La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

AUDITORÍA DE HARDWARE.

Publicada porMaría Isabel Gil Soler Modificado hace 7 años

Presentaciones similares

Presentación del tema: "AUDITORÍA DE HARDWARE."— Transcripción de la presentación:

1 AUDITORÍA DE HARDWARE

2 AUDITORÍA DE REDES Y ESTACIONES

3 Perspectives of IS Audit

4 Information Systems Hardware Infrastructure
Types Input/Output Processing Storage Computers Supercomputers Mainframe Servers Desktops Thin Clients Laptops PDAs Roles performed by Hardware Applications Servers File Servers Web Servers Database Servers Proxy Servers Print Services Specialized Hardware Filewalls Loadbalancers Intrusion Detection System Other Components USB Devices Memory Cards RFID CD/DVD

5 Auditing Hardware Report on server hardware appropriateness, performance, levels of redundancy (and any associated risks). Analysis of Server configuration (and any areas not done properly and if/why they are important). Security Analysis on multiple levels. Backup systems hardware, software, data sets, disaster readiness and risks.

6 El Personal del Mantenimiento
Verificar el área de personal      Aclaraciones sobre el cálculo de rendimiento

7 Mantenimiento PREVENTIVO y CORRECTIVO
Disminución del número de incidencias en el sistema. Aumento de la vida útil de los equipos. Disminución de costos de tiempo y económicos en reparaciones. Detección de los puntos débiles del sistema.

8 Fines de la auditoria en el entorno de hardware.
El mantenimiento que se realice debe asegurar una vida útil para toda el área. Revisar los informes de la dirección sobre la utilización del hardware. Revisar si el equipo se utiliza por el personal autorizado. Examinar los estudios de adquisición, selección y evaluación del hardware. Comprobar las condiciones ambientales. Verificar los procedimientos de seguridad física. Examinar los controles de acceso físico. Revisar la seguridad física de los componentes de la red

9 Fines de la auditoria en el entorno de software.
Revisar las librerías utilizadas por los programadores. Examinar que los programas realizan lo que realmente se espera de ellos. Revisar el inventario de software. Comprobar la seguridad de datos y software. Examinar los controles sobre los datos. Revisar los controles de entrada y salida. Supervisar el uso de las herramientas potentes al servicio de los usuarios. Comprobar la seguridad e integridad de la base de datos.

10 Auditoría de sistemas de información
Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

11 Auditoría de sistemas de información
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

12 Fases de una auditoria Los servicios de auditoría constan de las siguientes fases: Enumeración de redes, topologías y protocolos Verificación del Cumplimiento de los estándares internacionales. (ISO) Identificación de los sistemas operativos instalados Análisis de servicios y aplicaciones Detección, comprobación y evaluación de vulnerabilidades Medidas específicas de corrección Recomendaciones sobre implantación de medidas preventivas.

13 AUDITORÍA DE RED DE AREA LOCAL
Rodriguez Soto Eduardo

14 La red de área local (LAN por sus siglas en inglés) como tal es un medio de comunicación democrático, o al menos esa es la intención, sin embargo, en ocasiones existen usuarios que intentan aprovecharse de todos los recursos que les proporciona la red para explotarla. Red de área local

15

16 Las redes tienen un punto de demarcación que es hasta donde llega la responsabilidad de nuestro ISP y comienza la nuestra. Nuestra responsabilidad: “Garantizar el acceso a la red, proveer de mecanismos que ayuden a la seguridad en la red, interoperabilidad entre sistemas, escalabilidad, etc...”

17 Se pueden auditar 2 elementos principales:
Elementos funcionales. Configuración de los equipos, accesos, restricciones, vulnerabilidades en los equipos, políticas de tráfico, etc. Elementos no funcionales Velocidades constantes (tanto de subida como de bajada), tiempo de convergencia de los routers en la red, señal intermitente, cobertura de la señal inalámbrica, etc.

18 Cosas a auditar (elementos funcionales)
1.- Usuarios (equipos) no autorizados en nuestra red. 2.- El tráfico de nuestra red (para detectar tráfico sospechoso). 3.- Vulnerabilidad en nuestros usuarios (sobre todo en los equipos de los jefes). 4.- En caso de tener servidores en nuestra red, se deberán llevar a cabo auditorias específicas para cada servicio (impresión, usuarios, datos, ect).

19 La metodología se basa principalmente en el modelo de referencia OSI, estándares como el TIA-942, Tier, norma de cableado estructurado ANSI/TIA/EIA-568-B, ANSI/TIA/EIA- 569-A y las mejores prácticas en el mercado. La auditoria de redes, se inicia evaluando la parte física de la red, condiciones del cableado estructurado, mantenimiento de la sala de servidores, gabinetes de comunicación, etiquetado de los cables, orden , limpieza. Comparado con las mejores practicas y referenciados con los estandares. En esta parte, también se consideran el mantenimiento de los equipos de comunicaciones, tener un inventario actualizado de los equipos de red, garantías. Sergio Untiveros

20 Luego se realiza el levantamiento de información, análisis y diagnostico de la configuración lógica de la red, es decir; plan ip, tabla de vlans, diagrama de vlans, diagrama topológico, situación del spaning-tree, configuración de los equipos de red. Después de revisar toda esa información se procede a realizar una evaluación cuantitativa de diversos conceptos los cuales nos darán una valoración final sobre la situación de la red. El resultado de la auditoria de la red no es cualitativo sino cuantitativo, utilizando una escala de likert. Sergio Untiveros

21

22 Analizar el tráfico que pasa por nuestra red - Wireshark Buscar vulnerabilidades – OpenVAS Auditar de Redes - Autoscan

23 AUDITORÍA EN SEGURIDAD INFORMATICA
Gilder Librado Santiago

24 Auditoria en seguridad informática
Una auditoría de seguridad consiste en apoyarse en un tercero de confianza (generalmente una compañía que se especializada en la seguridad informática) para validar las medidas de protección que se llevan a cabo, sobre la base de la política de seguridad. El objetivo de la auditoría es verificar que cada regla de la política de seguridad se aplique correctamente y que todas las medidas tomadas conformen un todo coherente. Una auditoría de seguridad garantiza que el conjunto de disposiciones tomadas por la empresa se consideren seguras.

25 Hardware Si hay políticas y procedimientos relativos al uso y protección del hardware. Equipo de soporte: localización física (aire acondicionado, equipo no break, equipos contra incendios u otros) Ubicación física del equipo de computo. Si hay procedimientos que garanticen la continuidad y disponibilidad del equipo de computo si hay personal de seguridad encargada de salvaguarda de los equipos

26 Hardware si existen políticas relacionadas con el ingreso y salida del hardware: Que la entrada y salida sea (revisada, justificada, aprobada , registrada y devuelta) Si hay alguna función de investigación, auditoria o seguridad que se dedique a la evaluación permanente de software, métodos, procedimientos etc. Para la implantación de nuevas acciones relativas a la seguridad que brindan continuidad en la operación y cuidado de los recursos relacionados con informática.

27 Software Si se tienen políticas y procedimientos relativos al uso y protección del software Si poseen políticas relacionadas con el ingreso y salida del software En cuanto a las aplicaciones que se desarrollan en la empresa: si hay controles y procedimientos necesarias para garantizar la seguridad mínima requerida. Si existen procedimientos que verifiquen que la construcción, prueba e implementación de los controles y procedimientos de seguridad sean formalmente aprobados, antes de utilizarlo Si los controles aseguran que el sistema contemplen los procedimientos necesarios para que la información manejada en el mismo sea total, exacta, autorizada, mantenida y actualizada.

28 Software Si se cuenta con un procedimiento formal para mantenimiento de los sistemas. Como se da seguimiento a los cambios de los sistemas sugeridos por la función de informática. Si hay procedimientos que permiten identificar con claridad las responsabilidades en cuanto al uso del sistema y computo donde será implantado y operado. Procedimientos que se utilizan para liberar formalmente el sistema. Funciones que verifican los controles y procedimientos relativos a la seguridad se cumplan de manera satisfactoria Si están bien definidos los responsables de modificar los programas fuente del sistema Registros de los de los archivos existentes en cada sistema en operación

29 Software Si se cuenta con procedimientos de respaldo de los programas fuentes Si el respaldo se encuentra en el mismo edificio Si hay controles para que solo personal autorizado tenga acceso a respaldo.

30 Plan de contingencias y de recuperación
Grado de importancia de los recurso (alta dirección) y que recursos tienen mayor grado de protección. Analizar la tareas realizadas, pendientes, en desarrollo y quienes son responsables en la planeación de contingencias y recuperación. función responsable de seguridad que verifique y de seguimiento a la actualización formal de planes y procedimientos. Aprobación de planes Contemplación de contingencias o desastres en instalaciones de la organización. Procedimientos formal para efectuar todo el proceso de evaluación, selección y contratación de los seguros.

31 Clasificación de los elementos prioritarios para que la operación de los sistemas básicos no se interrumpan por un desastre o contingencia.

32 AUDITORÍA DE COMUNICACIONES
Jimenez Guerrero Jonathan

33 Auditoria a Telecomunicaciones
Son una serie de mecanismos mediante los cuales se prueba una Red Informática, evaluando su desempeño y seguridad, logrando una utilización mas eficiente y Segura de la información. Asegurar la integridad, confidencialidad y confiabilidad de la información. Minimizar existencias de riesgos en el uso de Tecnología de información Brindar seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático. Incrementar la satisfacción de los usuarios de los sistemas informáticos. Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto a inversiones para la tecnología de información.

34 Administración Verificar que los usuarios que acceden a la red tengan asignado un rol y solo pueden acceder a información de su jerarquía. Verificar las políticas y normas de seguridad de telecomunicaciones deben estar formalmente definidas, documentadas y aprobadas. Contar con un manuales de operación de la red de comunicación

35 Contar con una bitácora de:
Usuarios que entraron a la red. Operaciones realizadas en la red (envío/recepción). Tiempos de conexión.

36 Verificar la existencia de controles en software y hardware
Asegurar la existencia de controles y procedimientos que orienten a la satisfacción de la administración Verificar que el software de comunicación sea efectivo y controlado Verificar que solo se encuentre software autorizado en la red Evaluar las acciones que lleven a cabo para actualizar los diferentes componentes de la red.

37 Instalación Protección de datos transmitidos a través de la red
Protección a los componentes de la red Métodos para prevenir el monitoreo no autorizado Contraseñas que autoricen el acceso a la red y eviten la entrada a archivos no autorizados Se debe estar pendientes de lo que sucede para cubrir las nuevas brechas y hacer el trabajo mas difícil a los atacantes. Se debe estar pendiente a los fallos que se presentan los cuales facilitan intrusión de los sistemas. Verificar que se cuente con un plan de contingencia que permita a la empresa seguir sus operaciones en caso de algo imprevisto como la perdida de conectividad

38 Operaciones/Seguridad
Protección de datos transmitidos a través de la red Protección a los componentes de la red Métodos para prevenir el monitoreo no autorizado Contraseñas que autoricen el acceso a la red y eviten la entrada a archivos no autorizados Se debe estar pendientes de lo que sucede para cubrir las nuevas brechas y hacer el trabajo mas difícil a los atacantes. Se debe estar pendiente a los fallos que se presentan los cuales facilitan intrusión de los sistemas. Verificar que se cuente con un plan de contingencia que permita a la empresa seguir sus operaciones en caso de algo imprevisto como la perdida de conectividad

39 Castillo Magallon Felix
AUDITORÍA DE HARDWARE Castillo Magallon Felix

40 Hardware: PC, minicomputadoras y mainframes.
Instalación Operación Administración

41 Instalación Cableado estructurado.
ANSI/TIA/EIA-568-B: Cableado de Telecomunicaciones en Edificios Comerciales sobre como cómo instalar el Cableado: TIA/EIA 568-B1 Requerimientos generales;TIA/EIA 568-B2: Componentes de cableado mediante par trenzado balanceado; TIA/EIA 568-B3 Componentes de cableado, Fibra óptica. ANSI/TIA/EIA-569-A: Normas de Recorridos y Espacios de Telecomunicaciones en Edificios Comerciales sobre cómo enrutar el cableado. ANSI/TIA/EIA-570-A: Normas de Infraestructura Residencial de Telecomunicaciones. ANSI/TIA/EIA-606-A: Normas de Administración de Infraestructura de Telecomunicaciones en Edificios Comerciales. ANSI/TIA/EIA-607: Requerimientos para instalaciones de sistemas de puesta a tierra de Telecomunicaciones en Edificios Comerciales.

42 Cableado Horizontal No se permiten puentes, derivaciones y empalmes a lo largo de todo el trayecto del cableado. Se debe considerar su proximidad con el cableado eléctrico que genera altos niveles de interferencia electromagnética (motores, elevadores, transformadores, etc.) La máxima longitud permitida independientemente del tipo de medio de utilizado es 100m = 90 m + 3 m usuario + 7 m patchpannel.

43 Cableado Vertical Se utiliza un cableado Multipar UTP y STP , y también, Fibra óptica Multimodo y Monomodo.

44

45 Clientes ligeros y Pc

46 Operación Operar el Hardware de acuerdo a las especificaciones técnicas del fabricante y las normas de higiene y seguridad de la empresa. IMPRESO Normas de seguridad e higiene de la empresa. Manual de operaciones. Manual de especificaciones técnicas y diagramas de conexión del fabricante.

47

48 Administración Contar con un control de el hardware de redes con el que se cuenta.

Descargar ppt "AUDITORÍA DE HARDWARE."

Presentaciones similares

Control, Controles y Administración

Control, Controles y Administración
Redes Erick Xavier Sosa 2015-2783. Una red de computadoras, también llamada red de ordenadores o red informática, es un conjunto de equipos (computadoras.

Redes Erick Xavier Sosa Una red de computadoras, también llamada red de ordenadores o red informática, es un conjunto de equipos (computadoras.
Aseguramiento de la Calidad

Aseguramiento de la Calidad
ANALISIS DE FALLA Y CRITICIDAD

ANALISIS DE FALLA Y CRITICIDAD
SEGURIDAD DE SISTEMAS INFORMÁTICOS. DESARROLLANDO UNA POLÍTICA DE SEGURIDAD. Es frecuente que las personas involucradas con la seguridad informática tengan.

SEGURIDAD DE SISTEMAS INFORMÁTICOS. DESARROLLANDO UNA POLÍTICA DE SEGURIDAD. Es frecuente que las personas involucradas con la seguridad informática tengan.
 La administración de toda empresa requiere una serie de actividades que deben desarrollarse adecuada y oportunamente, con el propósito de asegurar la.

 La administración de toda empresa requiere una serie de actividades que deben desarrollarse adecuada y oportunamente, con el propósito de asegurar la.
CABLEADO ESTRUCTURADO. Introducción Primeros años de la década del ’80: –Construcción de edificios sin consideración de los servicios de comunicaciones.

CABLEADO ESTRUCTURADO. Introducción Primeros años de la década del ’80: –Construcción de edificios sin consideración de los servicios de comunicaciones.
«» « Supervisión en Terreno». Supervisión en Terreno. 1.- Promover y velar por el cumplimiento de la política general, normas y sistema de gestión, asegurando.

«» « Supervisión en Terreno». Supervisión en Terreno. 1.- Promover y velar por el cumplimiento de la política general, normas y sistema de gestión, asegurando.
POLITICAS DE LA SEGURIDAD SEGURIDAD Y ADMINISTRACION DE REDES.

POLITICAS DE LA SEGURIDAD SEGURIDAD Y ADMINISTRACION DE REDES.
DIRECCIÓN NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN – DNTIC´S.

DIRECCIÓN NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN – DNTIC´S.
MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.

MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.
CONCEPTOS BÁSICOS DE REDES. ALUMNO: LUIS MANUEL GARCÍA ESPINOZA MAESTRO: CRISTÓBAL CRUZ MATERIA: INFORMÁTICA GRADO Y GRUPO: 3°C.

CONCEPTOS BÁSICOS DE REDES. ALUMNO: LUIS MANUEL GARCÍA ESPINOZA MAESTRO: CRISTÓBAL CRUZ MATERIA: INFORMÁTICA GRADO Y GRUPO: 3°C.
CONCEPTOS BÁSICOS DE REDES. ALUMNO: LUIS MANUEL GARCÍA ESPINOZA MAESTRO: CRISTÓBAL CRUZ MATERIA: INFORMÁTICA GRADO Y GRUPO: 3°C.

CONCEPTOS BÁSICOS DE REDES. ALUMNO: LUIS MANUEL GARCÍA ESPINOZA MAESTRO: CRISTÓBAL CRUZ MATERIA: INFORMÁTICA GRADO Y GRUPO: 3°C.
REDES INALÁMBRICAS, CONECTIVIDAD EN LAS AIP Y CRT DE LAS IIEE

REDES INALÁMBRICAS, CONECTIVIDAD EN LAS AIP Y CRT DE LAS IIEE
Unidad de Comunicación e Imagen

Unidad de Comunicación e Imagen
RED INFORMÁTICA CORPORATIVA

RED INFORMÁTICA CORPORATIVA
Para reflexionar…. ¿Qué es una maquina? ¿Cuál es su finalidad?

Para reflexionar…. ¿Qué es una maquina? ¿Cuál es su finalidad?
Solución de problemas y toma de decisiones administrativas

Solución de problemas y toma de decisiones administrativas
INTEGRANTES: MAURICIO GARCÍA CÁRDENAS CARLOS PALACIOS CONTRERAS

INTEGRANTES: MAURICIO GARCÍA CÁRDENAS CARLOS PALACIOS CONTRERAS
Mejores Prácticas en Proyectos de Desarrollo de Software

Mejores Prácticas en Proyectos de Desarrollo de Software

Presentaciones similares

Anuncios Google