Auditoría de Redes

25
AUDITORÍA DE REDES Módulos I – A @ IV A Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

description

Módulos I – A @ IV A. Auditoría de Redes. Carmen R. Cintrón Ferrer , 2011, Derechos Reservados. Contenido : Módulo I - A. Arquitectura de la computadora Evolución de sistemas de computación Procesos y prácticas – operaciones Desarrollo de sistemas informáticos - PowerPoint PPT Presentation

Transcript of Auditoría de Redes

Page 1: Auditoría de Redes

AUDITORÍA DE REDESMódulos I – A @ IV A

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Page 2: Auditoría de Redes

2

Contenido: Módulo I - A Arquitectura de la computadora Evolución de sistemas de

computación Procesos y prácticas – operaciones Desarrollo de sistemas informáticos Integración de aplicaciones basadas

en objetos Plataformas de Bancos de Datos Controles internos – Entorno Controles internos - Tecnología

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Page 3: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 3

Contenido: Módulo II - A Introducción a las comunicaciones Modelos:

Open Systems Interconnect (OSI) Internet (TCP/IP)

Mecanismos de interacción y conexión: Nivel físico Nivel datos

Tipo de red: Amplia (Wide Area Network – WAN) Local (Local Area Network – LAN) Inalámbrica (Wireless Network)

Page 4: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 4

Contenido: Módulo II – A(Continuación) Protocolos de Internet:

Internet Protocol (IP) Transmission Control Protocol (TCP)

Protocolos de aplicaciones: Domain Name System (DNS & DNS Sec) Telnet File Transfer Protocol (FTP) Hyper Text Transfer Protocol (HTTP) Simple Mail Transfer Protocol (SMTP) Simple Network Management Protocol

(SNTP)

Page 5: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 5

Contenido: Módulo II – A(Continuación) Principios básicos de cifrado (Encryption):

Sistemas de cifrado Symmetric Key Cryptography Asymmetric Key Cryptography Public Key Infrastructure (PKI) SSL/ TSL IP Sec

Sistemas de comercio electrónico – E-Commerce Componentes para implantar E-Commerce Características de HTML Common Gateway Interfase (CGI) Issues de seguridad en el E-Commerce

Page 6: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 6

Contenido: Módulo III – A Planificación, implantación y auditoría de redes

Planificación de redes: Modelo de Seguridad Capacity Planning Análisis de Riesgos en el entorno virtual (Redes)

Implantación de redes: Dispositivos de seguridad Políticas de seguridad

Auditoría de redes: Security monitoring – Log analysis Vulnerability assessment Risk management Informe(s) de auditoría y su divulgación

Page 7: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 7

Introducción a sistemas

Módulo I - A

Page 8: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 8

Arquitectura del computador Lógica booleana (Boole) Circuitos integrados (VLSI) Procesador Central (CPU)

Procesador Registros Unidad aritmética (ALU) Unidad comunicación (BUS)

Tipo de operaciones – instrucciones: Transferencia datos Operaciones aritméticas Operaciones lógicas Conversión de datos Control y carga-descarga (Input/Output & Control)

Integración de instrucciones al CPU: Hardwired ó ROM/PROM/EPROM

Page 9: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 9

Arquitectura del computador(Continuación)

Dispositivos de almacenamiento interno: Direct Memory Access (DMA) Random Access Memory (RAM) Dynamic & Static Random Access Memory

(DRAM/SRAM)

Registros y CACHE Dispositivos de almacenamiento externo:

Discos magnéticos y discos ópticos Cintas magnéticas Otros dispositivos: móviles (portable) &

virtales

Page 10: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 10

Evolución de los sistemas de computación Sistemas operativos:

Intrucciones para efectuar las operaciones y control Almacenadas en el CPU y/o accequibles en almacén Ejecutadas consecutivamente (Arq. von Newman)

Evolución: Manual Processing Serial Processing

Batch processes Multiprogramming (Shared CPU Time):

Buffers and pagination (Virtual memory ) Concurrency control and security measures Dynamic Time-Sharing

Multiprocessing and Real-Time Operating Systems Parallel Processing Systems

Page 11: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 11

Sistemas de computación(Continuación)

Funciones de los sistemas operativos: Manejo de procesos:

Estructuras de datos y archivos Mantenimiento de estatus Sincronización, priorización (scheduling) y

comunicación Administración de almacenamiento y

optimización del uso del espacio Implantación y control de medidas de

seguridad: Políticas de Acceso y preservación de integridad Códigos y programación

Page 12: Auditoría de Redes

12

Sistemas de computación(Manejo de procesos)

Bitácoras y control de procesos: Bitácoras de estatus de procesos: (ready/running/suspended)

Asignación de recursos y controles: (IRQ/locks)

Process Control Block: Process ID & State Access rights Register contents, time alloted, stack address Contents, status, program counter, memory management I/O devices alloted and pending operations, open files,… PCB change operation, setup for execution Interrupt(s) enabling/disabling according to process priority Restoration pointers

Scheduling algorithms: (FCFS/RR/SRT) Semaphores & Mutual exclusion Deadlock handling and prevention Monitors and messages

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Page 13: Auditoría de Redes

13

Sistemas de computación(Manejo de almacén) Almacenamiento para respaldar procesos de sistemas:

Asignar , optimizar y recuperar espacio Swap procedures Protección de datos almacenados y áreas compartidas

Técnicas y procesos: Manejo en lotes Fixed & variable partition allotment Segmentation Paging & Virtual memory

File systems: Niveles: Volumen, directorio, archivo, datos Acceder: Buscar bloque, carga bloque, selección datos, récord

virtual Guardar: Identificar medio, validar privilegios, verificar

disponibilidad, crear bloque (FCB), asignar espacio en buffer, ubicar cursor en bloque

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Page 14: Auditoría de Redes

14

Sistemas de computación(Manejo de estructuras de datos)

File systems management: Mantener controles de acceso y protección de estructuras Optimizar asignación y recuperación de espacio Ejecutar procesos para administrar FCB Traducción de direcciones y métodos de acceso Asegurar integridad de archivos : real time logs, RAID,

mirroring

Estructuras dirección: Directory Data Structure (Unix) Indirect indexes Address Translation

Space allocation: Contiguos/noncontiguos – Channing/Indexing

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Page 15: Auditoría de Redes

15

Sistemas de computación(Manejo de discos)

Volumes – series of addressable disk sectors (within/outside)

Partitions – Disk units: Schemes (Hardware related):

DOS /NTSF Solaris (UNIX)

Boot process – Master boot record: Start/End Address for each partition Operating system boot code Offset from beginning of disk volume Number of sectors in partition Type of volume / File system type

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Page 16: Auditoría de Redes

16

Sistemas de computación(seguridad de sistemas)

Procesos integrados para asegurar: Confiabilidad Protección de procesos en ejecución Seguridad

Control de concurrencia y serialización Autenticación:

UserID & Password Archivo de autenticación (archivo cifrado y escondido hidden)

Autorización (Controles): Mandatorios integrados por el sistema operativo

(Read/Write/Execute) Discresionales – Administrados por el usuario o administrador

Consola de administración: Configurar y fiscalizar controles

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Page 17: Auditoría de Redes

17

Procesos y prácticas de operación Startup & Shutdown System Consoles Facilities for Application Processing File System Management Application Programs Development Security Implementation:

User authentication Data & Resources Access Controls Logs & reports of access and security events Roles & Profile management Encryption algorithms and standards System Management and Auditing File Access Permissions: READ, APPEND, WRITE, LOCK, EXECUTE, SAVE

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Page 18: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 18

Desarrollo de sistemas informáticos Information Requirements

System Development Approach: SDLC Prototypes Agile Methodologies

Analysis Tasks and Deliverables: Planning Data and Data flow modeling Process Specification

Systems Design and Implementation: Architecture design Construction and Deployment

Security Evaluation Criteria/Models

Page 19: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 19

Desarrollo de sistemas informáticos(Evaluación de seguridad) Security Evaluation Criteria/Models:

Trusted Computer System Evaluation (Orange Book-TCSEC)

Information Technology Security Evaluation Criteria (ITSEC)

Systems Security Engineering Capability Maturity Model (SSE-CMM)

The Common Criteria: Common Criteria for Information Technology Security

Evaluation (CC) Common Methodology for Information Technology

Security Evaluation (CEM) CCRA National Schemes

http://csrc.nist.gov/publications/history/dod85.pdf
http://csrc.nist.gov/publications/history/dod85.pdf
http://www.iwar.org.uk/comsec/resources/standards/itsec.htm
http://www.iwar.org.uk/comsec/resources/standards/itsec.htm
http://www.sse-cmm.org/index.html
http://www.sse-cmm.org/index.html
http://www.sse-cmm.org/index.html
http://www.niap-ccevs.org/cc_docs
Page 20: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 20

Sistemas basados en objetos (OOS) Contraste entre OOS y sistemas

convencionales: Ventajas Desventajas

Desarrollo de OOS: Análisis de requerimientos Diseño de OOS:

Package Diagrams Class Diagram Designs

Desarrollo de OOS: Lenguajes programación para OOS Estándares JAVA Consideraciones de Seguridad implantaciones JAVA Validación

Page 21: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 21

Plataforma de Bancos de Datos (DBMS) Contraste entre sistemas tradicionales y DBMS

Definiciones Ventajas y desventajas ERD model /Relational Model SQL DB Schema & Storage management and optimization Transaction processing & concurrency control

Network Implementation in DB Systems Data communication Distributed transaction processing

Dabase security and Auditing: Hardware, O/S, Application Servers and Networks Authentication and Authorization DB Auditing

Page 22: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 22

Controles internos (Entorno)

Tipo de controles: Corporate Governance Structure Management Leadership Organization Structure and Reporting Human Resources Policies Performance Evaluation and Budgeting Internal Audits Organizational Culture Laws and Regulations Technology Industry Practices

Modelos: COSO: Control Environment, Risk Assessment, Activities & Monitoring SOX: Requirements, Corporate Resposibility, Controls Assessment ,

SEC additional considerations HIPAA, GLBA: Requirements, Corporate Resposibility, Controls

Assessment

Page 23: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 23

Controles internos (Tecnología) Controles de sistemas e integración controles org. Objetivos controles tecnológicos:

Análisis de riesgos en general Riesgos por áreas: acceso, sistemas, redes, aplicaciones

Controles financieros: Instalación y configuración de sistemas Ejecución de procesos Validación de datos y flujo de datos Interacción entre sistemas/aplicaciones Clasificación de datos/procesos y periodicidad Financial Reporting Controles administrativos y operacionales

Objetivos COSO

Page 24: Auditoría de Redes

24

Referencias

Min, Young-Woon, Understanding and Auditing IT Systems, Vol.1, USA, 2009

COSO, Enterprise Risk Management Integrated Framework, 2004 COSO, Guidance on Monitoring Internal Control Systems, 2009 Common Criteria, Common Criteria for IT Security Evaluation,

General Model, CCMB 2009 Common Criteria, An Introduction, CCMB, 1999 Common Criteria, Common Criteria for IT Security Evaluation, Part 2:

Security Functional Components, CCMB 2009 Common Criteria, Common Criteria for IT Security Evaluation, Part 3:

Security Assurance Components, CCMB 2009 Department of Defense, Trusted Computer System Evaluation Criteria

(Orange Book), 1985 European Community, Information Technology Security Evaluation

Criteria (ITSEC), Brussels, 1991 Systems Security Engineering Capability Maturity Model Appraisal

Method (SSE-CCM), Carnegie Mellon University, 1999

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Page 25: Auditoría de Redes

Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 25

Introducción a las comunicaciones

Módulo II - A


Curso: Auditoría de seguridad en redes TCP/IP. · PDF fileen Redes y Seguridad de las mismas, ... y sistemas a nivel corporativo en una importante empresa de telecomunicaciones internacional.

Curso: Auditoría de seguridad en redes TCP/IP. · PDF fileen Redes y Seguridad de las mismas, ... y sistemas a nivel corporativo en una importante empresa de telecomunicaciones internacional.

AUDITORÍA REDES SOCIALES 2016 - AIS Ayuda · REDES SOCIALES 2016. Me gusta a finales de 2015: 560 Me gusta a finales de 2016: 749 FOTO ACTUAL DEL PERFIL 13,37 %. 16 de noviembre

AUDITORÍA REDES SOCIALES 2016 - AIS Ayuda · REDES SOCIALES 2016. Me gusta a finales de 2015: 560 Me gusta a finales de 2016: 749 FOTO ACTUAL DEL PERFIL 13,37 %. 16 de noviembre

Twitterton: uso de las redes sociales como mecanismo para implementar procesos de auditoría social

Twitterton: uso de las redes sociales como mecanismo para implementar procesos de auditoría social

Auditoría de Redes AUD 721 Módulo 7 Carmen R. Cintrón Ferrer - 2004, Derechos Reservados.

Auditoría de Redes AUD 721 Módulo 7 Carmen R. Cintrón Ferrer - 2004, Derechos Reservados.

Auditoría Financiera Proceso de la Auditoría Financiera.

Auditoría Financiera Proceso de la Auditoría Financiera.

Informe de Auditoría Interna Auditoría No. 3-3 Fecha ...1 de 16 Informe de Auditoría Interna Auditoría No. 3-3 Fecha auditoría: Agosto 3 a septiembre 14 de 2015 Tipo de auditoría

Informe de Auditoría Interna Auditoría No. 3-3 Fecha ...1 de 16 Informe de Auditoría Interna Auditoría No. 3-3 Fecha auditoría: Agosto 3 a septiembre 14 de 2015 Tipo de auditoría

Auditoría de Redes-Mod1

Auditoría de Redes-Mod1

Organizaciones Estudiantiles - ponce.inter.eduponce.inter.edu/wp-content/uploads/documentos/dec-estudiantes... · auditoría y control de sistemas, redes y telecomunicaciones. Consejero

Organizaciones Estudiantiles - ponce.inter.eduponce.inter.edu/wp-content/uploads/documentos/dec-estudiantes... · auditoría y control de sistemas, redes y telecomunicaciones. Consejero

Auditoría ambiental y auditoría de la regularidad

Auditoría ambiental y auditoría de la regularidad

de Auditoría Ambiental - normativaconstruccion.cl€¦ · de auditoría ambiental; contenido del informe de auditoría; ... Las actividades de una auditoría ambiental se dividen

de Auditoría Ambiental - normativaconstruccion.cl€¦ · de auditoría ambiental; contenido del informe de auditoría; ... Las actividades de una auditoría ambiental se dividen

CONTABILIDAD AVANZADA Y AUDITORÍA DE CUENTAS · 05 CONTABILIDAD AVANZADA Y AUDITORÍA DE CUENTAS PRIMER SEMESTRE SEGUNDO SEMESTRE OBLIGATORIAS Auditoría I Auditoría III Auditoría

CONTABILIDAD AVANZADA Y AUDITORÍA DE CUENTAS · 05 CONTABILIDAD AVANZADA Y AUDITORÍA DE CUENTAS PRIMER SEMESTRE SEGUNDO SEMESTRE OBLIGATORIAS Auditoría I Auditoría III Auditoría

AUDITORÍA Auditoría de Sistemas Informáticos 1. AUDITORÍA AUDITORÍA DE SISTEMAS INFORMÁTICOS.

AUDITORÍA Auditoría de Sistemas Informáticos 1. AUDITORÍA AUDITORÍA DE SISTEMAS INFORMÁTICOS.

Auditoría Operativa - Auditoría Administrativa

Auditoría Operativa - Auditoría Administrativa

Cuadernillo de Normas Legales - gacetajuridica.com.pe · de carreras profesionales de Ingeniería de Redes y Comunicaciones e Ingeniería de Seguridad y Auditoría Informática en

Cuadernillo de Normas Legales - gacetajuridica.com.pe · de carreras profesionales de Ingeniería de Redes y Comunicaciones e Ingeniería de Seguridad y Auditoría Informática en

Informe de Auditoría Interna Auditoría Especial · Informe de Auditoría Interna Auditoría Especial Fecha auditoría: 26 de abril a 23 de junio de 2016 ... 2709/OC-CO suscrito

Informe de Auditoría Interna Auditoría Especial · Informe de Auditoría Interna Auditoría Especial Fecha auditoría: 26 de abril a 23 de junio de 2016 ... 2709/OC-CO suscrito

MEMORÁNDUM DE PLANIFICACIÓN DE AUDITORÍA AUDITORÍA ...

MEMORÁNDUM DE PLANIFICACIÓN DE AUDITORÍA AUDITORÍA ...

NORMA INTERNACIONAL DE AUDITORÍA 540 AUDITORÍA DE ...

NORMA INTERNACIONAL DE AUDITORÍA 540 AUDITORÍA DE ...

Informe de Auditoría Interna Auditoría No 01

Informe de Auditoría Interna Auditoría No 01

Redes, Comunicaciones e internet · REDES COMUNICACIÓN E INTERNET-GESTIÓN DE ACTIVOS Índice Introducción Auditoría de Redes Auditoria de comunicaciones: Auditoria De La Red Física

Redes, Comunicaciones e internet · REDES COMUNICACIÓN E INTERNET-GESTIÓN DE ACTIVOS Índice Introducción Auditoría de Redes Auditoria de comunicaciones: Auditoria De La Red Física

Tema: Auditoría administrativa Subtema: Auditoría de ...

Tema: Auditoría administrativa Subtema: Auditoría de ...