Auditoria de Sistemas de Informacion
INTRODUCCION
El objetivo de este informe es poder presentar el estatus actual y las contramedidas a utilizar en los controles de acceso a la información y configuracionessensibles de EMECO, en todos los métodos de acceso posible, ya sea acceso físico, técnico y administrativos.
Para poder desarrollar este informe se utilizaron herramientas de penetration testing, las cualespermitieron realizar el procedimiento de hacking, iniciando con el reconocimiento y enumeración, búsqueda de vulnerabilidades, explotación de vulnerabilidades y así obtener las contramedidas a lasvulnerabilidades, para poder proteger los accesos a la información.
ESTATUS ACTUAL
Proceso de Auditoria: Access Control – Hallazgo de Vulnerabilidades.
Ubicación: DataCenter
Definición:consiste en la verificación de si una entidad solicitando acceso a un recurso (computadoras, archivos, discos duros, cd, base de datos, red) tiene los derechos necesarios para hacerlo.
1. AccesoFísico:
1.1- Paredes, Puertas y Llavines:
1.1.1- Actualmente una pared en la ubicación del DataCenter es de tabla yeso, lo cual crea una vulnerabilidad de acceso a la información de manera fácil.
1.1.2- Laspuertas contiene un llavín no apto para DataCenter, el cual puede ser vulnerable en cualquier momento.
1.1.3- DataCenter comparte ubicación con bodega de equipo de cómputo, lo cual permite el accesofácil y no controlado de cualquier persona.
1.1.4- Servidores no tienen candados de acceso a los botones de apagado.
1.1.5- Ubicación de DataCenter reducido no permitiendo libertas en conectividad deequipos y uso adecuado de Backup de energía.
2. Acceso Técnico:
2.1- Encriptación
2.1.1- No existe el cifrado de información en los discos duros de servidores.
2.1.2- No existen Backup de lainformación fuera de las oficinas centrales.
2.2- Sistemas Operativos y Aplicaciones
2.2.1- Sistemas Operativos en servidores sin licenciamiento.
2.2.2- Aplicación de motor de bases de datos sin...
Regístrate para leer el documento completo.