Auditoría de la seguridad en comunicaciones y redes
Páginas: 31 (7593 palabras)
Publicado: 29 de mayo de 2011
AUDITORÍA DE LA SEGURIDAD EN COMUNICACIONES Y REDES
En las políticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad, tal vez salvo emergencias concretas si así se ha especificado, y más bien para comunicaciones por voz.
En función dela clasificación de los datos se habrá previsto el uso de cifrado, que en la auditoría se evaluará o se llegará a recomendar, y se revisarán la generación, longitud, comunicación, almacenamiento y vigencia de las claves, especialmente de las maestras.
Cada usuario sólo debe recibir en el menú lo que pueda seleccionar realmente. Los usuarios tendrán restricción de accesos según dominios,únicamente podrán cargar los programas autorizados, y sólo podrán variar las configuraciones y componentes los técnicos autorizados.
Deberán existir protecciones de distinto tipo, y tanto preventivas como de detección, ante posibles accesos sobre todo externos, así como frente a virus por diferentes vías de infección, incluyendo el correo electrónico.
Se revisarán especialmente las redes cuandoexistan repercusiones económicas porque se trate de transferencia de fondos o comercio electrónico.
Algunos de los puntos complementarios a revisar son:
• Tipos de redes y conexiones.
• Información y programas transmitidos, y uso de cifrado.
• Tipos de transacciones.
• Tipos de terminales y protecciones: físicas, lógicas, llamada de retorno.
• Protección de transmisiones por fax si elcontenido está clasificado, si bien es
preferible evitar el uso de este medio en ese caso.
• Protección de conversaciones de voz en caso necesario.
• Transferencia de archivos y controles existentes.
• Consideración especial respecto a las conexiones externas a través de pasarelas (gateway) y encaminadores (routers), así como qué controles existen.
• Ante la generalización de modalidadesavanzadas de proceso, empiezan a preocupar y a ser objeto de auditoría aspectos como:
Internet e Intranet: separación de dominios e implantación de medidas especiales, como normas y cortafuegos (firewall), y no sólo en relación con la seguridad sino por accesos no justificados por la función desempeñada, como a páginas de ocio o eróticas, por lo que pueden suponer para la productividad.El correo electrónico, tanto por privacidad (PGP, Pretty Good Privacy se está usando mucho) y para evitar virus como para que el uso del correo sea adecuado y referido a la propia función, y no utilizado para fines particulares, como se ha intentado hacer en muchas entidades y no siempre con éxito, con otros recursos anteriores como teléfono, fax, fotocopiadoras, o el uso de los propioscomputadores.
Otra de los aspectos que preocupan es la protección de programas, y tanto la prevención del uso no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso, como la carga o transmisión de otros de los que no se tenga licencia o simplemente para los que no exista autorización interna.
También preocupa el control sobre las páginas Web: quién puede modificarlo ydesde dónde, porque se han dado casos desagradables en alguna entidad que impactan muy negativamente en su imagen, y no tanto por los que lo ven directamente, sino por la publicidad que en los medios se puede dar a estos hechos. Finalmente preocupan también los riesgos que puedan existir en el comercio electrónico, aunque se están empezando a utilizar sistemas fiables como SET (Secure ElectronicTransaction).
En relación con todo ello, y para facilitar el control y la auditoría, es necesario que queden registrados los accesos realizados a redes exteriores y protegidos esos registros, así como la fecha y hora y el usuario o sistema, y el tipo de información transferida y en qué sentido.
TERMINOLOGIA DE REDES. MODELO OSI
Para poder auditar redes, lo primero y fundamental es...
En las políticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad, tal vez salvo emergencias concretas si así se ha especificado, y más bien para comunicaciones por voz.
En función dela clasificación de los datos se habrá previsto el uso de cifrado, que en la auditoría se evaluará o se llegará a recomendar, y se revisarán la generación, longitud, comunicación, almacenamiento y vigencia de las claves, especialmente de las maestras.
Cada usuario sólo debe recibir en el menú lo que pueda seleccionar realmente. Los usuarios tendrán restricción de accesos según dominios,únicamente podrán cargar los programas autorizados, y sólo podrán variar las configuraciones y componentes los técnicos autorizados.
Deberán existir protecciones de distinto tipo, y tanto preventivas como de detección, ante posibles accesos sobre todo externos, así como frente a virus por diferentes vías de infección, incluyendo el correo electrónico.
Se revisarán especialmente las redes cuandoexistan repercusiones económicas porque se trate de transferencia de fondos o comercio electrónico.
Algunos de los puntos complementarios a revisar son:
• Tipos de redes y conexiones.
• Información y programas transmitidos, y uso de cifrado.
• Tipos de transacciones.
• Tipos de terminales y protecciones: físicas, lógicas, llamada de retorno.
• Protección de transmisiones por fax si elcontenido está clasificado, si bien es
preferible evitar el uso de este medio en ese caso.
• Protección de conversaciones de voz en caso necesario.
• Transferencia de archivos y controles existentes.
• Consideración especial respecto a las conexiones externas a través de pasarelas (gateway) y encaminadores (routers), así como qué controles existen.
• Ante la generalización de modalidadesavanzadas de proceso, empiezan a preocupar y a ser objeto de auditoría aspectos como:
Internet e Intranet: separación de dominios e implantación de medidas especiales, como normas y cortafuegos (firewall), y no sólo en relación con la seguridad sino por accesos no justificados por la función desempeñada, como a páginas de ocio o eróticas, por lo que pueden suponer para la productividad.El correo electrónico, tanto por privacidad (PGP, Pretty Good Privacy se está usando mucho) y para evitar virus como para que el uso del correo sea adecuado y referido a la propia función, y no utilizado para fines particulares, como se ha intentado hacer en muchas entidades y no siempre con éxito, con otros recursos anteriores como teléfono, fax, fotocopiadoras, o el uso de los propioscomputadores.
Otra de los aspectos que preocupan es la protección de programas, y tanto la prevención del uso no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso, como la carga o transmisión de otros de los que no se tenga licencia o simplemente para los que no exista autorización interna.
También preocupa el control sobre las páginas Web: quién puede modificarlo ydesde dónde, porque se han dado casos desagradables en alguna entidad que impactan muy negativamente en su imagen, y no tanto por los que lo ven directamente, sino por la publicidad que en los medios se puede dar a estos hechos. Finalmente preocupan también los riesgos que puedan existir en el comercio electrónico, aunque se están empezando a utilizar sistemas fiables como SET (Secure ElectronicTransaction).
En relación con todo ello, y para facilitar el control y la auditoría, es necesario que queden registrados los accesos realizados a redes exteriores y protegidos esos registros, así como la fecha y hora y el usuario o sistema, y el tipo de información transferida y en qué sentido.
TERMINOLOGIA DE REDES. MODELO OSI
Para poder auditar redes, lo primero y fundamental es...
Leer documento completo
Regístrate para leer el documento completo.