Escenarios de Auditoría Informática

Prof.
Mailen Camacaro
Estructura de Seguridad
Fuente: Estudio sobre el Sector de la Seguridad TIC en Espaa. http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Infor mes_1//Estudio_sector_seguridad_tic_espana

PROF.MAILEN CAMACARO R
Noticias de Inters:
Hacking tico:
El objetivo de una auditora de Hacking tico es

analizar y evaluar la situacin actual de las
arquitecturas frente a ataques internos/externos.
Auditora WLAN de Seguridad WIFI:

De todos es sabido que las redes WLAN son en s mismo
inseguras. Esto, unido a la existencia de esquemas

de seguridad demostradamente inseguros, como WEP, hace que deba plantearse
seriamente la seguridad de su arquitectura de red inalmbrica.

Debe tener en cuenta su WLAN en la gestin de la seguridad de la informacin que
implemente su organizacin. Las auditoras sern capaces de encontrar los puntos

dbiles de su seguridad WLAN.
Noticias de Inters:
Auditora OSSTMM y OWASP
La metodologa OSSTMM (Open Source Security Testing Methodology Manual) que facilita una serie de estndares en vistas al desarrollo de cdigo que deber encontrarse accesible en Internet. Por tanto se parte desde un principio con la idea de que este cdigo debe estar preparado para sobrevivir en un entorno altamente hostil.
Noticias de Inters:
Auditora Peritaje y Forense
Los sistemas de informacin adquieren un papel cada vez ms
relevante en nuestra actividad diaria. Los robos de informacin,

fraude, manipulacin y abusos de los correos electrnicos, ataques
a web, accesos no autorizados, etc, son algunas de las muestras

de los peligros que acechan a la empresa. Esto ha obligado a la
obtencin y evaluacin de pruebas de los sistemas. Estas pruebas

con un alto nivel tcnico hacen necesaria, en muchos casos, una interpretacin por parte de peritos o especialistas que realicen una auditoria de peritaje y auditora forense.
Abarca todas las fases que se deben de seguir desde que aparece la necesidad de disponer de un determinado sistema de informacin hasta que ste es construido e implantado.
Un proyecto que se auditara desde su fase de definicin, normalmente se concentrara la labor de auditora en los siguientes puntos:
1. Definicin de los requerimientos tcnicos y funcionales del proyecto 2. Especificacin funcional del desarrollo a realizar
3. Eleccin de la tecnologa a utilizar 4. Auditora de seguridad
Un proyecto que se auditara desde su fase de definicin, normalmente se concentrara la labor de auditora en los siguientes puntos:
5. Especificacin orgnica del desarrollo a realizar 6. Revisin del plan de proyecto global, incluyendo la propia planificacin del proyecto y los planes de test, pilotaje, implantacin y mantenimiento
7. Definicin de pruebas de satisfaccin del usuario final con el producto
10
Otro ejemplo, seria que si el proyecto est en sus ltimas fases, generalmente en test de integracin, se auditan otros puntos para analizar la calidad del producto final:
1. Revisin funcional del producto final, comprobando si cumple los requerimientos iniciales
2. Auditora de seguridad 3. Cumplimiento de la planificacin inicial

4. Realizacin del test de satisfaccin del usuario
11
Otro ejemplo, seria que si el proyecto est en sus ltimas fases, generalmente en test de integracin, se auditan otros puntos para analizar la calidad del producto final:
5. Planes finales de implantacin, formacin y mantenimiento 6. La realizacin de todas estas tareas brinda la informacin necesaria para emitir un informe final de auditora con el resultado de la misma. 7. Es importante tener en cuenta adems que todos estos puntos susceptibles de auditora, son modulables en funcin de las pretensiones del cliente y de su proyecto
12
Pero tambin para auditar, podemos seguir los estndares
Caractersticas operativas
Capacidad de soportar los cambios Flexibilidad de mantenimiento: Puedo corregirlo? Flexibilidad: Puedo cambiarlo? Facilidad de prueba: Puedo cambiarlo?
Correccin: Hace lo que quiero? Fiabilidad: Lo hace de forma fiable? Eficiencia: Hace buen uso del Hw? Seguridad: Es seguro? Facilidad de uso: Est diseado para ser usado?
Adaptabilidad a nuevos entornos Portabilidad: Podre utilizarlo en otra maquina? Interoperabilidad: Interactuara con otro sistema?
13

La calidad del producto junto con la calidad del proceso son los aspectos ms importantes actualmente en el desarrollo de Software. En calidad del producto recientemente ha aparecido una nueva versin de la norma ISO/IEC 9126: la norma ISO/IEC 25000. Esta proporciona una gua para el uso de las nuevas series de estndares internacionales, llamados Requisitos y Evaluacin de Calidad de Productos de Software (SQuaRE). Constituyen una serie de normas basadas en la ISO 9126 y en la ISO 14598 (Evaluacin del
Software), y su objetivo principal es guiar el desarrollo de los productos de software con la

especificacin y evaluacin de requisitos de calidad. Establece criterios para la especificacin de requisitos de calidad de productos software, sus mtricas y su evaluacin
14
15
La auditora de datos habilita a una organizacin la
identificacin de quien crea, modifica, elimina y accede los

datos, cuando y como son accedidos. O bien, la estructura de los datos.
La sola existencia de auditora de datos tiene un efecto

disuasivo en los intrusos de los datos.
Su presencia debe ser parte integral de las operaciones de
los servicios informticos en una organizacin en el da a

da.
17
Mediante la auditora de bases de datos se evaluar:
Definicin de estructuras fsicas y lgicas de las bases de datos. Control de carga y mantenimiento de las bases de datos. Integridad de los datos y proteccin de accesos.
Estndares para anlisis y programacin en el uso de bases de datos. Procedimientos de respaldo y de recuperacin de datos.
18
Aspectos Claves
No se debe comprometer el desempeo de las bases de datos Soportar diferentes esquemas de auditora. Se debe tomar en cuenta el tamao de las bases de datos a auditar y los posibles SLA establecidos. Segregacin de funciones El sistema de auditora de base de datos no puede ser administrado por los DBA del rea de IT.
19
Aspectos Claves
Proveer valor a la operacin del negocio Informacin para auditora y seguridad. Informacin para apoyar la toma de decisiones de la organizacin. Informacin para mejorar el desempeo de la organizacin. Auditora completa y extensiva Cubrir gran cantidad de manejadores de bases de datos. Estandarizar los reportes y reglas de auditora.
20
reas de equipo de comunicacin con control de acceso.

Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos. Control de utilizacin de equipos de prueba de comunicaciones para
monitorizar la red y el trafico en ella. Prioridad de recuperacin del sistema.

Control de las lneas telefnicas.
22
RED FSICA:
El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
La seguridad fsica del equipo de comunicaciones sea adecuada.

Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas telefnicas.
Las lneas de comunicacin estn fuera de la vista.

Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma.
23
RED FSICA:
Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar pinchazos a la red.
Existan revisiones peridicas de la red buscando pinchazos a la misma.

El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas.
Existan alternativas de respaldo de las comunicaciones.

Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retrollamada, cdigo de conexin o interruptores.
24
RED LGICA:

Se deben dar contraseas de acceso. Controlar los errores. Garantizar que en una transmisin, sta solo sea recibida por el
destinatario. Para esto, regularmente se cambia la ruta de acceso

de la informacin a la red.
Registrar las actividades de los usuarios en la red.
Encriptar la informacin pertinente.

Evitar la importacin y exportacin de datos.
25
RED LGICA:
Inhabilitar el software o hardware con acceso libre. Generar estadsticas de las tasas de errores y transmisin.
Crear protocolos con deteccin de errores.

Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor. El software de comunicacin, ha de tener procedimientos correctivos y de control
ante mensajes duplicados, fuera de orden, perdidos o retrasados.
26
RED LGICA:
Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.
Se debe hacer un anlisis del riesgo de aplicaciones en los procesos.

Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones.
Asegurar que los datos que viajan por Internet vayan cifrados.
27
RED LGICA:
Si en la LAN hay equipos con modem entonces se debe revisar el control de
seguridad asociado para impedir el acceso de equipos forneos a la red.
Deben existir polticas que prohban la instalacin de programas o equipos personales en la red.
Los accesos a servidores remotos han de estar inhabilitados.

La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: Servidores = Desde dentro del servidor y de la red interna. Servidores web. Intranet = Desde dentro. Firewall = Desde dentro. Accesos del exterior y/o Internet.
28

Escenarios de Auditoría Informática

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Escenarios de Auditoría Informática

Încărcat de

Drepturi de autor:

Formate disponibile

Prof.

Fuente: Estudio sobre el Sector de la Seguridad TIC en Espaa. http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Infor mes_1//Estudio_sector_seguridad_tic_espana

El objetivo de una auditora de Hacking tico es

arquitecturas frente a ataques internos/externos.

Auditora WLAN de Seguridad WIFI:

inseguras. Esto, unido a la existencia de esquemas

seriamente la seguridad de su arquitectura de red inalmbrica.

implemente su organizacin. Las auditoras sern capaces de encontrar los puntos

Los sistemas de informacin adquieren un papel cada vez ms

relevante en nuestra actividad diaria. Los robos de informacin,

a web, accesos no autorizados, etc, son algunas de las muestras

obtencin y evaluacin de pruebas de los sistemas. Estas pruebas

2. Auditora de seguridad 3. Cumplimiento de la planificacin inicial

Pero tambin para auditar, podemos seguir los estndares

Pero tambin para auditar, podemos seguir los estndares

Software), y su objetivo principal es guiar el desarrollo de los productos de software con la

Pero tambin para auditar, podemos seguir los estndares

La auditora de datos habilita a una organizacin la

identificacin de quien crea, modifica, elimina y accede los

La sola existencia de auditora de datos tiene un efecto

Su presencia debe ser parte integral de las operaciones de

los servicios informticos en una organizacin en el da a

Mediante la auditora de bases de datos se evaluar:

reas de equipo de comunicacin con control de acceso.

monitorizar la red y el trafico en ella. Prioridad de recuperacin del sistema.

La seguridad fsica del equipo de comunicaciones sea adecuada.

Las lneas de comunicacin estn fuera de la vista.

Existan revisiones peridicas de la red buscando pinchazos a la misma.

Existan alternativas de respaldo de las comunicaciones.

destinatario. Para esto, regularmente se cambia la ruta de acceso

Registrar las actividades de los usuarios en la red.

Encriptar la informacin pertinente.

Crear protocolos con deteccin de errores.

ante mensajes duplicados, fuera de orden, perdidos o retrasados.

Se debe hacer un anlisis del riesgo de aplicaciones en los procesos.

seguridad asociado para impedir el acceso de equipos forneos a la red.

Los accesos a servidores remotos han de estar inhabilitados.

S-ar putea să vă placă și