internal network security
TRANSCRIPT
INTERNAL NETWORK SECURITY
Análisis de Seguridad de Tecnologías de la Información
Irving PalafoxRocio Ortiz
Coleccionando la evidencia Auditoria Pruebas Tangibles
Nivel Sistema, Entrevista Personal, Pentesting
Diagrama de red y Cuenta de red
Categorizar Sistemas Críticos
85% Ataques internos
Lista de Riesgos Configuración inadecuada de sistemas críticos
Falta de Clasificación de Sistemas
Control de Acceso no configurado
Acceso Root Fácilmente Obtenido
Contraseñas adivinadas fácilmente
Parches de seguridad no instalados
Mecanismos de Intrusiones no habilitadas
Entrevista ¿Existen Procedimientos?
¿Quien es el responsable?
¿Cuantos años tiene esta administración?
¿Existieron actualizaciones a la políticas de seguridad?
¿Políticas de Seguridad? Primera línea de defensa
Asignar un responsable
Utilice marcos de referencia
Actualizaciones
¿Políticas de Seguridad? A veces las cosas no
son Técnicas
Asumir Responsabilidades
Auditar Políticas y Procedimientos
¿Políticas de Seguridad? Definir Funciones ¿Quien será el responsable?
Políticas de Seguridad Claras, Disponibles, Entendibles
Publicarlas
VS
Lista de Verificación ¿Las políticas son fáciles de leer y
entender?
¿Todos tienen copia de las políticas o saben donde están?
¿Tiene alguien la responsabilidad de las políticas y Procedimientos?
¿El responsable acude a conferencias de seguridad?
Lista de Verificación ¿Las políticas y Procedimientos se
actualizan de forma regular?
¿Se realizan Auditorias de rutina?
¿La administración apoyara las políticas y procedimientos establecidos?
¿Existe capacitación para el nuevo personal?
GRACIASAnálisis de Seguridad de Tecnologías de la Información
Irving PalafoxRocio Ortiz