Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Auditoria en Redes

    Hochgeladen von

    Paul Gusabie Cusiche
    20 Ansichten14 Seiten

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Verfügbare Formate

    DOC, PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als DOC, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    20 Ansichten14 Seiten

    Auditoria en Redes

    Hochgeladen von

    Paul Gusabie Cusiche

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als DOC, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 14

    AUDITORIA EN REDES CONTROL Y AUDITORIA DE SISTEMAS

    INTRODUCCIN

    La organizacin en la parte de las redes de comunicaciones de computadores es un punto de viraje bastante importante; es por ello, que uno de los modelos de red ms conocidos, es el modelo OSI. A grandes rasgos, el modelo OSI, dado por capas

    Capa fsica Capa de red Capa de transporte Capa de sesin Capa de presentacin Capa de aplicacin

    Capa de enlace

    INDICE

    LO ANTERIOR, NOS PERMITE DESCRIBIR 3 TIPOS DE FALLOS EN LA SEGURIDAD DE LA RED:.................................................................................4 LA COMPAA PUEDE DEFINIR 2 TIPOS EXTREMOS DE POLTICAS DE SEGURIDAD:...................................................................................................4 AUDITORIA DE COMUNICACIONES..................................................................5 CUMPLIENDO COMO OBJETIVOS DE CONTROL:...........................................5 PARA LO CUAL SE DEBE COMPROBAR:........................................................5 AUDITORIA DE LA RED FSICA.........................................................................6 AUDITORIA DE LA RED LOGICA.......................................................................6 CRIPTOGRAFIA................................................................................................7 CONSIDERACIONES PARA ELABORAR UN SISTEMA DE SEGURIDAD INTEGRAL .......................................................................................................................8 SISTEMA INTEGRAL DE SEGURIDAD...............................................................8 ETAPAS PARA IMPLEMENTAR UN SISTEMA DE SEGURIDAD............................9 DEBE CONTEMPLAR REAS DE USO EXCLUSIVO.........................................9 CONSIDERACIONES PARA CON EL PERSONAL...........................................10 ETAPAS PARA IMPLANTAR UN SISTEMA DE SEGURIDAD EN MARCHA...........11 PASOS PARA COMPLEMENTAR UN SISTEMA DE SEGURIDAD EN REDES ......12 BENEFICIOS DE UN SISTEMA DE SEGURIDAD...............................................13

    LO ANTERIOR, NOS PERMITE DESCRIBIR 3 TIPOS EN LA SEGURIDAD DE LA RED:

    DE FALLOS

    1 Alteracin de bits: Se corrige por cdigo de redundancia cclico. 2 Ausencia de tramas: Las tramas se desaparecen por el ambiente o una sobrecarga del sistema; para ello, se debe tener un nmero de secuencia de tramas.

    Alteracin de la secuencia en la cual el receptor reconstruye mensaje. Otro de los tipos de modelos de referencia ms conocidos, es el TCP/IP, hoy da, con algunas variaciones, como el de encapsular varios protocolos, como el NetBIOS; el TCP/IP da replicacin de los canales para posibles cadas del sistema. Bajo sta poltica, entonces se ha definido como clases de redes: Intranet = Red interna de la empresa. Extranet = Red externa pero directamente relacionada a la empresa.

    Internet = La red de redes.


    El problema de tales implementaciones, es que por los puertos de estandarizacin pblica de TCP/IP, se puede entrar cualquier tercero para afectar la red de la compaa o su flujo de informacin. Tal cuestin, es recurrente sobretodo en el acceso de la red interna de la compaa a la Internet, para lo cual, y como medida de proteccin, se usan Firewall ( cortafuegos ) que analizan todo tipo de informacin que entra por Internet a la compaa, activando una alarma, en caso de haber algn intruso o peligro por esa va a la red.

    LA COMPAA PUEDE DEFINIR 2 TIPOS EXTREMOS DE POLTICAS DE SEGURIDAD:

    Polticas paranoicas: Toda accin o proceso est prohibido en la red.


    Polticas promiscuas: No existe la ms mnima proteccin o control a las acciones de los usuarios en la red. No importa lo que haga la empresa, siempre va a haber un punto de fallo, para adelantarse a intrusos, entonces se han ideado algunas herramientas para probar la eficacia de las polticas de seguridad en red de la empresa, algunas de tales herramientas, son: SAFEsuite y COPS

    Estas empiezan probando la fiabilidad de las contraseas de usuario usando algunas tcnicas de indagacin como es el leer el trfico de la red buscando en tal informacin sobre nombres de usuarios y contraseas respectivas, probar la buena fe de los usuarios mandndoles mensajes de la administracin solicitando su contrasea a una especificada por la herramienta o probando contraseas comunes o por defecto en muchos sistemas.

    AUDITORIA DE COMUNICACIONES
    Ha de verse: La gestin de red = los equipos y su conectividad. La monitorizacin de las comunicaciones. La revisin de costes y la asignacin formal de proveedores. Creacin y aplicabilidad de estndares.

    CUMPLIENDO COMO OBJETIVOS DE CONTROL:


    Tener una gerencia de comunicaciones con plena autoridad de voto y accin. Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo equipo relacionado con las comunicaciones. Mantener una vigilancia constante sobre cualquier accin en la red. Registrar un coste de comunicaciones y reparto a encargados. Mejorar el rendimiento y la resolucin de problemas presentados en la red.

    PARA LO CUAL SE DEBE COMPROBAR:


    El nivel de acceso a diferentes funciones dentro de la red.Coordinacin de la organizacin de comunicacin de datos y voz. Han de existir normas de comunicacin en: Tipos de equipamiento como adaptadores LAN. Autorizacin de nuevo equipamiento, tanto dentro, como fuera de las horas laborales. Uso de conexin digital con el exterior como Internet.

    Instalacin de equipos de escucha como Sniffers (exploradores fsicos) o Traceadores (exploradores lgicos). La responsabilidad en los contratos de proveedores, La creacin de estrategias de comunicacin a largo plazo, Los planes de comunicacin a alta velocidad como fibra ptica y ATM ( tcnica de conmutacin de paquetes usada en redes MAN e ISDN). Planificacin de cableado. Planificacin de la recuperacin de las comunicaciones en caso de desastre. Ha de tenerse documentacin sobre el diagramado de la red. Se deben hacer pruebas sobre los nuevos equipos. Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores. Vigilancia sobre toda actividad on-line. La facturacin de los transportistas y vendedores ha de revisarse regularmente.

    AUDITORIA DE LA RED FSICA


    reas de equipo de comunicacin con control de acceso. Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos. Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella. Prioridad de recuperacin del sistema.Control de las lneas telefnicas

    El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso


    limitado.

    La seguridad fsica del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de
    cableado de lneas telefnicas. Las lneas de comunicacin estn fuera de la vista. Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma. Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar pinchazos a la red. Existan revisiones peridicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retrollamada, cdigo de conexin o interruptores.

    AUDITORIA DE LA RED LOGICA


    Se deben dar contraseas de acceso.Controlar los errores.Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la informacin a la red.Registrar las actividades de los usuarios en la red.

    Encriptar la informacin pertinente. Evitar la importacin y exportacin de datos.

    Inhabilitar el software o hardware con acceso libre. Generar estadsticas de las tasas de errores y transmisin. Crear protocolos con deteccin de errores.

    Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor. El software de comunicacin, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasadosLos datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada. Se debe hacer un anlisis del riesgo de aplicaciones en los procesos.

    Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones. Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos forneos a la red. Deben existir polticas que prohban la instalacin de programas o equipos personales en la red. Los accesos a servidores remotos han de estar inhabilitados.

    La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: Servidores = Desde dentro del servidor y de la red interna. Servidores web. Intranet = Desde dentro. Firewall = Desde dentro. Accesos del exterior y/o Internet.

    CRIPTOGRAFIA
    La criptografa se define como las tcnicas de escrituras tales que la informacin est oculta de intrusos no autorizados. Aunque el cifrado de informacin es una excelente tcnica para proteger los datos, no debera convertirse en el desvelo de la compaa, pues existen otros tipos de debilidades ms importantes para tratar por la compaa, ello, adems porque ya existen diferentes programas, hasta gratuitos, como algunas

    versiones de PGP, tales que toda la potencia informtica del mundo, podra romperlos

    CONSIDERACIONES PARA ELABORAR UN SISTEMA DE SEGURIDAD INTEGRAL


    Como hablamos de realizar la evaluacin de la seguridad es importante tambin conocer como desarrollar y ejecutar el implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa: planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa. Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad.

    SISTEMA INTEGRAL DE SEGURIDAD

    Un sistema integral debe contemplar: Definir elementos administrativos Definir polticas de seguridad A nivel departamental A nivel institucional Organizar y dividir las responsabilidades

    Definir prcticas de seguridad para el personal Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como extinguidotes. Nmeros telefnicos de emergencia Definir el tipo de plizas de seguros

    Definir elementos tcnicos de procedimientos


    Definir las necesidades de sistemas de seguridad para: Hardware y software Flujo de energa Cableados locales y externos. Aplicacin de los sistemas de seguridad incluyendo datos y archivos.lanificacin de los papeles de los auditores internos y externos Planificacin de programas

    de desastre y sus pruebas (simulacin) Planificacin de equipos de contingencia con carcter peridico. Control de desechos de los nodos importantes del sistema: Poltica de destruccin de basura copias, fotocopias, etc. Consideracin de las normas ISO 1400

    ETAPAS PARA IMPLEMENTAR UN SISTEMA DE SEGURIDAD


    Considerar los siguientes puntos: Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad.

    Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la


    informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales.

    Elaborar un plan para un programa de seguridad. El plan debe elaborarse


    contemplando:

    Plan de Seguridad Ideal (o Normativo)


    Un plan de seguridad para un sistema de seguridad integral debe contemplar: El plan de seguridad debe asegurar la integridad y exactitud de los datos Debe permitir identificar la informacin que es confidencial

    DEBE CONTEMPLAR REAS DE USO EXCLUSIVO


    Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles Debe asegurar la capacidad de la organizacin para sobrevivir accidentes

    Debe proteger a los empleados contra tentaciones o sospechas innecesarias Donde: Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc) Medidas pre.. (Polticas, sistemas de seguridad, planes de emergencia, plan de resguardo, seguridad de personal, etc)

    CONSIDERACIONES PARA CON EL PERSONAL


    Es de gran importancia la elaboracin del plan considerando el personal, pues se debe llevar a una conciencia para obtener una auto evaluacin de su comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos Cumplir promesas Innovar

    Para apoyar estos objetivos se debe cumplir los siguientes pasos: Motivar Se debe desarrollar mtodos de participacin reflexionando sobre lo que
    significa la seguridad y el riesgo, as como su impacto a nivel empresarial, de cargo y individual.

    Capacitacinn General
    En un principio a los ejecutivos con el fin de que conozcan y entiendan la relacin entre seguridad, riesgo y la informacin, y su impacto en la empresa. El objetivo de este punto es que se podrn detectar las debilidades y potencialidades de la organizacin frente al riesgo. Implantacin la ejecucin de planes de contingencia y la simulacin de posibles delitos. Capacitacin de Tcnicos Se debe formar tcnicos encargados de mantener la seguridad como parte de su trabajo y que est capacitado para capacitar a otras personas en lo que es la ejecucin de medidas preventivas y correctivas. Practica y Cultura Se debe establecer un mtodo de educacin estimulando el cultivo de elevados principios morales, que tengan repercusin a nivel personal e institucional

    ETAPAS PARA IMPLANTAR UN SISTEMA DE SEGURIDAD EN MARCHA


    Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguiente :

    PASOS PARA COMPLEMENTAR UN SISTEMA DE SEGURIDAD EN REDES

    1. Introducir el tema de seguridad en la visin de la empresa. 2. Definir los procesos de flujo de informacin y sus riesgos en cuanto a todos los recursos participantes.

    3. Capacitar a los gerentes y directivos, contemplando el enfoque global. 4. Designar y capacitar supervisores de rea. 5. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. 6. Mejorar las comunicaciones internas. 7. Identificar claramente las reas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.

    8. Capacitar a todos los trabajadores en los elementos bsicos de seguridad


    y riesgo para el manejo del software, hardware y con respecto a la seguridad fsica.

    Aumento de la

    BENEFICIOS DE UN SISTEMA DE SEGURIDAD

    productividad.

    Aumento de la motivacin
    del personal.

    Compromiso con la misin


    de la compaa. Los beneficios son inmediatos

    Mejora de las relaciones


    laborales.

    Ayuda a formar equipos


    competentes.

    la organizacin trabajar plataforma confiable

    Das könnte Ihnen auch gefallen