Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Actividad Realizacion de Un EDR ROA

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 14

ACTIVIDAD | REALIZACIÓN DE UN EDR O ROA |

JHON JAIRO MARROQUÍN BARRAGÁN

PROFESOR

MARIA CRISTINA BAUSA ROSA

AUDITORÍA DE LA SEGURIDAD (ISW)

UNIR (UNIVERSIDAD INTERNACIONAL DE LA RIOJA)

BOGOTA D.C. - COLOMBIA

MAYO 01 2021
Asignatura Datos del alumno Fecha
Auditoría de la Apellidos: Marroquin Barragan
01-05-2021
Seguridad Nombre: Jhon Jairo

Datos útiles

» Equipo de dos auditores.


» Tiempo estimado del proceso completo 2 meses/hombre.
» La tecnología en la que está desarrollado el portal es Java.

Rúbrica

Realización
de un EDR Puntuación
Peso
o ROA Descripción máxima
%
(valor real: (puntos)
6,5 puntos)

Criterio 1 Formato y campos del EDR/ROA. 1 10 %

Riesgos y cumplimentación del


Criterio 2 5 50 %
EDR/ROA.

Contenidos, redacción y estructura


Criterio 3 4 40 %
del informe.

10 100 %

Extensión máxima: un documento en formato Word con una extensión máxima de 10 páginas,
fuente Georgia 11 e interlineado 1,5.
Auditoría Basada en Riesgos Empresa:
Empresa I S.A.S

Objetivo General:
Diseñar un plan de auditoria para el portal Web de Empresa I S.A.S (PWeb), que
opera dentro de servidores dedicados de la empresa.

Objetivos Específicos:

 Recopilar la información asociada al PWeb para generar un diagnóstico del


sistema acertado.
 Analizar la información recolectada del PWeb, haciendo uso de
normas y estándares internacionales.

Diseñar y evaluar el plan de auditoria para el PWeb, de acuerdo a la información


recolectad
Infraestructura PWeb:
Empresa: Viento en Popa R/PT
Cuestionario de Control 001
Dominio Infraestructu
ra
Seguridad de
Proceso
la
Información
Seguridad de
Objetivo de Control la
Información
Cuestionario
Pregunta SI NO N/E
¿Existe algún archivo de tipo
Log donde guarde información
referida a las operaciones que
realiza la Base de datos?
¿Se realiza copias de
seguridad (diariamente,
semanalmente,
mensualmente, etc.)?
¿Existe algún usuario que no
sea el DBA pero que tenga
asignado el rol DBA del
servidor?
¿Los datos utilizados en el
¿Se encuentra un
entorno de desarrollo, son
administrador de sistemas en
reales?
la empresa que lleve un
¿Las copias
control deusuarios?
de los seguridad se
efectúan
¿Son gestionados los perfiles de
diariamente?
estos usuarios por el
¿Las copias de seguridad
administrador?
son encriptados?
¿Son gestionados los accesos a las
¿Se ha probado
instancias de la restaurar alguna
Base de Datos?
vez una copia de seguridad, para
¿Las instancias que
probar
contienen el repositorio,
que las mismas se encuentren
tienen acceso restringido?
bien hechas?
¿Se renuevan las claves de los
¿Los dispositivos
usuarios que
de la Base detienen
Datos?
las copias de seguridad, son
¿Se obliga el cambio de la
almacenados
contraseña
fuera de forma
del edificio de la empresa?
automática?
¿Se encuentran listados de
todos aquellos intentos de
accesos no satisfactorios o
denegados a estructuras, tablas
físicas y lógicas del
repositorio?
¿Posee la base de datos un
diseño físico y lógico?
¿Posee el diccionario de datos un
diseño físico y lógico?
¿Existe una instancia con
copia del Repositorio para el
entorno de desarrollo?
Cuestionario de la Auditorí
Conocimiento del Entorno:

Todos los equipos se encuentran conectados al router principal y en el momento no se


hace gestión alguna sobre la red inalámbrica.
Si se evidencia algún ataque a la red, se procede a hacer las validaciones y a hacer
pruebas sobre esta cuando se considera necesario. La longitud del cableado de la red no
excede los 90 metros y hace falta tener un estándar de colores con el cableado. El mapa
de la estructura de los nodos de la red se tiene de manera informal, aunque es fácil de
identificar debido a que la oficina actual es más pequeña.
El firewall está a cargo del proveedor para el acceso a los servidores. Para poder
conectarse a los servidores el router principal cuenta con una IP fija la cual tiene la
autorización de acceso a estos y los equipos de cómputo tienen configuradas las
direcciones IP por medio de DHCP.
Se cuenta con UPS, para regular el voltaje, al igual que el sistema eléctrico cuenta con
polo a tierra, con el fin de disminuir la posibilidad de daños en los equipos.
No se cuenta con un sistema de control de acceso al centro de cómputo, no se tiene
implementado un modelo de QoS. A nivel de la red local de la oficina, no se tiene
implementado más allá de los antivirus y de los sistemas operativos (Linux y Mac) para
evitar ataques externos.

En caso de presentarse fallas con el proveedor principal de internet, se cuenta con un


proveedor de Backup.

Definición del riesgo:


Identificación de Riesgos:

R RIESGO

Perdida de información de la base de datos, causada por


R-01 robo desde la parte externa de la empresa.

Perdida de información de la base de datos, causada por


R-02 robo desde la parte interna de la empresa.

Perdida de información de la base de datos, causada por


R-03 personal con mala intención.

Perdida de información de la base de datos, causada por


R-04 desconocimiento del personal.

Modificación y perdida de la integridad de la información,


R-05 causada por personal con mala intención.

Perdida de la información, causada por daño en


R-06 instalaciones del proveedor.

Eliminación de información, causada por el personal sin


R-07 intención o por accidente.

Eliminación o daño de la información, causada por la


R-08 ejecución de un proceso inadecuado.
Daño en la estructura de la base de datos, causada por administración inadecuada
R-09
de la base de datos.

Daño de la estructura de la base de base de datos, causada


R-10 por falta de documentación de su estructura.

Retrasos en la implementación de cambios en la base de datos, causada por


R-11
administración inadecuada.

Daño en la base de datos, causada por falta de conocimiento del personal en la


R-12 estructura de la base de
datos.

Robo de información a causa de intrusión a la red por


R-13 personas ajenas a la empresa.

Daños en la estructura de la red, causados por ingreso a las


R-14 oficinas de personas ajenas a la empresa.

Perdida en la conexión de red a causa de la demora en la


R-15 detección del cableado interno oportuno.

Infección de la red por causa de la permisividad al acceso a cualquier página de


R-16 internet por parte de
los empleados.

Fallos en la conexión de red, causado por perdida del servicio del proveedor de
R-17
Internet.

Ataques a la red a causa de malas configuraciones en el


R-18 firewall por parte del proveedor.

Interrupción del servicio, causado por perdida del fluido eléctrico.


R-19

Perdida de información, causada por la no ejecución del


R-20 proceso de Backup diario.
Daño del código del PWeb, causado por hacer cambios directamente en producción
R-21 y no en el sistema
de versiones.

Pérdida de ingresos para la empresa, causado por cambios


R-22 inadecuados sobre el sistema PWeb.
Matriz de riesgos:

Programación de las Pruebas de Auditoría:

REF. DESCRIPCIÓN DE LA PRUEBA RIESGOS


Verificar si existe fuga de información, por falta de
P00 políticas de R-01
1 control de acceso.

Verificar si existe fuga de información, por falta de


P00 políticas de R-02
2 creación de usuarios y contraseñas.

Validar el proceso de selección de personal y ver si


R-03, R-
P00 cumple con
05
3 los objetivos del negocio.

Validar si la documentación entregada al personal está


actualizada y si este cumple con el
P00 R-04
procedimiento estipulado.
4

Revisar el contrato con el proveedor que presta el


servicio de alojamiento de servidores confirmar si se
tienen cláusulas que permitan asegurar el buen estado
P00 R-06
de los servidores, recuperación de la información ante
5
un daño en
las instalaciones del proveedor.

Verificar el proceso de recuperación de información


R-07, R-
P00 de la base de datos, cuando es
08
6 eliminada accidentalmente.
Diseño de las pruebas de Auditoría

PRUEBA No: P001

PROCESO: Políticas de control de acceso a base de datos.

OBJETIVO DE LA PRUEBA: Verificar si existe fuga de información, por falta de políticas de control de
acceso.

TIPO: Mixta

CONTROLES A PROBAR: Proceso de autenticación inicial, para el ingreso al pgadmin

desde la Web y la segunda clave de acceso

RECURSOS NECESARIOS PARA APLICARLA INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome, Opera,

Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, Ram de 4 GB y

Disco Duro de 250 GB) PROCEDIMIENTO A

EMPLEAR

 Ingresar con el usuario entregado por el área IT y confirmar si se tienen validaciones de

ingreso erróneo.

 Digitar erróneamente el usuario 3 veces y ver si hay validación de ingreso erróneo desde

la web.

 Digitar erróneamente la contraseña 5 veces.


 Realizar pruebas de captura de la contraseña desde una red ajena a la empresa.
 Se trabaja con el programa Asterisk key 10.0
 Se ingresa a la página de acceso al pgadmin donde se encuentra alojada la base Del PWeb.

 Se ingresa el usuario y la contraseña entregadas y se ejecuta el programa Asterisk Key.


 Capturar el resultado de la prueba.
PRUEBA No: P002

PROCESO: Políticas de creación de usuarios y contraseñas.

OBJETIVO DE LA PRUEBA: Verificar si existe fuga de información, por falta de políticas de

creación de usuarios y contraseñas. TIPO: Mixta

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador:

Google Chrome, Opera,

Firefox, Safari, Internet Explorer.58

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, Ram de 4 GB y

Disco Duro de 250 GB)

DOCUMENTACIÓN: Listado de usuarios activos. PROCEDIMIENTO

PARA EMPLEAR

 Solicitar la lista de usuarios asociados en la base de datos.

 Validar con recursos humanos que personas se encuentran aún en la empresa y compararlos

contra la lista de usuarios entregada.

 Validar el ingreso a la base con usuarios que se encuentren activos y confirmar si el

sistema tiene restricción para los usuarios que se encuentran inactivos.

 Validar si el ingreso a la base de datos es único por sección y usuario.

 Ingresar al mismo tiempo desde dos navegadores diferentes con el usuario entregada

También podría gustarte