Vicerrectoría General
Dirección Nacional de Servicios Académicos Virtuales
El auditor debe verificar que se tengan presenten
y se implementen medidas que a partir de los riesgos planteados
y dada la importancia del sistema para la organización minimicen
las amenazas.
Medidas de Control
- Conocimiento de los riesgos a que esta expuesta
la instalación en particular.
- Conocimiento y corrección o "parcheo" de los
problemas detectados y/o reportados en versiones de - Sistemas Operativos
y Servicios implementados. Este mecanismo parte de la instalación
inicial.
- Concientización de los usuarios de los riesgos a que esta
expuesta la instalación y el papel de cada uno en la protección.
El 99% de los ataques se realizan apoyándose en fallas al
interior de la organización.
- Implementación de políticas de seguridad en sistemas
operativos.
- Auditoria y monitoreo a trafico, accesos y cambios en el sistema.
- Uso de sniffer y scanner para conocer el estado del sistema.
- Montaje de Firewall (Muro de Protección): Software y hardware
de seguridad encargado de chequear y bloquear el tráfico
de la red hacia y/o desde un sistema determinado. Se ubica entre
la red privada e Internet. Pueden ser enrutadores de filtración
de paquetes o gateways de aplicaciones basados en proxy.
Utilización de herramientas para Detección
de Intrusos (IDS)
Uso de protocolos seguros como SSL y HTTP-S
Requerimientos de certificados de autenticación
en los casos de operaciones de alta importancia.
A nivel de la empresa en lo posible, tener los datos de importancia
en zonas protegidas o fuera del acceso desde Internet.
Encriptación de los datos sensitivos.
Evaluar que los usuarios usan solo los servicios requeridos para
su labor y que no exponen la seguridad con el uso de IRC, P2P, etc.
Se debe considerar la posibilidad de apoyarse en Hacking Etico para
evaluar la seguridad del sistema.
