Documente Academic
Documente Profesional
Documente Cultură
Mailen Camacaro
Estructura de Seguridad
Noticias de Inters:
Hacking tico:
Noticias de Inters:
Auditora OSSTMM y OWASP
La metodologa OSSTMM (Open Source Security Testing Methodology Manual) que facilita una serie de estndares en vistas al desarrollo de cdigo que deber encontrarse accesible en Internet. Por tanto se parte desde un principio con la idea de que este cdigo debe estar preparado para sobrevivir en un entorno altamente hostil.
PROF.MAILEN CAMACARO R
Noticias de Inters:
Auditora Peritaje y Forense
PROF.MAILEN CAMACARO R
Abarca todas las fases que se deben de seguir desde que aparece la necesidad de disponer de un determinado sistema de informacin hasta que ste es construido e implantado.
PROF.MAILEN CAMACARO R
Un proyecto que se auditara desde su fase de definicin, normalmente se concentrara la labor de auditora en los siguientes puntos:
1. Definicin de los requerimientos tcnicos y funcionales del proyecto 2. Especificacin funcional del desarrollo a realizar
3. Eleccin de la tecnologa a utilizar 4. Auditora de seguridad
PROF.MAILEN CAMACARO R
Un proyecto que se auditara desde su fase de definicin, normalmente se concentrara la labor de auditora en los siguientes puntos:
5. Especificacin orgnica del desarrollo a realizar 6. Revisin del plan de proyecto global, incluyendo la propia planificacin del proyecto y los planes de test, pilotaje, implantacin y mantenimiento
7. Definicin de pruebas de satisfaccin del usuario final con el producto
PROF.MAILEN CAMACARO R
10
Otro ejemplo, seria que si el proyecto est en sus ltimas fases, generalmente en test de integracin, se auditan otros puntos para analizar la calidad del producto final:
1. Revisin funcional del producto final, comprobando si cumple los requerimientos iniciales
PROF.MAILEN CAMACARO R
11
Otro ejemplo, seria que si el proyecto est en sus ltimas fases, generalmente en test de integracin, se auditan otros puntos para analizar la calidad del producto final:
5. Planes finales de implantacin, formacin y mantenimiento 6. La realizacin de todas estas tareas brinda la informacin necesaria para emitir un informe final de auditora con el resultado de la misma. 7. Es importante tener en cuenta adems que todos estos puntos susceptibles de auditora, son modulables en funcin de las pretensiones del cliente y de su proyecto
PROF.MAILEN CAMACARO R
12
Caractersticas operativas
Capacidad de soportar los cambios Flexibilidad de mantenimiento: Puedo corregirlo? Flexibilidad: Puedo cambiarlo? Facilidad de prueba: Puedo cambiarlo?
Correccin: Hace lo que quiero? Fiabilidad: Lo hace de forma fiable? Eficiencia: Hace buen uso del Hw? Seguridad: Es seguro? Facilidad de uso: Est diseado para ser usado?
Adaptabilidad a nuevos entornos Portabilidad: Podre utilizarlo en otra maquina? Interoperabilidad: Interactuara con otro sistema?
PROF.MAILEN CAMACARO R
13
PROF.MAILEN CAMACARO R
14
PROF.MAILEN CAMACARO R
15
PROF.MAILEN CAMACARO R
17
Definicin de estructuras fsicas y lgicas de las bases de datos. Control de carga y mantenimiento de las bases de datos. Integridad de los datos y proteccin de accesos.
Estndares para anlisis y programacin en el uso de bases de datos. Procedimientos de respaldo y de recuperacin de datos.
PROF.MAILEN CAMACARO R
18
Aspectos Claves
No se debe comprometer el desempeo de las bases de datos Soportar diferentes esquemas de auditora. Se debe tomar en cuenta el tamao de las bases de datos a auditar y los posibles SLA establecidos. Segregacin de funciones El sistema de auditora de base de datos no puede ser administrado por los DBA del rea de IT.
PROF.MAILEN CAMACARO R
19
Aspectos Claves
Proveer valor a la operacin del negocio Informacin para auditora y seguridad. Informacin para apoyar la toma de decisiones de la organizacin. Informacin para mejorar el desempeo de la organizacin. Auditora completa y extensiva Cubrir gran cantidad de manejadores de bases de datos. Estandarizar los reportes y reglas de auditora.
PROF.MAILEN CAMACARO R
20
PROF.MAILEN CAMACARO R
22
RED FSICA:
El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
PROF.MAILEN CAMACARO R
23
RED FSICA:
Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar pinchazos a la red.
PROF.MAILEN CAMACARO R
24
RED LGICA:
Se deben dar contraseas de acceso. Controlar los errores. Garantizar que en una transmisin, sta solo sea recibida por el
25
RED LGICA:
Inhabilitar el software o hardware con acceso libre. Generar estadsticas de las tasas de errores y transmisin.
PROF.MAILEN CAMACARO R
26
RED LGICA:
Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.
Asegurar que los datos que viajan por Internet vayan cifrados.
PROF.MAILEN CAMACARO R
27
RED LGICA:
Si en la LAN hay equipos con modem entonces se debe revisar el control de
Deben existir polticas que prohban la instalacin de programas o equipos personales en la red.
28