Áreas de Oportunidad

Reconocer el concepto de FODA y sus componentes

Es una herramienta que permite conformar un cuadro de la situación actual de la empresa u organización, permitiendo de esta manera obtener un diagnóstico preciso que permita en función de ello tomar decisiones acordes con los objetivos y políticas formulados.

El término FODA es una sigla conformada por las primeras letras de las palabras Fortalezas, Oportunidades, Debilidades y Amenazas.

Fortalezas: son las capacidades especiales con que cuenta la empresa, y por los que cuenta con una posición privilegiada frente a la competencia. Recursos que se controlan, capacidades y habilidades que se poseen, actividades que se desarrollan positivamente, etc. 

Oportunidades: son aquellos factores que resultan positivos, favorables, explotables, que se deben descubrir en el entorno en el que actúa la empresa, y que permiten obtener ventajas competitivas.

Debilidades: son aquellos factores que provocan una posición desfavorable frente a la competencia. Recursos de los que se carece, habilidades que no se poseen, actividades que no se desarrollan positivamente, etc.

Amenazas: son aquellas situaciones que provienen del entorno y que pueden llegar a atentar incluso contra la permanencia de la organización. 

• Se utilizará para desarrollar un plan que tome en consideración muchos y diferentes factores internos y externos para así maximizar el potencial de las fuerzas y oportunidades minimizando así el impacto de las debilidades y amenazas.
• Se debe de utilizar al desarrollar un plan estratégico, o al planear una solución específica a un problema.

ITIL

Los particulares pueden conseguir varias certificaciones oficiales ITIL. Los estándares de calificación ITIL son gestionados por la ITIL Certification Management Board (ICMB) que agrupa a la OGC, a itSMF International y a los dos Institutos Examinadores existentes: EXIN (con sede en los Países Bajos) e ISEB (con sede en el Reino Unido).

Existen tres niveles de certificación ITIL para profesionales:

• Foundation Certificate (Certificado Básico): acredita un conocimiento básico de ITIL en gestión de servicios de tecnologías de la información y la comprensión de la terminología propia de ITIL. Está destinado a aquellas personas que deseen conocer las buenas prácticas especificadas en ITIL.
• Practitioner's Certificate (Certificado de Responsable): destinado a quienes tienen responsabilidad en el diseño de procesos de administración de departamentos de tecnologías de la información y en la planificación de las actividades asociadas a los procesos.
• Manager's Certificate (Certificado de Director): garantiza que quien lo posee dispone de profundos conocimientos en todas las materias relacionadas con la administración de departamentos de tecnologías de la información, y lo habilita para dirigir la implantación de soluciones basadas en ITIL.

No es posible certificar una organización o sistema de gestión como «conforme a ITIL», pero una organización que haya implementado las guías de ITIL sobre Gestión de los Servicios de TI puede lograr certificarse bajo la ISO/IEC 20000.

Evaluacion de los sistemas

Evaluación de los sistemas

Se debe evaluar la información obtenida en los sistemas para poder:

• ·         Determinar el objetivo y compararlo con lo obtenido
• ·         Buscar la interrelación con otros sistemas
• ·         Evaluar la secuencia y flujo de las interacciones

·

Para esto se debe:

1.       Evalué el objetivo

2.       Evalué la interacción con otros sistemas

Se debió analizar la información con el propósito de encontrar las interacciones y sus contactos con otros sistemas a fin de determinar si existe un sistema integral de información, sistemas asilados, o simplemente programas o si existe redundancia o ruido y si existen controles.

3.       Evalué si se obtiene la secuencia y flujo de las interacciones

Es necesario establecer el flujo de información a través del sistema graficándolo de tal manera que refleje un periodo de tiempo así como el orden de ocurrencia.

4.       Evalué el sistema funcional

Verificar la congruencia del objetivo.

5.       Evalué la modularidad del sistema

Ver que el objetivo particular de cada módulo es buscar el objetivo general del sistema.

6.       Evalué la segmentación del sistema

Deben evaluarse aquellas funciones que son realizadas para distintos módulos, cada función extraída del módulo debió ser consistente y validad con el usuario.

7.       Evalué la fragmentación del sistema

Se deben evaluar las funciones haciendo ´énfasis en “que hace” y no en como lo hace.

8.       Evalué el flujo de información del sistema funcional

Identifique en cada documento su origen y su seguimiento a través de las diferentes entidades o departamentos por donde transita.

9.       Evalué los documentos de entrada y el contenido de los reportes

Verificar que los reportes o pantallas de salida contengan todos los datos necesarios sin importar de donde provienen.

10.   Evalué los controles de operación del sistema

Ver en el proceso operacional si se llevan a cabo controles, es decir se evalúa su razón de ser, su método y su grado de sensibilidad.

11.   Cuantifique el volumen de información que se manejara

Debe tener una idea en la aproximación de los recursos que se necesitan si están siendo usados correctamente.

12.   Evaluación de los archivos

Señalar los atributos, propiedades, estructura, clasificación, organización, factor de bloque, frecuencia de uso, campos, códigos, tamaños de los archivos.

13.   Evaluación de reportes

Evaluación de los sistemas de información

Busca comprobar que la aplicación cumpla las especificaciones requeridas por el usuario, que se haya desarrollado dentro de lo presupuestado y que efectivamente cumpla con los objetivos y beneficios esperados.

1.       Evaluación en la ejecución

Se refiere al uso de cuestionarios para recabar datos acerca de la actuación de la aplicación en la computadora, con objeto de conocer que tan bien o que tan mal está siendo usada y opera eficientemente.

2.       Evaluación en el impacto

Se hace sobre la manera en que afecta a la gente que interviene en la aplicación, para determinar como la implementación y el uso afecta a la organización.

Controles

Se dividen en generales, operativos y técnicos.

Los controles generales se aplican a todo el procesamiento de la información y son independientes de las aplicaciones, incluyen:

• Planeación
• Organización
• Políticas y Procedimientos
• Estándares
• Administración de recursos
• Seguridad
• Confidencialidad.

Los controles operativos comprenden cada uno de los sistemas en forma individual y constan de:

• Control y flujo de la información y tabla de decisiones
• Control de Proyectos
• Organización del proyecto
• Reporte de avances
• Revisiones del diseño del sistema
• Control de cambios a programa
• Requisición de cambio
• Bitácora de cambios
• Mantenimiento y documentación
• Producción
• Controles de documentación
• Documentación
• Mantenimiento y acceso a la documentación
• Control de sistemas y programas
• Sistemas en lote
• Sistemas en línea
• Controles de entrada
• Control de programa
• Controles de salida.

Los controles técnicos son:

• Controles de operación y uso de la computadora
• Supervisor
• Capturistas
• Bibliotecario
• Operadores
• Mesa de control
• Controles de entrada y salida
• Reporte de fallas y mantenimiento preventivo
• Controles sobre archivos
• Recuperación de desastres
• Controles de usuarios
• De origen de datos
• Controles de entrada de datos
• Controles de salida de datos
• Controles técnicos
• Programática
• Aplicaciones
• Sistemas
• Equipos.

Interpretación de Informacion

Técnicas para la interpretación de la información

El análisis crítico de los hechos sirve para discriminar y evaluar la información, se basa en las siguientes preguntas:

Pregunta                                            Finalidad que determina

Que                                                     El propósito

Donde                                                 El lugar

Cuando                                               El orden y el momento

Quien                                                  La persona responsable

Como                                                  Los medios

Cuanto                                                La cantidad

Las respuestas deben ser sometidas a la pregunta “Por qué “para justificar la información obtenida, cada interrogante debe ser debe descomponer de la siguiente manera:

1.       Propósito

a.       Que se hace

b.      Por qué se hace

c.       Que otra cosa podría hacerse

d.      Que debería hacerse

2.       Lugar

a.       Donde se hace

b.      Por qué se hace ahí

c.       En que otro lugar podría hacerse

d.      Donde debería hacerse

3.       Sucesión

a.       Cuando se hace

b.      Por qué se hace entonces

c.       Cuando podría hacerse

d.      Cuando debería hacerse

4.       Persona

a.       Quien lo hace

b.      Por qué lo hace esa persona

c.       Que otra persona podría hacerlo

d.      Quien debería hacerlo

5.       Medios

a.       Como se hace

b.      Por qué se hace de ese modo

c.       De que otro modo podría hacerse

d.      Como debería hacerse

6.       Cantidad

a.       Cuanto se hace

                      b.    Por qué se hace esa cantidad (volumen)

LA AUDITORÍA DE LA SEGURIDAD FÍSICA Y LÓGICA

LA AUDITORÍA DE LA SEGURIDAD FÍSICA  Y LÓGICA

Se evaluaran las protecciones físicas de datos, programas instalaciones, equipos redes y soportes, y por supuesto habrá que considerar a las personas, que estén protegidas y existan medidas de evacuación, alarmas, salidas alternativas, así como que no estén expuestas a riesgos superiores a los considerados admisibles en la entidad e incluso en el sector.

(Alanís, (1998).)

Amenazas

Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de distinto tipo, incendios, inundaciones, averías importantes, derrumbamientos, explosiones, así como otros que afectan a las personas y pueden impactar el funcionamiento de los centros, tales como errores, negligencias, huelgas, epidemias o intoxicaciones.

Protecciones físicas algunos aspectos a considerar:

• Ubicación del centro de procesos, de los servidores locales, y en general de cualquier elemento a proteger.
• Estructura, diseño, construcción y distribución de los edificios y de sus platas.
• Riesgos a los accesos físicos no controlados.
• Amenaza de fuego, problemas en el suministro eléctrico
• Evitar sustituciones o sustracción de quipos, componentes, soportes magnéticos, documentación u otros activos.

LISTAS DE VERIFICACIÓN

LISTAS DE VERIFICACIÓN

No siempre es requerida en las normas de sistemas de gestión, las listas de verificación para auditoría son solo una herramienta disponible de la “caja de herramientas” del auditor.

Muchas organizaciones las usarán para asegurar que la auditoría al menos cubrirá los requisitos como se definan en el alcance de la auditoría.

Ventajas:

1. Las listas de verificación se desarrollan para una auditoría específica y se usa correctamente:
2. Promueve la planificación de la auditoría.
3. Asegura un enfoque consistente de auditoría.
4. Actúa como plan de muestreo y controlador de tiempo.
5. Sirve como ayuda a la memoria.
6. Proporciona un archivo para las notas recolectadas durante el proceso de auditoría (notas del campo de auditoría)
7. Las listas de verificación para auditoría necesitan ser desarrolladas para proporcionar asistencia al proceso de auditoría.
8. Las listas de verificación ayudan a asegurar que la auditoría se realice de manera sistemática y comprehensiva y se obtenga evidencia adecuada.
9. Las listas de verificación pueden proporcionar la estructura y continuidad que asegure que el alcance de la auditoría se ha seguido.
10. Una lista de verificación puede proporcionar un registro de que el SGC fue examinado.

Desventajas:

1. La lista de verificación puede ser vista como arma de intimidación por el auditado.
2. El enfoque de la lista de verificación puede ser muy estrecho en alcance para identificar las áreas específicas con problemas.
3. Las listas de verificación son una herramienta de ayuda para el auditor, pero puede ser restrictiva si se utiliza como el único mecanismo de soporte del auditor.
4. Las listas de verificación no deben ser un sustituto del plan de auditoría.
5. Una lista de verificación utilizada por un auditor inexperto pudiera no ser capaz de comunicar claramente que es lo que el auditor está buscando.

(Jimenez D. , 2015)

PLANEACIÓN DE LA AUDITORIA INFORMÁTICA

PLANEACIÓN DE LA AUDITORIA INFORMÁTICA

Para hacer una adecuada planeación de la auditoria en informática hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipo. Con ello podremos determinar el número y características del personal de auditoría, las herramientas necesarias, el tiempo y costo, así como definir los alcances de la auditoría sobre todo definir que norma se va auditar en dicha auditoria.

NORMAS Y ESTÁNDARES RELACIONADOS CON PROYECTOS DE T.I

Existen entidades internacionales reconocidas, que se preocupan por realizar metodologías, normas, estándares, modelos y/o directrices, enfocados a los desarrolladores como a los adquiridores de software.

Normas y estándares relacionados con proyectos de Tecnologías de la Información se presentan a continuación.

(Fernando Hurtado, 2011):

Mecanismos de seguridad

Un firewall es software o hardware que comprueba la información procedente de Internet o de una red y, a continuación, bloquea o permite el paso de ésta al equipo, en función de la configuración del firewall.

Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos) obtengan acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a impedir que el equipo envíe software malintencionado a otros equipos.

En la siguiente ilustración se muestra el funcionamiento de un firewall.

Un firewall crea una barrera entre Internet y el equipo, igual que la barrera física que constituiría una pared de ladrillos.

Un firewall no es lo mismo que un programa antivirus. Para ayudar a proteger su equipo, necesita tanto un firewall como un programa antivirus y antimalware.

El concepto de Aislamiento

Los sistemas Firewall permiten definir las reglas de acceso entre dos redes. Sin embargo, en la práctica, las compañías cuentan generalmente con varias subredes con diferentes políticas de seguridad. Por esta razón, es necesario configurar arquitecturas de firewall que aíslen las diferentes redes de una compañía. Esto se denomina "aislamiento de la red".

Arquitectura DMZ

Cuando algunas máquinas de la red interna deben ser accesibles desde una red externa (servidores web, servidores de correo electrónico, servidores FTP), a veces es necesario crear una nueva interfaz hacia una red separada a la que se pueda acceder tanto desde la red interna como por vía externa sin correr el riesgo de comprometer la seguridad de la compañía. El término "zona desmilitarizada" o DMZ hace referencia a esta zona aislada que posee aplicaciones disponibles para el público. La DMZ actúa como una "zona de búfer" entre la red que necesita protección y la red hostil.

Los servidores en la DMZ se denominan "anfitriones bastión" ya que actúan como un puesto de avanzada en la red de la compañía.

Por lo general, la política de seguridad para la DMZ es la siguiente:

•          El tráfico de la red externa a la DMZ está autorizado
•          El tráfico de la red externa a la red interna está prohibido
•          El tráfico de la red interna a la DMZ está autorizado
•          El tráfico de la red interna a la red externa está autorizado
•          El tráfico de la DMZ a la red interna está prohibido
•          El tráfico de la DMZ a la red externa está denegado

De esta manera, la DMZ posee un nivel de seguridad intermedio, el cual no es lo suficientemente alto para almacenar datos imprescindibles de la compañía.

Debe observarse que es posible instalar las DMZ en forma interna para aislar la red interna con niveles de protección variados y así evitar intrusiones internas.

Los mecanismos de seguridad son también llamadas herramientas de seguridad y son todos aquellos que permiten la protección de los bienes y servicios informáticos. Con estos mecanismos es con lo que se contesta la última pregunta de la metodología de la seguridad informática: ¿Cómo se van a proteger los bienes?

Estos mecanismos pueden ser algún dispositivo o herramienta física que permita resguardar un bien, un software o sistema que de igual  manera ayude de algún modo a proteger un activo y que no precisamente es algo tangible, o una medida de seguridad que se implemente, por ejemplo las políticas de seguridad.

Los mecanismos también reciben el nombre de controles ya que dentro de sus funciones se encuentran el indicar la manera en que se deben ejecutar las acciones que permitan resguardar la seguridad y se eviten vulnerabilidades en la misma.

Finalmente los mecanismos pueden clasificarse de acuerdo con el objetivo principal de los mismos en:

Mecanismos preventivos: Como su nombre lo dice, son aquellos cuya finalidad consiste en prevenir la ocurrencia de un ataque informático. Básicamente se concentran en el monitoreo de la información y de los bienes, registro de las actividades que se realizan en la organización y control de todos los activos y de quienes acceden a ellos.

 Mecanismos detectores: Son aquellos que tienen como objetivo detectar todo aquello que pueda ser una amenaza para los bienes. Ejemplos de éstos son las personas y equipos de monitoreo, quienes pueden detectar cualquier intruso u anomalía en la organización.

Mecanismos correctivos: Los mecanismos correctivos se encargan de reparar los errores cometidos o daños causados una vez que se ha cometido un ataque, o en otras palabras, modifican el estado del sistema de modo que vuelva a su estado original y adecuado.

Mecanismos disuasivos: Se encargan de desalentar a los perpetradores de que cometan su ataque para minimizar los daños que puedan tener los bienes.

Puertos más comunes

Cada computadora o equipo informático que se encuentre conectado a una red, utiliza unas especies de puertas de comunicación por las que recibe y envía información a otros equipos diferentes.

Para poder realizar varias intercambios de datos de forma simultánea, existen 65536 puntos de salida y entrada, estos son conocidos como puertos y se identifican de forma numérica.

La definición técnica es: Un número de 16 bits, empleado por un protocolo host a host para identificar a que protocolo del nivel superior o programa de aplicación se deben entregar los mensajes recibidos.

Se encuentran organizados mediantes las reglamentaciones asignadas por la IANA (Agencia de Asignación de Números de Internet) en tres categorías:

1.  Los puertos comprendidos entre el 0 y el 1023 son puertos reservados para usos específicos que se encuentran reglamentados, el sistema operativo los abre para permitir su empleo por diversas aplicaciones mediante los llamados protocolos "Bien conocidos", por ejemplo: HTTP, FTP, TELNET, IRC, POP3, etc.
2.  Los comprendidos entre 1024 y 49151 son denominados "Registrados" y pueden ser usados por cualquier aplicación.
3. Los comprendidos entre los números 49152 y 65535 son denominados "Dinámicos o privados", son los usados por el sistema operativo cuando una aplicación tiene que conectarse a un servidor y le realiza la solicitud de un puerto.

Algunos de ellos, solo los más conocidos y comentados son los siguientes:

•         21 Puerto de FTP, usado para la descarga de archivos al equipo.
•         23 Puerto Telnet, protocolo usado para comunicación.
•         25 Puerto SMTP, usado por los clientes de email para enviar correo electrónico.
•         80 Puerto HTTP, es el usado por los navegadores para cargar las páginas web.
•         110 y 995 Puertos POP3, usados por los clientes de email para la recepción del correo.
•         119 Puerto NNTP
•         139 El famoso puerto de Netbios.
•         443 Puerto HTTPS , usado para la carga segura de páginas web.
•         445 Movil IP
•         531 Puerto IRC, usado para servicios de chat.
•         1521 Puerto para Oracle y SQL.
•         3306 Puerto para Mysql (Bases de datos)
•          4661, 4662, 4665 Puertos usados para Conexiones Peer to Peer como Emule y otros.

En la siguiente pagina encontraras todos los puertos mas comunes:

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/ch-ports.html

Protocolos

Radius

La comunicación entre un servidor de acceso de red (NAS) y el servidor RADIUS se basa en el protocolo de datagrama de usuario (UPD). Generalmente, el protocolo RADIUS se considera un Servicio sin conexión. Los problemas relacionados con la disponibilidad de los servidores, la retransmisión y los tiempos de espera son tratados por los dispositivos activados por RADIUS en lugar del protocolo de transmisión. El RADIUS es un protocolo cliente/servidor. El cliente RADIUS es típicamente un NAS y el servidor de RADIUS es generalmente un proceso de daemon que se ejecuta en UNIX o una máquina del Windows NT. El cliente pasa la información del usuario a los servidores RADIUS designados y a los actos en la respuesta se vuelve que. Los servidores de RADIUS reciben las peticiones de conexión del usuario, autentican al usuario, y después devuelven la información de la configuración necesaria para que el cliente entregue el servicio al usuario. Un servidor RADIUS puede funcionar como cliente proxy para otros servidores RADIUS u otro tipo de servidores de autenticación. Esta figura muestra la interacción entre un usuario de marcación de entrada y el servidor y cliente RADIUS.

1. El usuario inicia la autenticación PPP al NAS. 
2. NAS le pedirá que ingrese el nombre de usuario y la contraseña (en caso de Protocolo de autenticación de contraseña [PAP]) o la integración (en caso de Protocolo de confirmación de aceptación de la contraseña [CHAP]). 
3. Contestaciones del usuario.
4. El cliente RADIUS envía el nombre de usuario y la contraseña encriptada al servidor de RADIUS.
5. El servidor RADIUS responde con Aceptar, Rechazar o Impugnar. 6. El cliente RADIUS actúa dependiendo de los servicios y de los parámetros de servicios agrupados con Aceptar o Rechazar. 

UDP y TCP

RADIUS utiliza UDP mientras TACACS+ utiliza TCP. TCP ofrece algunas ventajas frente a UDP. TCP ofrece una comunicación orientada a conexión, mientras que UDP ofrece mejor esfuerzo en la entrega. RADIUS requiere además de variables programables, como el número de intentos en la re-transmisión o el tiempo de espera para compensar la entrega, pero carece del nivel de built-in soportado con lo que ofrece el transporte TCP:

- TCP proporciona el uso de un identificador para las peticiones que sean recibidas, dentro (aproximadamente) de los Tiempos de Ida y Vuelta (RTT) en la red, independientemente de la carga y del lento mecanismo de autenticación de respaldo (un reconocimiento TCP) podría ser.

- TPC proporciona una marca inmediata cuando se rompe o no está corriendo la comunicación, gracias a un servidor de restablecimiento (RST). Puedes determinar cuando se rompió la comunicación y retorno el servicio si usas conexiones TCP long-lived. UDP no puede mostrar las diferencias entre estar caido, sufrir lentitud o que no exista servidor.

- Usando los TCP Keepalives, las caidas de servidores pueden ser detectadas out-of-band con peticiones reales. Conexiones a múltiples servidores pueden ser mantenidas simultáneamente, y solamente necesitas enviar mensajes a los que se sabe que tienen que estar arriba y corriendo.

- TCP es más escalable y adaptable al crecimiento, así como la conguestión, de las redes.

Encriptacion de paquetes

RADIUS encripta solamente la contraseña en el paquete de respuesta al acceso (access-request), desde el cliente hasta el servidor. El resto de paquetes está sin encriptar. Otra información, como el nombre de usuario, los servicios autorizados, y la contabilidad pueden ser capturados por un tercero.

TACACS+ encripta el cuerpo entero del paquete pero salvando la cabecera standar TACACS+. Dentro de la cabecera hay un campo donde se indica si el cuerpo está encriptado o no. Para propositos de depuración, es más util tener el cuerpo de los paquetes sin encriptar. Sin embargo, durante el normal funcionamiento, el cuerpo del mensaje es enteramente cifrado para más seguridad en las comunicaciones.

Autenticacion y Autorizacion

RADIUS combina autenticación y autorización. Los paquetes de acceso aceptado (access-accept) que son enviados por el servidor RADIUS al cliente, contienen información de autorización. Esto hace dificil desasociar autenticación y autorización.

TACACS+ usa la arquitectura AAA, que separa AAA. Esto perpite separar soluciones de autenticación, permitiendo seguir utilizando TACACS+ para la autorización y la contabilidad. Por ejemplo, con TACACS+, es posible utilizar autenticación Kerberos y autorización y contabilidad TACACS+. Después un NAS de autenticación sobre el servidor Kerberos, este solicita peticiones de autorización del servidor TACACS+ sin tener que volver a autenticarse. El NAS informa al servidor TACACS+ que se ha autenticado satisfactoriamente en un servidor Kerberos, y luego el servidor proporcionará la información de autorización.

Durante una sesión, si adicionalmente la autorización de control es necesaria, los accesos al servidor se comprueban con un servidor TACACS+ para determinar si se le conceden permisos para ejecutar un comando en particular. Esto proporciona mejor control sobre los comandos que pueden ser ejecutados en un servidor de acceso mientras es separado con mecanismos de autenticación.

Soporte multiprotocolo

RADIUS no soporta los siguientes protocolos:

- Protocolo de Acceso Remoto AppleTalk (ARA)

- Protocolo de Control de Tramas NetBIOS.

- Interfaz de Servicios Asíncronos de Novell (NASI)

- Conexiónes X.25 con PAD

TACACS+ ofrece soporte multiprotocolo.

Administracion de routers

RADIUS no permite al usuario el control de comando que pueden ser ejecutados en un router y cuales no. Por lo tanto, RADIUS no es tan util para la gestión de router o flexible para servicios de terminal.

TACACS+ proporciona dos métodos de control de autorización de los comandos de un router, uno por usuarios (per-user) o por grupos (per-groups). El primer método asigna niveles de privilegio a los comandos y el router tiene que verificar con el servidor TACACS+ si el usuario está o nó autorizado en el nivel de privilegios especificado. El segundo método es para especificar explícitamente en el servidor TACACS+, por usuario o por grupo, los comandos que están permitidos.

Interoperatibilidad

Debido a distintas interpretaciones de la RADIUS Request For Comments (RFCs), el cumplimiento de la RADIUS RFCs no garantiza la interoperatibilidad. Cisco implementa la mayoría de los atributos de RADIUS y coherentemente añade más. Si el cliente usa solo los atributos de la norma RADIUS en sus servidores, ellos podrán interoperar con varios proveedores siempre y cuando dichos proveedores implementen los mismos atributos. Sin embargo, muchos de los proveedores implementan extensiones de atributos propietarios. Si un cliente usa uno de esos atributos extendidos específicos del proveedor, la interoperatibilidad no está asegurada.

Protocolo AAA

Hola!
Compañeros hoy les voy a hablar sobre algunos protocolos que espero sea de mucha ayuda para los lectores, les comparto un avance de este tema.

Conceptos:

Red de autenticación, autorización y contabilidad (AAA, pronunciado "triple A") es una tecnología que ha estado en uso desde antes de los días de la Internet como la conocemos hoy en día. Autenticación hace la pregunta, "¿Quién o qué es usted?" Autorización pregunta: "¿Qué estás autorizado a hacer?" Y, por último, la contabilidad quiere saber: "¿Qué hiciste?" Estos bloques de construcción fundamentales de seguridad se están utilizando de manera expandido hoy. En este artículo, el primero de una serie de dos partes, se centra en los conceptos generales de la AAA, define los elementos que intervienen en las comunicaciones AAA, y discute alto nivel se acerca al logro de los objetivos específicos de la AAA. La segunda parte del artículo, que se publicará en un próximo número de IPJ, hablará de los protocolos involucrados, aplicaciones AAA específicos y consideraciones para el futuro de la AAA.


AAA, en su esencia, es todo acerca de cómo habilitar la movilidad y la seguridad dinámica. Sin AAA, una red debe estar configurado de forma estática para controlar el acceso; Las direcciones IP deben ser fijos, sistemas no pueden moverse, y opciones de conectividad deben estar bien definidos. Incluso los primeros días de acceso telefónico rompieron este modelo estático, requiriendo por ello AAA. Hoy en día, la proliferación de dispositivos móviles, diversos consumidores de red y variados métodos de acceso a la red se combinan para crear un ambiente que pone mayores exigencias a AAA.

AAA tiene un papel que desempeñar en casi todas las formas en que acceder a una red en la actualidad. Las tecnologías emergentes tales como Network Access Control (NAC) se extienden AAA incluso en el acceso Ethernet corporativa (históricamente la red "de confianza", que establece el nivel de referencia de la seguridad de que todos los otros tipos de acceso tenían que coincidir). Hoy en día, puntos de acceso inalámbricos necesitan AAA para la seguridad, las redes con particiones requieren AAA para hacer cumplir la segmentación, y el acceso remoto de todo tipo AAA utiliza para autorizar a los usuarios remotos.

AUDITORIA

Es un término que puede hacer referencia a tres cosas diferentes pero conectadas entre sí: puede referirse al trabajo que realiza un auditor, a la tarea de estudiar la economía de una empresa, o a la oficina donde se realizan estas tareas (donde trabaja el auditor). La actividad de auditar consiste en realizar un examen de los procesos y de la actividad económica de una organización para confirmar si se ajustan a lo fijado por las leyes o los buenos criterios.

Definición de Auditoria

Por lo general, el término se refiere a la auditoria contable, que consiste en examinar las cuentas de una entidad.

Por ejemplo: “Esta tarde tendremos una auditoria ordenada por la municipalidad”, “La auditoría demostró que las pérdidas se producen por fallas en el proceso de producción”, “El gerente estima que la auditoría estará terminada en unas dos semanas”.

Existen grandes firmas dedicadas a las auditorías contables, como PricewaterhouseCoopers, Deloitte, KPMG y Ernst & Young.

La persona encargada de realizar dicha evaluación recibe el nombre de auditor. Su trabajo implica analizar detenidamente las acciones de la empresa y los documentos donde las mismas han sido registradas y determinar si las medidas que se han tomado en los diferentes casos son adecuadas y han beneficiado a la compañía.

En una empresa, la evaluación en lo que respecta al desempeño organizacional de toda la entidad es fundamental para poder discernir si se han alcanzado los objetivos que se deseaban. Dicha labor es la correspondiente a las auditorías.

Contador Público que no se encuentre vinculado con la compañía. Su objetivo primordial es averiguar la integridad y autenticidad de las acciones y expedientes que se encuentran dentro del sistema de información de la organización.

Una auditoría interna, por su parte, se trata de un análisis detallado del sistema de información de la empresa, para el mismo se utilizan una serie de técnicas y métodos específicos. Los informes los realiza un profesional que tiene vínculos laborales con la compañía y los mismos circulan de forma interna sin tener validez legal fuera de la compañía.

Auditoria Informática

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma.

Las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.

La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.

Es un examen que se realiza con carácter objetivo, crítico, sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informáticos, de la gestión informática y si estas han brindado el soporte adecuado a los objetivos y metas del negocio.

La Auditoria de Tecnología de Información (T.I.) como se le conoce actualmente, (Auditoria informática o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de conocimientos cierto y consistente, respondiendo a la acelerada evolución de la tecnología informática de los últimos 10 años.

La INFORMACIÓN es considerada un activo tan o más importante que cualquier otro en una organización.

Existe pues, un cuerpo de conocimientos, normas, técnicas y buenas practicas dedicadas a la evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la INFORMACION tratada y almacenada a través del computador y equipos afines, así como de la eficiencia, eficacia y economía con que la administración de un ente están manejando dicha INFORMACION y todos los recursos físicos y humanos asociados para su adquisición, captura, procesamiento, transmisión, distribución, uso y almacenamiento. Todo lo anterior con el objetivo de emitir una opinión o juicio, para lo cual se aplican técnicas de auditoria de general aceptación y conocimiento técnico específico.

La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.

Alcance de la Auditoria Informática

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se complementa con los objetivos de ésta.

El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.

Características

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoria de Organización Informática.

Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Tipos y clases de Auditorias

El control del funcionamiento del departamento de informática con el exterior, con el usuario se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una informática eficiente y eficaz requiere el apoyo continuado de su Dirección frente al “exterior”. Revisar estas interrelaciones constituye el objeto de la Auditoría Informática de Dirección.

Estas tres auditorías, más la auditoria de Seguridad, son las cuatro Áreas Generales de la Auditoría Informática más importantes.