SlideShare una empresa de Scribd logo

Parte2 Auditoria Informatica

Descargar como PPSX, PDF
Hernán Sánchez
Hernán Sánchez

Auditoria Informatica

Educación
1 de 25
INSTITUTO TECNOLOGICO SUPERIOR “LUIS A. MARTINEZ” HERNAN SANCHEZ SEXTO “SISTEMAS” ING.: Luis Anchalí
AUDITORÍA DE MANTENIMIENTO Una Auditoria es un instrumento de seguimiento que colabora en la toma de decisiones, gestión y control del mantenimiento.
Por qué llevar a cabo una auditoría ? Las auditorías son procesos llevados a cabo de manera voluntaria, que surgen de motivaciones tales como conocer el estado de la maquinaria, medir la efectividad del mantenimiento y reducir los costos de mantenimiento. En forma general, se puede decir que las auditorías permiten conocer la situación del mantenimiento en la empresa, establecer y priorizar las necesidades y sus medidas correctivas.
Beneficios de realizar una Auditoria  Progresiva disminución de los costos.  Minimiza problemas actuales y futuros prevención.  Identifica ahorros potenciales.  Racionaliza los recursos disponibles.  Conoce el estado de los equipos.  Evalúa la gestión de mantenimiento.
Auditoría de Base de Datos Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las base de datos incluyendo la capacidad de determinar:  Quién accede a los datos  Cuándo se accedió a los datos  Desde qué tipo de dispositivo/aplicación  Desde que ubicación en la Red  Cuál fue la sentencia SQL ejecutada  Cuál fue el efecto del acceso a la base de datos Es uno de los procesos fundamentales para apoyar la responsabilidad Delegada a IT por la organización frente a las regulaciones y su entorno de Negocios o actividad.
¿Quiénes participan en la Auditoría de Base de Datos?  Auditores de Sistemas  Tecnología de Información  Cumplimiento Corporativo  Riesgo Corporativo  Seguridad Corporativa Términos similares a Auditoría de Base de Datos  Auditoría de Datos  Monitoreo de Datos
OBJETIVOS PRINCIPALES Los esfuerzos en seguridad de base de datos Normalmente están orientados a:  Impedir el acceso externo  Impedir el acceso interno a usuarios no autorizados  Autorizar el acceso sólo a los usuarios autorizados
Con la auditoría de Base de Datos se busca:  Monitorear y registrar el uso de los datos por los usuarios  Autorizados o no  Mantener trazas de uso y del acceso a bases de datos  Permitir investigaciones  General alertas en tiempo real  La mayoría de las nuevas regulaciones federales están relacionadas  Con los datos de las organizaciones, estén o no relacionadas  Directamente con la confidencialidad  SOX (Controles internos y responsabilización por estados  Financieros)  Gramm Leach Bliley O GLBA (Confidencialidad información)  FDA-21CFR11 (Actividad en las bases de datos)  PCI (Información confidencial tarjetas de crédito)
INSTRUMENTOS DE EVALUACION 1. Investigación Preliminar. Obtener el inventario de recursos (Hardware, software, orgware y liveware) y la información relevante para apoyar el examen que el equipo de Auditoría realizara. El resultado de esta recopilación se organiza en un archivo de papeles de trabajo denominado archivo permanentemente o expediente continuo de Auditoría. Conocimiento del negocio y del Sistema. Información sobre la empresa y su objeto social, sobre sus políticas y normas. Además toda la información referente al Sistema de Bases de Datos. 2. Definir grupos de riesgos a. Escenarios de Riesgo Sistema de Bases de Datos. b. Agrupación. 3. Evaluación del estado de control existente (checklist). a. Problemas por seguridad en instalaciones y acceso físico. b. Riesgos relacionados con el acceso lógico y la privacidad a las bases de datos. c. Causado por la relación Sistema Operativo - DBMS. d. Riesgos asociados a las aplicaciones y utilitarios.
EJEMPLO DE APLICACION  Bancos : Manejar la informacion bancaria de cada cliente y sus datos Personales  - Toda empresa que conste con un Sistema de Base de Datos de su Planilla y colaboradores (Recurso Humanos).  - Colegios y Universidades.
AUDITORIA DE LA SEGURIDAD Una auditoría de seguridad consiste en apoyarse en un tercero de confianza (generalmente una compañía que se especializada en la seguridad informática) para validar las medidas de protección que se llevan a cabo, sobre la base de la política de seguridad.
El objetivo de la auditoría es verificar que cada regla de la política de seguridad se aplique correctamente y que todas las medidas tomadas conformen un todo coherente.
Una auditoría de seguridad garantiza que el conjunto de disposiciones tomadas por la empresa se consideren seguras.
AUDITORIA DE LAS REDES La organización en la parte de las red es de comunicación de computadores es un punto de viraje bastante importante; es por ello, que uno de los modelos de red más conocidos, es el modelo OSI A grandes rasgos, el MODELO OSI, dado por capas, está dividido en: Capa FISICA: Se encarga de garantizar la integridad de la información transmitida por la red; por ejemplo, si se envía un 0, que llegue un 0 . Capa de enlace: Garantiza que la línea o canal de transmisión, esté libre de errores. Capa de red: Determina como se encaminan los paquetes, de la fuente al destino. Igualmente, debe velar por el tráfico de la red, evitando al máximo las congestiones. Para ello, debe llevar un registro contable de los paquetes que transitan.
Capa de transporte: Divide los datos en unidades más pequeñas y garantiza que tal información transmitida, llegue correctamente a su destino. De igual forma, crea una conexión de red distinta para cada conexión de transporte requerida, regulando así el flujo de información Analiza también, el tipo de servicio que proporcionará la capa de sesión y finalmente a los usuarios de red. Capa de sesión: Maneja el sentido de transmisión de los datos y la sincronización de operaciones; es decir, si uno transmite, el otro se prepare para recibir y viceversa o Situaciones Commit, donde tras algún problema, se sigue tras ultimo punto de verificación. Capa de presentación: Se encarga de analizar si el mensaje es semánticas y sintácticamente correcto. Capa de aplicación: Implementación de protocolos transferencia de archivos. Lo anterior, nos permite describir 3 tipos de fallos en la seguridad de la red: Alteración de bits: Se corrige por el código de redundancia cíclico. Ausencia de tramas: Las tramas se desaparecen por el a o una sobrecarga del sistema; para ello, se debe tener un número de secuencia de tramas. Alteración de la secuencia en la cual el receptor reconstruye mensaje.
Otro de los tipos de modelos de referencia más conocidos, es el tcp/ip, hoy día, con algunas variaciones, como el de encapsular varios protocolos, como el Netbios; el TCP/IIP da replicación de los canales para posibles caídas del sistema. Bajo ésta POLITICA, entonces se ha definido como clases de redes: Intranet = Red interna de la mpresa. Extranet = Red externa pero directamente relacionada a la empresa. Internet = La red de redes. El problema de tales implementaciones, es que por los puertos de estandarización pública de TCP/IP, se puede entrar cualquier tercero para afectar la red de la compañía o su flujo de información Tal cuestión, es recurrente sobretodo en el acceso de la red interna de la compañía a la Interneyt, para lo cual, y como medida de protección, se usan firewall ( cortafuegos ) que analizan todo tipo de información que entra por Internet a la compañía, activando una alarma, en caso de haber algún intruso o peligro por esa vía a la red. La compañía puede definir 2 tipos extremos de politicas de seguridad: Políticas paranoicas: Toda accion o proceso está prohibido en la red. Políticas promiscuas: No existe la más mínima protección o control a las acciones de los usuarios en la red.
Auditoria de comunicaciones: Ha de verse: La gestión de red = los equipos y su conectividad. La monitorización de las comunicaciones. La revisión de costes y la asignación formal de proveedores. Creación y aplicabilidad de estándares. Cumpliendo como objetivos de control: Tener una gerencia de comunicaciones con plena autoridad de voto y acción. Llevar un registro actualizado de módems, controladores, terminales, líneas y todo equipo relacionado con las comunicaciones. Mantener una vigilancia constante sobre cualquier acción en la red. Registrar un coste de comunicaciones y reparto a encargados. Mejorar el rendimiento y la resolución de problemas presentados en la red.
Para lo cual se debe comprobar:  El nivel de acceso a diferentes funciones dentro de la red.  Coordinación de la organización de comunicación de datos y voz. Han de existir normas de comunicación en:  Tipos de equipamiento como adaptadores LAN  Autorización de nuevo equipamiento, tanto dentro, como fuera de las horas laborales.  Uso de conexión digital con el exterior como Internet.  Instalación de equipos de escucha como Sniffers (exploradores físicos) o Traceadores (exploradores lógicos).
La responsabilidad en los contratos de proveedores. La creación de estrategias de comunicación a largo plazo. Los planes de comunicación a alta velocidad como fibra óptica y ATM ( técnica de conmutación de paquetes usada en redes MAN e ISDN). Planificación de cableado. Planificación de la recuperación de las comunicaciones en caso de desastre. Ha de tenerse documentación sobre el diagramado de la red. Se deben hacer pruebas sobre los nuevos equipos. Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores. Vigilancia sobre toda actividad on-line. La facturación de los transportistas y vendedores ha de revisarse regularmente.
Auditoria De La Red Física Se debe garantizar que exista: Áreas de equipo de comunicación con control de acceso. Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos. Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella. Prioridad de recuperación del sistema. Control de las líneas telefónicas. Comprobando que: El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad física del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas.
Las líneas de comunicación estén fuera de la vista. Se dé un código a cada línea, en vez de una descripcion física de la misma. Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos a la red. Existan revisiones periódicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retrollamada, código de conexión o interruptores.
Auditoria De La Red Lógica En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para éste tipo de situaciones:  Se deben dar contraseñas de acceso.  Controlar los errores.  Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red.  Registrar las actividades de los usuarios en la red.  Encriptar la información pertinente.  Evitar la importacion y exportacion de datos
Que se comprueban si: El sistema pidió el nombre de usuario y la contraseña para cada sesión: En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización, ha de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar su contraseña regularmente, las contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de evitar suplantaciones.
 Inhabilitar el software o hardware con acceso libre.  Generar estadísticas de las tasas de errores y transmisión.  Crear protocolos con detección de errores.  Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.  El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados.  Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.  Se debe hacer un análisis del riesgo de aplicaciones en los procesos.  Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones  Asegurar que los datos que viajan por Internet vayan cifrados.  Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red.  Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.
 Los accesos a servidores remotos han de estar inhabilitados.  La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas:  Servidores = Desde dentro del servidor y de la red interna.  Servidores web.  Intranet = Desde dentro.  Firewall = Desde dentro.  Accesos del exterior y/o Internet.

Recomendados

Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
Auditoria informática y redes de computadoras
Auditoria informática y redes de computadorasAuditoria informática y redes de computadoras
Auditoria informática y redes de computadorasTefita Chicaiza Arias
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redesCarloz Kaztro
 
Expo auditoria de bases de datos
Expo auditoria de bases de datosExpo auditoria de bases de datos
Expo auditoria de bases de datosmarthacely7
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Auditoria de redes
Auditoria de redesAuditoria de redes
Auditoria de redesRamphy Baez
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datosLeidy Andrea Sanchez
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redesLes Esco
 

Recomendados

Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
Auditoria informática y redes de computadoras
Auditoria informática y redes de computadorasAuditoria informática y redes de computadoras
Auditoria informática y redes de computadorasTefita Chicaiza Arias
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redesCarloz Kaztro
 
Expo auditoria de bases de datos
Expo auditoria de bases de datosExpo auditoria de bases de datos
Expo auditoria de bases de datosmarthacely7
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Auditoria de redes
Auditoria de redesAuditoria de redes
Auditoria de redesRamphy Baez
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datosLeidy Andrea Sanchez
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redesLes Esco
 
Auditoriade basededatos
Auditoriade basededatosAuditoriade basededatos
Auditoriade basededatosBlanca Lopez
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas Michelle Perez
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Auditoria de comunicacion y redes
Auditoria de comunicacion y redesAuditoria de comunicacion y redes
Auditoria de comunicacion y redesamanda_mozo
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAXimena Williams
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicacionesAndres Reyes
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJesus Miguel Montilla Dunn
 
Control informatico
Control informaticoControl informatico
Control informaticoVita1985
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Auditoria de redes
Auditoria de redesAuditoria de redes
Auditoria de redesKarzh López
 
Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos Edgar Oswaldo Caballero Montes
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 
Capitulo1 conceptosbasicos
Capitulo1 conceptosbasicosCapitulo1 conceptosbasicos
Capitulo1 conceptosbasicosrocapio1987
 
Auditoria
AuditoriaAuditoria
AuditoriaArnulfo Gomez
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaDavid Thomas
 
Glosario
GlosarioGlosario
GlosarioAlexander Alfaro
 
Clase 04.08
Clase 04.08Clase 04.08
Clase 04.08GOPPASUDD
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 

Más contenido relacionado

La actualidad más candente

Auditoriade basededatos
Auditoriade basededatosAuditoriade basededatos
Auditoriade basededatosBlanca Lopez
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas Michelle Perez
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosadolfo1608
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Auditoria de comunicacion y redes
Auditoria de comunicacion y redesAuditoria de comunicacion y redes
Auditoria de comunicacion y redesamanda_mozo
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAXimena Williams
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicacionesAndres Reyes
 
Control informatico
Control informaticoControl informatico
Control informaticoVita1985
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Auditoria de redes
Auditoria de redesAuditoria de redes
Auditoria de redesKarzh López
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 
Capitulo1 conceptosbasicos
Capitulo1 conceptosbasicosCapitulo1 conceptosbasicos
Capitulo1 conceptosbasicosrocapio1987
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaDavid Thomas
 

La actualidad más candente (20)

Auditoriade basededatos
Auditoriade basededatosAuditoriade basededatos
Auditoriade basededatos
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas
 
Auditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datosAuditoria y centro de procesamiento de datos
Auditoria y centro de procesamiento de datos
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 
Auditoria de comunicacion y redes
Auditoria de comunicacion y redesAuditoria de comunicacion y redes
Auditoria de comunicacion y redes
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informática
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Control informatico
Control informaticoControl informatico
Control informatico
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamiento
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoria
 
Auditoria de redes
Auditoria de redesAuditoria de redes
Auditoria de redes
 
Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemas
 
Capitulo1 conceptosbasicos
Capitulo1 conceptosbasicosCapitulo1 conceptosbasicos
Capitulo1 conceptosbasicos
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
 
Glosario
GlosarioGlosario
Glosario
 

Destacado

Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticajemarinoi
 

Destacado (6)

Clase 04.08
Clase 04.08Clase 04.08
Clase 04.08
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
 
Presentacion auditorias de calidad recreo 2012
Presentacion auditorias de calidad recreo 2012Presentacion auditorias de calidad recreo 2012
Presentacion auditorias de calidad recreo 2012
 
PERFIL DEL AUDITOR
PERFIL DEL AUDITOR PERFIL DEL AUDITOR
PERFIL DEL AUDITOR
 
perfil del auditor
perfil del auditorperfil del auditor
perfil del auditor
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 

Similar a Parte2 Auditoria Informatica

Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasgalactico_87
 
Aplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficherosAplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficherosArmando Landazuri
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaetniesd21
 
Presentación de auditoría de Redes.pptx
Presentación de auditoría de Redes.pptxPresentación de auditoría de Redes.pptx
Presentación de auditoría de Redes.pptxAlvaroVasquez54
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridadmia
 
AUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxAUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxMarko Zapata
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxRamón Alexander Paula Reynoso
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 

Similar a Parte2 Auditoria Informatica (20)

Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datos
 
Aplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficherosAplicaciones bases de datos y ficheros
Aplicaciones bases de datos y ficheros
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoria
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionales
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridad
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Presentación de auditoría de Redes.pptx
Presentación de auditoría de Redes.pptxPresentación de auditoría de Redes.pptx
Presentación de auditoría de Redes.pptx
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
AUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxAUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsx
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptx
 
Wow
WowWow
Wow
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crs
 
redes y seguridad Evidencias 3
redes y seguridad Evidencias 3redes y seguridad Evidencias 3
redes y seguridad Evidencias 3
 
Evidencias 3 redes y seguridad
Evidencias 3 redes y seguridad Evidencias 3 redes y seguridad
Evidencias 3 redes y seguridad
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Tarea adela
Tarea adelaTarea adela
Tarea adela
 

Último

Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...Ars Erótica
 
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptxCONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptxroberthirigoinvasque
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024IES Vicent Andres Estelles
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOluismii249
 
Actividades para el 11 de Mayo día del himno.docx
Actividades para el 11 de Mayo día del himno.docxActividades para el 11 de Mayo día del himno.docx
Actividades para el 11 de Mayo día del himno.docxpaogar2178
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docxEliaHernndez7
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Katherine Concepcion Gonzalez
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesMarisolMartinez707897
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!CatalinaAlfaroChryso
 
Desarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresDesarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresJonathanCovena1
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOluismii249
 
Código Civil de la República Bolivariana de Venezuela
Código Civil de la República Bolivariana de VenezuelaCódigo Civil de la República Bolivariana de Venezuela
Código Civil de la República Bolivariana de Venezuelabeltranponce75
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
 
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptxPLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptxCamuchaCrdovaAlonso
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...jlorentemartos
 
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIASISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIAFabiolaGarcia751855
 
activ4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfactiv4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfRosabel UA
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024IES Vicent Andres Estelles
 

Último (20)

Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
 
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptxCONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
CONCURSO NACIONAL JOSE MARIA ARGUEDAS.pptx
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
 
Actividades para el 11 de Mayo día del himno.docx
Actividades para el 11 de Mayo día del himno.docxActividades para el 11 de Mayo día del himno.docx
Actividades para el 11 de Mayo día del himno.docx
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtuales
 
Supuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docxSupuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docx
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!
 
Desarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresDesarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por Valores
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
 
Código Civil de la República Bolivariana de Venezuela
Código Civil de la República Bolivariana de VenezuelaCódigo Civil de la República Bolivariana de Venezuela
Código Civil de la República Bolivariana de Venezuela
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptxPLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
 
Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024
 
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIASISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
 
activ4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfactiv4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdf
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
 

Parte2 Auditoria Informatica

  • 1. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A. MARTINEZ” HERNAN SANCHEZ SEXTO “SISTEMAS” ING.: Luis Anchalí
  • 2. AUDITORÍA DE MANTENIMIENTO Una Auditoria es un instrumento de seguimiento que colabora en la toma de decisiones, gestión y control del mantenimiento.
  • 3. Por qué llevar a cabo una auditoría ? Las auditorías son procesos llevados a cabo de manera voluntaria, que surgen de motivaciones tales como conocer el estado de la maquinaria, medir la efectividad del mantenimiento y reducir los costos de mantenimiento. En forma general, se puede decir que las auditorías permiten conocer la situación del mantenimiento en la empresa, establecer y priorizar las necesidades y sus medidas correctivas.
  • 4. Beneficios de realizar una Auditoria  Progresiva disminución de los costos.  Minimiza problemas actuales y futuros prevención.  Identifica ahorros potenciales.  Racionaliza los recursos disponibles.  Conoce el estado de los equipos.  Evalúa la gestión de mantenimiento.
  • 5. Auditoría de Base de Datos Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las base de datos incluyendo la capacidad de determinar:  Quién accede a los datos  Cuándo se accedió a los datos  Desde qué tipo de dispositivo/aplicación  Desde que ubicación en la Red  Cuál fue la sentencia SQL ejecutada  Cuál fue el efecto del acceso a la base de datos Es uno de los procesos fundamentales para apoyar la responsabilidad Delegada a IT por la organización frente a las regulaciones y su entorno de Negocios o actividad.
  • 6. ¿Quiénes participan en la Auditoría de Base de Datos?  Auditores de Sistemas  Tecnología de Información  Cumplimiento Corporativo  Riesgo Corporativo  Seguridad Corporativa Términos similares a Auditoría de Base de Datos  Auditoría de Datos  Monitoreo de Datos
  • 7. OBJETIVOS PRINCIPALES Los esfuerzos en seguridad de base de datos Normalmente están orientados a:  Impedir el acceso externo  Impedir el acceso interno a usuarios no autorizados  Autorizar el acceso sólo a los usuarios autorizados
  • 8. Con la auditoría de Base de Datos se busca:  Monitorear y registrar el uso de los datos por los usuarios  Autorizados o no  Mantener trazas de uso y del acceso a bases de datos  Permitir investigaciones  General alertas en tiempo real  La mayoría de las nuevas regulaciones federales están relacionadas  Con los datos de las organizaciones, estén o no relacionadas  Directamente con la confidencialidad  SOX (Controles internos y responsabilización por estados  Financieros)  Gramm Leach Bliley O GLBA (Confidencialidad información)  FDA-21CFR11 (Actividad en las bases de datos)  PCI (Información confidencial tarjetas de crédito)
  • 9. INSTRUMENTOS DE EVALUACION 1. Investigación Preliminar. Obtener el inventario de recursos (Hardware, software, orgware y liveware) y la información relevante para apoyar el examen que el equipo de Auditoría realizara. El resultado de esta recopilación se organiza en un archivo de papeles de trabajo denominado archivo permanentemente o expediente continuo de Auditoría. Conocimiento del negocio y del Sistema. Información sobre la empresa y su objeto social, sobre sus políticas y normas. Además toda la información referente al Sistema de Bases de Datos. 2. Definir grupos de riesgos a. Escenarios de Riesgo Sistema de Bases de Datos. b. Agrupación. 3. Evaluación del estado de control existente (checklist). a. Problemas por seguridad en instalaciones y acceso físico. b. Riesgos relacionados con el acceso lógico y la privacidad a las bases de datos. c. Causado por la relación Sistema Operativo - DBMS. d. Riesgos asociados a las aplicaciones y utilitarios.
  • 10. EJEMPLO DE APLICACION  Bancos : Manejar la informacion bancaria de cada cliente y sus datos Personales  - Toda empresa que conste con un Sistema de Base de Datos de su Planilla y colaboradores (Recurso Humanos).  - Colegios y Universidades.
  • 11. AUDITORIA DE LA SEGURIDAD Una auditoría de seguridad consiste en apoyarse en un tercero de confianza (generalmente una compañía que se especializada en la seguridad informática) para validar las medidas de protección que se llevan a cabo, sobre la base de la política de seguridad.
  • 12. El objetivo de la auditoría es verificar que cada regla de la política de seguridad se aplique correctamente y que todas las medidas tomadas conformen un todo coherente.
  • 13. Una auditoría de seguridad garantiza que el conjunto de disposiciones tomadas por la empresa se consideren seguras.
  • 14. AUDITORIA DE LAS REDES La organización en la parte de las red es de comunicación de computadores es un punto de viraje bastante importante; es por ello, que uno de los modelos de red más conocidos, es el modelo OSI A grandes rasgos, el MODELO OSI, dado por capas, está dividido en: Capa FISICA: Se encarga de garantizar la integridad de la información transmitida por la red; por ejemplo, si se envía un 0, que llegue un 0 . Capa de enlace: Garantiza que la línea o canal de transmisión, esté libre de errores. Capa de red: Determina como se encaminan los paquetes, de la fuente al destino. Igualmente, debe velar por el tráfico de la red, evitando al máximo las congestiones. Para ello, debe llevar un registro contable de los paquetes que transitan.
  • 15. Capa de transporte: Divide los datos en unidades más pequeñas y garantiza que tal información transmitida, llegue correctamente a su destino. De igual forma, crea una conexión de red distinta para cada conexión de transporte requerida, regulando así el flujo de información Analiza también, el tipo de servicio que proporcionará la capa de sesión y finalmente a los usuarios de red. Capa de sesión: Maneja el sentido de transmisión de los datos y la sincronización de operaciones; es decir, si uno transmite, el otro se prepare para recibir y viceversa o Situaciones Commit, donde tras algún problema, se sigue tras ultimo punto de verificación. Capa de presentación: Se encarga de analizar si el mensaje es semánticas y sintácticamente correcto. Capa de aplicación: Implementación de protocolos transferencia de archivos. Lo anterior, nos permite describir 3 tipos de fallos en la seguridad de la red: Alteración de bits: Se corrige por el código de redundancia cíclico. Ausencia de tramas: Las tramas se desaparecen por el a o una sobrecarga del sistema; para ello, se debe tener un número de secuencia de tramas. Alteración de la secuencia en la cual el receptor reconstruye mensaje.
  • 16. Otro de los tipos de modelos de referencia más conocidos, es el tcp/ip, hoy día, con algunas variaciones, como el de encapsular varios protocolos, como el Netbios; el TCP/IIP da replicación de los canales para posibles caídas del sistema. Bajo ésta POLITICA, entonces se ha definido como clases de redes: Intranet = Red interna de la mpresa. Extranet = Red externa pero directamente relacionada a la empresa. Internet = La red de redes. El problema de tales implementaciones, es que por los puertos de estandarización pública de TCP/IP, se puede entrar cualquier tercero para afectar la red de la compañía o su flujo de información Tal cuestión, es recurrente sobretodo en el acceso de la red interna de la compañía a la Interneyt, para lo cual, y como medida de protección, se usan firewall ( cortafuegos ) que analizan todo tipo de información que entra por Internet a la compañía, activando una alarma, en caso de haber algún intruso o peligro por esa vía a la red. La compañía puede definir 2 tipos extremos de politicas de seguridad: Políticas paranoicas: Toda accion o proceso está prohibido en la red. Políticas promiscuas: No existe la más mínima protección o control a las acciones de los usuarios en la red.
  • 17. Auditoria de comunicaciones: Ha de verse: La gestión de red = los equipos y su conectividad. La monitorización de las comunicaciones. La revisión de costes y la asignación formal de proveedores. Creación y aplicabilidad de estándares. Cumpliendo como objetivos de control: Tener una gerencia de comunicaciones con plena autoridad de voto y acción. Llevar un registro actualizado de módems, controladores, terminales, líneas y todo equipo relacionado con las comunicaciones. Mantener una vigilancia constante sobre cualquier acción en la red. Registrar un coste de comunicaciones y reparto a encargados. Mejorar el rendimiento y la resolución de problemas presentados en la red.
  • 18. Para lo cual se debe comprobar:  El nivel de acceso a diferentes funciones dentro de la red.  Coordinación de la organización de comunicación de datos y voz. Han de existir normas de comunicación en:  Tipos de equipamiento como adaptadores LAN  Autorización de nuevo equipamiento, tanto dentro, como fuera de las horas laborales.  Uso de conexión digital con el exterior como Internet.  Instalación de equipos de escucha como Sniffers (exploradores físicos) o Traceadores (exploradores lógicos).
  • 19. La responsabilidad en los contratos de proveedores. La creación de estrategias de comunicación a largo plazo. Los planes de comunicación a alta velocidad como fibra óptica y ATM ( técnica de conmutación de paquetes usada en redes MAN e ISDN). Planificación de cableado. Planificación de la recuperación de las comunicaciones en caso de desastre. Ha de tenerse documentación sobre el diagramado de la red. Se deben hacer pruebas sobre los nuevos equipos. Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores. Vigilancia sobre toda actividad on-line. La facturación de los transportistas y vendedores ha de revisarse regularmente.
  • 20. Auditoria De La Red Física Se debe garantizar que exista: Áreas de equipo de comunicación con control de acceso. Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos. Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella. Prioridad de recuperación del sistema. Control de las líneas telefónicas. Comprobando que: El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad física del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas.
  • 21. Las líneas de comunicación estén fuera de la vista. Se dé un código a cada línea, en vez de una descripcion física de la misma. Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos a la red. Existan revisiones periódicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retrollamada, código de conexión o interruptores.
  • 22. Auditoria De La Red Lógica En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para éste tipo de situaciones:  Se deben dar contraseñas de acceso.  Controlar los errores.  Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red.  Registrar las actividades de los usuarios en la red.  Encriptar la información pertinente.  Evitar la importacion y exportacion de datos
  • 23. Que se comprueban si: El sistema pidió el nombre de usuario y la contraseña para cada sesión: En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización, ha de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar su contraseña regularmente, las contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de evitar suplantaciones.
  • 24. Inhabilitar el software o hardware con acceso libre.  Generar estadísticas de las tasas de errores y transmisión.  Crear protocolos con detección de errores.  Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.  El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados.  Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.  Se debe hacer un análisis del riesgo de aplicaciones en los procesos.  Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones  Asegurar que los datos que viajan por Internet vayan cifrados.  Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red.  Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.
  • 25.  Los accesos a servidores remotos han de estar inhabilitados.  La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas:  Servidores = Desde dentro del servidor y de la red interna.  Servidores web.  Intranet = Desde dentro.  Firewall = Desde dentro.  Accesos del exterior y/o Internet.