cuestionario auditoria en redes

1. ¿Cuentas con un servidor?

2. ¿Qué versión es?

3. ¿Con que capacidad de banda de ancha cuanta?

4. ¿Con que tipo de topología de red cuenta?

5. ¿Alguien más tiene acceso a su WIFI?

6. ¿Qué compañía tiene usted contratada de internet?

7. ¿Cuántos equipos están conectados a la red?

8. ¿Cuál es la ip de cada computadora?

9. ¿Cuenta con base de datos para tiempos de renta de los equipos?

10. ¿Usted realizo toda la instalación de la red de sus equipos?

11. ¿Se encuentra el sistema en una superficie sólida y estable o lo más cerca del suelo posible?

12. ¿Está el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas extremas de
frío / calor?

13. ¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con poco tráfico humano?

14. ¿Están las puertas cerradas con llave y las alarmas activadas fuera de horario de oficina?

15. ¿Está la red segura sin peligro de conexión no autorizada?

16. ¿Tiene sólo el personal autorizado acceso a la red física a la que está conectado el sistema?

17. ¿Conoce y confía en todos los diversos puntos donde se gestiona la conexión de red física / administrados por otra persona o entidad?

18. ¿Están los sistemas de su infraestructura asegurados contra problemas eléctricos?

19. ¿Existe un control de accesos al CPD?

20. ¿Están habilitados los puertos usb / firewire / lector de tarjetas de los equipos?

21. ¿Existe un control sobre los dispositivos de almacenamiento extraíble?

22. ¿Existe un control sobre los distintos software de almacenamiento en la nube instalados en sus equipos (Dropbox, Google Drive, Hibuc…)?

23. ¿Conoce los nombres de los proveedores, la funcionalidad y la naturaleza del software en su sistema que participa en cualquier actividad de la red?

24. ¿Ha comprobado que no existan parches de seguridad del software y recibe regularmente las actualizaciones de seguridad o vulnerabilidades del software que utiliza en la red?

25. ¿Ha probado a fondo cualquier servicio que funcione en la red para asegurarse de que por defecto no proporcionan a algún usuario no autorizado información de seguridad que se podría utilizar para atacar el sistema?

26. ¿Se limitan las capacidades de los usuarios para que la información sensible sobre el sistema no esté disponible en la red?

27. ¿Se permite la ejecución de la consola del sistema (o línea de comandos) sólo a usuarios autorizados?

28. ¿Es consciente de los agujeros de seguridad creados por cierto software que interactúa con otros?

29. ¿Conoce todo el software que puede interactuar con la red, los números de puerto que utilizan, el tamaño y la ubicación de los ejecutables, etc?

30. ¿Existen dispositivos móviles con acceso a la red de la empresa?

31. En caso de que existan, ¿Son propiedad de la empresa o del usuario?

32. ¿Se comprueba su estado regularmente (actualizaciones, antivirus…)?

33. ¿Se cambian las contraseñas de las cuentas de usuario de la red con regularidad?

34. ¿Se cifran los datos confidenciales que se transfieren a través de la red y hacia el exterior?

35. ¿Suele buscar intentos repetidos de conexión no autorizados para conectarse a su sistema a través de una red?

36. ¿Mantiene registros suficientes de toda la actividad de red relacionada con su sistema?

37. ¿Suele comprobar si los programas no autorizados que se ejecutan en su sistema potencialmente podrían permitir a un usuario conectarse a través de la red?

38. ¿Monitoriza la actividad de red en busca de tráfico excesivo o inusual que llega a su sistema?

39. ¿Dispone de algún sistema de copia de seguridad?

40. ¿Presta atención a las copias de seguridad?

41. ¿Conserva algún respaldo de sus copias de seguridad fuera de su organización?

42. ¿Alguna de sus máquinas está publicada en internet?

43. ¿Hay habilitados accesos externos a los equipos de su red?

44. ¿Existe documentación sobre los permisos otorgados a cada usuario?

45. ¿Se realiza un seguimiento de los usuarios que dejan de pertenecer a la empresa? ¿Son dados de baja del AD?

46. ¿Se cumple la LOPD en cuanto a gestión y protección de los ficheros?

27001

los enlaces muestran la norma 27001 en un diagrama esquemático

http://prezi.com/brnqazatm6ms/?utm_campaign=share&utm_medium=copy&rc=ex0share




norma 27001

ANÁLISIS DE RIESGO

ANÁLISIS DE RIESGO

Hace parte del sistema de gestión de riesgo tener la seguridad de la información es necesario para el funcionamiento de las empresas  se debe saber cuales son los puntos vulnerables de los activos informáticos y cuales son las amenazas  que pueden explotar esas falencias. Si se conocen los riesgos se pueden establecer las medidas preventivas y correctivas que garanticen niveles de seguridad mas altos y mejores en la información

las metodologías parten de un punto común: 

• la identificación de los activos de información (todos los recursos involucrados en la gestión de la información datos, hadware, documentos escritos, recurso humano) sobre esto se hace la identificación de las amenazas , riesgos y vulnerabilidades 

La amenaza se define como el evento que puede afectar los activos de informacióny se relacionan al recurso humano, eventos naturales o fallas técnicas

Una vulnerabilidad es una característica de un activo de información y que representa un riesgo para la seguridad de la información. Cuando se materializa una amenaza y hay una vulnerabilidad que pueda ser aprovechada hay una exposición a que se presente algún tipo de pérdida para la empresa. 

Para que la empresa pueda tomar decisiones sobre cómo actuar ante los diferentes riesgos es necesario hacer una valoración para determinar cuáles son los más críticos para la empresa. Esta valoración suele hacerse en términos de la posibilidad de ocurrencia del riesgo y del impacto que tenga la materialización del riesgo.

La valoración del impacto puede medirse en función de varios factores: la pérdida económica si es posible cuantificar la cantidad de dinero que se pierde, la reputación de la empresa dependiendo si el riesgo pueda afectar la imagen de la empresa en el mercado o de acuerdo al nivel de afectación por la pérdida o daño de la información.

Lo más importante del análisis de riesgos es la identificación de controles ya sea para mitigar la posibilidad de ocurrencia de la amenaza o para mitigar su impacto. Las medidas de control que puede asumir una empresa van a estar relacionadas con el tipo de amenaza y el nivel de exposición que represente para la información corporativa.

Una empresa puede afrontar un riesgo de cuatro formas diferentes

aceptarlo: Si un riesgo no es lo suficientemente crítico para la empresa ser consciente de que el riesgo existe y hacer un monitoreo sobre él

transferirlo o mitigarlo: Si el riesgo representa una amenaza importante para la seguridad de la información

Evitarlo: Evitar el riesgo, eliminando los activos de información o la actividad asociada.

La gestión de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y los controles que le van a permitir actuar ante una eventual materialización o simplemente evitar que se presenten. 

Otra manera de identificar condiciones de riesgo es a través de árboles de amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y que consideran amenazas a través de medios técnicos y físicos, con actores internos o externos, por motivos accidentales o intencionales, que pueden provocar alguna consecuencia como la divulgación, modificación, interrupción o destrucción de un activo de información

Mapa Conceptual De Controles Internos Para Los Procedimientos De Entrada De Datos,El Procesamiento De Informacion Y La Emision De Resultados.

CRACKER

Un cracker es alguien que viola la seguridad de un sistemas informático con fines de veneficio personal, o simplemente lo asen para divertirse, también se les conoce como piratas informáticos, y también diseñan programas llamados cracs informáticos en pocas palabras el cracker es un delincuente cibernético.

HACKING ETICO

HACKING ETICO

Los hacker son expertos en todo lo que tenga que ver con el mundo de las computadoras, los hacker Éticos, son personas dedicadas, a aplicar sus conocimientos para encontrar vulnerabilidades en los sistemas, si se encuentran vulnerabilidades en los sistemas asi mismo estos los informan , en pocas palabras se convierten en profesionales de la seguridad informática, que aplican sus conocimientos de haking con fines defensivos y legales.

HACKER

Un hacker, es una persona con altos conocimientos en informática, programación y todo lo que tenga que ver con el mundo de las computadoras, podemos definir 3 tipos de hacker ya que contrario a la creencia casi extendida totalmente del mundo no todos los hacker son malos hay  hackers buenos hay hacker malos y hay hacker intermedios y en algunos casos neutrales, hay hackers de sombrero negro estos son delincuentes cibernéticos, siempre tratan de ingresar a servidores o redes que no son de su propiedad, y robar ideas que no son suyas y lucrarse de alguna forma con la información robada o con la privacidad de otra persona, también están los hacker de sombrero blanco, estos son los buenos, estos se dedican a detectar errores en sistemas para mejorarlos y reforzar la seguridad y prevenir ataques de los hacker malos.

Un hacker, es una persona con altos conocimientos en informática, programación y todo lo que tenga que ver con el mundo de las computadoras, podemos definir 3 tipos de hacker ya que contrario a la creencia casi extendida totalmente del mundo no todos los hacker son malos hay  hackers buenos hay hacker malos y hay hacker intermedios y en algunos casos neutrales, hay hackers de sombrero negro estos son delincuentes cibernéticos, siempre tratan de ingresar a servidores o redes que no son de su propiedad, y robar ideas que no son suyas y lucrarse de alguna forma con la información robada o con la privacidad de otra persona, también están los hacker de sombrero blanco, estos son los buenos, estos se dedican a detectar errores en sistemas para mejorarlos y reforzar la seguridad y prevenir ataques de los hacker malos.