Sondeo

Escritorios alternativos Linux

¿Cuál prefieres?

  •  Xfce
  •  LXDE
  •  Razor-qt
  •  Enlightenment 0.17

Resultados
Other polls | 2,848 voters | 2 comentarios
· Próximas fechas Curso Global de Servidores con CentOS 6.
· Taller de programación de Python.
· Curso de programación de PHP.
· Prueba ALDOS 1.4.5. Nuestro sistema operativo para escritorio.

Auditoria Tecnica de Seguridad, caso practico

La seguridad en el área de las Tecnologías de la Información ha dejado de ser un tema de moda, ha llegado para quedarse. Aunque hay empresas e instituciones que ya adoptaron políticas y lineamientos para garantizar una administración sin riesgos de los activos (sin sacrificar su disponibilidad), existen bastantes mas, principalmente medianas y pequeñas, que no tienen implementada ni una sola directiva de seguridad.

Cuente o no con una política eficiente de seguridad, si una empresa o institucion se someten a una auditoria técnica es con el propósito de evaluar que tan bien esta haciendo las cosas. Es entonces cuando se pone de manifiesto un punto muy importante en este tema: quien resulta responsable si la compañía es victima de un ataque.

A continuacion algunos puntos interesantes en una auditoria de seguridad y lo que nunca se debio haber omitido.

Una omisión en la auditoria puede tener consecuencias posteriores sumamente peligrosas. Oscar Viniegra, secretario del capítulo Guadalajara de ISACA nos ilustra por medio de la revista especializada b:Secure con algunos casos reales de vulnerabilidades o falta de controles no detectados en auditorias de seguridad. A continuación uno de los ejemplos que detalla la situación inicial, como se realizó el fraude y la responsabilidad del auditor.


Situación

  • Empresa de manufactura
  • Monto de fraude: $20,000 dólares
  • División: Finanzas
  • Tiempo: horas
  • Descubrimiento: 24 horas
  • Tipo de fraude: Robo de identidad


¿Cómo se realizó el fraude?

  • Pharming (local)
  • Un usuario de finanzas acceso a un sitio Web, donde se ejecutó un código que modificó el archivo LHOST y la dirección del sitio del banco
  • Cuando el usuario entró al sitio de banca electrónica, los defraudadores entraron con él y al terminar la sesión ellos se “quedaron en el banco”
  • Sólo pudieron acceder una vez al banco y únicamente a una cuenta para pagos menores, de lo contrario el monto del fraude podría haber sido mayor.


Lo que auditoría de IT debió haber hecho

  • Análisis de vulnerabilidades de equipos de tesorería
  • Revisión de cumplimiento de recomendaciones de la institución bancaria con respecto a la seguridad en banca electrónica
  • Revisión de antivirus/antispyware instalados en computadoras de la empresa o en gateway (al menos una de las dos opciones)


¿Cómo podría auditoría de IT haber ayudado?

  • La revisión de vulnerabilidades debió revelar que no se contaba con una antispyware
  • Las instituciones bancarias cuentan ya con una lista de puntos de control sugeridos para reducir la posibilidad de fraude en banca electrónica. Esto debió haberse atendido.

Fuente: Desarrollo y demas cosas

Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz
 
Seguimientos (Trackback)
URL de seguimiento para esta entrada: http://www.alcancelibre.org/trackback.php/20081010102142713
Sin comentarios de seguimientos para esta entrada.
 
Auditoria Tecnica de Seguridad, caso practico | 0 comentarios | Crea cuenta nueva
Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.