Escolar Documentos
Profissional Documentos
Cultura Documentos
Direccin(es)/rangos precisos de IP a ser probados Anfitrin restringido (es decir, los anfitriones que no deben ser probados) Tcnicas aceptables de prueba (es decir, ingeniera social, DoS/DDoS, SQL injection, etc.) Aceptacin de la metodologa propuesta por la gerencia Hora del simulacro de ataque (es decir, horas hbiles, horas no hbiles, etc.) - Direcciones de IP de la fuente del simulacro de ataque (para identificar entre ataque simulado aprobado y ataque real) Punto de contacto tanto para el que efecta la prueba/auditor como el propietario/administrador del sistema en cuestin Manejo de la informacin recolectada por el que prueba/el auditor de la penetracin (es decir, NDA o referencia a las reglas de compromiso estndar) Notificacin de advertencia de parte del que prueba/del auditor de la penetracin, antes de que comience el simulacro para evitar falsas alarmas para los organismos de ejecucin de las leyes
Auditora a los "Puntos de Presencia" de Internet Cuando se hace una auditora de la presencia de una organizacin en la Internet, el Auditor de SI debe revisar el uso de la Internet para verificar que un caso de negocio (business case) se ha demostrado para alguno de los siguientes usos: Correo electrnico (por ejemplo, comunicaciones hacia/desde socios de negocio, clientes y el pblico en general) Mercadeo (por ejemplo, mecanismo para comunicar los valores del cliente como por ejemplo catlogo de compras en lnea desde el hogar) Canal de ventas/comercio electrnico (por ejemplo, orden/pedido electrnica/o de bienes/servicios, compra de bienes desde catlogo de compras del hogar usando tarjetas de crdito o transmisin electrnica de mensajes de rdenes, formateados en estndar EDI, por socios de negocio) Canal de entrega de bienes/servicios (como por ejemplo libreras, banca en lnea por Internet) Recoleccin de informacin (por ejemplo, personal navegando en la red en busca de informacin)
Se debe determinar lo siguiente: Que est instalado el software de deteccin de intrusiones. Que se realice el filtrado. Que se use la encriptacin (considerar las redes privadas virtuales/tneles, firmas digitales para correo electrnico, etc.). Que se usen formas robustas de autenticacin (considerar el uso de tarjetas inteligentes, biomtrica, etc., para autenticacin mediante el uso de firewalls, software/hardware interno dentro de la red, hardware/software externo). Que los firewalls estn debidamente configurados (considerar la eliminacin de todo software innecesario, adicin de software de seguridad y de auditora, eliminacin de logon-ids que no sean necesarios, inhabilitar los servicios que no se usen). Que los Gateways al nivel de circuito o de aplicacin en uso, estn ejecutando servidores proxy para todos los servicios legtimos (telnet, http, ftp, TELNET, HTTP, FTP etc.). Que se use exploracin de virus. Se completan pruebas de penetracin peridicas. Que se tengan registros de auditora para todos los sistemas clave (firewalls, Gateways de aplicacin, enrutadores, etc.). y que los registros de auditora sean copiados para asegurar los sistemas de archivo (considerar grabacin directa de los registros de auditora a cdrom de una sola escritura).
Que los administradores de la seguridad estn revisando los ltimos reportes de CERT, CIAC y SANS en busca de violaciones de seguridad de Internet.
estar prohibidos en el sitio de procesamiento de informacin (IPF). Esta prohibicin debe ser pblica, por ejemplo, un letrero en la puerta de entrada.
Desarrollo y Autorizacin de Cambios a la Red Deben existir procedimientos especficos de desarrollo y control de cambios para el hardware y el software de los componentes de la red. Los procedimientos deben abarcar: Firewalls Enrutadores Switches Gateways de aplicacin Topologa de red/DNS Software de cliente Software de gestin de la red Hardware y configuracin de servidor web Software de aplicacin Pginas web Cambios No Autorizados Los controles para prevenir cambios no autorizados al software y a las configuraciones del software incluyen: Segregacin de funciones entre el desarrollo de software, administracin de software y las operaciones de computadora. Restringir el acceso del equipo de desarrollo de software al ambiente de desarrollo solamente. Restringir el acceso a los cdigos fuente de software.
16. Materiales de Oficina Resistentes al Fuego 17. Planes Documentados y Probados de Evacuacin durante Emergencias
5.8 EXPOSICIONES Y CONTROLES DE ACCESO FSICO 5.8.1 PROBLEMAS Y EXPOSICIONES DE ACCESO FSICO
Exposiciones de Acceso Fsico Las exposiciones que se presentan por la violacin accidental o intencional de estas vas de acceso incluyen las siguientes: Entrada no autorizada Dao, vandalismo o robo de los equipos o documentos Copia o visualizacin de informacin sensible o patentada Alteracin de equipos e informacin sensibles Revelacin al pblico de informacin sensible Abuso de los recursos de procesamiento de datos Chantaje Fraude Otras preguntas y preocupaciones para considerar incluyen las siguientes: Las facilidades de hardware estn razonablemente protegidas contra las entradas forzadas? Las llaves del sitio de cmputo estn controladas de una forma adecuada para reducir el riesgo de un acceso no autorizado? Estn las terminales de las computadoras cerradas con llave o de otro modo aseguradas para impedir que se lleven las tarjetas, los chips y la computadora misma? Se requieren pases autorizados para el traslado de los equipos antes de que los equipos de computadora sean sacados de sus reas normales seguras? Desde una perspectiva de SI, las instalaciones que deben ser protegidas incluyen las siguientes: El rea de programacin La sala de computadoras Las consolas y terminales del Operador Biblioteca de cintas, cintas, discos y todos los medios magnticos Salas de almacenamiento y suministros Sitios externos de almacenamiento de archivos Sala de control de Entrada/Salida Clsets de comunicaciones Equipo de telecomunicaciones (incluyendo radios, satlites, alambrado, mdems y conexiones de red externas) Microcomputadoras y computadoras personales (PCs) Fuentes de Energa Sitios de eliminacin de basura Establecimientos de minicomputadoras Telfonos/Lneas telefnicas dedicadas Unidades de control y procesadores de entrada (front-end) Equipo porttil (escneres y dispositivos de codificacin manuales, lectores de cdigos de barras, computadoras porttiles o laptop y notebooks, adaptadores de bolsillo LAN y otros) Impresoras locales y remotas Redes de rea local
12. No Publicitar la ubicacin de las reas sensibles 13. Bloqueo de las terminales de computadoras 14. Sistema de alarma 15. Ventanas: Idealmente, la sala de computacin no debe tener ventanas
hacia la parte exterior de la edificacin: en los casos en los que haya ventanas, deben ser fabricadas de vidrio reforzado y si est en el primer piso, con proteccin adicional, por ejemplo, con barras.