Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

AUDITORÍA DE REDES Y TELECOMUNICACIONES

No description
by

Diana Castro

on 20 January 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of AUDITORÍA DE REDES Y TELECOMUNICACIONES


La auditoría informática es el proceso de recoger, agrupar y evaluar evidencia para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos , lleva acabo eficazmente los fines de la organización, utiliza eficientemente los recursos y cumple con las leyes y regulaciones establecidas.
Que es el auditor informático en Redes y Telecomunicaciones?
¿Qué características tiene la Auditoría en Redes y Telecomunicaciones?
AUDITORÍA DE SEGURIDAD WEB
Sertec realizará un test de intrusión a su web, tanto al servidor como a la aplicación. Una vez realizado el test, elaboraremos un informe de análisis para la corrección de los posibles fallos.

Mediante una Auditoría de Seguridad, el equipo de seguridad de Sertec comprobará si su red es segura frente a posibles ataques y cual es su nivel de seguridad. Estas auditorías, se utilizan ampliamente para evaluar el tipo y extensión de las vulnerabilidades de sistemas y redes.

AUDITORÍA DE SEGURIDAD PERIMETRAL

Desarrollando un ataque perimetral desde el exterior intentamos acceder a la red interna sobrepasando las barreras de seguridad. De este modo, las vulnerabilidades que puedan existir quedarán a la vista para su corrección.
Sertec elaborará un informe con las soluciones de seguridad a corto y medio plazo que mejor se adapten a su empresa según los problemas encontrados.
GRUPO 17
AUDITORÍA DE REDES Y TELECOMUNICACIONES
AUDITORÍA DE SISTEMA
a) Asegurar la integridad confidenciabilidad y confiabilidad.

b) Minimizar existencias de riesgos en el uso de tecnología.

c) Conocer la situación actual del área informática para lograr los objetivos.

d) Incrementar la satisfacción de los usuarios de los sistemas informáticos.

f) Capacitar y educar sobre controles en los sistemas de información.
Por que y Para que se hace la Auditoría Informática en Redes y Telecomunicaciones?

INTEGRANTES:

MARINA ANGUIETA
DIANA CASTRO
MARILIN PLAZA
ANDREA VIVAR


La información de la empresa y para empresa siempre es importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende han de realizarse inversiones informáticas.
AUDITORÍA DE SEGURIDAD INTERNA

En Sertec analizaremos los riesgos internos mediante un test de intrusión dentro de la LAN. De este modo, ningún miembro interno de la empresa podrá violar la seguridad de la misma ni acceder a datos confidenciales, protegiendo el sabotaje y el robo de información.
En Sertec le proporcionaremos un informe analizando los errores y todas las posibles soluciones a los fallos de seguridad encontrados.
Protega la autenticidad, control de accesos, integridad y confidencialidad de su empresa.
AUDITORÍA DE RED

La globalización, la competencia y los avances tecnológicos están aumentando la importancia de las redes corporativas en todos los sectores empresariales.
Las empresas con mayor visión deberían estar preparadas para una creciente dependencia de sus redes y, en consecuencia, para un crecimiento de red exponencial.
AUDITORÍA DE RED
AUDITORÍA DE RED

Otorga el control de sus redes y le ayuda a identificar las áreas que necesitan medidas inmediatas.
Es un servicio profesional de consultoría que ofrece una auditoría rigurosa, un análisis de sus redes actuales, con el fin de crear una base sólida para el posterior diseño de red y para proyectos de despliegue.
Ofrece una imagen precisa de hacer frente a las necesidades empresariales actuales, y de su grado de preparación para los crecientes requisitos del futuro.
AUDITORÍA DE RED
AUDITORÍA DE RED

AUDITORÍA DE RED
Los consultores de red desarrollan las auditorías de manera que ofrezcan una clara imagen de tres áreas cruciales:
Puntos de Acción derivados de nuevas aplicaciones empresariales.
Valoración del riesgo y comparación del coste con respecto a las ventajas.
Revisión de las inversiones en red en su organización desde el punto de vista empresarial.
Una Auditoría de Red no se limita a un análisis de la infraestructura física de red y Sistemas.
Operativos, su diseño es específico para cada empresa y tiene en cuenta aspectos que incluyen técnicas de control de funcionamiento, suministro de información, medidas de seguridad y análisis de coste y riesgo.
Los consultores de red desarrollan las auditorías de manera que ofrezcan una clara imagen de tres áreas cruciales:
AUDITORÍA DE RED

AUDITORÍA DE RED
Ofrece las herramientas necesarias para determinar la eficacia con que su red respalda sus operaciones empresariales y el grado de satisfacción del cliente sin que influyan cuestiones políticas internas.
Reducción de costes, identifique gastos encubiertos mediante un inventario rápido y preciso.
Prepárese para la introducción de un sólido servicio de gestión de activos con el fin de optimizar los niveles de servicio .
Mayor productividad, mejore el funcionamiento de sus red, identificando los problemas, aislando los errores para proceder a su eliminación.
VENTAJAS PARA LA EMPRESA:

AUDITORÍA DE RED

EL MODELO OSI ESTA DIVIDIDO EN DIFERENTES CAPAS:
Capa Física: Se encarga de garantizar la integridad de la información transmitida por la red.
Capa de Enlace: Garantiza que la línea o canal de transmisión esté libre de errores.
Capa de Red: Determina como se encaminan los paquetes, de la fuente al destino.
Capa de Transporte: Divide los datos en unidades mas pequeñas y garantiza que la información transmitida llegue a su destino.
Capa de Sesión: Maneja el sentido de transmisión de los datos y la sincronización de operaciones
Capa de Presentación: Se encarga de analizar que el mensaje es semántica y sintácticamente correcto.
Capa de Aplicación: Implementación de protocolos y transferencia de archivos nos permite distinguir 3 tipos de fallo en la seguridad de la red:
1. Alteración de bits.
2. Ausencia de tramas.
3. Alteración de la secuencia.
Otro modelo de referencia conocido es el TCP/IP con algunas variaciones como el de encapsular varios protocolos, este modelo de referencia da replicación de los canales para posibles caídas del sistema.
El problema de tales implementaciones es que por los puertos de estandarización TCP/IP puede entrar cualquier tercero para afectar a la red de la compañía, para lo cual como medida de protección se usan Firewalls.
Debido a que siempre va a haber un punto de fallo en las redes de la compañía se han diseñado algunas herramientas para probar la eficacia de las políticas de seguridad tales herramientas son: SAFEsuite y COPS.
Intranet
Extranet
Internet
Bajo esta política se define como tipo de clases de redes a:

AUDITORÍA DE TELECOMUNICACIONES

Gestión de red, equipos y su conectividad.
Monitorización de las comunicaciones.
Revisión de costes y asignación formal de proveedores.
Creación y aplicación de estándares.
Se debe revisar:
AUDITORÍA DE LA RED FISICA
Áreas de equipos de comunicación con control de acceso.
Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.
Control de utilización de equipos de prueba de comunicaciones para monitorear la red y el trafico en ella.
Prioridad de recuperación del sistema.
Control de las líneas telefónicas.
Se debe garantizar que exista:
AUDITORÍA DE LA RED LÓGICA
Dar contraseñas de acceso.
Controlar los errores.
Registrar las actividades de los usuarios en la red.
Encriptar información pertinente.
Evitar la importación y exportación de datos.
Para éste tipo de situaciones se debe:
Se debe cumplir como objetivos de control:
Se debe comprobar:
Llevar un registro actualizado de módems, controladores, terminales, líneas y todo equipo. relacionado con las comunicaciones.
Mantener una vigilancia constante sobre cualquier acción en la red.
Tener una gerencia de comunicaciones con plena autoridad de voto y acción.
El nivel de acceso a diferentes funciones dentro de la red.
La creación de estrategias de comunicación a largo plazo.
Planificación de cableado.
Documentación sobre el diagramado de la red.
Pruebas sobre los nuevos equipos.
Vigilancia sobre actividades online.
Tasas de rendimiento en tiempo de respuesta de las terminales y tasa de errores.
Se debe comprobar que:
El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado
La seguridad física del equipo de comunicaciones sea adecuada.
Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas.
Se dé un código a cada línea, en vez de una descripción física de la misma.
Existan alternativas de respaldo de las comunicaciones.
Las líneas de comunicación estén fuera de la vista.
Para ésta se debe evitar daños internos como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red.
Se debe comprobar que :
El sistema pidió el nombre del usuario y contraseña para cada sesión.
Inhabilitar el hardware o el software con acceso libre.
Generar estadísticas con la tasa de errores y transmisión.
Crear protocolos con detección de errores.
Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
Los datos confidenciales solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.
Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
AUDITORÍA DE SEGURIDAD Y REDES DE COMUNICACIÓN

La criptografía se define como " las técnicas de escrituras tales que la información esté oculta de intrusos no autorizados". Esto, no incluye el criptoanálisis que trata de reventar tales técnicas para descubrir el mensaje oculto.
Criptografía
Existen 2 tipos de criptoanálisis:
Lineal:
Con variaciones de un bit en cada intento, trata de averiguar la clave de descifrado del mensaje oculto.
Consideraciones para Elaborar un Sistema de Seguridad Integral

Un sistema integral debe contemplar:

Definir elementos administrativos
Definir políticas de seguridad
A nivel departamental
A nivel institucional
Organizar y dividir las responsabilidades
Definir prácticas de seguridad para el personal: Plan de emergencia (plan de evacuación, uso de recursos de emergencia como extinguidores.
Definir el tipo de pólizas de seguros
Definir elementos técnicos de procedimientos
Definir las necesidades de sistemas de seguridad para: Hardware y software
Flujo de energía
Cableados locales y externos.
Aplicación de los sistemas de seguridad incluyendo datos y archivos.
Planificación de los papeles de los auditores internos y externos
Planificación de programas de desastre y sus pruebas (simulación)
Planificación de equipos de contingencia con carácter periódico.
Control de desechos de los nodos importantes del sistema:
Política de destrucción de basura copias, fotocopias, etc.
Consideración de las normas ISO 1400
Etapas para Implementar un Sistema de Seguridad

Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.
Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos, y ambientales.
Elaborar un plan para un programa de seguridad.
Se debe revisar:
Plan de Seguridad Ideal (o Normativo)
El plan de seguridad debe asegurar la integridad y exactitud de los datos.
Debe permitir identificar la información que es confidencial.
Debe contemplar áreas de uso exclusivo.
Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles.
Debe asegurar la capacidad de la organización para sobrevivir accidentes.
Debe proteger a los empleados contra tentaciones o sospechas innecesarias.
Etapas para Implantar un Sistema de Seguridad en Marcha

Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguiente 8 pasos:
1. Introducir el tema de seguridad en la visión de la empresa.
2. Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes.
3. Capacitar a los gerentes y directivos, contemplando el enfoque global.
4. Designar y capacitar supervisores de área.
5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.
6. Mejorar las comunicaciones internas.
7. Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.
8. Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física.
Diferencial:
Se apoya en variaciones XOR entre cada par de bits, hasta que se logre obtener un único bit, parte de la clave.Relacionado con esto, se ha desarrollado también la esteganografía, que bajo un camuflaje totalmente ajeno al mensaje a transmitir, se envía la información oculta.
Donde:
Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc)
Medidas pre.. (políticas, sistemas de seguridad, planes de emergencia, plan de resguardo, seguridad de personal, etc).
Beneficios de un Sistema de Seguridad

Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:
Aumento de la productividad.
Aumento de la motivación del personal.
Compromiso con la misión de la compañía.
Mejora de las relaciones laborales.
Ayuda a formar equipos competentes.
Mejora de los climas laborales para los RR.HH.
THANKS..!
Full transcript