Descargar la presentación
La descarga está en progreso. Por favor, espere
1
Control Interno y Riesgos en TIs
Paul Leger
2
SIA por dentro… Tú Contiene varios módulos
¿Cuántos? ¡Depende de cuanto pagues! Una interfaz particular para cada modulo Una genérica interfaz para todos los módulos (ej. Web) Tú Computines que los mantienen Tu empleado
3
Imágenes de Dynamics AX
Interfaz amigable— outlook integración con Office
4
Versión de SAP antiguo Interfaz implementada con JAVA (no común para Windows) NO integración con Office Hoy, SAP usa una interfaz Web para
5
Controles Internos de Sistemas TI
Los controles generales se aplican en general al SIA Los controles de aplicación son utilizados para controlar las entradas, procesamiento y salidas
6
Controles Generales de Sistemas TI (1/9)
Cinco categorías de controles generales: La autenticación de usuarios y limitar el acceso no autorizado Hacking de red Entorno físico y seguridad física del sistema Continuidad del negocio SO 2 controles generales de los sistemas TI
7
Controles Generales de Sistemas TI (2/9)
Autenticación de usuarios y limitar a los usuarios no autorizados Autenticación de usuarios Tarjeta electrónica Dos factores de autenticación Dispositivos biométricos Log de computador Perfil de usuario SO 2 controles generales de los sistemas TI
8
Controles Generales de Sistemas TI (3/9)
Hacking de Red y otros robos Firewall Public key encryption (WEP) Wired equivalency privacy (WAP) Wireless protected access (VPN) Virtual private network Intrusion detection Penetration testing VPN es implementacion de una extranet SO 2 controles generales de los sistemas TI
9
Controles Generales de Sistemas (4/9) Hacking a WEP red
ESPERAR VIDEO
10
Controles Generales de Sistemas TI (5/9)
Estructura Organizacional (1/3) Principalmente se encarga de contratar a personas con el perfil adecuado. Por ejemplo: ¿Cumple el Administrador de Base de Datos (DBA) que tenemos con el real perfil que necesitamos? ¿Nuestros ingenieros en TI son capaces de desarrollar un sistema de información? Solución: HeadHunters… o panel de expertos
11
Controles Generales de Sistemas TI (6/9)
Estructura Organizacional (2/3) Los deberes que deben estar segregadas: Programadores Administrador de Base de datos Operadores SO 2 controles generales de los sistemas TI
12
Estructura Organizacional (3/3)
Controles Generales de Sistemas TI (7/9) Hacking a Website con Code Injection Estructura Organizacional (3/3) ESPERAR VIDEO
13
Controles Generales de Sistemas TI (8/9)
Medio Físico y Seguridad Controles de acceso físico: Limitación de acceso a las salas de ordenadores a través de tarjetas de identificación de empleados o claves de tarjetas Equipos de vídeo vigilancia Registros de las personas que entran y salen de las aulas de informática Almacenamiento cerrado de datos de backup y copia de datos de seguridad fuera de instalaciones Programdores trabajen con copias de los sistemas (versión en desarrollo) y no con la versión en producción (versión de los usuarios finales)
14
Controles Generales de Sistemas TI (9/9)
Continuidad del Negocio Planificación de continuidad Continuidad del negocio relacionado con los sistemas TI: Una estrategia de copia de seguridad y restauración de los sistemas TI, incluyendo servidores redundantes, almacenamiento redundante de datos, copias de seguridad incrementales diarias, copias de seguridad de los cambios semanales, almacenamiento de copias de seguridad diarias y semanales fuera de las instalaciones. Un plan de recuperación de desastres. La mayoría de las nubes tienen backup …
15
Exposiciones Generales del software
16
Diagrama de un sistema grande (o SIA):
Ejemplo del hacker al sitio Web usó 7 -> 3 -> 1 Usado para teletrabajo 7 4 2 1 3 Aplicación Web 9 5 6 8
17
Exposición del Software
18
Exposiciones en una aplicación
Generalmente en formularios se pueden violar un sistema computacional
19
Software de aplicación y controles de aplicación
Controles de validación de entrada programados Controles de validación de entrada son: 1. Chequeo de Campo 2. Comprobar limite (de texto) 3. Control de Rango 4. Chequo de Razonabilidad 7. Chequeo de Firma 8. Chequeo de Secuencia 9. Autocontrol de dígitos SO 5 Aplicación de software y controles de aplicación
20
Ejemplo: Hacking WII Usando Limite de rango
ESPERAR VIDEO
21
Otras exposiciones del software: (de acuerdo a mi humilde experiencia)
Si tu sabes que programas se uso para construir un software A, entonces tú sabes que elementos tiene expuestos el software A Ejemplo. Si un software se implementó usando el lenguaje de programación C, tú sabes que puede tener el problema overbuffering (ejemplo: Wii) Exploit. Son programas que fueron construidos para explotar las debilidades de exposiciones de otros programas
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.