Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 91 vistas

    Auditoria Seguridad Informatica

    Cargado por

    JULIO CESAR CORTES GUERRA
    El documento describe varias vulnerabilidades de los sistemas informáticos como debilidades en el diseño de protocolos de red, errores de programación, configuración inadecuada y políticas de seguridad deficientes. También cubre tipos de vulnerabilidades, pruebas de penetración, delitos informáticos, normativas de seguridad de la información y estándares ISO.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Auditoria Seguridad Informatica

    Cargado por

    JULIO CESAR CORTES GUERRA
    91 vistas23 páginas
    El documento describe varias vulnerabilidades de los sistemas informáticos como debilidades en el diseño de protocolos de red, errores de programación, configuración inadecuada y políticas de seguridad deficientes. También cubre tipos de vulnerabilidades, pruebas de penetración, delitos informáticos, normativas de seguridad de la información y estándares ISO.

    Título original

    3. AUDITORIA SEGURIDAD INFORMATICA

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento describe varias vulnerabilidades de los sistemas informáticos como debilidades en el diseño de protocolos de red, errores de programación, configuración inadecuada y políticas de seguridad deficientes. También cubre tipos de vulnerabilidades, pruebas de penetración, delitos informáticos, normativas de seguridad de la información y estándares ISO.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    91 vistas23 páginas

    Auditoria Seguridad Informatica

    Cargado por

    JULIO CESAR CORTES GUERRA
    El documento describe varias vulnerabilidades de los sistemas informáticos como debilidades en el diseño de protocolos de red, errores de programación, configuración inadecuada y políticas de seguridad deficientes. También cubre tipos de vulnerabilidades, pruebas de penetración, delitos informáticos, normativas de seguridad de la información y estándares ISO.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 23

    Competencia: 220501033

    Diseñar el Sistema de
    Acuerdo con los
    Requisitos del Cliente
    Auditoria de Seguridad
    Informática
    Vulnerabilidades de los Sistemas Informáticos

    • Debilidad en el diseño de los protocolos utilizados en las redes.


    • Errores de Programación.
    • Configuración inadecuada de los sistemas informáticos.
    • Políticas de Seguridad deficientes o inexistentes: Política de contraseñas poco robusta,
    Deficiencia en el control al acceso al sistema, Escaso control de las copias generadas en papel
    con información sensible, Entre otras.
    • Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.
    • Disponibilidad de herramientas que facilitan los ataques (En internet se encuentran programas
    gratuitos).
    • Limitación gubernamental al tamaño de las claves criptográficas ya la utilización de este tipo de
    tecnologías: EEUU impide exportar productos que empleen algoritmos criptográficos superiores
    a 128 bits.
    • Existencia de «puertas traseras» en los sistemas informáticos (Acceso no autorizado a un
    sistema informático, saltándose las medidas de protección previstas e implantadas por sus
    administradores).
    • Descuido de los fabricantes (Propagación de virus y programas dañinos en los CD-ROM o Discos
    Duros).
    Tipos de Vulnerabilidades
    • Vulnerabilidades que afectan a equipos: Routers, Servidores, Impresoras, entre otras.

    • Vulnerabilidades que afectan a programas y aplicaciones informáticas: Sistemas operativos,


    Bases de datos, Navegadores, Aplicaciones ofimáticas, entre otras.
    Test de Penetración en el Sistema de Etapas

    • Reconocimiento del sistema para averiguar qué tipo de información podría obtener un
    atacante o usuario malicioso.

    • Escaneo consistente en la detección y verificación de vulnerabilidades en servidores


    estándar y en aplicaciones desarrolladas por la propia organización.

    • Penetración: Intento de explotación de las vulnerabilidades detectadas.

    • Generación de informes, con el análisis de los resultados y la presentación de las


    conclusiones sobre la seguridad del sistema informático.

    • Limpieza del sistema, para restaurar la situación inicial (si la seguridad ha sido comprometida
    por la explotación de alguna de las vulnerabilidades detectadas).
    Test de Penetración en el Sistema Test Externo

    Se realizan desde el exterior de la red de la organización, para tratar de forzar la entrada en


    algunos de sus servidores o comprometer su seguridad, mediante pruebas como el escaneo
    de puertos y la detección de los protocolos utilizados; el análisis del trafico cursado, del rango
    de direcciones utilizado y de los servicios ofrecidos a través de la red; pruebas de usuarios y
    de la política de contraseñas; entre otras.
    Test de Penetración en el Sistema Test Interno

    Se llevan a cabo desde el interior de la red de la organización, mediante pruebas como el


    análisis de los protocolos utilizados y de los servicios ofrecidos; la autenticación de usuarios y
    la revisión de la política de contraseñas; el análisis de la seguridad en las estaciones de
    trabajo; la evaluación del comportamientos de los antivirus y otras herramientas de
    seguridad; entre otras.
    Delitos Informáticos

    Un Delito Informático es «cualquier comportamiento antijurídico, no ético o no autorizado


    relacionado con el procesado automático de datos y/o transmisiones de datos» (Definición
    propuesta por un Grupo de Expertos de la OCDE en 1993).
    Convenio sobre Ciberdelincuencia de la Unión
    Europea
    • El convenio sobre Ciberdelincuencia fue aprobado por el Consejo de Europa en junio de 2001, el cual
    define cuatro tipos:

    o Delitos relacionados con el contenido: Pornografía infantil, amenazas, calumnias o difusión de


    contenidos racistas y xenófonos.
    o Delitos relacionados con las infracciones a los derechos de autor: Propiedad intelectual e industrial,
    reproducción de programas informáticos protegidos, distribución de copias ilegales de canciones y
    vídeos.
    o Delitos relacionados con la informática: Falsificación informática que produzca la alteración,
    borrado o supresión de datos informáticos que ocasionen datos no auténticos; fraudes y estafas
    informáticas; tráfico de claves informáticas obtenidas por medio ilícito, etc.
    o Delitos contra la confidencialidad, integridad y disponibilidad de datos y sistemas informáticos:
    Acceso ilícito a sistemas informáticos (delitos contra la intimidad, revelación de secretos de
    empresa, uso no autorizado de equipos informáticos); interceptación ilícita de datos informáticos
    (espionaje informático); interferencia en los datos que provoquen daños, como podría ser su
    alteración o eliminación (sabotajes informáticos); abuso de dispositivos que faciliten la comisión de
    delitos; distribución de virus u otros programas dañinos, etc.
    Ley 1273

    • La Ley 1273 del 5 de enero de 2009 creó nuevos tipos penales relacionados con delitos informáticos y
    protección de la información y de los datos con penas de prisión de hasta 120 meses y multas de hasta
    1500 salarios mínimos legales mensuales vigentes.

    o Capítulo Primero: De los atentados contra la confidencialidad, la integridad y la disponibilidad de


    los datos y de los sistemas informáticos.

    o Capítulo Segundo: De los atentados informáticos y otras infracciones.


    Articulo 195 Código Penal

    • Acceso abusivo a un sistema informático:

    o El que abusivamente se introduzca en un sistema informático protegido con medida de seguridad o


    se mantenga contra la voluntad de que tiene derecho a excluirlo, incurrirá en multa
    .
    Derecho a la Intimidad y la Privacidad

    • Es el derecho que poseen las personas de poder excluir a terceros del conocimiento de su vida
    personal, es decir, de sus sentimientos, sus emociones, sus datos biográficos y personales y su
    propia imagen.
    • Establece el derecho a un individuo al control sobre quién, cuándo y dónde se podrían
    percibir diferentes aspectos de su vida personal (a través de sus datos personales).
    • La Declaración Universal de Derechos Humanos del año 1948, en su artículo 12, establece que
    «nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su
    correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la
    protección de la ley contra tales injerencias o ataques».
    Ley 1266 de 2008

    También conocida como la Ley de Habeas Data, se aplica a todos los datos personales
    financieros, crediticios, comerciales y de servicios registrados en un banco de datos. Está
    encaminada a regular el uso de la información y por tanto otro tipo de datos(por ejemplo
    aquellos mantenidos en un ámbito exclusivamente personal o doméstico o los que se incluyen
    en una historia clínica) se encuentran excluidos de la aplicación de esta norma.
    Ley 1581 de 2012

    • Se dictan disposiciones generales para la protección de datos personales.

    • Tiene como objeto desarrollar el derecho constitucional que tienen todas las personas a
    conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases
    de datos o archivos, y los demás derechos, libertades y garantías constitucionales.
    ISO 27000

    • Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la


    Información (SGSI).

    o Requisitos para la especificación de sistemas de gestión de la seguridad de la información


    o Proceso del análisis y gestión del riesgo
    o Métricas y medidas de protección
    o Guías de implantación
    o Vocabulario claramente definido para evitar distintas interpretaciones de conceptos
    técnicos y de gestión y mejora continua.
    ISO 27000 Alcance

    • General: Cubre todos los tipos de organizaciones. También especifica los requerimientos a
    establecer, poniendo en ejecución, funcionando, supervisando, repasando, manteniendo y
    mejorando la documentación del Sistema de Administración en la Seguridad de la Información
    (ISMS), dentro del contexto de la totalidad de los riesgos del negocio.
    • Aplicación: El conjunto de requerimientos precisados en este estándar internacional son
    genéricos y se piensa sean aplicables a todas las organizaciones, sin importar su tipo, tamaño
    y naturaleza.
    ISO
    • ISO 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de
    seguridad de la información.
    • ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control y
    controles recomendables en cuanto a seguridad de la información.
    • ISO/IEC 27003: Es una guía que se centra en los aspectos críticos necesarios para el diseño e
    implementación con éxito de un SGSI (Gestión de la Seguridad de la Información).
    • ISO/IEC 27004: Es una guía para el desarrollo y utilización de métricas y técnicas de medida
    aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles
    implementados.
    • ISO/IEC 27005: Proporciona directrices para la gestión del riesgo en la seguridad de la
    información.
    • ISO/IEC 27006: Especifica los requisitos para la acreditación de entidades de auditoría y
    certificación de sistemas de gestión de seguridad de la información.
    • ISO/IEC 27007: Es una guía de auditoría de un SGSI.
    • ISO/IEC TR 27008: Es una guía de auditoría de los controles seleccionados en el marco de
    implantación de un SGSI.
    ISO
    • ISO/IEC 27009: Es una guía sobre el uso y aplicación de los principios de ISO/IEC 27001 para el
    sector servicios.
    • ISO/IEC 27010: Consiste en una guía para la gestión de la seguridad de la información cuando
    se comparte entre organizaciones o sectores.
    • ISO/IEC 27011: Es una guía de interpretación de la implementación y gestión de la seguridad
    de la información en organizaciones del sector de telecomunicaciones.
    • ISO/IEC 27013: Es una guía de implementación integrada de gestión de seguridad de la
    información y de gestión de servicios TI.
    • ISO/IEC 27014: Consistirá en una guía de gobierno corporativo de la seguridad de la
    información.
    • ISO/IEC TR 27015: Es una guía de SGSI orientada a organizaciones del sector financiero y de
    seguros.
    • ISO/IEC TR 27016: Es una guía de valoración de los aspectos financieros de la seguridad de la
    información.
    • ISO/IEC 27017: Es una guía de seguridad para Cloud Computing.
    • ISO/IEC 27018: Es un código de buenas prácticas en controles de protección de datos para
    servicios de computación en cloud computing.
    ISO
    • ISO/IEC TR 27019: Guía con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de
    control específicos relacionados con el sector de la industria de la energía.
    • ISO/IEC TR 27023: Es una guía de correspondencias entre las versiones del 2013 de las normas
    ISO/IEC 27001 y ISO/IEC 27002.
    • ISO/IEC 27031: Es una guía de apoyo para la adecuación de las tecnologías de información y
    comunicación (TIC) de una organización para la continuidad del negocio.
    • ISO/IEC 27032: Proporciona orientación para la mejora del estado de seguridad cibernética.
    • ISO/IEC 27033: Norma dedicada a la seguridad en redes.
    • ISO/IEC 27034: Norma dedicada la seguridad en aplicaciones informáticas.
    • ISO/IEC 27035: Proporciona una guía sobre la gestión de incidentes de seguridad en la
    información.
    • ISO/IEC 27036: Guía de las relaciones con proveedores.
    • ISO/IEC 27037: Es una guía que proporciona directrices para las actividades relacionadas con
    la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales
    localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales,
    sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros
    dispositivos.
    ISO

    • ISO/IEC 27038: Es una guía de especificación para seguridad en la redacción digital.


    • ISO/IEC 27039: Es una guía para la selección, despliegue y operativa de sistemas de detección
    y prevención de intrusión.
    • ISO/IEC 27040: Es una guía para la seguridad en medios de almacenamiento.
    • ISO/IEC 27041: Es una guía para la garantizar la idoneidad y adecuación de los métodos de
    investigación.
    • ISO/IEC 27042: Es una guía con directrices para el análisis e interpretación de las evidencias
    digitales.
    • ISO/IEC 27043: Desarrolla principios y procesos de investigación para la recopilación de
    evidencias digitales.
    • ISO/IEC 27044: En fase de desarrollo. Gestión de eventos y de la seguridad de la información.
    • ISO 27799: Es una norma que proporciona directrices para apoyar la interpretación y
    aplicación en el sector sanitario en cuanto a la seguridad de la información sobre los datos de
    salud de los pacientes.
    BS 799

    Es una norma que presenta los requisitos para un Sistema Administrativo de Seguridad de la
    Información (SASI). Ayudará a identificar, administrar y minimizar la gama de amenazas a las
    cuales está expuesta regularmente la información.

    También podría gustarte