Auditoria de sistemas

Solo disponible en BuenasTareas
  • Páginas : 7 (1733 palabras )
  • Descarga(s) : 0
  • Publicado : 5 de noviembre de 2010
Leer documento completo
Vista previa del texto
Gestión de Proyectos de Auditoría de Seguridad v1.3
Rafael.Ausejo@dvc.es
Consultor de Seguridad
© 2003 por Rafael Ausejo Prieto. Los logotipos de DAVINCI y el Colegio Oficial de Ingenieros son usados con permiso. Esta versión es una modificación de la presentación original usada en el FIST 2003.

1

29 diapositivas

Índice
– Introducción a las Auditorías de Seguridad – Dimensionamientode la Auditoría – La metodología OSSTMM – Seguridad en las aplicaciones 2 – El informe de Auditoría – Para qué sirve la Auditoría – Conclusiones

Introducción a las Auditorías de Seguridad

Tipos de Auditoría de Seguridad
• Análisis de Vulnerabiliades
Auditoría de Seguridad Hacking ético

• Test de Intrusión • Auditoría de Seguridad • Comprobación de la Seguridad • Hacking éticoPenetration Testing

3
Comprobación de Seguridad

coste

Análisis de Vulnerabilidades

Fuente: OSSTMM

tiempo

Introducción a las Auditorías de Seguridad

Dos grandes grupos
Auditoría de Seguridad Auditoría de Sistemas de Información Test de Intrusión

• Interna (Caja Blanca) • Realizada en las instalaciones de ACME • Se parte de un esquema de red • Información proporcionada por elcliente

• Externa (Caja Negra) • Realizada de forma remota • Se parte de un rango de IPs o de un dominio DNS • Información desconocida

4

Introducción a las Auditorías de Seguridad

Peligros de una Auditoría Interna
Auditoría de Seguridad Auditoría de Sistemas de Información Al final se convierte en Análisis remoto

• Interna (Caja Blanca) • Realizada en las instalaciones del cliente •Se parte de un esquema de red • Información proporcionada por el cliente

• No es posible conectar un portátil • No se puede acceder al CPD

5

• No existe esquema de red • El cliente no sabe o no proporciona la información

Introducción a las Auditorías de Seguridad

Peligros de un Test de Intrusión
Auditoría de Seguridad Test de Intrusión Al final se convierte en Auditoría interna
•Oye, necesito que te pases por ACME • Ya que estás aquí, échame una mano con el firewall • Inclúyeme el password cracking • Necesito un hardening de las máquinas

• Externa (Caja Negra) • Realizado de forma remota • Se parte de un rango de IPs o de un dominio DNS • Información desconocida

6

• Revísame los IDSs • ¡Tienes dos semanas!

Introducción a las Auditorías de SeguridadSolución:
Auditoría de Seguridad Internet: fase I OSSTMM

Auditoría de Seguridad Internet • • • • • • • Externa (Caja Negra) Realizada de forma remota Se parte de un rango de IPs o de un dominio DNS Información desconocida Cobertura: detección remota de vulnerabilidades Se realiza en dos o tres semanas Se sigue la metodología OSSTMM

7

Dimensionamiento de la Auditoría

El tiempo es dineroCobertura propuesta Tiempo y recursos necesarios Presupuesto final

El dinero es tiempo
Presupuesto inicial Tiempo y recursos asignados Cobertura alcanzable

8

Dimensionamiento de la Auditoría

Gestión del Proyecto

9

Dimensionamiento de la Auditoría

Batería de preguntas
• ¿Cuántos son los dispositivos a Auditar? Ej: 100 dispositivos físicos con 150 IPs en la misma clase C •¿Cuál es la cobertura necesaria? Ej: Determinación y análisis de vulnerabilidades de cada uno • ¿Cuál es el tiempo necesario? Ej: Tres semanas SE DETERMINA EL TIEMPO NECESARIO Y EL NÚMERO DE RECURSOS 10

Dimensionamiento de la Auditoría
ACME: Seguimiento de la Auditoría de Seguridad
Día Lunes Martes Miércoles Jueves Viernes Sábado Domingo Lunes Martes Miércoles Jueves Viernes Sábado Domingo LunesMartes Miércoles Jueves Viernes Sábado Domingo Lunes Martes Miércoles Fecha 14 de junio de 2004 15 de junio de 2004 16 de junio de 2004 17 de junio de 2004 18 de junio de 2004 19 de junio de 2004 20 de junio de 2004 21 de junio de 2004 22 de junio de 2004 23 de junio de 2004 24 de junio de 2004 25 de junio de 2004 26 de junio de 2004 27 de junio de 2004 28 de junio de 2004 29 de julio de 2004...
tracking img