Auditoría de Redes

Módulos I – A @ IV A Auditoría de Redes Carmen R. CintrónFerrer, 2011, DerechosReservados

Contenido: Módulo I - A • Arquitectura de la computadora • Evolución de sistemas de computación • Procesos y prácticas – operaciones • Desarrollo de sistemasinformáticos • Integración de aplicacionesbasadas en objetos • Plataformas de Bancos de Datos • Controlesinternos – Entorno • Controlesinternos - Tecnología Carmen R. CintrónFerrer, 2011, DerechosReservados

Contenido: Módulo II - A • Introducción a lascomunicaciones • Modelos: • Open Systems Interconnect (OSI) • Internet (TCP/IP) • Mecanismos de interacción y conexión: • Nivelfísico • Niveldatos • Tipo de red: • Amplia (Wide Area Network – WAN) • Local (Local Area Network – LAN) • Inalámbrica (Wireless Network) Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Contenido: Módulo II – A(Continuación) • Protocolos de Internet: • Internet Protocol (IP) • Transmission Control Protocol (TCP) • Protocolos de aplicaciones: • Domain Name System (DNS & DNS Sec) • Telnet • File Transfer Protocol (FTP) • Hyper Text Transfer Protocol (HTTP) • Simple Mail Transfer Protocol (SMTP) • Simple Network Management Protocol (SNTP) Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Contenido: Módulo II – A(Continuación) • Principiosbásicos de cifrado(Encryption): • Sistemas de cifrado • Symmetric Key Cryptography • Asymmetric Key Cryptography • Public Key Infrastructure (PKI) • SSL/ TSL • IP Sec • Sistemas de comercioelectrónico – E-Commerce • Componentesparaimplantar E-Commerce • Características de HTML • Common Gateway Interfase (CGI) • Issues de seguridad en el E-Commerce Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Contenido: Módulo III – A • Planificación, implantación y auditoría de redes • Planificación de redes: • Modelo de Seguridad • Capacity Planning • Análisis de Riesgos en el entorno virtual (Redes) • Implantación de redes: • Dispositivos de seguridad • Políticas de seguridad • Auditoría de redes: • Security monitoring – Log analysis • Vulnerability assessment • Risk management • Informe(s) de auditoría y sudivulgación Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Arquitectura del computador • Lógicabooleana (Boole) • Circuitosintegrados (VLSI) • Procesador Central (CPU) • Procesador • Registros • Unidadaritmética (ALU) • Unidadcomunicación (BUS) • Tipo de operaciones – instrucciones: • Transferenciadatos • Operacionesaritméticas • Operacioneslógicas • Conversión de datos • Control y carga-descarga (Input/Output & Control) • Integración de instrucciones al CPU: • Hardwired ó ROM/PROM/EPROM Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Arquitectura del computador(Continuación) • Dispositivos de almacenamientointerno: • Direct Memory Access (DMA) • Random Access Memory (RAM) • Dynamic & Static Random Access Memory (DRAM/SRAM) • Registros y CACHE • Dispositivos de almacenamientoexterno: • Discos magnéticos y discos ópticos • Cintas magnéticas • Otrosdispositivos: móviles(portable) & virtales Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Evolución de los sistemas de computación • Sistemasoperativos: • Intruccionesparaefectuarlasoperaciones y control • Almacenadas en el CPU y/o accequibles en almacén • Ejecutadasconsecutivamente (Arq. von Newman) • Evolución: • Manual Processing • Serial Processing • Batch processes • Multiprogramming (Shared CPU Time): • Buffers and pagination (Virtual memory ) • Concurrency control and security measures • Dynamic Time-Sharing • Multiprocessing and Real-Time Operating Systems • Parallel Processing Systems Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Sistemas de computación(Continuación) • Funciones de los sistemasoperativos: • Manejo de procesos: • Estructuras de datos y archivos • Mantenimiento de estatus • Sincronización, priorización(scheduling) y comunicación • Administración de almacenamiento y optimización del uso del espacio • Implantación y control de medidas de seguridad: • Políticas de Acceso y preservación de integridad • Códigos y programación Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Sistemas de computación(Manejo de procesos) • Bitácoras y control de procesos: • Bitácoras de estatus de procesos: (ready/running/suspended) • Asignación de recursos y controles: (IRQ/locks) • Process Control Block: • Process ID & State • Access rights • Register contents, time alloted, stack address • Contents, status, program counter, memory management • I/O devices alloted and pending operations, open files,… • PCB change operation, setup for execution • Interrupt(s) enabling/disabling according to process priority • Restoration pointers • Scheduling algorithms: (FCFS/RR/SRT) • Semaphores & Mutual exclusion • Deadlock handling and prevention • Monitors and messages Carmen R. CintrónFerrer, 2011, DerechosReservados

Sistemas de computación(Manejo de almacén) • Almacenamientopararespaldarprocesos de sistemas: • Asignar , optimizar y recuperarespacio • Swap procedures • Protección de datosalmacenados y áreascompartidas • Técnicas y procesos: • Manejo en lotes • Fixed & variable partition allotment • Segmentation • Paging & Virtual memory • File systems: • Niveles: Volumen, directorio, archivo, datos • Acceder: Buscarbloque, cargabloque, seleccióndatos, récord virtual • Guardar: Identificarmedio, validarprivilegios, verificardisponibilidad, crearbloque (FCB), asignarespacio en buffer, ubicar cursor en bloque Carmen R. CintrónFerrer, 2011, DerechosReservados

Sistemas de computación(Manejo de estructuras de datos) • File systems management: • Mantenercontroles de acceso y protección de estructuras • Optimizarasignación y recuperación de espacio • Ejecutarprocesosparaadministrar FCB • Traducción de direcciones y métodos de acceso • Asegurarintegridad de archivos : real time logs, RAID, mirroring • Estructurasdirección: • Directory Data Structure (Unix) • Indirect indexes • Address Translation • Space allocation: Contiguos/noncontiguos – Channing/Indexing Carmen R. CintrónFerrer, 2011, DerechosReservados

Sistemas de computación(Manejo de discos) • Volumes – series of addressable disk sectors (within/outside) • Partitions – Disk units: • Schemes (Hardware related): • DOS /NTSF • Solaris (UNIX) • Boot process – Master boot record: • Start/End Address for each partition • Operating system boot code • Offset from beginning of disk volume • Number of sectors in partition • Type of volume / File system type Carmen R. CintrónFerrer, 2011, DerechosReservados

Sistemas de computación(seguridad de sistemas) • Procesosintegradosparaasegurar: • Confiabilidad • Protección de procesos en ejecución • Seguridad • Control de concurrencia y serialización • Autenticación: • UserID & Password • Archivo de autenticación(archivocifrado y escondidohidden) • Autorización (Controles): • Mandatoriosintegradospor el sistemaoperativo(Read/Write/Execute) • Discresionales – Administradospor el usuario o administrador • Consola de administración: Configurar y fiscalizarcontroles Carmen R. CintrónFerrer, 2011, DerechosReservados

Procesos y prácticas de operación • Startup & Shutdown • System Consoles • Facilities for Application Processing • File System Management • Application Programs Development • Security Implementation: • User authentication • Data & Resources Access Controls • Logs & reports of access and security events • Roles & Profile management • Encryption algorithms and standards • System Management and Auditing • File Access Permissions: READ, APPEND, WRITE, LOCK, EXECUTE, SAVE Carmen R. CintrónFerrer, 2011, DerechosReservados

Desarrollo de sistemasinformáticos • Information Requirements • System Development Approach: • SDLC • Prototypes • Agile Methodologies • Analysis Tasks and Deliverables: • Planning • Data and Data flow modeling • Process Specification • Systems Design and Implementation: • Architecture design • Construction and Deployment • Security Evaluation Criteria/Models Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Desarrollo de sistemasinformáticos(Evaluación de seguridad) • Security Evaluation Criteria/Models: • Trusted Computer System Evaluation (Orange Book-TCSEC) • Information Technology Security Evaluation Criteria (ITSEC) • Systems Security Engineering Capability Maturity Model (SSE-CMM) • The Common Criteria: • Common Criteria for Information Technology Security Evaluation (CC) • Common Methodology for Information Technology Security Evaluation (CEM) • CCRA • National Schemes Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Sistemasbasados en objetos (OOS) • Contraste entre OOS y sistemasconvencionales: • Ventajas • Desventajas • Desarrollo de OOS: • Análisis de requerimientos • Diseño de OOS: • Package Diagrams • Class Diagram Designs • Desarrollo de OOS: • Lenguajesprogramaciónpara OOS • Estándares JAVA • Consideraciones de Seguridadimplantaciones JAVA • Validación Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Plataforma de Bancos de Datos (DBMS) • Contraste entre sistemastradicionales y DBMS • Definiciones • Ventajas y desventajas • ERD model /Relational Model • SQL • DB Schema & Storage management and optimization • Transaction processing & concurrency control • Network Implementation in DB Systems • Data communication • Distributed transaction processing • Dabase security and Auditing: • Hardware, O/S, Application Servers and Networks • Authentication and Authorization • DB Auditing Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Controlesinternos(Entorno) • Tipo de controles: • Corporate Governance Structure • Management Leadership • Organization Structure and Reporting • Human Resources Policies • Performance Evaluation and Budgeting • Internal Audits • Organizational Culture • Laws and Regulations • Technology • Industry Practices • Modelos: • COSO: Control Environment, Risk Assessment, Activities & Monitoring • SOX: Requirements, Corporate Resposibility, Controls Assessment , SEC additional considerations • HIPAA, GLBA: Requirements, Corporate Resposibility, Controls Assessment Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Controlesinternos(Tecnología) • Controles de sistemas e integracióncontroles org. • Objetivoscontrolestecnológicos: • Análisis de riesgos en general • Riesgosporáreas: acceso, sistemas, redes, aplicaciones • Controlesfinancieros: • Instalación y configuración de sistemas • Ejecución de procesos • Validación de datos y flujo de datos • Interacción entre sistemas/aplicaciones • Clasificación de datos/procesos y periodicidad • Financial Reporting • Controlesadministrativos y operacionales • Objetivos COSO Carmen R. Cintrón Ferrer, 2011, Derechos Reservados

Referencias • Min, Young-Woon, Understanding and Auditing IT Systems, Vol.1, USA, 2009 • COSO, Enterprise Risk Management Integrated Framework, 2004 • COSO, Guidance on Monitoring Internal Control Systems, 2009 • Common Criteria, Common Criteria for IT Security Evaluation, General Model, CCMB 2009 • Common Criteria, An Introduction, CCMB, 1999 • Common Criteria, Common Criteria for IT Security Evaluation, Part 2: Security Functional Components, CCMB 2009 • Common Criteria, Common Criteria for IT Security Evaluation, Part 3: Security Assurance Components, CCMB 2009 • Department of Defense, Trusted Computer System Evaluation Criteria (Orange Book), 1985 • European Community, Information Technology Security Evaluation Criteria (ITSEC), Brussels, 1991 • Systems Security Engineering Capability Maturity Model Appraisal Method (SSE-CCM), Carnegie Mellon University, 1999 Carmen R. CintrónFerrer, 2011, DerechosReservados

Auditoría de Redes

Auditoría de Redes

Presentation Transcript

A Powerpoint Presentation about Powerpoint

Powerpoint presentation

PPT Presentation

PowerPoint presentation

Creating a PowerPoint Presentation

talk-ppt - PowerPoint Presentation

Download a PowerPoint presentation

Archivo PowerPoint 2003 ( ppt )

NORMAS INTERNACIONALES DE AUDITOR A

PowerPoint Presentation

A Microsoft Powerpoint Presentation

Making a PowerPoint Presentation

A POWERPOINT PRESENTATION

CREATING A POWERPOINT PRESENTATION

A PowerPoint Presentation

Creating a PowerPoint Presentation

Creating a PowerPoint Presentation

A PowerPoint Presentation by

Creating a PowerPoint Presentation

Creating A PowerPoint Presentation

A POWERPOINT PRESENTATION

A PowerPoint Presentation