes es un plus), Deseable.

  • Conocimiento Avanzado de cloud providers AWS, Google Compute Cloud, Azure, SaS, ventajas comparativas y productos cloud.

  • Uso de herramientas de Monitoreo (Prometheus, Grafana, Dynatrace, o similar).

  • Dominio de estándares de autenticación y seguridad. (JWT, OAuth2).

  • Habilidades excepcionales en administración de infraestructura tecnológica “on premise y nube”, endurecimiento “hardening” de la infraestructura de Firewall de seguridad de Red (NAC, NGFW y antiDDOS) y Aplicaciones WAF, Servidores sistemas operativos, RHEL, MS-Windows, UNIX, herramientas de seguridad control de acceso MFA, SENTINEL, CyberArk, otros.

  • Conocimiento de prácticas de seguridad recomendadas por PCI-DSS Ver. 4+.

  • Habilidades excepcionales para detectar tempranamente vulnerabilidades de seguridad (cyberataques).

  • Capacidad para poder contener ataques informáticos, DDoS, Ransomware, otros.

  • Experiencia en análisis de vulnerabilidades y aplicación de parches correctivos en dispositivos activos de redes, servidores, etc.

REQUISITOS:

  • Licenciatura en Ingeniería en Sistemas y/o ramas afines.

  • Experiencia en al menos 3 de los siguientes dominios: seguridad de infraestructura tecnológica, seguridad de aplicaciones, seguridad de datos, seguridad en la nube o seguridad de dispositivo integrado.

  • Experiencia con problemas de cumplimiento normativo ISO, NIST, otros, así como mejores prácticas en seguridad de aplicaciones y redes.

  • Habilidades excepcionales de comunicación, interacción, planificación y organización.

  • Administración de herramientas basadas de Secretos: Kubernetes Secrets, Hashicorp Vault u Otra.

  • Capacidad de realizar monitoreo de sistemas, actividades de tareas de penetración y tests regulares, ej. manejo de herramientas NESSUS o similar, etc.

  • Experiencia en procesos de Ethical Hacking, deseado con certificación CEH
    Log analysis por medio de herramientas EKS o similar Kibana, Elasticsearch, Logstash.

  • Conocimiento de prácticas de seguridad recomendadas por OWASP, DevSecOps y conocimiento de herramientas como HashiCorp.

  • Manejo del concepto de la infraestructura como código. Contenedores, Docker, Swarm, construcción de imágenes (Kubernetes es un plus), Deseable.

  • Conocimiento Avanzado de cloud providers AWS, Google Compute Cloud, Azure, SaS, ventajas comparativas y productos cloud.

  • Uso de herramientas de Monitoreo (Prometheus, Grafana, Dynatrace, o similar).

  • Dominio de estándares de autenticación y seguridad. (JWT, OAuth2).

  • Habilidades excepcionales en administración de infraestructura tecnológica “on premise y nube”, endurecimiento “hardening” de la infraestructura de Firewall de seguridad de Red (NAC, NGFW y antiDDOS) y Aplicaciones WAF, Servidores sistemas operativos, RHEL, MS-Windows, UNIX, herramientas de seguridad control de acceso MFA, SENTINEL, CyberArk, otros.

  • Conocimiento de prácticas de seguridad recomendadas por PCI-DSS Ver. 4+.

  • Habilidades excepcionales para detectar tempranamente vulnerabilidades de seguridad (cyberataques).

  • Capacidad para poder contener ataques informáticos, DDoS, Ransomware, otros.

  • Experiencia en análisis de vulnerabilidades y aplicación de parches correctivos en dispositivos activos de redes, servidores, etc.

AUDITORTICS

AUDITOR DE SISTEMAS – BANCO SOL

Guido Rosales 29/03/2023

Objetivo del cargo
Realizar la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos, verificando el
grado de cumplimiento para lograr efectividad, eficiencia, confidencialidad, Integridad, disponibilidad,
cumplimiento y confiabilidad de la información que se procesa a través de los sistemas de información del Banco,
tomando como referencia la normativa de la Autoridad de Supervisión del Sistema Financiero (ASFI), normativa
interna del Banco, aplicando metodologías y estándares establecidos como mejores prácticas para dar soporte
especializado, evaluando el logro de un balance óptimo entre las tendencias y oportunidades de tecnología
aplicadas al negocio.
Perfil profesional y experiencia
• Licenciatura o Certificado de Egreso de Ingeniería de Sistemas, Informática, Auditoría Financiera o Contaduría
Pública o áreas afines
• Se valorará contar con Postgrado en Auditoria de Sistemas/Certificaciones Internacionales tipo CISA, CISM, LA
ISO 27001, CISP, CEH o similares
• Acreditar Experiencia mínima de 5 años en ejercicio de la profesión, en áreas de Tecnología de la Información,
de preferencia en Instituciones Financieras
• Conocimiento y experiencia en el uso de técnicas de auditoria asistidas por computador (CAAT ́s) como ACL
• Conocimientos de buenas prácticas y estándares internacionales en gestión de la seguridad de información
(ISO 27001, COBIT, PCI DSS) y Certificaciones Internacionales (CISA, CISM y otros similares)
• Acreditar conocimientos sobre: Leyes, Reglamentos, Normativa emitida por ASFI, Normas Tributarias, Normas
Internacionales de Información Financiera (NIIF), Normas de Auditoría Generalmente aceptadas en Bolivia
(NAGA), Normas Internacionales de Auditoría (NIA).
• Acreditar documentalmente capacitación relacionada a principios y prácticas de Auditoría, Contabilidad y
Gestión de Riesgos, los últimos doce (12) meses.
• Dedicación exclusiva al cargo dentro de la entidad
• Adecuado manejo de herramientas Microsoft Office
Competencias requeridas
• Toma de Decisiones y Gestión de Riesgo
• Coordinación con otros
• Habilidades Sociales
• Inteligencia Emocional

Fecha tope 5 de abril del 2023

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023