1 / 25

Auditoría de Redes

Módulos I – A @ IV A. Auditoría de Redes. Carmen R. Cintrón Ferrer , 2011, Derechos Reservados. Contenido : Módulo I - A. Arquitectura de la computadora Evolución de sistemas de computación Procesos y prácticas – operaciones Desarrollo de sistemas informáticos

noah-jordan
Télécharger la présentation

Auditoría de Redes

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Módulos I – A @ IV A Auditoría de Redes Carmen R. CintrónFerrer, 2011, DerechosReservados

  2. Contenido: Módulo I - A • Arquitectura de la computadora • Evolución de sistemas de computación • Procesos y prácticas – operaciones • Desarrollo de sistemasinformáticos • Integración de aplicacionesbasadas en objetos • Plataformas de Bancos de Datos • Controlesinternos – Entorno • Controlesinternos - Tecnología Carmen R. CintrónFerrer, 2011, DerechosReservados

  3. Contenido: Módulo II - A • Introducción a lascomunicaciones • Modelos: • Open Systems Interconnect (OSI) • Internet (TCP/IP) • Mecanismos de interacción y conexión: • Nivelfísico • Niveldatos • Tipo de red: • Amplia (Wide Area Network – WAN) • Local (Local Area Network – LAN) • Inalámbrica (Wireless Network) Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  4. Contenido: Módulo II – A(Continuación) • Protocolos de Internet: • Internet Protocol (IP) • Transmission Control Protocol (TCP) • Protocolos de aplicaciones: • Domain Name System (DNS & DNS Sec) • Telnet • File Transfer Protocol (FTP) • Hyper Text Transfer Protocol (HTTP) • Simple Mail Transfer Protocol (SMTP) • Simple Network Management Protocol (SNTP) Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  5. Contenido: Módulo II – A(Continuación) • Principiosbásicos de cifrado(Encryption): • Sistemas de cifrado • Symmetric Key Cryptography • Asymmetric Key Cryptography • Public Key Infrastructure (PKI) • SSL/ TSL • IP Sec • Sistemas de comercioelectrónico – E-Commerce • Componentesparaimplantar E-Commerce • Características de HTML • Common Gateway Interfase (CGI) • Issues de seguridad en el E-Commerce Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  6. Contenido: Módulo III – A • Planificación, implantación y auditoría de redes • Planificación de redes: • Modelo de Seguridad • Capacity Planning • Análisis de Riesgos en el entorno virtual (Redes) • Implantación de redes: • Dispositivos de seguridad • Políticas de seguridad • Auditoría de redes: • Security monitoring – Log analysis • Vulnerability assessment • Risk management • Informe(s) de auditoría y sudivulgación Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  7. Módulo I - A Introducción a sistemas Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  8. Arquitectura del computador • Lógicabooleana (Boole) • Circuitosintegrados (VLSI) • Procesador Central (CPU) • Procesador • Registros • Unidadaritmética (ALU) • Unidadcomunicación (BUS) • Tipo de operaciones – instrucciones: • Transferenciadatos • Operacionesaritméticas • Operacioneslógicas • Conversión de datos • Control y carga-descarga (Input/Output & Control) • Integración de instrucciones al CPU: • Hardwired ó ROM/PROM/EPROM Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  9. Arquitectura del computador(Continuación) • Dispositivos de almacenamientointerno: • Direct Memory Access (DMA) • Random Access Memory (RAM) • Dynamic & Static Random Access Memory (DRAM/SRAM) • Registros y CACHE • Dispositivos de almacenamientoexterno: • Discos magnéticos y discos ópticos • Cintas magnéticas • Otrosdispositivos: móviles(portable) & virtales Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  10. Evolución de los sistemas de computación • Sistemasoperativos: • Intruccionesparaefectuarlasoperaciones y control • Almacenadas en el CPU y/o accequibles en almacén • Ejecutadasconsecutivamente (Arq. von Newman) • Evolución: • Manual Processing • Serial Processing • Batch processes • Multiprogramming (Shared CPU Time): • Buffers and pagination (Virtual memory ) • Concurrency control and security measures • Dynamic Time-Sharing • Multiprocessing and Real-Time Operating Systems • Parallel Processing Systems Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  11. Sistemas de computación(Continuación) • Funciones de los sistemasoperativos: • Manejo de procesos: • Estructuras de datos y archivos • Mantenimiento de estatus • Sincronización, priorización(scheduling) y comunicación • Administración de almacenamiento y optimización del uso del espacio • Implantación y control de medidas de seguridad: • Políticas de Acceso y preservación de integridad • Códigos y programación Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  12. Sistemas de computación(Manejo de procesos) • Bitácoras y control de procesos: • Bitácoras de estatus de procesos: (ready/running/suspended) • Asignación de recursos y controles: (IRQ/locks) • Process Control Block: • Process ID & State • Access rights • Register contents, time alloted, stack address • Contents, status, program counter, memory management • I/O devices alloted and pending operations, open files,… • PCB change operation, setup for execution • Interrupt(s) enabling/disabling according to process priority • Restoration pointers • Scheduling algorithms: (FCFS/RR/SRT) • Semaphores & Mutual exclusion • Deadlock handling and prevention • Monitors and messages Carmen R. CintrónFerrer, 2011, DerechosReservados

  13. Sistemas de computación(Manejo de almacén) • Almacenamientopararespaldarprocesos de sistemas: • Asignar , optimizar y recuperarespacio • Swap procedures • Protección de datosalmacenados y áreascompartidas • Técnicas y procesos: • Manejo en lotes • Fixed & variable partition allotment • Segmentation • Paging & Virtual memory • File systems: • Niveles: Volumen, directorio, archivo, datos • Acceder: Buscarbloque, cargabloque, seleccióndatos, récord virtual • Guardar: Identificarmedio, validarprivilegios, verificardisponibilidad, crearbloque (FCB), asignarespacio en buffer, ubicar cursor en bloque Carmen R. CintrónFerrer, 2011, DerechosReservados

  14. Sistemas de computación(Manejo de estructuras de datos) • File systems management: • Mantenercontroles de acceso y protección de estructuras • Optimizarasignación y recuperación de espacio • Ejecutarprocesosparaadministrar FCB • Traducción de direcciones y métodos de acceso • Asegurarintegridad de archivos : real time logs, RAID, mirroring • Estructurasdirección: • Directory Data Structure (Unix) • Indirect indexes • Address Translation • Space allocation: Contiguos/noncontiguos – Channing/Indexing Carmen R. CintrónFerrer, 2011, DerechosReservados

  15. Sistemas de computación(Manejo de discos) • Volumes – series of addressable disk sectors (within/outside) • Partitions – Disk units: • Schemes (Hardware related): • DOS /NTSF • Solaris (UNIX) • Boot process – Master boot record: • Start/End Address for each partition • Operating system boot code • Offset from beginning of disk volume • Number of sectors in partition • Type of volume / File system type Carmen R. CintrónFerrer, 2011, DerechosReservados

  16. Sistemas de computación(seguridad de sistemas) • Procesosintegradosparaasegurar: • Confiabilidad • Protección de procesos en ejecución • Seguridad • Control de concurrencia y serialización • Autenticación: • UserID & Password • Archivo de autenticación(archivocifrado y escondidohidden) • Autorización (Controles): • Mandatoriosintegradospor el sistemaoperativo(Read/Write/Execute) • Discresionales – Administradospor el usuario o administrador • Consola de administración: Configurar y fiscalizarcontroles Carmen R. CintrónFerrer, 2011, DerechosReservados

  17. Procesos y prácticas de operación • Startup & Shutdown • System Consoles • Facilities for Application Processing • File System Management • Application Programs Development • Security Implementation: • User authentication • Data & Resources Access Controls • Logs & reports of access and security events • Roles & Profile management • Encryption algorithms and standards • System Management and Auditing • File Access Permissions: READ, APPEND, WRITE, LOCK, EXECUTE, SAVE Carmen R. CintrónFerrer, 2011, DerechosReservados

  18. Desarrollo de sistemasinformáticos • Information Requirements • System Development Approach: • SDLC • Prototypes • Agile Methodologies • Analysis Tasks and Deliverables: • Planning • Data and Data flow modeling • Process Specification • Systems Design and Implementation: • Architecture design • Construction and Deployment • Security Evaluation Criteria/Models Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  19. Desarrollo de sistemasinformáticos(Evaluación de seguridad) • Security Evaluation Criteria/Models: • Trusted Computer System Evaluation (Orange Book-TCSEC) • Information Technology Security Evaluation Criteria (ITSEC) • Systems Security Engineering Capability Maturity Model (SSE-CMM) • The Common Criteria: • Common Criteria for Information Technology Security Evaluation (CC) • Common Methodology for Information Technology Security Evaluation (CEM) • CCRA • National Schemes Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  20. Sistemasbasados en objetos (OOS) • Contraste entre OOS y sistemasconvencionales: • Ventajas • Desventajas • Desarrollo de OOS: • Análisis de requerimientos • Diseño de OOS: • Package Diagrams • Class Diagram Designs • Desarrollo de OOS: • Lenguajesprogramaciónpara OOS • Estándares JAVA • Consideraciones de Seguridadimplantaciones JAVA • Validación Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  21. Plataforma de Bancos de Datos (DBMS) • Contraste entre sistemastradicionales y DBMS • Definiciones • Ventajas y desventajas • ERD model /Relational Model • SQL • DB Schema & Storage management and optimization • Transaction processing & concurrency control • Network Implementation in DB Systems • Data communication • Distributed transaction processing • Dabase security and Auditing: • Hardware, O/S, Application Servers and Networks • Authentication and Authorization • DB Auditing Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  22. Controlesinternos(Entorno) • Tipo de controles: • Corporate Governance Structure • Management Leadership • Organization Structure and Reporting • Human Resources Policies • Performance Evaluation and Budgeting • Internal Audits • Organizational Culture • Laws and Regulations • Technology • Industry Practices • Modelos: • COSO: Control Environment, Risk Assessment, Activities & Monitoring • SOX: Requirements, Corporate Resposibility, Controls Assessment , SEC additional considerations • HIPAA, GLBA: Requirements, Corporate Resposibility, Controls Assessment Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  23. Controlesinternos(Tecnología) • Controles de sistemas e integracióncontroles org. • Objetivoscontrolestecnológicos: • Análisis de riesgos en general • Riesgosporáreas: acceso, sistemas, redes, aplicaciones • Controlesfinancieros: • Instalación y configuración de sistemas • Ejecución de procesos • Validación de datos y flujo de datos • Interacción entre sistemas/aplicaciones • Clasificación de datos/procesos y periodicidad • Financial Reporting • Controlesadministrativos y operacionales • Objetivos COSO Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

  24. Referencias • Min, Young-Woon, Understanding and Auditing IT Systems, Vol.1, USA, 2009 • COSO, Enterprise Risk Management Integrated Framework, 2004 • COSO, Guidance on Monitoring Internal Control Systems, 2009 • Common Criteria, Common Criteria for IT Security Evaluation, General Model, CCMB 2009 • Common Criteria, An Introduction, CCMB, 1999 • Common Criteria, Common Criteria for IT Security Evaluation, Part 2: Security Functional Components, CCMB 2009 • Common Criteria, Common Criteria for IT Security Evaluation, Part 3: Security Assurance Components, CCMB 2009 • Department of Defense, Trusted Computer System Evaluation Criteria (Orange Book), 1985 • European Community, Information Technology Security Evaluation Criteria (ITSEC), Brussels, 1991 • Systems Security Engineering Capability Maturity Model Appraisal Method (SSE-CCM), Carnegie Mellon University, 1999 Carmen R. CintrónFerrer, 2011, DerechosReservados

  25. Módulo II - A Introducción a lascomunicaciones Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

More Related