MIGUE
INTRODUCCION.
OBJETIVOS.
Realizar auditoria a los proceso de negocios hosting y correo electrónico de la compañía XXXXX.S.A
Objetivos Específicos.
Realizar la identificación de Vulnerabilidades,Amenazas y el Análisis de Riesgos Basado en NIST SP800-30 de la compañía.
Entregar un documento con las recomendaciones basado en el análisis de riesgo el cual permitirá la gestión de los riesgos y la toma de decisiones.
1. Características del sistema.
Hardware
Un router cisco serie 2811.
Un switch ciscocatalyst 2960 nivel 2 de 48 puertos.
3 Maquinas Servidores que alojan los servicios.
router inalámbrico marca Cisco.
UPS de 10 kVA.
Software
1 Web Server x.
3 Sistemas operativos x por maquina servidor.
3 personal firewalls por maquina servidor.
Servicios SMTP y POP.
Servicio DNS.
Sistema de información orientado a la web para promocionar el servicio y captar usuarios.
Interfaces delsistema
Canal de dedicado de 20Mbps a través de un enlace de fibra óptica conectado a internet.
Cableado horizontal 6A conectado desde switch catalyst hasta un router inalámbricos Cisco ubicado en las oficinas administrativas.
Información y Datos
Datos en disco duro de los sitio web de cada cliente.
Datos en disco duro de los correo de cada cliente.
Información referente a losclientes (datos personales).
Configuración y archivos que soportan los sistemas operativos, aplicaciones y servicios.
Las personas que apoyan y utilizan el sistema informático
Personal del área técnica.
Ingeniero jefe de infraestructura.
La misión del sistema
Alquiler de dominios, Hosting y de correo electrónico para las PYMES de la región.
Criticidad de los datos
Datos de losclientes – confidenciales.
Datos en el sitio web del sistema de información – públicos.
Sensibilidad del sistema y los datos.
Alta, soporte 100% los procesos del negocio.
2. Identificación de amenaza.
Destrucción de la información de la empresa y los datos comparativos de los cliente.
La divulgación de información confidencial de la empresa y los cliente.
Alteración noautorizada de datos.
Ventaja competitiva de la competencia por espionaje de las operaciones de la empresa
Errores involuntarios de los empleados.
Omisión o negligencia de los empleados.
Daños sobre los equipos y medios de comunicación.
Incendios, inundaciones o daños estructurales en el DC.
Interrupción de la transmisión de datos.
Por parte de:
Hacker
Cracker
criminal informáticoterrorista
competencia
personal interno
3. Identificación de vulnerabilidades.
Acceso al DC a través que conexión inalámbricos.
Acceso a internet con limitaciones que no permiten la adecuada prestación del servicio.
Perdida parcial o total de los datos por eliminación o daños en el medio de almacenamiento.
Todo lo usuarios no cuentan con credenciales únicas y personales.
No se definenroles y/o perfiles para cada usuario autorizado en las aplicaciones y plataformas del sistema.
Se usan los usuarios por defecto de los sistemas operativos y de base de datos.
Las cuentas de usuario para los sistemas operativos no restringen los privilegios a usuarios no autorizados.
No se valida periódicamente la autorización de los usuarios creados en el sistema.
Las políticas y lascontraseñas de los usuarios No cumplen con el rigor mínimo de aceptación.
Falta de evidencias en un log de transacciones.
No existen o no se realizan procesos de retiro de usuarios.
La desactivación de los usuarios no es realizada de manera oportuna.
No se restringe el acceso a personal no autorizado a lo directorio de información crítica.
no se cuenta con una infraestructura física que proteja los...
Regístrate para leer el documento completo.