Auditoría de Redes EJERCICIOS MÓDULO I. Carmen R. Cintrón Ferrer, , Derechos Reservados

Transcripción

1 Auditoría de Redes EJERCICIOS MÓDULO I

2 2 Componentes de computación Módulo I Ejercicio #1 Explique: Cómo opera una computadora Procesos que efectúa el sistema operativo en startup/shutdown Problemas plantean los procesos compartidos a nivel del Sistema Operativo Tipo(s) de consola(s) y procesos que respaldan Discuta cómo afecta al proceso de auditoría de redes: Proceso y metodologías utilizados en el desarrollo e implantación de aplicaciones Uso de Bancos de Datos y/o Object Oriented Systems Uso de tecnologías móviles y redes inalámbricas Integración de servicios en la nube (Cloud computing) Integración de servicios contratados para administración de red y/o seguridad

3 3 Componentes de la Red Módulo I Ejercicio #2 Describa por lo menos 3 usos o servicios fundamentales que provee la infraestructura de red Describa los componentes de una red para una organización: A. Pequeña que comparte servicios de programa(s) (Applications with shared access), Impresora/Escáner, Archivos (File Server), Internet/Intranet B. Mediana y/o grande que integra controles de autenticación-acceso, navegación (interna-externa), servicios y aplicaciones, acceso remoto a la red Identifique y clasifique (priorizar) los posibles riesgos que pueden afectar los principales componentes de una red y el impacto en los servicios (usos) de la red provee Determine qué riesgos adicionales aportan: A. Los medio(s) de conexión (alámbrica e inalámbrica B. Los conectores (Gateways, Switches, Access Points)

4 Ejercicio de Investigación Módulo I 4 Laboratorio y/o acceso al Internet Para el tema a investigar seleccione el marco regulatorio correspondiente, redacte un ensayo de 4-8 páginas, con por lo menos 5 referencias diversas (non Wikipedia), y prepare una presentación siguiendo las instrucciones provistas para cada uno: Sarbanes-Oxley (SOX) Health Insurance Portability and Accountability Act (HIPAA) Departamento de Defensa (DoD) Gramm Leach Blailey Act (GLBA) Manejo y reducción de riesgos (IT Security Assessment)

5 5 SOX - Investigar su relación con el caso Enron Entorno histórico y escenarios-fechas más relevantes Análisis del impacto económico en las organizaciones, el gobierno y los procesos de auditoría de sistemas de información: Secciones principales: disclosure controls( 302), Internal controls ( 404), Penalties SOX & whistleblowers ( 802, 1107) Estándares de cumplimiento en sistemas a integrar en la auditoría de redes (cotejos mínimos) Impacto de SOX en escenarios tipo Enron Tipo de informes e intervenciones del SEC que afecta SOX a incluir en una auditoría de cumplimiento de IT Incluya por lo menos 5 referencias y escenarios alternos, luego de Enron y la vigencia de SOX Hay algún equivalente a SOX en Europa y/o en Asia?

6 HIPAA 6 Investigar los requerimientos de cumplimiento y documentación que exige HIPAA para una organización que presta o recibe servicios de salud. Centrarse en los requerimientos de infraestructura para cumplir con las áreas de seguridad y privacidad que definidas como Protected Health Information (PHI).

7 HIPAA-(Continuación) 7 Revisar el material disponible en el Departamento de Salud (EUA/PR) y en la sede de la Health Information and Management Systems Society (HIMSS). Contraste e Integre los estándares y controles encontrados con los sugeridos por NIST en la presentación Logging and Auditing in a Healthcare Environment y otras referencias de NIST, atentendiendo particularmente : Tecnologías de información en salud Requerimientos de registro y fiscalización (logging & auditing) Privacidad y seguridad (HIPAA Security rule and Privacy rule) Retos y limitaciones o barreras Diagramar el(os) proceso(s) crítico(s) que deben auditarse y la secuencia

8 HIPAA-(Continuación) 8 Qué información debe proteger y cómo cada uno? Gestión requerida para cumplir con: Risk Analysis & Management Security Management Policies and Documentation Controles a incluir en los ámbitos: Acceso físico al perímetro Seguridad de las transacciones y su transmisión Acceso, bitácoras, auditoría e integridad de los datos Hay alguna legislación equivalente en Europa/Asia? Retos que presenta la trasmisión de información y/o transacciones entre países

9 DoD 9 Investigar los requerimientos que propone el DoD como mínimos y mejores prácticas para asegurar una infraestructura de red robusta y adecuada para una entidad gubernamenta o asociada (hace negocios) con el gobierno de los EUA. Revisar la lista de enlaces que proponen estándares o guías aplicables al DoD, desde la perspectiva de Information Assurance

10 DoD (Continuación) 10 Evaluar como mínimo DISA, STIG s y NIST en las siguientes áreas: Network Hardening Secure Remote Computing Windows Operating Systems Security and Hardening Application Security Contrastar los estándares o guías en términos de los controles o (Baseline Requirements) a los efectos de cumplimiento en una auditoría de redes Cumplimiento con FISMA, requiere añadir algún(os) control(es) adicionales? Hay regulaciones equivalentes en Europa/Asia? Qué controles o estándares adicionales proponen?

11 GLBA 11 Investigar los requerimientos de cumplimiento y documentación que exige GLBA para una organización que se dedica a servicios bancarios y/o financieros. Centrarse en los requerimientos de infraestructura para cumplir con las áreas de seguridad y privacidad que debe garantizar.

12 GLBA (Continuación) 12 Entorno histórico y escenarios-fechas más relevantes Análisis del impacto económicoy en los procesos de auditoría de sistemas de información. Contraste e integre los estándares y controles encontrados con los sugeridos por Basilea I y II y los propuestos por el Payment Card Industry (PCI): Tecnologías de información Estándares y Requerimientos de protección (Safeguards): Controles preventivos frente a riesgos y amenazas previsibles y/o anticipables Controles preventivos y reactivos encaminados a mitigar daños resultantes de acceso indebido, divulgación, adulteración y/o exposición no autorizada, uso no autorizado Controles para el uso, actualización, distribución, retención y disposición de datos Privacidad y seguridad (GLBA Financial Privacy Rule & Safeguards Rule): Distinguir entre definiciones de Cliente vs. Consumidor para instituciones financieras Non-Public Personal Information - (definición y usos) & Information assurance

13 GLBA (Continuación) 13 Gestión requerida desde la perspectiva de: Governance, Roles and Responsibilities Risk Analysis & Management y Security Management Controles a incluir en los ámbitos: Acceso físico al perímetro Seguridad de las transacciones y su transmisión Acceso, bitácoras, auditoría e integridad de los datos, y disposición de tecnología Usos o actividades asociadas: Investigación por entidades públicas o privadas requiriendo Nonpublic personal information (NPI) Collection of delinquent loans, check cashing, financial investment, consumer reports, tax planning, etc. Research Enforcement by FTC or other agencies Hay algún equivalente a GLBA en Europa y/o en Asia?

14 IT Security Assessment 14 Investigar y explicar el Ciclo de vulnerabilidad (Vulnerability Life Cycle)y presentar los diferentes niveles de divulgación (Disclosure) requeridos. Identificar las amenazas que introducen los riesgos asociados a malware y ataques maliciosos, al igual que las tendencias observadas. Describir los posibles impactos en la infraestructura de red para una organización y recomendar controles, medidas y estrategias, tanto físicas como lógicas. Examinar la propuesta de SANS de Responsible Disclosure ( y comentar brevemente sobre sus componentes y propuestas de políticas-procedimientos recomendados.

15 IT Security Assessment (Continuación) 15 Evaluar y contrastar, como mínimo, las tecnologías para atender estos riesgos propuestas por Symantec, McAffe y Microsoft desde la perspectiva de: Vulnerability Trends Threat Activity Trends Malicious Code Threats Phishing, Spam, Scams & Undergroud Economy Servers Que escenarios y recomendaciones diferentes presenta el 2010 Top Cyber Security Risks Report, incluyendo: Zero-Day Initiative HTTP Client-Server Attacks Botnets, PHP Remote File Include, Malicious Java Scripts, PDF Attacks Mitigation (

16 IT Security Assessment (Continuación) 16 Cuál es el ámbito y profundadidad con el cual un proceso de avalúo de seguridad de la red o perímetro virtual debe cumplir en cada uno de los 7 Dominios de una infraestructura típica? Con qué frecuencia debe llevarse a cabo para asegurar cumplimiento? Verifique que integra: Network Hardening Secure Remote Computing Windows Operating Systems Security and Hardening Application Security Qué otros estándares o guías en términos de los controles o (Baseline Requirements) añade NIST que deben ser incluidos en una auditoría de redes? Hay regulaciones equivalentes en Europa/Asia? Requiere añadir algún(os) control(es) adicional(es)?