AUMENTAR WIFI CON UN SERNIDOR
jueves, 6 de octubre de 2011
|
|
|
0
comentarios
|
Etiquetas:
Aumentar Wifi con sernidor,
configuracion wifi,
Sernidor,
wifi
INFORME DE AUDITORÍA
miércoles, 30 de marzo de 2011
|
|
|
0
comentarios
|
Etiquetas:
El Informe de Auditoría (La Evidencia),
El Informe de Auditoría (Las Normas),
Informe de Auditoría (Introducción)
EL INFORME DE AUDITORÍA
• Las Normas.
• La Evidencia.
• Las Irregularidades.
• La Documentación.
• El Informe
El Informe de Auditoría (Introducción)
El Informe de Auditoría (Las Normas)
• ISACF – Information Systems And Control Foundation.
• LORTAD - Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.
• ISO - International Standard Organization.
• Comité Europeo de Normalización.
• Asociación Española de Normalización y Certificación.
• ITSEC - Information Technologic Security Evaluation Criteria.
• ITSEM - Information Technologic Security Evaluation Method.
• TCSEC – Trusted Computer System Evaluation Criteria.
• ISO 17799.
El Informe de Auditoría (La Evidencia)
El Informe de Auditoría (Las Irregularidades)
El Informe de Auditoría (La Documentación)
• Las Normas.
• La Evidencia.
• Las Irregularidades.
• La Documentación.
• El Informe
El Informe de Auditoría (Introducción)
• El Informe de Auditoría suministra a la administración de la empresa, información sustancial sobre su proceso administrativo, como una forma de contribuir al cumplimiento de sus metas y objetivos programados.
• El Informe de Auditoría Informática, es el objetivo de la Auditoría Informática.
• Podemos afirmar que nunca antes hemos sido tan dependientes de los SI. y nunca antes hemos necesitado tanto a expertos eficientes en Auditoría Informática.
• La Informática es muy joven; por tanto, la Auditoría Informática lo es más. No está todo sin hacer; pero sí quedan muchos cabos por atar y en ésto el tiempo no es neutral.
El Informe de Auditoría (Las Normas)
• ISACF – Information Systems And Control Foundation.
• LORTAD - Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.
• ISO - International Standard Organization.
• Comité Europeo de Normalización.
• Asociación Española de Normalización y Certificación.
• ITSEC - Information Technologic Security Evaluation Criteria.
• ITSEM - Information Technologic Security Evaluation Method.
• TCSEC – Trusted Computer System Evaluation Criteria.
• ISO 17799.
El Informe de Auditoría (La Evidencia)
• La evidencia relevante, que tiene una relación lógica con los objetivos de la auditoría.
• La evidencia fiable, que es válida y objetiva, aunque con nivel de confianza.
• La evidencia suficiente, que es de tipo cuantitativo para soportar la opinión profesional del auditor.
• La evidencia adecuada, que es de tipo cualitativo para afectar a las conclusiones del auditor.
El Informe de Auditoría (Las Irregularidades)
• Recordemos que en los organismos y las empresas, la Dirección tiene la responsabilidad principal y primaria de la detección de irregularidades, fraudes y errores; la responsabilidad del auditor se centra en planificar, llevar a cabo y evaluar su trabajo para obtener una expectativa razonable de su detección.
• Por prudencia y rectitud, convendrá aclarar al máximo de ser posible si el Informe de Auditoría es propiamente de auditoría y no de consultoría o asesoría informática, o de otra materia afín o próxima.
• Aunque siempre debe prevalecer el secreto profesional del auditor, conviene recordar que en el caso de detectar fraude durante el proceso de auditoría procede actuar delicadamente, sobre todo si afecta a los administradores de la organización objeto de auditoría. Ante un caso así, conviene consultar a la Comisión Deontológica Profesional, al asesor jurídico, y leer detenidamente las normas profesionales, el Código Penal y otras disposiciones.
El Informe de Auditoría (La Documentación)
• En el argot de auditoría se conoce como papeles de trabajo la totalidad de los documentos preparados o recibidos por el auditor, de manera que, en conjunto, constituyen un compendio de la información utilizada y de las pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones que ha debido tomar para llegar a formarse su opinión.
• Un Informe profesional tiene que estar basado en la documentación o papeles de trabajo, como utilidad inmediata, previa supervisión.
• Se considera además en know how del auditor.
• Los papeles de trabajo pueden llegar a tener valor en los Tribunales de Justicia.
El Informe de Auditoría (El Informe)
• Los puntos esenciales, genéricos y mínimos del Informe de Auditoría Informática, son los siguientes:
– Identificación del Informe.
– Identificación del Cliente.
– Identificación de la entidad auditada.
– Objetivos de la Auditoría informática.
– Normativa aplicada y excepciones.
– Alcance de la Auditoría.
– Conclusiones: Informe corto de opinión.
– Resultados: Informe largo y otros informes.
– Informes previos.
– Fecha del Informe.
– Identificación y Firma del Auditor.
– Distribución del Informe.
El Marco Jurídico de la Auditoría Informática (Protección de Datos Personales)
• La mayoría de peruanos se ha encontrado muchas veces con llamadas telefónicas o correspondencia de instituciones privadas ofreciéndoles tarjetas de crédito, préstamos, afiliaciones y productos, entre otros. Queda en el misterio cuál fue la fuente de información de los números de teléfono, domicilio, ocupación, la edad o el estado civil de quienes eran contactados.
• Ante esta situación, el Ministerio de Justicia constituyó (mediante Resolución Ministerial N° 094-2002-JUS) la Comisión Especial para proponer el Proyecto de Ley de Protección de Datos Personales y elaborar las propuestas legislativas y administrativas que correspondan.
• La Comisión a cargo presentó el 15/12/2003 el Proyecto de Ley No. 09371 donde en su artículos 61, 63, 69 se trata de la protección de datos personales de los ciudadanos y sus restricciones.
El Marco Jurídico de la Auditoría Informática (Protección Jurídica de los Programas de Computador)
• En el Perú, sólo el INDECOPI y el Poder Judicial son las únicas autoridades que pueden sancionar por reproducción o uso indebido de software.
• Para el INDECOPI, el software se protege como una obra literaria, fruto del ingenio humano. La tutela comprende al código fuente, código objeto, la documentación técnica y los manuales de uso, así como a las versiones sucesivas y programas derivados.
• Sin embargo, actualmente en nuestro país no existen leyes jurídicas que respalden drásticamente la protección de los datos de las empresas.
• Ante ésto, la Comisión de Reglamentos Técnicos y Comerciales de INDECOPI ha elaborado la Norma Técnica Peruana en conjunto con el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI), utilizando como antecedente a la Norma ISO/IEC 17799.
El Marco Jurídico de la Auditoría Informática (La Base de Datos)
• El INDECOPI establece que las bases de datos se protegen siempre y cuando sean originales en razón de la selección, coordinación o disposición de su contenido. Por ejemplo, las páginas blancas de las guías telefónicas no pueden ser protegidas ya que la información de los nombres y apellidos de las personas con sus números de teléfono ha sido puesta de manera alfabética, careciendo de la originalidad y creatividad que se requiere para la protección.
• Para poder incluir obras o parte de ellas en una base de datos se debe pedir permiso al titular del derecho de autor.
• En definitiva lo que se debe proteger en una base de datos no es simplemente el almacenamiento de obras, su ordenación y recuperación, sino que es todo el procedimiento de creación y el resultado final de la misma, en cuanto a su contenido, análisis, almacenamiento, clasificación, selección. y ordenación que caracteriza a la base de datos en sí.
• Un Informe profesional tiene que estar basado en la documentación o papeles de trabajo, como utilidad inmediata, previa supervisión.
• Se considera además en know how del auditor.
• Los papeles de trabajo pueden llegar a tener valor en los Tribunales de Justicia.
El Informe de Auditoría (El Informe)
• Los puntos esenciales, genéricos y mínimos del Informe de Auditoría Informática, son los siguientes:
– Identificación del Informe.
– Identificación del Cliente.
– Identificación de la entidad auditada.
– Objetivos de la Auditoría informática.
– Normativa aplicada y excepciones.
– Alcance de la Auditoría.
– Conclusiones: Informe corto de opinión.
– Resultados: Informe largo y otros informes.
– Informes previos.
– Fecha del Informe.
– Identificación y Firma del Auditor.
– Distribución del Informe.
El Marco Jurídico de la Auditoría Informática (Protección de Datos Personales)
• La mayoría de peruanos se ha encontrado muchas veces con llamadas telefónicas o correspondencia de instituciones privadas ofreciéndoles tarjetas de crédito, préstamos, afiliaciones y productos, entre otros. Queda en el misterio cuál fue la fuente de información de los números de teléfono, domicilio, ocupación, la edad o el estado civil de quienes eran contactados.
• Ante esta situación, el Ministerio de Justicia constituyó (mediante Resolución Ministerial N° 094-2002-JUS) la Comisión Especial para proponer el Proyecto de Ley de Protección de Datos Personales y elaborar las propuestas legislativas y administrativas que correspondan.
• La Comisión a cargo presentó el 15/12/2003 el Proyecto de Ley No. 09371 donde en su artículos 61, 63, 69 se trata de la protección de datos personales de los ciudadanos y sus restricciones.
El Marco Jurídico de la Auditoría Informática (Protección Jurídica de los Programas de Computador)
• En el Perú, sólo el INDECOPI y el Poder Judicial son las únicas autoridades que pueden sancionar por reproducción o uso indebido de software.
• Para el INDECOPI, el software se protege como una obra literaria, fruto del ingenio humano. La tutela comprende al código fuente, código objeto, la documentación técnica y los manuales de uso, así como a las versiones sucesivas y programas derivados.
• Sin embargo, actualmente en nuestro país no existen leyes jurídicas que respalden drásticamente la protección de los datos de las empresas.
• Ante ésto, la Comisión de Reglamentos Técnicos y Comerciales de INDECOPI ha elaborado la Norma Técnica Peruana en conjunto con el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI), utilizando como antecedente a la Norma ISO/IEC 17799.
El Marco Jurídico de la Auditoría Informática (La Base de Datos)
• El INDECOPI establece que las bases de datos se protegen siempre y cuando sean originales en razón de la selección, coordinación o disposición de su contenido. Por ejemplo, las páginas blancas de las guías telefónicas no pueden ser protegidas ya que la información de los nombres y apellidos de las personas con sus números de teléfono ha sido puesta de manera alfabética, careciendo de la originalidad y creatividad que se requiere para la protección.
• Para poder incluir obras o parte de ellas en una base de datos se debe pedir permiso al titular del derecho de autor.
• En definitiva lo que se debe proteger en una base de datos no es simplemente el almacenamiento de obras, su ordenación y recuperación, sino que es todo el procedimiento de creación y el resultado final de la misma, en cuanto a su contenido, análisis, almacenamiento, clasificación, selección. y ordenación que caracteriza a la base de datos en sí.
SEGURIDAD EN UN CENTRO DE TECNOLOGÍA DE INFORMACIÓN
martes, 1 de febrero de 2011
|
|
|
0
comentarios
|
Etiquetas:
ANILLOS DE SEGURIDAD,
LAS REDES PRIVADAS VIRTUALES (VPN),
SEGURIDAD EN UN CENTRO DE TECNOLOGÍA DE INFORMACIÓN,
Seguridad Física,
Seguridad Lógica
SEGURIDAD EN UN CENTRO DE TECNOLOGÍA DE INFORMACIÓN
ANILLOS DE SEGURIDAD
SEGURIDAD EN UN CENTRO DE TECNOLOGÍA DE INFORMACIÓN
Condiciones iniciales.
Sólida en las bases de datos
Seguridad Física.
A nivel preventivo.
Acceso controlado al equipo en base a diversas políticas tales como:
Uso del equipo por personal autorizado (regla).
A nivel correctivo.
Seguridad Lógica
Conducta del Usuario
Otros Aspectos:
LAS REDES PRIVADAS VIRTUALES (VPN).
Costos de la tecnología.
Problema de la seguridad:
Seguridad de Activos de Información de las Empresas:
ANILLOS DE SEGURIDAD
Son los espacios físicos segmentados dentro de las instalaciones del establecimiento, dependencia o institución, a efecto de realizar un análisis cualitativo de la estructura física detectando zonas y puntos sensibles, vitales y vulnerables en las mismas.
SEGURIDAD EN UN CENTRO DE TECNOLOGÍA DE INFORMACIÓN
Implementación de la seguridad física, lógica y condiciones de usuarios en un centro de tecnología de Información.
Condiciones iniciales.
Se realizan en base a la implementación de un sistema multiusuario con tecnología de base de datos relacionales que soporten transacciones en línea, servidores remotos, así como robustez
Sólida en las bases de datos
Seguridad Física.
Para considerar la seguridad física se pueden implementar diversos mecanismos tales como:
A nivel preventivo.
Acceso controlado al equipo en base a diversas políticas tales como:
Uso del equipo por personal autorizado (regla).
Solo podrá tener acceso al equipo aquel personal que cuente con conocimientos mínimos sobre computación (política).
El personal que carezca de todo conocimiento podrá solicitar la ayuda del centro de información o de los analistas de sistemas para hacer uso del equipo del sistema.
A nivel correctivo.
El aseguramiento del equipo en alguna agencia de seguros para que en caso de posible siniestro no exista una pérdida total por parte de los elementos físicos que controlan y dan soporte al sistema.
Seguridad Lógica
La seguridad lógica al referirse a controles lógicos dentro del software se implementa mediante la construcción de contraseñas en diversos niveles del sistemas donde permita solo el acceso en base a niveles de seguridad de usuarios con permiso, en base al sistema operativo que use como plataforma el sistema a implantarse puedo considerar además a nivel código, algoritmos que generen claves para poder encriptar los archivos de contraseñas dentro del sistema lo cual me permita mayor seguridad en un entorno de red.
Conducta del Usuario
Para asegurar el éxito del sistema es necesario establecer campañas constantes sobre la funcionalidad y logros que se alcanzaran con el sistema los cuales creen una conciencia en el usuario y logren forman en él un interés en el uso del sistema. Mediante boletines, videos, conferencias que no entran en el adiestramiento sino que sirven para reforzar el uso y " amor " hacia el sistema por parte de los usuarios.
También es importante el análisis del uso y trayecto del sistema por parte de los usuarios para poder detectar fugas de información y posibles problemas con los datos accesados del sistema.
Otros Aspectos:
LAS REDES PRIVADAS VIRTUALES (VPN).
Las redes privadas virtuales (VPN) deben su creciente popularidad al hecho que las grandes y pequeñas empresas han buscado la forma de utilizar el Internet público para aumentar la movilidad, mejorar la productividad de los empleados y contribuir al desarrollo. Y las VPN han demostrado que lo han logrado de muchas maneras cuando le permiten a los trabajadores remotos que trabajan en la calle, en el hogar o en otras oficinas tener acceso a la red privada, LAN de la compañía desde cualquier parte del mundo utilizando su computadora portátil o computadora del hogar y el Internet público.
Costos de la tecnología.
Aunque una solución VPN es menos costosa que las redes WAN y otras soluciones de acceso remoto, se debe invertir una suma significativa para implementar una VPN patentada.
Problema de la seguridad:
El aspecto importante en las VPN o cualquier tecnología que comprometa la naturaleza típicamente restrictiva de una red privada es la seguridad. Los primeros detractores de las VPN fueron ágiles en demostrar la vulnerabilidad de la tecnología y muchos críticos señalaron a los protocolos mismos, particularmente el PPTP como el responsable del problema de la seguridad.
Seguridad de Activos de Información de las Empresas:
Las grandes pérdidas económicas sufridas por las empresas debido a los incidentes de seguridad de la información durante los últimos años a nivel mundial, ha traído consigo, una mayor concientización de la importancia de la Seguridad de Activos de Información, y en general, para la administración integral del riesgo.
ESCANEOS DE PUERTOS:
SPOOFING
Por spoofing se conoce a la creación de tramas TCP/IP utilizando una dirección IP falseada; la idea de este ataque - al menos la idea - es muy sencilla: desde su equipo, un pirata simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. Y como los anillos de confianza basados en estas características tan fácilmente falsificables son aún demasiado abundantes, el spoofing sigue siendo en la actualidad un ataque no trivial, pero factible contra cualquier tipo de organización.
NEGACIONES DE SERVICIO:
Las negaciones de servicio (conocidas como DoS, Denial of Service) son ataques dirigidos contra un recurso informático (generalmente una máquina o una red, pero también podría tratarse de una simple impresora o una terminal) con el objetivo de degradar total o parcialmente los servicios prestados por ese recurso a sus usuarios legítimos; constituyen en muchos casos uno de los ataques más sencillos y contundentes contra todo tipo de servicios, y en entornos donde la disponibilidad es valorada por encima de otros parámetros de la seguridad global puede convertirse en un serio problema, ya que un pirata puede interrumpir constantemente un servicio sin necesidad de grandes conocimientos o recursos, utilizando simplemente sencillos programas y un módem y un PC caseros.
INTERCEPTACIÓN.
Ya comentamos algunos aspectos relacionados con la interceptación de datos en tránsito o en proceso por parte de usuarios no autorizados; allí hablamos de los ataques y defensas desde un punto de vista casi exclusivamente físico, por lo que vamos a entrar ahora en algunos puntos más relacionados con la interceptación lógica. Y sin duda, la interceptación lógica de datos más conocida y extendida es el sniffing: en esa misma sección ya introdujimos este término y hablamos de dispositivos hardware como los sniffers de alta impedancia; sin embargo, en entornos de trabajo de seguridad media es mucho más común que el sniffing se produzca utilizando programas (sniffers) y no elementos hardware.
ATAQUES A APLICACIONES
CORREO ELECTRÓNICO.
Desde hace muchos años los sistemas de correo electrónico de una organización han sido para los piratas una fuente inagotable de puntos de entrada a la misma; lo más probable es que si le preguntamos a cualquier administrador de máquinas Unix con algo de experiencia cuál ha sido el software que más problemas de seguridad le ha causado nos responda sin dudarlo: sendmail, por supuesto. Y ya no sólo sendmail y el protocolo SMTP, sino que también, con la popularización de POP3, los servidores de este protocolo son un peligro potencial a tener en cuenta en cualquier entorno informático donde se utilice el correo electrónico: es decir, en todos.
ATAQUES VÍA WEB:
Durante los últimos años los servidores web se han convertido en una excelente fuente de diversión para piratas: cualquier empresa que se precie, desde las más pequeñas a las grandes multinacionales, tiene una página web en las que al menos trata de vender su imagen corporativa. Si hace unos años un pirata que quisiera atacar a una empresa (y no a todas, ya que muy pocas tenían representación en la red) tenía que agenciarselas para obtener primero información de la misma y después buscar errores de configuración más o menos comunes de sus sistemas (o esperar al próximo bug de sendmail), hoy en día le basta con teclear el nombre de su objetivo en un navegador y añadir la coletilla `.com' detrás del mismo para contactar con al menos una de sus máquinas: su servidor web.
PRINCIPALES CONCLUSIONES
1. Evaluaciones recurrentes de Seguridad de Activos de Información: El panorama general del mercado peruano ante el reto de la Seguridad de Activos de Información, indica que entre las actividades consideradas por la mayoría de las grandes y medianas empresas, se incluye la realización de evaluaciones de seguridad, al menos una vez al año.
2. Presupuesto asignado a la Función de Seguridad de Activos de Información: En cuanto al presupuesto asignado a la Función de Seguridad de Activos de Información, es resaltante hacer mención cómo este aspecto ha presentado un mayor nivel de importancia en las empresas.
Ataques:
Robert Thomas Morris
El 3 de noviembre de 1988, equipos como VAX y SUN q p conectados a Internet se vieron afectados en su rendimiento y posteriormente se paralizaron. Se vieron afectados Bancos, Universidades e instituciones de gobierno, la causa fue un GUSANO, desarrollado por Morris recién graduado en Computer Science en la Universidad de Cornell.
Se estimó que en 90 minutos, el gusano logró infectar 6 000 equipos alrededor del mundo originando perdidas 6.000 entre 100.000 a 10.000.000.
Phreacker
Personas que intentan usar la tecnología para explorar y/o controlar los sistemas telefónicos.
Originalmente, este término se refería a los usuarios de las conocidas "blue boxes" (dispositivos electrónicos que permitían realizar llamadas gratuitamente).
Ahora bien, como en la actualidad las compañías telefónicas utilizan sistemas digitales en lugar de electromecánicos, los phreakers han pasado a utilizar muchas de las técnicas de los hackers.
Phreacker
Kevin Poulse paso a la fama al ganarse un Porsche, claro, de manera ilícita.
La estación de Radio KII-FM en los Angeles, celebró un aniversario organizando un concurso, el cual consistía en que la llamada número 102 que entrara a la Radio, sería la ganadora del Porsche 944 S2, Kevin había phackeado la central telefónica de “Pacific Bell” de tal forma que aseguro que su llamada fuese la 102.
Cracker
Kevin David Mitnick, es quizás el más famoso hackers de los últimos tiempos. Descubrió y reveló información de alta seguridad perteneciente al FBI, incluyendo cintas del Israel Ángeles consulado de Israel, en Los Ángeles.
Fue capturado en 1995 y liberado en el 2000, después de permanecer casi 5 años en un prisión federal
Le costó al estado norteamericano y a empresas privadas, millones de dólares al ser objeto de hurto de su software, información y alteración de los datos de las mismas víctimas Motorola Novell mismas. (Unas de sus Motorola, Novell, Nokia y Sun Microsystems, el FBI, el Pentágono y la Universidad de Southern California).
Cracker
• Vladimir Levin graduado en matemáticas de la Universidad Tecnológica de San Petesburgo, Rusia, fue acusado y preso por la Interpol después de meses de investigación por ser la mente maestra de una serie de fraudes tecnológicos que le permitieron a él y la banda que conformaba, substraer más de 10 millones de dólares, de cuentas corporativas del Citibank. fue sentenciado a 3 años de prisión y a pagar la suma de US $ 240,015.
Los técnicos tuvieron que mejorar sus sistemas de seguridad contra "crackers" y Vladimir Levin ahora se encuentra en libertad
Un análisis significativo constituye un importante esfuerzo en la obtención de estadísticas que intentan medir las tendencias locales en materia de Seguridad de Activos de Información respecto a las tendencias mundiales, y trata además, de identificar las prácticas de seguridad que hoy en día se están aplicando de manera consistente y masiva en las empresas.
ESCANEOS DE PUERTOS:
Una de las primeras actividades que un potencial (o no tan potencial) atacante realizará contra su objetivo será sin duda un escaneo de puertos, un portscan; esto le permitirá obtener en primer lugar información básica acerca de qué servicios estamos ofreciendo en nuestras máquinas y, adicionalmente, otros detalles de nuestro entorno como qué sistema operativo tenemos instalados en cada host o ciertas características de la arquitectura de nuestra red. Analizando qué puertos están abiertos en un sistema, el atacante puede buscar agujeros en cada uno de los servicios ofrecidos: cada puerto abierto en una máquina es una potencial puerta de entrada a la misma.
SPOOFING
Por spoofing se conoce a la creación de tramas TCP/IP utilizando una dirección IP falseada; la idea de este ataque - al menos la idea - es muy sencilla: desde su equipo, un pirata simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. Y como los anillos de confianza basados en estas características tan fácilmente falsificables son aún demasiado abundantes, el spoofing sigue siendo en la actualidad un ataque no trivial, pero factible contra cualquier tipo de organización.
NEGACIONES DE SERVICIO:
Las negaciones de servicio (conocidas como DoS, Denial of Service) son ataques dirigidos contra un recurso informático (generalmente una máquina o una red, pero también podría tratarse de una simple impresora o una terminal) con el objetivo de degradar total o parcialmente los servicios prestados por ese recurso a sus usuarios legítimos; constituyen en muchos casos uno de los ataques más sencillos y contundentes contra todo tipo de servicios, y en entornos donde la disponibilidad es valorada por encima de otros parámetros de la seguridad global puede convertirse en un serio problema, ya que un pirata puede interrumpir constantemente un servicio sin necesidad de grandes conocimientos o recursos, utilizando simplemente sencillos programas y un módem y un PC caseros.
INTERCEPTACIÓN.
Ya comentamos algunos aspectos relacionados con la interceptación de datos en tránsito o en proceso por parte de usuarios no autorizados; allí hablamos de los ataques y defensas desde un punto de vista casi exclusivamente físico, por lo que vamos a entrar ahora en algunos puntos más relacionados con la interceptación lógica. Y sin duda, la interceptación lógica de datos más conocida y extendida es el sniffing: en esa misma sección ya introdujimos este término y hablamos de dispositivos hardware como los sniffers de alta impedancia; sin embargo, en entornos de trabajo de seguridad media es mucho más común que el sniffing se produzca utilizando programas (sniffers) y no elementos hardware.
ATAQUES A APLICACIONES
CORREO ELECTRÓNICO.
Desde hace muchos años los sistemas de correo electrónico de una organización han sido para los piratas una fuente inagotable de puntos de entrada a la misma; lo más probable es que si le preguntamos a cualquier administrador de máquinas Unix con algo de experiencia cuál ha sido el software que más problemas de seguridad le ha causado nos responda sin dudarlo: sendmail, por supuesto. Y ya no sólo sendmail y el protocolo SMTP, sino que también, con la popularización de POP3, los servidores de este protocolo son un peligro potencial a tener en cuenta en cualquier entorno informático donde se utilice el correo electrónico: es decir, en todos.
ATAQUES VÍA WEB:
Durante los últimos años los servidores web se han convertido en una excelente fuente de diversión para piratas: cualquier empresa que se precie, desde las más pequeñas a las grandes multinacionales, tiene una página web en las que al menos trata de vender su imagen corporativa. Si hace unos años un pirata que quisiera atacar a una empresa (y no a todas, ya que muy pocas tenían representación en la red) tenía que agenciarselas para obtener primero información de la misma y después buscar errores de configuración más o menos comunes de sus sistemas (o esperar al próximo bug de sendmail), hoy en día le basta con teclear el nombre de su objetivo en un navegador y añadir la coletilla `.com' detrás del mismo para contactar con al menos una de sus máquinas: su servidor web.
PRINCIPALES CONCLUSIONES
1. Evaluaciones recurrentes de Seguridad de Activos de Información: El panorama general del mercado peruano ante el reto de la Seguridad de Activos de Información, indica que entre las actividades consideradas por la mayoría de las grandes y medianas empresas, se incluye la realización de evaluaciones de seguridad, al menos una vez al año.
2. Presupuesto asignado a la Función de Seguridad de Activos de Información: En cuanto al presupuesto asignado a la Función de Seguridad de Activos de Información, es resaltante hacer mención cómo este aspecto ha presentado un mayor nivel de importancia en las empresas.
Ataques:
Robert Thomas Morris
El 3 de noviembre de 1988, equipos como VAX y SUN q p conectados a Internet se vieron afectados en su rendimiento y posteriormente se paralizaron. Se vieron afectados Bancos, Universidades e instituciones de gobierno, la causa fue un GUSANO, desarrollado por Morris recién graduado en Computer Science en la Universidad de Cornell.
Se estimó que en 90 minutos, el gusano logró infectar 6 000 equipos alrededor del mundo originando perdidas 6.000 entre 100.000 a 10.000.000.
Phreacker
Personas que intentan usar la tecnología para explorar y/o controlar los sistemas telefónicos.
Originalmente, este término se refería a los usuarios de las conocidas "blue boxes" (dispositivos electrónicos que permitían realizar llamadas gratuitamente).
Ahora bien, como en la actualidad las compañías telefónicas utilizan sistemas digitales en lugar de electromecánicos, los phreakers han pasado a utilizar muchas de las técnicas de los hackers.
Phreacker
Kevin Poulse paso a la fama al ganarse un Porsche, claro, de manera ilícita.
La estación de Radio KII-FM en los Angeles, celebró un aniversario organizando un concurso, el cual consistía en que la llamada número 102 que entrara a la Radio, sería la ganadora del Porsche 944 S2, Kevin había phackeado la central telefónica de “Pacific Bell” de tal forma que aseguro que su llamada fuese la 102.
Cracker
Kevin David Mitnick, es quizás el más famoso hackers de los últimos tiempos. Descubrió y reveló información de alta seguridad perteneciente al FBI, incluyendo cintas del Israel Ángeles consulado de Israel, en Los Ángeles.
Fue capturado en 1995 y liberado en el 2000, después de permanecer casi 5 años en un prisión federal
Le costó al estado norteamericano y a empresas privadas, millones de dólares al ser objeto de hurto de su software, información y alteración de los datos de las mismas víctimas Motorola Novell mismas. (Unas de sus Motorola, Novell, Nokia y Sun Microsystems, el FBI, el Pentágono y la Universidad de Southern California).
Cracker
• Vladimir Levin graduado en matemáticas de la Universidad Tecnológica de San Petesburgo, Rusia, fue acusado y preso por la Interpol después de meses de investigación por ser la mente maestra de una serie de fraudes tecnológicos que le permitieron a él y la banda que conformaba, substraer más de 10 millones de dólares, de cuentas corporativas del Citibank. fue sentenciado a 3 años de prisión y a pagar la suma de US $ 240,015.
Los técnicos tuvieron que mejorar sus sistemas de seguridad contra "crackers" y Vladimir Levin ahora se encuentra en libertad
AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES
jueves, 28 de octubre de 2010
|
|
|
0
comentarios
|
Etiquetas:
auditoria de la seguridad de datos,
Auditoria De La Seguridad En El Área De Producción,
AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES
AUDITORIA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES
Todos los desarrollos deben estar autorizados a distintos nivel según la importancia del proyecto a desarrollar, incluso autorizados por una comisión si los costos o riesgos superan ciertos umbrales.
Si la auditoria es externa se revisará la participación de los usuarios y de los auditores internos
La metodología seguida
Ciclos de vida
Gestión de los proyectos, aplicaciones que traen términos
De los contratos y cumplimiento
Selección y uso de paquetes
Realización de pruebas a varios niveles y mantenimiento posterior
El pase al entorno de la explotación real debe estar controlado, no descartándose la revisión de programas por parte de técnicos independientes, o por auditores preparados a fin de determinar los errores y la calidad de las aplicaciones
Auditoria De La Seguridad En El Área De Producción
Las organizaciones cuidan especialmente las medidas de protección en el caso de contratación de servicios: desde el posible marcado de datos, proceso, impresión de etiquetas, distribución, acciones comerciales, gestión de cobros, hasta el outsourcing mas completo.
AUDITORIA DE LA SEGURIDAD DE DATOS
I. INTRODUCCIÓN
Se propone una serie de aspectos para evaluar y mantener una adecuada seguridad de los datos que se requieran en una determinada organización, a fin de diferir en su funcionamiento y detectar las deficiencias, así como proponer los aspectos principales en los que se tiene que mejorar a fin de incrementar su eficiencia o mejorar su funcionalidad y su productividad.
Además de la seguridad física también implica una protección a los datos de nuestro sistema, tanto a la que esta almacenada y en él, cómo es que se transmite entre diferentes equipos.
Hay ciertos aspectos a tener en cuenta en la seguridad de los datos de nuestra organización; existen ataques cuyo objetivo no es destruir el medio físico de nuestro sistema, sino simplemente conseguir la información almacenada en dicho medio.
II. AUDITORIA A SISTEMAS DE BASES DE DATOS.
Los Sistemas de Gestión de Bases de Datos proveen mecanismos que garantizan la seguridad, consistencia y reglas de integridad. Es de gran importancia para el auditor de sistemas, conocerlos y apoyarse en ellos para verificar el ambiente de control establecido en la instalación.
Características en la seguridad en los sistemas de bases de datos:
• Claves primarias.
• Dominio de los atributos
• Reglas de integridad
• Reglas de integridad del negocio
• Vistas
• Perfiles de usuario y acceso a objetos de la base de datos
• Auditoría
• Criptografía de datos
• Disparadores o triggers
III. METODOLOGIA DE SEGURIDAD DE DATOS.
1. Análisis y Diagnóstico Previos.-
A.- Conocimiento del negocio y del Sistema
B.- Aspectos del SGBD en la empresa.
C.- Alcance de Auditoria.
2. Definir grupos de riesgos:
1. Objetos de la base de datos y reportes.
2. Programas de aplicación y utilitarios.
3. Auditoría y Seguimiento
4. Planes de Respaldo y Contingencia.
5. Seguridad en la Red.
6. Acceso a través de Internet.
7. Seguridad Instalaciones y acceso físico.
8. Diseño de la Base de Datos.
9. Eficiencia y economía de recursos.
10. Almacenamiento.
II. AUDITORIA A SISTEMAS DE BASES DE DATOS.
Los Sistemas de Gestión de Bases de Datos proveen mecanismos que garantizan la seguridad, consistencia y reglas de integridad. Es de gran importancia para el auditor de sistemas, conocerlos y apoyarse
Características en la seguridad en los sistemas de bases de datos:
• Claves primarias.
• Dominio de los atributos
• Reglas de integridad
• Reglas de integridad del negocio
• Vistas
• Perfiles de usuario y acceso a objetos de la base de datos
• Auditoría
• Criptografía de datos
• Disparadores o triggers
III. METODOLOGIA DE SEGURIDAD DE DATOS.
1 . Análisis y Diagnóstico Previos.-
a. Conocimiento del negocio y del Sistema
b. Aspectos del SGBD en la empresa.
c. Alcance de Auditoria.
2. Definir grupos de riesgos:
1. Objetos de la base de datos y reportes.
2. Programas de aplicación y utilitarios.
3. Auditoría y Seguimiento
4. Planes de Respaldo y Contingencia.
5. Seguridad en la Red.
6. Acceso a través de Internet.
7. Seguridad Instalaciones y acceso físico.
8. Diseño de la Base de Datos.
9. Eficiencia y economía de recursos.
10. Almacenamiento.
3. Evaluación del estado de control existente (checklist)
Objetivos de la evaluación para cada grupo de riesgos
Preguntar para cada objetivo gravedad, probabilidad, impacto, referencias observaciones.
a. Problemas por seguridad en instalaciones y acceso físico.
b. Riesgos relacionados con el acceso lógico y la privacidad a las bases de datos.
c. Causado por la relación Sistema Operativo - DBMS.
d. Riesgos asociados a las aplicaciones y utilitarios.
e. Problemas relacionados con el Diseño de la Base de Datos.
f. Asuntos concernientes al Diccionario de datos y documentación
g. Problemas con el Respaldo y planes de contingencia
h. Riesgos por personal y organización.
i. Auditabilidad.
IV. ANÁLISIS DE RIESGOS.
1. Control del ambiente de login en Sistema Operativo
2. Asegúrese que cada usuario se autentica con la base de datos.
3. Si los usuarios se conectan a las bases de datos a través de interfaces de administración o desarrollo
4. Realice una detallada revisión de los login, procesos de autenticación, perfiles de usuario y roles y privilegios.
5. Si un programa es una aplicación Web a través de http:
a. Determine si el enrutador y/o firewall restringe el acceso a la Base de Datos.
b. Determine que son adecuados los controles de accesos al servidor web.
c. Que se realizan procesos de auditoría sobre los usuarios del sistema operativo y de la base de datos.
V. SEGURIDAD EN EL SISTEMA OPERATIVO
1. Usuario de base de datos y sistema operativo.
a. verifique que todos los usuarios creados en el sistema operativo representan un usuario valido.
b. Asegúrese que las conexiones remotas están controladas.
2. Seguridad de los archivos de bases de datos en el sistema operativo.
3. Auditoria a la seguridad de la base de datos para propietarios y grupos.
VI. PROCESOS DE CONEXIÓN Y AUTENTICACIÓN:
1. Sobre las tablas de usuarios:
a. Determine que todos los usuarios representan un usuario valido y autenticado.
b. Prueba que el passwords por defecto en las cuentas de administración del sistema han sido cambiadas.
c. Verifique que están definidos los procedimientos para cambios de claves periódicamente y que los passwords son seguros.
d. En caso de conexiones con parámetros string, verifique que a través de comandos como ps, no es posible ver la clave del usuario.
e. Si la conexión a la base de datos se hace a través de programas o utilidades, asegúrese que están protegidos por permisos de archivos y directorios.
2. En una impresión de la bitácora de sesiones de usuarios:
VII. CONTROL DE ACCESO A LA BASE DE DATOS.
1. Obtenga listado de todos los archivos de privilegios y roles de usuarios.
2. Obtenga listado de los archivos de logs:
VIII. DISPONIBILIDAD, RESPALDO Y RECUPERACIÓN.
1. Usando comandos
2. Obtenga un listado de los procedimientos de backup de la base de datos, cronogramas de backup y programas utilitarios de backup.
3. Evaluar los medios de almacenamiento, los procedimientos usados, la revisión de las copias, la correcta etiquetada (interna y externa), la seguridad del sitio de almacenamiento y la correcta rotación de las copias.
4. Obtenga y revise la documentación de los procesos de pruebas de recuperación.
IX. BASES DE DATOS EN RED:
1. Partiendo de un diagrama de red donde se especifique los servidores de bases de datos y sus conexiones físicas y lógicas al resto de la red:
a. Determine si los altos usos SQL entre componentes en la red (Servidor y aplicaciones) están soportados por canales de alta velocidad y alto ancho de banda.
b. Asegúrese que los enlaces redundantes son usados para soportar los sistemas de requerimientos de disponibilidad.
c. Usando comandos o aplicaciones tipo netstat (protocolo, dirección remota y local y estado) revise el ruteo y direccionamiento IP usado para los servidores de bases de datos.
d. Asegúrese que los dispositivos de control de acceso garantizan solo conexiones autorizadas.
AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES – REDES Y
AUDITORIA DE LA SEGURIDAD DE LA CONTINUIDAD DE LAS OPERACIONES
Auditoria Informática de Comunicaciones y Redes:
Los auditores de sistemas deben, en las empresas actuales, obligatoriamente enfrentar su labor profesional en Redes de Computadores, por donde se transporta información sensitiva y vital para las organizaciones. etc.
• Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real.
• El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte.
• Como en otros casos, la auditoría de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos propios).
• El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso.
• Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática.
PUNTOS CRITICOS
1. Diseño e implementación de la red
a. Análisis de necesidades
d. diseño y selección de la arquitectura.
Revisar el procedimiento seguido en la selección, adquisición e instalación de la red LAN ela
Evaluar los estándares soportados en la arquitectura seleccionada
2. Documentación de la Red
a. Revisar los manuales de diseño.
b. Verificar que exista un plano de las instalaciones correctamente documentados los centros de cableado, los servidores, el cableado y los puntos de red.
DEAJA TU COMENTARIO..........................
Hay ciertos aspectos a tener en cuenta en la seguridad de los datos de nuestra organización; existen ataques cuyo objetivo no es destruir el medio físico de nuestro sistema, sino simplemente conseguir la información almacenada en dicho medio.
II. AUDITORIA A SISTEMAS DE BASES DE DATOS.
Los Sistemas de Gestión de Bases de Datos proveen mecanismos que garantizan la seguridad, consistencia y reglas de integridad. Es de gran importancia para el auditor de sistemas, conocerlos y apoyarse en ellos para verificar el ambiente de control establecido en la instalación.
Características en la seguridad en los sistemas de bases de datos:
• Claves primarias.
• Dominio de los atributos
• Reglas de integridad
• Reglas de integridad del negocio
• Vistas
• Perfiles de usuario y acceso a objetos de la base de datos
• Auditoría
• Criptografía de datos
• Disparadores o triggers
III. METODOLOGIA DE SEGURIDAD DE DATOS.
1. Análisis y Diagnóstico Previos.-
A.- Conocimiento del negocio y del Sistema
B.- Aspectos del SGBD en la empresa.
C.- Alcance de Auditoria.
2. Definir grupos de riesgos:
1. Objetos de la base de datos y reportes.
2. Programas de aplicación y utilitarios.
3. Auditoría y Seguimiento
4. Planes de Respaldo y Contingencia.
5. Seguridad en la Red.
6. Acceso a través de Internet.
7. Seguridad Instalaciones y acceso físico.
8. Diseño de la Base de Datos.
9. Eficiencia y economía de recursos.
10. Almacenamiento.
II. AUDITORIA A SISTEMAS DE BASES DE DATOS.
Los Sistemas de Gestión de Bases de Datos proveen mecanismos que garantizan la seguridad, consistencia y reglas de integridad. Es de gran importancia para el auditor de sistemas, conocerlos y apoyarse
Características en la seguridad en los sistemas de bases de datos:
• Claves primarias.
• Dominio de los atributos
• Reglas de integridad
• Reglas de integridad del negocio
• Vistas
• Perfiles de usuario y acceso a objetos de la base de datos
• Auditoría
• Criptografía de datos
• Disparadores o triggers
III. METODOLOGIA DE SEGURIDAD DE DATOS.
1 . Análisis y Diagnóstico Previos.-
a. Conocimiento del negocio y del Sistema
b. Aspectos del SGBD en la empresa.
c. Alcance de Auditoria.
2. Definir grupos de riesgos:
1. Objetos de la base de datos y reportes.
2. Programas de aplicación y utilitarios.
3. Auditoría y Seguimiento
4. Planes de Respaldo y Contingencia.
5. Seguridad en la Red.
6. Acceso a través de Internet.
7. Seguridad Instalaciones y acceso físico.
8. Diseño de la Base de Datos.
9. Eficiencia y economía de recursos.
10. Almacenamiento.
3. Evaluación del estado de control existente (checklist)
Objetivos de la evaluación para cada grupo de riesgos
Preguntar para cada objetivo gravedad, probabilidad, impacto, referencias observaciones.
a. Problemas por seguridad en instalaciones y acceso físico.
b. Riesgos relacionados con el acceso lógico y la privacidad a las bases de datos.
c. Causado por la relación Sistema Operativo - DBMS.
d. Riesgos asociados a las aplicaciones y utilitarios.
e. Problemas relacionados con el Diseño de la Base de Datos.
f. Asuntos concernientes al Diccionario de datos y documentación
g. Problemas con el Respaldo y planes de contingencia
h. Riesgos por personal y organización.
i. Auditabilidad.
IV. ANÁLISIS DE RIESGOS.
1. Control del ambiente de login en Sistema Operativo
2. Asegúrese que cada usuario se autentica con la base de datos.
3. Si los usuarios se conectan a las bases de datos a través de interfaces de administración o desarrollo
4. Realice una detallada revisión de los login, procesos de autenticación, perfiles de usuario y roles y privilegios.
5. Si un programa es una aplicación Web a través de http:
a. Determine si el enrutador y/o firewall restringe el acceso a la Base de Datos.
b. Determine que son adecuados los controles de accesos al servidor web.
c. Que se realizan procesos de auditoría sobre los usuarios del sistema operativo y de la base de datos.
V. SEGURIDAD EN EL SISTEMA OPERATIVO
1. Usuario de base de datos y sistema operativo.
a. verifique que todos los usuarios creados en el sistema operativo representan un usuario valido.
b. Asegúrese que las conexiones remotas están controladas.
2. Seguridad de los archivos de bases de datos en el sistema operativo.
3. Auditoria a la seguridad de la base de datos para propietarios y grupos.
VI. PROCESOS DE CONEXIÓN Y AUTENTICACIÓN:
1. Sobre las tablas de usuarios:
a. Determine que todos los usuarios representan un usuario valido y autenticado.
b. Prueba que el passwords por defecto en las cuentas de administración del sistema han sido cambiadas.
c. Verifique que están definidos los procedimientos para cambios de claves periódicamente y que los passwords son seguros.
d. En caso de conexiones con parámetros string, verifique que a través de comandos como ps, no es posible ver la clave del usuario.
e. Si la conexión a la base de datos se hace a través de programas o utilidades, asegúrese que están protegidos por permisos de archivos y directorios.
2. En una impresión de la bitácora de sesiones de usuarios:
VII. CONTROL DE ACCESO A LA BASE DE DATOS.
1. Obtenga listado de todos los archivos de privilegios y roles de usuarios.
2. Obtenga listado de los archivos de logs:
VIII. DISPONIBILIDAD, RESPALDO Y RECUPERACIÓN.
1. Usando comandos
2. Obtenga un listado de los procedimientos de backup de la base de datos, cronogramas de backup y programas utilitarios de backup.
3. Evaluar los medios de almacenamiento, los procedimientos usados, la revisión de las copias, la correcta etiquetada (interna y externa), la seguridad del sitio de almacenamiento y la correcta rotación de las copias.
4. Obtenga y revise la documentación de los procesos de pruebas de recuperación.
IX. BASES DE DATOS EN RED:
1. Partiendo de un diagrama de red donde se especifique los servidores de bases de datos y sus conexiones físicas y lógicas al resto de la red:
a. Determine si los altos usos SQL entre componentes en la red (Servidor y aplicaciones) están soportados por canales de alta velocidad y alto ancho de banda.
b. Asegúrese que los enlaces redundantes son usados para soportar los sistemas de requerimientos de disponibilidad.
c. Usando comandos o aplicaciones tipo netstat (protocolo, dirección remota y local y estado) revise el ruteo y direccionamiento IP usado para los servidores de bases de datos.
d. Asegúrese que los dispositivos de control de acceso garantizan solo conexiones autorizadas.
AUDITORIA DE LA SEGURIDAD EN COMUNICACIONES – REDES Y
AUDITORIA DE LA SEGURIDAD DE LA CONTINUIDAD DE LAS OPERACIONES
Auditoria Informática de Comunicaciones y Redes:
Los auditores de sistemas deben, en las empresas actuales, obligatoriamente enfrentar su labor profesional en Redes de Computadores, por donde se transporta información sensitiva y vital para las organizaciones. etc.
• Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real.
• El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte.
• Como en otros casos, la auditoría de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos propios).
• El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso.
• Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática.
PUNTOS CRITICOS
1. Diseño e implementación de la red
a. Análisis de necesidades
d. diseño y selección de la arquitectura.
Revisar el procedimiento seguido en la selección, adquisición e instalación de la red LAN ela
Evaluar los estándares soportados en la arquitectura seleccionada
2. Documentación de la Red
a. Revisar los manuales de diseño.
b. Verificar que exista un plano de las instalaciones correctamente documentados los centros de cableado, los servidores, el cableado y los puntos de red.
DEAJA TU COMENTARIO..........................
Suscribirse a:
Entradas (Atom)
