Download - Auditoría de Redes
2
Contenido: Módulo I - A Arquitectura de la computadora Evolución de sistemas de
computación Procesos y prácticas – operaciones Desarrollo de sistemas informáticos Integración de aplicaciones basadas
en objetos Plataformas de Bancos de Datos Controles internos – Entorno Controles internos - Tecnología
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 3
Contenido: Módulo II - A Introducción a las comunicaciones Modelos:
Open Systems Interconnect (OSI) Internet (TCP/IP)
Mecanismos de interacción y conexión: Nivel físico Nivel datos
Tipo de red: Amplia (Wide Area Network – WAN) Local (Local Area Network – LAN) Inalámbrica (Wireless Network)
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 4
Contenido: Módulo II – A(Continuación) Protocolos de Internet:
Internet Protocol (IP) Transmission Control Protocol (TCP)
Protocolos de aplicaciones: Domain Name System (DNS & DNS Sec) Telnet File Transfer Protocol (FTP) Hyper Text Transfer Protocol (HTTP) Simple Mail Transfer Protocol (SMTP) Simple Network Management Protocol
(SNTP)
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 5
Contenido: Módulo II – A(Continuación) Principios básicos de cifrado (Encryption):
Sistemas de cifrado Symmetric Key Cryptography Asymmetric Key Cryptography Public Key Infrastructure (PKI) SSL/ TSL IP Sec
Sistemas de comercio electrónico – E-Commerce Componentes para implantar E-Commerce Características de HTML Common Gateway Interfase (CGI) Issues de seguridad en el E-Commerce
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 6
Contenido: Módulo III – A Planificación, implantación y auditoría de redes
Planificación de redes: Modelo de Seguridad Capacity Planning Análisis de Riesgos en el entorno virtual (Redes)
Implantación de redes: Dispositivos de seguridad Políticas de seguridad
Auditoría de redes: Security monitoring – Log analysis Vulnerability assessment Risk management Informe(s) de auditoría y su divulgación
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 8
Arquitectura del computador Lógica booleana (Boole) Circuitos integrados (VLSI) Procesador Central (CPU)
Procesador Registros Unidad aritmética (ALU) Unidad comunicación (BUS)
Tipo de operaciones – instrucciones: Transferencia datos Operaciones aritméticas Operaciones lógicas Conversión de datos Control y carga-descarga (Input/Output & Control)
Integración de instrucciones al CPU: Hardwired ó ROM/PROM/EPROM
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 9
Arquitectura del computador(Continuación)
Dispositivos de almacenamiento interno: Direct Memory Access (DMA) Random Access Memory (RAM) Dynamic & Static Random Access Memory
(DRAM/SRAM)
Registros y CACHE Dispositivos de almacenamiento externo:
Discos magnéticos y discos ópticos Cintas magnéticas Otros dispositivos: móviles (portable) &
virtales
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 10
Evolución de los sistemas de computación Sistemas operativos:
Intrucciones para efectuar las operaciones y control Almacenadas en el CPU y/o accequibles en almacén Ejecutadas consecutivamente (Arq. von Newman)
Evolución: Manual Processing Serial Processing
Batch processes Multiprogramming (Shared CPU Time):
Buffers and pagination (Virtual memory ) Concurrency control and security measures Dynamic Time-Sharing
Multiprocessing and Real-Time Operating Systems Parallel Processing Systems
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 11
Sistemas de computación(Continuación)
Funciones de los sistemas operativos: Manejo de procesos:
Estructuras de datos y archivos Mantenimiento de estatus Sincronización, priorización (scheduling) y
comunicación Administración de almacenamiento y
optimización del uso del espacio Implantación y control de medidas de
seguridad: Políticas de Acceso y preservación de integridad Códigos y programación
12
Sistemas de computación(Manejo de procesos)
Bitácoras y control de procesos: Bitácoras de estatus de procesos: (ready/running/suspended)
Asignación de recursos y controles: (IRQ/locks)
Process Control Block: Process ID & State Access rights Register contents, time alloted, stack address Contents, status, program counter, memory management I/O devices alloted and pending operations, open files,… PCB change operation, setup for execution Interrupt(s) enabling/disabling according to process priority Restoration pointers
Scheduling algorithms: (FCFS/RR/SRT) Semaphores & Mutual exclusion Deadlock handling and prevention Monitors and messages
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
13
Sistemas de computación(Manejo de almacén) Almacenamiento para respaldar procesos de sistemas:
Asignar , optimizar y recuperar espacio Swap procedures Protección de datos almacenados y áreas compartidas
Técnicas y procesos: Manejo en lotes Fixed & variable partition allotment Segmentation Paging & Virtual memory
File systems: Niveles: Volumen, directorio, archivo, datos Acceder: Buscar bloque, carga bloque, selección datos, récord
virtual Guardar: Identificar medio, validar privilegios, verificar
disponibilidad, crear bloque (FCB), asignar espacio en buffer, ubicar cursor en bloque
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
14
Sistemas de computación(Manejo de estructuras de datos)
File systems management: Mantener controles de acceso y protección de estructuras Optimizar asignación y recuperación de espacio Ejecutar procesos para administrar FCB Traducción de direcciones y métodos de acceso Asegurar integridad de archivos : real time logs, RAID,
mirroring
Estructuras dirección: Directory Data Structure (Unix) Indirect indexes Address Translation
Space allocation: Contiguos/noncontiguos – Channing/Indexing
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
15
Sistemas de computación(Manejo de discos)
Volumes – series of addressable disk sectors (within/outside)
Partitions – Disk units: Schemes (Hardware related):
DOS /NTSF Solaris (UNIX)
Boot process – Master boot record: Start/End Address for each partition Operating system boot code Offset from beginning of disk volume Number of sectors in partition Type of volume / File system type
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
16
Sistemas de computación(seguridad de sistemas)
Procesos integrados para asegurar: Confiabilidad Protección de procesos en ejecución Seguridad
Control de concurrencia y serialización Autenticación:
UserID & Password Archivo de autenticación (archivo cifrado y escondido hidden)
Autorización (Controles): Mandatorios integrados por el sistema operativo
(Read/Write/Execute) Discresionales – Administrados por el usuario o administrador
Consola de administración: Configurar y fiscalizar controles
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
17
Procesos y prácticas de operación Startup & Shutdown System Consoles Facilities for Application Processing File System Management Application Programs Development Security Implementation:
User authentication Data & Resources Access Controls Logs & reports of access and security events Roles & Profile management Encryption algorithms and standards System Management and Auditing File Access Permissions: READ, APPEND, WRITE, LOCK, EXECUTE, SAVE
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 18
Desarrollo de sistemas informáticos Information Requirements
System Development Approach: SDLC Prototypes Agile Methodologies
Analysis Tasks and Deliverables: Planning Data and Data flow modeling Process Specification
Systems Design and Implementation: Architecture design Construction and Deployment
Security Evaluation Criteria/Models
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 19
Desarrollo de sistemas informáticos(Evaluación de seguridad) Security Evaluation Criteria/Models:
Trusted Computer System Evaluation (Orange Book-TCSEC)
Information Technology Security Evaluation Criteria (ITSEC)
Systems Security Engineering Capability Maturity Model (SSE-CMM)
The Common Criteria: Common Criteria for Information Technology Security
Evaluation (CC) Common Methodology for Information Technology
Security Evaluation (CEM) CCRA National Schemes
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 20
Sistemas basados en objetos (OOS) Contraste entre OOS y sistemas
convencionales: Ventajas Desventajas
Desarrollo de OOS: Análisis de requerimientos Diseño de OOS:
Package Diagrams Class Diagram Designs
Desarrollo de OOS: Lenguajes programación para OOS Estándares JAVA Consideraciones de Seguridad implantaciones JAVA Validación
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 21
Plataforma de Bancos de Datos (DBMS) Contraste entre sistemas tradicionales y DBMS
Definiciones Ventajas y desventajas ERD model /Relational Model SQL DB Schema & Storage management and optimization Transaction processing & concurrency control
Network Implementation in DB Systems Data communication Distributed transaction processing
Dabase security and Auditing: Hardware, O/S, Application Servers and Networks Authentication and Authorization DB Auditing
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 22
Controles internos (Entorno)
Tipo de controles: Corporate Governance Structure Management Leadership Organization Structure and Reporting Human Resources Policies Performance Evaluation and Budgeting Internal Audits Organizational Culture Laws and Regulations Technology Industry Practices
Modelos: COSO: Control Environment, Risk Assessment, Activities & Monitoring SOX: Requirements, Corporate Resposibility, Controls Assessment ,
SEC additional considerations HIPAA, GLBA: Requirements, Corporate Resposibility, Controls
Assessment
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados 23
Controles internos (Tecnología) Controles de sistemas e integración controles org. Objetivos controles tecnológicos:
Análisis de riesgos en general Riesgos por áreas: acceso, sistemas, redes, aplicaciones
Controles financieros: Instalación y configuración de sistemas Ejecución de procesos Validación de datos y flujo de datos Interacción entre sistemas/aplicaciones Clasificación de datos/procesos y periodicidad Financial Reporting Controles administrativos y operacionales
Objetivos COSO
24
Referencias
Min, Young-Woon, Understanding and Auditing IT Systems, Vol.1, USA, 2009
COSO, Enterprise Risk Management Integrated Framework, 2004 COSO, Guidance on Monitoring Internal Control Systems, 2009 Common Criteria, Common Criteria for IT Security Evaluation,
General Model, CCMB 2009 Common Criteria, An Introduction, CCMB, 1999 Common Criteria, Common Criteria for IT Security Evaluation, Part 2:
Security Functional Components, CCMB 2009 Common Criteria, Common Criteria for IT Security Evaluation, Part 3:
Security Assurance Components, CCMB 2009 Department of Defense, Trusted Computer System Evaluation Criteria
(Orange Book), 1985 European Community, Information Technology Security Evaluation
Criteria (ITSEC), Brussels, 1991 Systems Security Engineering Capability Maturity Model Appraisal
Method (SSE-CCM), Carnegie Mellon University, 1999
Carmen R. Cintrón Ferrer, 2011, Derechos Reservados