Академический Документы
Профессиональный Документы
Культура Документы
• La potencia del modelo OSI proviene de que cada capa no tiene que
preocuparse de qué es lo que hagan Ias capas superiores ni las
inferiores: cada capa se comunica con su igual en el interlocutor, con
un protocolo de comunicaciones específico. Entre cada par de capa N
y capa N -1 esta perfectamente definido el paso de la información,
que se produce dentro de la misma máquina, con métodos clásicos de
programación.
VULNERABILIDADES EN REDES (I)
• SNA
• OSI
• Netbios
• IPX
• TCP/IP
REDES ABIERTAS (TCP/IP)
• Intranet
• Extranet
• Internet
REDES ABIERTAS (TCP/IP)
• Comprobar que:
• Haya coordinación organizativa entre la comunicación de datos y la de voz, en caso
de estar separadas estas dos funciones.
• Existan descripciones del puesto de trabajo, competencias, requerimientos y
responsabilidades para el personal involucrado en las comunicaciones.
• Existan planes de comunicaciones a largo plazo, incluyendo estrategia de
comunicaciones de voz y datos.
• Se planifican redes de cableado integral para cualquier nuevo edificio o
dependencia que vaya a utilizar la empresa.
• El plan general de recuperación de desastres considera el respaldo y recuperación
de los sistemas de comunicaciones.
• Se refleja correctamente, en el registro de inventario y en los diagramas de red,
una muestra seleccionada de equipos de comunicaciones, de dentro y de fuera de
la sala de computadores.
AUDITANDO LA RED FISICA (I)
• Cada vez más se tiende a que un equipo pueda comunicarse con cualquier
otro equipo, de manera que sea la red de comunicaciones el substrato
común que les une.
• Leído a la inversa, la red hace que un equipo pueda acceder legítimamente
a cualquier otro, incluyendo al tráfico que circule hacia cualquier equipo de
la red. Y todo ello por métodos exclusivamente lógicos, sin necesidad de
instalar físicamente ningún dispositivo. Simplemente si un equipo, por
cualquier circunstancia, se pone a enviar indiscriminadamente mensajes,
puede ser capaz de bloquear la red completa y, por tanto, al resto de los
equipos de la instalación.
• Es necesario monitorizar la red, revisar tos errores o situaciones anómalas
que se producen y tener establecidos los procedimientos para detectar y
aislar equipos en situación anómala. En general, si se quiere que la
información que viaja por la red no pueda ser espiada, la única solución
totalmente efectiva es la encriptación.
AUDITANDO LA RED LOGICA (II)
• Comprobar que:
• El software de comunicaciones, para permitir el acceso, exige código de
usuario y contraseña.
• Cualquier procedimiento del fabricante, mediante hardware o software,
que permita el libre acceso y que haya sido utilizado en la instalación
original, ha de haber sido inhabilitado o cambiado.
• Se toman estadísticas que incluyan tatas de errores y de retransmisión.
• Existen controles para que los datos sensibles sólo puedan ser impresos en
las impresoras designadas y vistos desde los terminales autorizados.
• Existen procedimientos de registro para capturar y ayudar a reconstruir
todas las actividades de las transacciones.
AUDITORIA DE LA SEGURIDAD
INTRODUCCION
• Se incluyen las que con carácter general pueden formar parte de los
objetivos de una revisión de la seguridad, si bien esta puede abarcar
solo parte de ellas si asi se ha determinado de antemano.
• Las áreas generales citadas, algunas de las cuales se amplían después,
son:
Lo que hemos
Comunicaciones y denominado
redes: topologíacontroles
y tipo directivos,
de es decir, posible
comunicaciones, los uso dey
El desarrollo de las políticas: procedimientos, posibles estándares, normas
fundamentos
cifrado, proteccionesde ante
la segundad:
virus, políticas,
éstas planes,
también en funciones,
sistemas existencia
aislados aunque el
guías, sin ser suficiente que existan estas últimas.
y funcionamiento
impacto será menor que deenalgún
una comité
red relacionado, objetivos de control,
presupuesto, así como que existen sistemas y métodos de evaluación
periódica de riesgos.
EVALUACION DE RIESGOS
• Las fuentes estarán relacionadas con los objetivos, y entre ellas pueden
estar:
• Políticas, estándares, normas y procedimientos
• Planes de seguridad
• Contratos, pólizas de seguros
• Organigrama y descripción de funciones
• Topología de redes
• Inventarios: de soporte, de aplicaciones.
PERFIL DEL AUDITOR