El documento propone mejoras de seguridad para la red de una empresa, incluyendo la instalación de cortafuegos con DMZ y política restrictiva, segmentación de servicios públicos, instalación de sistemas de detección de intrusos, movimiento de servicios internos, e implementación de antivirus, antispam y VPN para clientes remotos.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Se explica de forma breve los distintos (no todos) dispositivos de redes. Los temas cumplen con el temario de los Institutos Tecnológicos, la Unidad 3 de la materia de Redes de Computadoras.
IP es la sigla de Internet Protocol o, en nuestro idioma, Protocolo de Internet. Se trata de un estándar que se emplea para el envío y recepción de información mediante una red que reúne paquetes conmutados.
Se explica de forma breve los distintos (no todos) dispositivos de redes. Los temas cumplen con el temario de los Institutos Tecnológicos, la Unidad 3 de la materia de Redes de Computadoras.
IP es la sigla de Internet Protocol o, en nuestro idioma, Protocolo de Internet. Se trata de un estándar que se emplea para el envío y recepción de información mediante una red que reúne paquetes conmutados.
Esta presentación está destinada como trabajo de informática a entregar el día 23/01/17 de la materia de Informática impartida por el profesor Freddy Calcáneo Soberano.
Creada por la alumna Vania Gabriela del tercer grado de secundaria
Seguridad fuera de duda: protege tu PC por todos los flancos
Siempre con un antivirus.
Vacunar los USB.
Disco de limpieza y recuperación. ...
Limpieza de adware y software espía. ...
Un cortafuegos sencillo y potente. ...
Borrado seguro de datos sensibles.
Protegidos ante keyloggers.
Controlando a los más pequeños.
Instrucciones del procedimiento para la oferta y la gestión conjunta del proceso de admisión a los centros públicos de primer ciclo de educación infantil de Pamplona para el curso 2024-2025.
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfsandradianelly
Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestra y el maestro Fase 3Un libro sin recetas, para la maestr
2. 2
Planteamiento inicial
Una empresa nos contrata para evaluar las medidas de seguridad de su
arquitectura de red informática.
Según el diagrama que nos han
facilitado, vemos que todos
los equipos se conectan
directamente a Internet a
través de un router, lo cual
podría acarrear problemas.
¿Qué alternativas propondríamos
para conseguir una red más
segura?
3. 3
Análisis de seguridad
Red plana sin segmentar.
No hay elementos de
monitorización.
No se filtra tráfico de entrada
ni salida.
Publicación de servicios
internos: base de datos.
No se verifica malware o spam
en el correo electrónico.
Cliente remoto accede
directamente a servicios
5. 5
Cortafuegos (Firewalls)
Elemento de red donde se define la política de accesos. Permite o deniega
el tráfico según se definan sus reglas.
Dos filosofías distintas de uso:
Política permisiva (lista negra): Se acepta todo menos lo que se deniega
explícitamente.
Política restrictiva (lista blanca): Se deniega todo menos lo que se acepta
explícitamente.
6. 6
Cortafuegos - Tipos
Clasificación según la ubicación en la que se encuentra el firewall:
Firewalls basados en servidores: consta de una aplicación de firewall que
se instala y ejecuta en un sistema operativo de red (NOS), junto a otra serie
de servicios de enrutamiento, proxy, DNS, DHCP, etc…
Firewalls dedicados: equipos que tienen instalado una aplicación específica
de cortafuegos y que trabajan de forma autónoma como cortafuegos.
Firewalls integrados: se integran en un dispositivo hardware para ofrecer la
funcionalidad de firewall. Ejemplos: switches o routers que integran funciones
de cortafuegos.
Firewalls personales: se instalan en los distintos equipos de la red de forma
que los proteja individualmente de amenazas externas. Ejemplo: el cortafuegos
preinstalado en el sistema operativo Windows para un PC doméstico.
7. 7
Arquitecturas de cortafuegos
Screening router Dual Homed-Host
Un router, como frontera entre la red privada y la Un equipo servidor como frontera que realiza tareas
red pública, realiza tareas de filtrado. de filtrado y enrutamiento mediante al menos 2
tarjetas de red.
Screened Host Screened Subnet
Combina un router como equipo fronterizo y un Se crea una subred intermedia entre la red externa
servidor proxy que filtrará y permitirá añadir reglas y la red privada interna, denominada DMZ (o zona
de filtrado. desmilitarizada)
8. 8
Zona Desmilitarizada (DMZ)
Red local intermedia, ubicada
entre la red interna y la red
externa (Internet).
Utilizada para servicios públicos:
correo electrónico, web, DNS,
FTP… Estos servicios son los que
más ataques reciben.
Creada mediante uno o dos
cortafuegos que restringe el
tráfico entre las tres redes.
Desde la DMZ no se permiten
conexiones a la red interna.
9. 9
IDS / IDPS
IDS: Sistemas de Detección de
Intrusos.
- HIDS: Host IDS.
- NIDS: Network IDS.
Instalación de NIDS en las 3interfaces
IDPS: Sistemas de Detección y
Prevención de Intrusos.
Pueden bloquear ataques
10. 10
Pasarela Antivirus y AntiSpam
Sistemas intermedios que filtran contenido malicioso en canales de
entrada a la red.
Detección de malware en pasarelas web y servidores de correo.
11. 11
Redes Virtuales Privadas (VPN)
Es un tipo de red que utiliza una
infraestructura pública (y por lo
tanto no segura) para acceder a
una red privada de forma
confiable.
Es comúnmente utilizada para
conectar usuarios remotos,
sucursales u oficinas con su
intranet (punto a punto).
12. 12
Ejemplo de arquitectura con seguridad
Instalación de cortafuegos.
DMZ y Red Interna
Política restrictiva
Segmentación de servicios
públicos: web y pasarela
antivirus/antispam.
Instalación de NIDS en las
tres interfaces para conocer
todos los ataques posibles.
Servicios internos movidos:
base de datos y correo.
Instalación de antispam y
antivirus.
Clientes remotos usan VPN