SlideShare una empresa de Scribd logo
AUDITORÍA DE SISTEMAS

CONTROLES PREVENTIVOS, CORRECTIVOS Y DETECTIVOS


         COMISION Nro 6:


         Diaz Chonta Job Jr.
         Guerrero Alfaro Marco
         Diaz Cuba Harley
         Garcia Arias Mariano
         Saavedra Valles Oskar
CONTROLES PREVENTIVOS
CONTROL DE ACCESO A LA
     INFORMACIÓN

      SQL Injection
SQL INJECTION

  Una inyección SQL
  sucede cuando se
  inserta o inyecta un
  código SQL invasor
  dentro de otro código
  SQL para alterar su
  funcionamiento normal y
  hacer que se ejecute
  maliciosamente el código
  invasor en la base de
  datos
HERRAMIENTAS O SW DE PREVENCIÓN




      Las herramientas son capaces de filtrar las
      sentencias y proteger las bases de datos
      de ataques de tipo SQL injection.
CASO DE APLICACIÓN
    En este caso tenemos un ejemplo de un login simple
    de usuario = m y de clave = m




Donde sí colocamos los parámetros correctos nos saldrá
el mensaje de aceptación al sistema
Caso contrario nos pedirá que intentemos de nuevo.




Ahora aplicando el SQL injection e insertando cualquier usuario
Nos mostrara lo siguiente accediendo al sistema
¿CÓMO PREVENIRLO?
 Una de las maneras es por medio de una función
 propia en php
Así aplicando lo mismo




El resultado sera otro
IPS (INTRUSION PREVENTION
          SYSTEM)
  SISTEMA DE PREVENCIÓN DE
        INTRUSIONES
IPS
   Un Sistema de Prevención de Intrusos (IPS) es un dispositivo que ejerce
    el control de acceso en una red informática para proteger a los sistemas
    computacionales de ataques y abusos.

   Un IPS funciona por medio de módulos, donde se alerta al administrador
    ante la detección de un posible intruso (usuario que activó algún Sensor)

   Un IPS establece políticas de seguridad para proteger el equipo o la red
    de un ataque; se podría decir que un IPS protege al equipo
    proactivamente y un IDS lo protege reactivamente.

   Los IPS se categorizan en la forma que detectan el tráfico malicioso:

    • Detección Basada en Firmas
    • Detección Basada en Políticas
    • Detección Basada en Anomalías
    • Detección HoneyPot (Jarra de Miel)
CASO: IMPLEMENTACIÓN DE CHECK POINT
IPS-1™.
FUNCIONALIDADES DEL IP S-1

   IPS Hybrid Detection Engine™
    Aplica múltiples técnicas de detección y análisis para
    prevenir los ataques a nivel de red y a nivel de
    aplicaciones.
    El IPS-1 Hybrid Detection Engine™ ofrece detección y
    prevención activas en la red perimetral.

   IPS DynamicShieldingArchitecture™
    Ejecuta funciones preventivas para proteger la red
    interna

   IPS ConfidenceIndexing™
    Ofrece flexibilidad con la particular capacidad de dirigir y
    ajustar la aplicación del sistema de prevención.
ARQUITECTURA DEL IPS-1



  Sensores del IPS-1 (IPS-1 Sensors)
  Servidor de administración del IPS-1 (IPS-1
   Management Server):
  Tablero de administración del IPS-1
ARQUITECTURA DEL IP S-1
CARACTERISTICAS:
PREVENCIÓN DE ATAQUES CON PRECISIÓN Y
DETALLE

 Los sistemas IPS-1 detienen amenazas como la de
  los gusanos Code Red, MS Blaster, Nimda y SQL
  Slammer.
 Detienen ataques que incluyen la inyección SQL, la
  falsificación de comandos, en tiempo real.
 El IPS-1 aplica múltiples técnicas de detección y
  análisis que incluyen:
     firmas de vulnerabilidad,
     firmas de ataques,
     detección de anomalías,
     análisis de protocolos,
¿CÓMO?

    El primer paso es configurar el IPS en
     “learning mode” (aprendizaje), cada vez
     que el ISP detecta nuevo comportamiento
     el administrador deberá configurarlo
     “decirle si es normal o no”.

    El momento en que el IPS aprendió todo el
     comportamiento de la Red se configura el
     “blocking mode”, ahí el IPS detiene todo el
     trafico que no esta en su perfil que
     aprendió.
PREVENCIÓN Y BLOQUEO DE ATAQUES
MÉTODO AVANZADO DE ANÁLISIS FORENSE Y DE
GENERACIÓN DE INFORMES

 Mediante el Management Dashboard del IPS-1, se
 obtienen:

   Vistas gráficas en tiempo real de todos los sensores
   La capacidad de ir a niveles más profundos
   Agrupación de eventos y datos de alerta para identificar de
    manera eficaz las fuentes de los ataques y su alcance.

 Los datos de alerta se pueden organizar fácilmente en
 grupos comunes, los cuales se pueden personalizar según
 los criterios configurables por el usuario.
 Las alertas se pueden agrupar de acuerdo con cualquier
 campo tal como IP de fuente, tipo de ataque y
 vulnerabilidad del objetivo.
BENEFICIOS DEL IPS-1
 Protege los sistemas de TI contra ataques conocidos
  y desconocidos
 Proporciona un bloqueo inmediato y confiable del
  tráfico indeseado de la red
 Ayuda a las investigaciones forenses para identificar
  de manera eficaz las fuentes del ataque y su alcance
 Simplifica la implementación y administración del IPS

 El IPS-1 reconoce de manera automática los puntos
  vulnerables y los protege dinámicamente frente a
  ataques inevitables.
CONTROLES DETECTIVOS
INVENTARIOS FÍSICOS
   CONTROL DETECTIVO
Las empresas dedicadas a la compra y venta de mercancías,
    por ser ésta su principal función y la que dará origen a todas
    las restantes operaciones, necesitarán de una constante
    información resumida y analizada sobre sus inventarios, lo
    cual obliga a la apertura de una serie de cuentas principales y
    auxiliares relacionadas con esos controles. Entres estas
    cuentas podemos nombrar las siguientes:

   Inventario (inicial)
   Compras
   Devoluciones en compra
   Gastos de compras
   Ventas
   Devoluciones en ventas
   Mercancías en tránsito
   Mercancías en consignación
   Inventario (final)
Recordemos que en una empresa consolida es
muy posible que se este usando ya un sistema que
soporte el proceso de inventario.
Se constatará la información tanto física como
lógica.
Entonces en una organización orientada en TICS
donde se hace uso de sistemas computarizados tendremos que
realizar el conteo de todos el hardware que se utilice en la
organización.
CONTROLES CORRECTIVOS
CONTROL EN EL PLAN DE
OPERACIONES
UTILIZACIÓN DE BACKUPS




 RESOLUCIÓN DIRECTORAL 01-2010-IN-0801
CASO PRACTICO :




CREACION DE JOBS EN SQL 2008
SISTEMA DE SEGUIMIENTO DE
ERRORES
DEFINICIÓN:

 Un sistema de seguimiento de errores es una
  aplicación informática diseñada para ayudar a
  asegurar la calidad de software y asistir a los
  programadores y otras personas involucradas en el
  desarrollo y uso de sistemas informáticos en el
  seguimiento de los defectos de software.
COMPONENTES
   Uno de los componentes principales de un sistema
    de seguimiento de errores es: la base de datos
    donde se almacenan los hechos e historia de un
    fallo de software.
   Los hechos pueden ser :
    - Una descripción detallada del fallo.
    - La severidad del evento.
    - Forma de reproducirlo y los programadores que
    intervienen en su solución así como información
    relacionada al proceso de administración de la
    corrección del fallo como puede ser personal asignado,
    fecha probable de remedio y código que corrige el
    problema.
CLASIFICACIÓN DE ERRORES
   Bloqueador: inhibe la continuidad de desarrollo o pruebas del
    programa
   Mayor: pérdida mayor de funcionalidad, como menús
    inoperantes, datos de salida extremadamente incorrectos, o
    dificultades que inhiben parcial o totalmente el uso del
    programa.
   Normal: Una parte menor del componente no es funcional.
   Menor: Una pérdida menor de funcionalidad, o un problema al
    cual se le puede dar la vuelta
   Trivial: Un problema cosmético, como puede ser una falta de
    ortografía o un texto desalineado.
   Mejora: Solicitud de una nueva característica o funcionalidad.
HERRAMIENTAS QUE PERMITEN HACER UN
CONTROL DE ERRORES:
   Bugzilla — http://www.bugzilla.org/
   RequestTracker (RT) — http://www.bestpractical.com/rt/
   Trac — http://trac.edgewall.com/
   Roundup — http://roundup.sourceforge.net/
   Mantis — http://www.mantisbt.org/
   Scarab — http://scarab.tigris.org/
   Debian Bug Tracking System (DBTS) —
    http://www.chiark.greenend.org.uk/~ian/debbugs/
USO
   Un sistema local de reporte de errores (local bug
    tracker, LBT) es generalmente un programa
    utilizado por un equipo de profesionales de soporte
    (a veces un help desk) para mantener registro de
    incidentes reportados a los desarrolladores de
    software. El uso de un LBT permite a los
    profesionales de soporte llevar registro de los
    incidentes en su "propio lenguaje" y no en el
    "lenguaje de los desarrolladores".

Más contenido relacionado

La actualidad más candente

Que es una auditoría informática omar moreno
Que es una auditoría informática omar morenoQue es una auditoría informática omar moreno
Que es una auditoría informática omar moreno
Omar Moreno Ferro
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
Maria de Lourdes Castillero
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
ivanv40
 
Control informatico
Control informaticoControl informatico
Control informatico
Vita1985
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticos
Samuel_Sullon
 
redes y seguridad Evidencias 3
redes y seguridad Evidencias 3redes y seguridad Evidencias 3
redes y seguridad Evidencias 3
Carlos Andres Perez Cabrales
 
Amenaza a las bases de datos
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datos
Leonel Ibarra
 
Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...
Miguel de la Cruz
 
Zarco
ZarcoZarco
Controles
ControlesControles
Controles
fbogota
 
Modulo2 AUDITORIA INFORMATICA
Modulo2  AUDITORIA INFORMATICAModulo2  AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICA
Anabel Jaramillo
 
Reporte integradora
Reporte integradoraReporte integradora
Reporte integradora
sandramorales1
 
Auditoria inf.alcances objetivos
Auditoria inf.alcances objetivosAuditoria inf.alcances objetivos
Auditoria inf.alcances objetivos
cristy_bb
 
10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP 10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP
Henry Raúl González Brito
 
Gestion de fallos GESTION DE RED
Gestion de fallos GESTION DE REDGestion de fallos GESTION DE RED
Gestion de fallos GESTION DE RED
Deivid Cruz Sarmiento
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crs
Leonel Ibarra
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
Manuel Medina
 
Modulo adquisición e implementación
Modulo adquisición e implementaciónModulo adquisición e implementación
Modulo adquisición e implementación
andres121289
 
Clasificacion general de control
Clasificacion general de controlClasificacion general de control
Clasificacion general de control
Roderick Arauz
 

La actualidad más candente (19)

Que es una auditoría informática omar moreno
Que es una auditoría informática omar morenoQue es una auditoría informática omar moreno
Que es una auditoría informática omar moreno
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Control informatico
Control informaticoControl informatico
Control informatico
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticos
 
redes y seguridad Evidencias 3
redes y seguridad Evidencias 3redes y seguridad Evidencias 3
redes y seguridad Evidencias 3
 
Amenaza a las bases de datos
Amenaza a las bases de datosAmenaza a las bases de datos
Amenaza a las bases de datos
 
Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...Administración de configuraciones de seguridad en windows server con group po...
Administración de configuraciones de seguridad en windows server con group po...
 
Zarco
ZarcoZarco
Zarco
 
Controles
ControlesControles
Controles
 
Modulo2 AUDITORIA INFORMATICA
Modulo2  AUDITORIA INFORMATICAModulo2  AUDITORIA INFORMATICA
Modulo2 AUDITORIA INFORMATICA
 
Reporte integradora
Reporte integradoraReporte integradora
Reporte integradora
 
Auditoria inf.alcances objetivos
Auditoria inf.alcances objetivosAuditoria inf.alcances objetivos
Auditoria inf.alcances objetivos
 
10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP 10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP
 
Gestion de fallos GESTION DE RED
Gestion de fallos GESTION DE REDGestion de fallos GESTION DE RED
Gestion de fallos GESTION DE RED
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crs
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
Modulo adquisición e implementación
Modulo adquisición e implementaciónModulo adquisición e implementación
Modulo adquisición e implementación
 
Clasificacion general de control
Clasificacion general de controlClasificacion general de control
Clasificacion general de control
 

Destacado

Presentación101
Presentación101Presentación101
Presentación101
Alexander Velasque Rimac
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
Alexander Velasque Rimac
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
Jaime
 
Control Gerencial
Control GerencialControl Gerencial
Control Gerencial
UNMSM
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de Sistemas
Ana Julieta Gonzalez Garcia
 
Control gerencial
Control gerencial Control gerencial
Control gerencial
Ronald Paul Torrejon Infante
 
Metodos de Auditoría Informatica
Metodos de Auditoría InformaticaMetodos de Auditoría Informatica
Metodos de Auditoría Informatica
UNEFA
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Roberto Porozo
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
Emilet de Sanoja
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
luismarlmg
 

Destacado (10)

Presentación101
Presentación101Presentación101
Presentación101
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Control Gerencial
Control GerencialControl Gerencial
Control Gerencial
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de Sistemas
 
Control gerencial
Control gerencial Control gerencial
Control gerencial
 
Metodos de Auditoría Informatica
Metodos de Auditoría InformaticaMetodos de Auditoría Informatica
Metodos de Auditoría Informatica
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 

Similar a Comision nro 6 as- fiis- controles

Gestión y seguridad informatica act. 2
Gestión y seguridad informatica act. 2Gestión y seguridad informatica act. 2
Gestión y seguridad informatica act. 2
Julio Cesar Labrador Castillo
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Jose Gonzales
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
CISObeat
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INF
Juan Rao
 
Actividad 3 CRS
Actividad 3 CRSActividad 3 CRS
Actividad 3 CRS
Jesús Daniel Mayo
 
Evidencias 3 redes y seguridad
Evidencias 3 redes y seguridad Evidencias 3 redes y seguridad
Evidencias 3 redes y seguridad
Carlos Andrés Pérez Cabrales
 
Presentación2
Presentación2Presentación2
Presentación2
Erika Mora
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
Alejandro Otegui
 
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo realA3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
a3sec
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
guestb40a1b0
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
William Suárez
 
Monitorizacion de Sistemas
Monitorizacion de SistemasMonitorizacion de Sistemas
Monitorizacion de Sistemas
Miguel Angel López Moyano
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
Franciny Salles
 
Evidencias 3
Evidencias 3Evidencias 3
Evidencias 3
Michel Ampudia
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystems
gh02
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramillo
David Moreno Saray
 
Métodos vulnerabilidad activos
Métodos vulnerabilidad activosMétodos vulnerabilidad activos
Métodos vulnerabilidad activos
Alexander Velasque Rimac
 
Unidad 7
Unidad 7Unidad 7
Unidad 7
Alex Daraxee
 
Herramientas de seguridad
Herramientas de seguridadHerramientas de seguridad
Herramientas de seguridad
YolanyTuon
 
Dominio 8 grupo 11
Dominio 8  grupo 11Dominio 8  grupo 11
Dominio 8 grupo 11
Alexander Velasque Rimac
 

Similar a Comision nro 6 as- fiis- controles (20)

Gestión y seguridad informatica act. 2
Gestión y seguridad informatica act. 2Gestión y seguridad informatica act. 2
Gestión y seguridad informatica act. 2
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INF
 
Actividad 3 CRS
Actividad 3 CRSActividad 3 CRS
Actividad 3 CRS
 
Evidencias 3 redes y seguridad
Evidencias 3 redes y seguridad Evidencias 3 redes y seguridad
Evidencias 3 redes y seguridad
 
Presentación2
Presentación2Presentación2
Presentación2
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo realA3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Seguridad En Base De Datos
Seguridad En Base De DatosSeguridad En Base De Datos
Seguridad En Base De Datos
 
Monitorizacion de Sistemas
Monitorizacion de SistemasMonitorizacion de Sistemas
Monitorizacion de Sistemas
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Evidencias 3
Evidencias 3Evidencias 3
Evidencias 3
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystems
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramillo
 
Métodos vulnerabilidad activos
Métodos vulnerabilidad activosMétodos vulnerabilidad activos
Métodos vulnerabilidad activos
 
Unidad 7
Unidad 7Unidad 7
Unidad 7
 
Herramientas de seguridad
Herramientas de seguridadHerramientas de seguridad
Herramientas de seguridad
 
Dominio 8 grupo 11
Dominio 8  grupo 11Dominio 8  grupo 11
Dominio 8 grupo 11
 

Más de Alexander Velasque Rimac

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
Alexander Velasque Rimac
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
Alexander Velasque Rimac
 
Presentación101
Presentación101Presentación101
Presentación101
Alexander Velasque Rimac
 
Is audit ..
Is audit ..Is audit ..
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
Alexander Velasque Rimac
 
Comision nro 6 as- fiis- iiasac
Comision nro 6   as- fiis- iiasacComision nro 6   as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
Alexander Velasque Rimac
 
Dti auditoria de sistemas
Dti   auditoria de sistemasDti   auditoria de sistemas
Dti auditoria de sistemas
Alexander Velasque Rimac
 
Coso final-cd
Coso final-cdCoso final-cd
Cobit
CobitCobit
Organigramas 1- exposicion
Organigramas  1- exposicionOrganigramas  1- exposicion
Organigramas 1- exposicion
Alexander Velasque Rimac
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
Alexander Velasque Rimac
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
Alexander Velasque Rimac
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
Alexander Velasque Rimac
 
Comision nro 6 as- fiis- organizaciones con auditoria
Comision nro 6  as- fiis- organizaciones con auditoriaComision nro 6  as- fiis- organizaciones con auditoria
Comision nro 6 as- fiis- organizaciones con auditoria
Alexander Velasque Rimac
 
Organigramas auditoria
Organigramas auditoriaOrganigramas auditoria
Organigramas auditoria
Alexander Velasque Rimac
 
Comision.3 organigramas
Comision.3 organigramasComision.3 organigramas
Comision.3 organigramas
Alexander Velasque Rimac
 
As empresas y organigramas
As empresas y organigramasAs empresas y organigramas
As empresas y organigramas
Alexander Velasque Rimac
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)
Alexander Velasque Rimac
 
Cobit ppt
Cobit pptCobit ppt
Normas iso
Normas isoNormas iso

Más de Alexander Velasque Rimac (20)

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Presentación101
Presentación101Presentación101
Presentación101
 
Is audit ..
Is audit ..Is audit ..
Is audit ..
 
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
 
Comision nro 6 as- fiis- iiasac
Comision nro 6   as- fiis- iiasacComision nro 6   as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
 
Dti auditoria de sistemas
Dti   auditoria de sistemasDti   auditoria de sistemas
Dti auditoria de sistemas
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
Cobit
CobitCobit
Cobit
 
Organigramas 1- exposicion
Organigramas  1- exposicionOrganigramas  1- exposicion
Organigramas 1- exposicion
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Comision nro 6 as- fiis- organizaciones con auditoria
Comision nro 6  as- fiis- organizaciones con auditoriaComision nro 6  as- fiis- organizaciones con auditoria
Comision nro 6 as- fiis- organizaciones con auditoria
 
Organigramas auditoria
Organigramas auditoriaOrganigramas auditoria
Organigramas auditoria
 
Comision.3 organigramas
Comision.3 organigramasComision.3 organigramas
Comision.3 organigramas
 
As empresas y organigramas
As empresas y organigramasAs empresas y organigramas
As empresas y organigramas
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)
 
Cobit ppt
Cobit pptCobit ppt
Cobit ppt
 
Normas iso
Normas isoNormas iso
Normas iso
 

Comision nro 6 as- fiis- controles

  • 1. AUDITORÍA DE SISTEMAS CONTROLES PREVENTIVOS, CORRECTIVOS Y DETECTIVOS COMISION Nro 6: Diaz Chonta Job Jr. Guerrero Alfaro Marco Diaz Cuba Harley Garcia Arias Mariano Saavedra Valles Oskar
  • 3. CONTROL DE ACCESO A LA INFORMACIÓN SQL Injection
  • 4. SQL INJECTION Una inyección SQL sucede cuando se inserta o inyecta un código SQL invasor dentro de otro código SQL para alterar su funcionamiento normal y hacer que se ejecute maliciosamente el código invasor en la base de datos
  • 5. HERRAMIENTAS O SW DE PREVENCIÓN Las herramientas son capaces de filtrar las sentencias y proteger las bases de datos de ataques de tipo SQL injection.
  • 6. CASO DE APLICACIÓN En este caso tenemos un ejemplo de un login simple de usuario = m y de clave = m Donde sí colocamos los parámetros correctos nos saldrá el mensaje de aceptación al sistema
  • 7. Caso contrario nos pedirá que intentemos de nuevo. Ahora aplicando el SQL injection e insertando cualquier usuario
  • 8. Nos mostrara lo siguiente accediendo al sistema
  • 9. ¿CÓMO PREVENIRLO? Una de las maneras es por medio de una función propia en php
  • 10. Así aplicando lo mismo El resultado sera otro
  • 11. IPS (INTRUSION PREVENTION SYSTEM) SISTEMA DE PREVENCIÓN DE INTRUSIONES
  • 12. IPS  Un Sistema de Prevención de Intrusos (IPS) es un dispositivo que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos.  Un IPS funciona por medio de módulos, donde se alerta al administrador ante la detección de un posible intruso (usuario que activó algún Sensor)  Un IPS establece políticas de seguridad para proteger el equipo o la red de un ataque; se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente.  Los IPS se categorizan en la forma que detectan el tráfico malicioso: • Detección Basada en Firmas • Detección Basada en Políticas • Detección Basada en Anomalías • Detección HoneyPot (Jarra de Miel)
  • 13. CASO: IMPLEMENTACIÓN DE CHECK POINT IPS-1™.
  • 14. FUNCIONALIDADES DEL IP S-1  IPS Hybrid Detection Engine™ Aplica múltiples técnicas de detección y análisis para prevenir los ataques a nivel de red y a nivel de aplicaciones. El IPS-1 Hybrid Detection Engine™ ofrece detección y prevención activas en la red perimetral.  IPS DynamicShieldingArchitecture™ Ejecuta funciones preventivas para proteger la red interna  IPS ConfidenceIndexing™ Ofrece flexibilidad con la particular capacidad de dirigir y ajustar la aplicación del sistema de prevención.
  • 15. ARQUITECTURA DEL IPS-1  Sensores del IPS-1 (IPS-1 Sensors)  Servidor de administración del IPS-1 (IPS-1 Management Server):  Tablero de administración del IPS-1
  • 18. PREVENCIÓN DE ATAQUES CON PRECISIÓN Y DETALLE  Los sistemas IPS-1 detienen amenazas como la de los gusanos Code Red, MS Blaster, Nimda y SQL Slammer.  Detienen ataques que incluyen la inyección SQL, la falsificación de comandos, en tiempo real.  El IPS-1 aplica múltiples técnicas de detección y análisis que incluyen:  firmas de vulnerabilidad,  firmas de ataques,  detección de anomalías,  análisis de protocolos,
  • 19. ¿CÓMO?  El primer paso es configurar el IPS en “learning mode” (aprendizaje), cada vez que el ISP detecta nuevo comportamiento el administrador deberá configurarlo “decirle si es normal o no”.  El momento en que el IPS aprendió todo el comportamiento de la Red se configura el “blocking mode”, ahí el IPS detiene todo el trafico que no esta en su perfil que aprendió.
  • 20. PREVENCIÓN Y BLOQUEO DE ATAQUES
  • 21. MÉTODO AVANZADO DE ANÁLISIS FORENSE Y DE GENERACIÓN DE INFORMES Mediante el Management Dashboard del IPS-1, se obtienen:  Vistas gráficas en tiempo real de todos los sensores  La capacidad de ir a niveles más profundos  Agrupación de eventos y datos de alerta para identificar de manera eficaz las fuentes de los ataques y su alcance. Los datos de alerta se pueden organizar fácilmente en grupos comunes, los cuales se pueden personalizar según los criterios configurables por el usuario. Las alertas se pueden agrupar de acuerdo con cualquier campo tal como IP de fuente, tipo de ataque y vulnerabilidad del objetivo.
  • 22.
  • 23.
  • 24. BENEFICIOS DEL IPS-1  Protege los sistemas de TI contra ataques conocidos y desconocidos  Proporciona un bloqueo inmediato y confiable del tráfico indeseado de la red  Ayuda a las investigaciones forenses para identificar de manera eficaz las fuentes del ataque y su alcance  Simplifica la implementación y administración del IPS  El IPS-1 reconoce de manera automática los puntos vulnerables y los protege dinámicamente frente a ataques inevitables.
  • 26. INVENTARIOS FÍSICOS CONTROL DETECTIVO
  • 27. Las empresas dedicadas a la compra y venta de mercancías, por ser ésta su principal función y la que dará origen a todas las restantes operaciones, necesitarán de una constante información resumida y analizada sobre sus inventarios, lo cual obliga a la apertura de una serie de cuentas principales y auxiliares relacionadas con esos controles. Entres estas cuentas podemos nombrar las siguientes:  Inventario (inicial)  Compras  Devoluciones en compra  Gastos de compras  Ventas  Devoluciones en ventas  Mercancías en tránsito  Mercancías en consignación  Inventario (final)
  • 28. Recordemos que en una empresa consolida es muy posible que se este usando ya un sistema que soporte el proceso de inventario. Se constatará la información tanto física como lógica.
  • 29. Entonces en una organización orientada en TICS donde se hace uso de sistemas computarizados tendremos que realizar el conteo de todos el hardware que se utilice en la organización.
  • 31. CONTROL EN EL PLAN DE OPERACIONES UTILIZACIÓN DE BACKUPS RESOLUCIÓN DIRECTORAL 01-2010-IN-0801
  • 32.
  • 33.
  • 34. CASO PRACTICO : CREACION DE JOBS EN SQL 2008
  • 36. DEFINICIÓN:  Un sistema de seguimiento de errores es una aplicación informática diseñada para ayudar a asegurar la calidad de software y asistir a los programadores y otras personas involucradas en el desarrollo y uso de sistemas informáticos en el seguimiento de los defectos de software.
  • 37. COMPONENTES  Uno de los componentes principales de un sistema de seguimiento de errores es: la base de datos donde se almacenan los hechos e historia de un fallo de software.
  • 38. Los hechos pueden ser : - Una descripción detallada del fallo. - La severidad del evento. - Forma de reproducirlo y los programadores que intervienen en su solución así como información relacionada al proceso de administración de la corrección del fallo como puede ser personal asignado, fecha probable de remedio y código que corrige el problema.
  • 39. CLASIFICACIÓN DE ERRORES  Bloqueador: inhibe la continuidad de desarrollo o pruebas del programa  Mayor: pérdida mayor de funcionalidad, como menús inoperantes, datos de salida extremadamente incorrectos, o dificultades que inhiben parcial o totalmente el uso del programa.  Normal: Una parte menor del componente no es funcional.  Menor: Una pérdida menor de funcionalidad, o un problema al cual se le puede dar la vuelta  Trivial: Un problema cosmético, como puede ser una falta de ortografía o un texto desalineado.  Mejora: Solicitud de una nueva característica o funcionalidad.
  • 40. HERRAMIENTAS QUE PERMITEN HACER UN CONTROL DE ERRORES:  Bugzilla — http://www.bugzilla.org/  RequestTracker (RT) — http://www.bestpractical.com/rt/  Trac — http://trac.edgewall.com/  Roundup — http://roundup.sourceforge.net/  Mantis — http://www.mantisbt.org/  Scarab — http://scarab.tigris.org/  Debian Bug Tracking System (DBTS) — http://www.chiark.greenend.org.uk/~ian/debbugs/
  • 41.
  • 42.
  • 43.
  • 44.
  • 45. USO  Un sistema local de reporte de errores (local bug tracker, LBT) es generalmente un programa utilizado por un equipo de profesionales de soporte (a veces un help desk) para mantener registro de incidentes reportados a los desarrolladores de software. El uso de un LBT permite a los profesionales de soporte llevar registro de los incidentes en su "propio lenguaje" y no en el "lenguaje de los desarrolladores".