DS5
DS5
DS5
2. GUÍA DE AUDITORIA 12
Disponibilidad
Cumplimiento
Confiabilidad
Efectividad
Integridad
Eficiencia
P P S S S
Se logra con:
El entendimiento de los requerimientos, vulnerabilidades y amenazas de
seguridad.
Y se mide con:
El número de incidentes que dañan la reputación con el público
El número de sistemas donde no se cumplen los requerimientos de
seguridad
El número de de violaciones en la segregación de tareas.
Recursos de TI implicados:
Aplicaciones.
Información.
Infraestructura.
Personas.
2. GUÍA DE AUDITORIA
Al lograrse la sesión con éxito, se despliega el historial de los intentos con éxito y
fallidos de acceso a la cuenta del usuario.
El acceso al servicio VoiceMail y el sistema PBX está controlado con los mismos
controles físicos y lógicos de los sistemas.
de “necesidad de conocimiento”.
Las líneas de fax utilizadas para solicitudes del negocio no se utilizan con
otros fines.
Autentificación y acceso.
Dirección de clasificación de los perfiles de usuario y seguridad de datos.
Informes y revisión gerencial de las violación e incidentes de seguridad.
Estándares criptográficos administrativos clave.
Existen procedimientos para el acceso externo de los recursos del sistema, por
ejemplo, "logon”, “ID”, “password” o contraseña y “dial back”.
Los parámetros de seguridad del sistema operativo tienen como base estándares
locales y del proveedor.
Todo el tráfico de adentro hacia fuera y viceversa debe pasar por estos
firewalls (esto no debe limitarse a los controles digitales, debe reforzarse
físicamente).
Sólo se permitirá el paso del tráfico autorizado, como se define en la política
de seguridad local.
Los firewalls por si mismos son inmunes a la penetración.
El tráfico se intercambia únicamente en firewalls a la capa de aplicación.
La arquitectura del firewall combina las medidas de control tanto a nivel de
la red como de la aplicación.
La arquitectura del firewall refuerza la discontinuidad de un protocolo en la
capa de transporte.
La arquitectura del firewall debe estar configurada de acuerdo a la “filosofía
de arte mínima”.
Entrevistas a los usuarios para asegurar que el acceso está determinado tomando
como base la necesidad (“menor necesidad”) y que la precisión de dicho acceso
es revisada regularmente por la gerencia.
2.3.3.2 Identificando
Accesos inapropiados por parte de los usuarios a los recursos del sistema.
2.4 Herramientas