Análisis FODA

Analisis FODA es de gran utilidad en una empresa ya que nos nuestra una perspectiva general de como se encuentra una empresa,donde las debilidades y fortalezas van a ser internas mientras que por otro lado las oportunidades y amenazas serán externas.

Internos:

1. Encuestas(clientes,personal)
2. Bienes
3. Capacidades
4. Procesos

Externos:

1. Datos del entorno
2. Datos de la industria
3. Competencia
4. Clientes

aprendizaje del tercer paracial

En este segundo parcial lo que mas resalta es la no conformidad y plan de acciones que van enfocados a la mejora continua de un proceso dentro de una empresa, que tiene como objetivo que se mejore y se ataque el área donde esta afectando al proceso.

ahora ya tenemos las armas para poder a auditar los procesos de una empresa, ya que ya conocemos las normas y estándares para poder decirle a una empresa que sus procesos están mal o porque tiene cosas que no tienen nada que ver con las normas y sus procesos, ya que uno como auditor no le puede decir a una empresa que sus procesos están mal así nada mas,uno tiene que están seguro y verificar los estándares y normas de calidad para poder decirle con certeza" en este punto estas mal porque la norma dice esto".

ahora podremos auditar al otro grupo de una manera muy minuciosa ,porque ya tenemos la noción de una auditoria la cual tuvimos en el segundo parcial que nos dio la noción de ver como se realizaban y ahora ya podremos hacer una mejor auditoria ya que ya corregimos lo que tuvimos mal en nuestra auditoria interna.

Como hacer una auditoria util

Redacción de No Conformidades

No conformidad, acción correctiva y acción preventiva

Servicios AAA

El estándar AAA es un marco arquitectónico para configurar un sistema de seguridad de red.Este debe ser capaz de autenticar a los usuarios, dar una respuesta correcta a las solicitudes de autorización de los mismos así como de recolectar datos que permitan hacer una auditoria sobre los recursos a los que se ha tenido acceso.

Autenticacion

identifica a los usuarios y dependiendo del protocolo de seguridad seleccionado(encriptacion).

Autorización

Es el acceso a determinadas aplicaciones o servicios de una red para un usuario, basándose en la autenticacíon,esta basada en restricciones.

Auditoria

Es el seguimiento o monitoreo del consumo de recursos del usuario para cada usuario tiene definido,

Protocolos AAA

Los protocolos AAA más utilizados para proporcionar acceso a una red desde un sitio remoto son:

Radius (Remote Authentication Dial-in User Service)

TACACS+ (Terminal Access Controller Access Control System Plus)

Radius

Gestiona el acceso a las redes. Se utiliza principalmente por los proveedores de servicios de Internet para gestionar acceso a Internet a sus clientes. El nombre RADIUS es en realidad un acrónimo de "Remote Authentication Dial In User Service" (Dial de autenticación remoto para acceso a servicios). El protocolo no sólo logra acceso a la red, sino también a la gestión de cuentas del usuario.Pero tambien es un protocolo de autentificación comúnmente utilizado por el estándar de seguridad del 802.1x.

Caracteristics de Radius

1. Capacidad de manejar sesiones
2. Notificando cuando comienza y termina una conexión
3. Determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos.

Seguridad en RADIUS.

RADIUS adolece de una serie de debilidades que son:

• Los mensajes RADIUS no viajan cifrados, a excepción de aquellos datos especialmente sensibles como las contraseñas
• RADIUS utiliza MD5  como algoritmo criptográfico de hashing, lo que lo hace vulnerable a ataques de colisión.
• La comunicación se realiza a través del protocolo UDP , lo que permite que las direcciones IP puedan ser fácilmente falseadas y susceptible de suplantación de identidad.
• Las especificaciones para la clave compartida no son lo suficientemente robustas y es reutilizada por el servidor con los clientes. Por tanto, es vulnerable a ataques de fuerza bruta. Una vez obtenida la clave, el campo "Autenticator" utilizado en mensajes de autenticación (Access-Request) es fácilmente generado.

TACACS+

Es un protocolo de autenticacion remota que se usa para gestionar el acceso a servidores y dispositivos de comunicaciones.

TACACS+ también encripta el nombre de usuario y otros datos asociados. Además, RADIUS es un protocolo de autenticación independiente, mientras que TACACS+ es escalable. Es posible aislar sólo determinados aspectos de autenticación de TACACS+ mientras implementa otros protocolos para capas adicionales del servicio de autenticación. Por tanto, Se suele combinar con Kerberos para sistemas de autenticación particularmente fuertes.

KERBEROS

Es un protocolo de autenticacion es uno de los mas usados en la red.Identifica usuarios implementando una biblioteca grande y compleja de "claves" encriptadas que sólo asigna la plataforma Kerberos. Estas claves no pueden ser leídas o exportadas fuera del sistema. Los usuarios humanos y los servicios de red que requieren acceso a un dominio, son autenticados por Kerberos de la misma forma. Verifica que una contraseña de usuario se corresponde con una clave almacenada, autentica al usuario.

Cuando el usuario intenta acceder a otro servicio de red, puede ser necesaria otra autenticación. Sin embargo, todos los servicios de red en este sistema interactúan directamente con Kerberos, no con el usuario.

La eficiencia del entorno de Kerberos permite a los usuarios autenticarse una vez, y el acceso se concede seguidamente a otros servicios a través de la compartición de claves. Una vez autenticado, juega el rol de una autoridad para ese usuario y administra el proceso del archivo clave para el resto de todos los servicios.

Algoritmos hash md5 y sha-1 

Certificados Digitales

Los certificados Digitales nos permiten la identidad exclusiva de una identidad exclusiva,en pocas palabras son tarjetas digitales de identificación electrónica que son emitidas por una empresa de confianza,permiten al usuario verificar a quien se ha emitido un certificado, así como el emisor del certificado;son el vehículo que SSL utiliza para la criptografía de clave pública.

Los pares de claves pública-privada son simplemente cadenas largas de datos que actúan como claves en un esquema de cifrado de un usuario. El usuario mantiene la clave privada en un lugar seguro (por ejemplo, cifrada en el disco duro de un sistema) y proporciona la clave pública a cualquiera con quien el usuario desee comunicarse. La clave privada se utiliza para firmar digitalmente todas las comunicaciones seguras enviadas desde el usuario; el destinatario utiliza la clave pública para verificar la firma del emisor.

Un certificado digital sirve para dos finalidades: establece la identidad del propietario y hace que la clave pública del propietario esté disponible. Una autoridad de confianza --una autoridad de certificación (CA)-- emite un certificado digital y sólo se emite para un plazo de tiempo limitado. Cuando pasa la fecha de caducidad, debe sustituirse el certificado digital.

Formato de los certificados digitales
El certificado digital contiene fragmentos específicos de información acerca de la identidad del propietario del certificado y acerca de la autoridad de certificación:
Nombre distinguido del propietario. Un nombre distinguido es la combinación del nombre común del propietario y su contexto (posición) en el árbol de directorios. En el árbol de directorios sencillo que se muestra en la Figura 54, por ejemplo, LaurenA es el nombre común del propietario y el contexto esOU=Engnring.O=XYZCorp; por consiguiente, el nombre distinguido

es:.CN=LaurenA.OU=Engnring.O=XYZCorp

1. Clave pública del propietario
2. Fecha en que se emitió el certificado digital.
3. Fecha en que caduca el certificado digital.
4. Nombre distinguido del emisor Éste es el nombre distinguido de la CA.
5. Firma digital del emisor.

Usos para los certificados digitales en las aplicaciones de Internet

SSL 

Protocolo que proporciona privacidad e integridad para las comunicaciones. Los servidores web utilizan este protocolo para proporcionar seguridad para las conexiones entre servidores web y navegadores web por LDAP para proporcionar seguridad para las conexiones entre clientes LDAP y servidores LDAP y por Tivoli Risk Manager para proporcionar seguridad para las conexiones entre el cliente y un servidor.

SSL utiliza certificados digitales para el intercambio de claves, la autenticación de servidor y, opcionalmente, la autenticación de cliente.

Autenticación de cliente

La autenticación de cliente es una opción de SSL que necesita que un servidor autentique un certificado digital de un cliente antes de permitir que el cliente se conecte o acceda a determinados recursos. El servidor solicita y autentica el certificado digital del cliente durante el protocolo de enlace de SSL. En ese momento, el servidor también podrá determinar si confía en la CA que emitió el certificado digital al cliente.

Correo electrónico seguro

Muchos sistemas de correo electrónico, utilizando estándares como Privacy Enhanced Mail (PEM) o Secure/Multipurpose Internet Mail Extensions (S/MIME) para un correo electrónico seguro, utilizan certificados digitales para firmas digitales y para el intercambio de claves para cifrar y descifrar mensajes.

Redes privadas virtuales (VPN)

Las redes privadas virtuales, también denominadas túneles seguros, se pueden configurar entre cortafuegos para habilitar conexiones protegidas entre redes seguras a través de vínculos de comunicaciones inseguros. Todo el tráfico destinado a estas redes se cifran entre los cortafuegos.

Los protocolos utilizados en el túnel siguen el estándar IP Security (IPsec). Para el intercambio de claves entre cortafuegos asociados, se ha definido el estándar de intercambio de claves de Internet (IKE), conocido anteriormente como ISAKMP/Oakley.

Los estándares también permiten una conexión segura y cifrada entre un cliente remoto (por ejemplo, un empleado que trabaja desde su casa) y un host o red seguros.

Transacción electrónica segura ( SET )

SET es un estándar diseñado para realizar pagos seguros con tarjeta de crédito en redes inseguras (Internet). Los certificados digitales se utilizan para poseedores de tarjetas (tarjetas de crédito electrónicas) y comerciantes. El uso de certificados digitales en SET permite las conexiones seguras y privadas entre poseedores de tarjetas, comerciantes y bancos. Las transacciones creadas son seguras e indiscutibles y no se pueden falsificar. Los comerciantes no reciben información sobre tarjetas de crédito que se pueda robar o de la que se pueda hacer un mal uso.