Este libro tiene como objetivo que el lector comprenda de una forma sencilla y amena cuáles son los procedimientos de una Auditoría Informática. El lector aprenderá a entender sus fases, sus metodologías y las herramientas que le ayudarán en el proceso de los diferentes tipos de auditorías, así como conocer leyes, normas y procedimientos de buenas prácticas a tener en cuenta a la hora de realizar cualquier tipo de auditoría, el análisis y la gestión de riesgos.
Se introduce al lector en los conceptos y definiciones básicas de una auditoría, en metodologías como OSSTMM, OSINT, OWISAM, OWASP, PTES, en los
conceptos y metodologías de un análisis de riesgos. Así mismo, se exponen diferentes herramientas, entre otras:
• OSINT: inteligencia de fuentes abiertas
• NMAP: escaneo de puertos
• WIRESHARK: sniffer/analizador de protocolos
• NESSUS: escáner de vulnerabilidades
• Firewall Windows
El contenido del libro se estructura y distribuye en los siguientes temas:
• Auditorias, fases, informes, auditoría de Hacking ético, metodologías.
• Aplicación de la LOPD.
• Análisis de riesgos, vulnerabilidades, amenazas y gestión del riesgo.
• Herramientas del sistema operativo, análisis de puertos, protocolos, vulnerabilidades.
• Cortafuegos.
- ACERCA DE LA AUTORA
- CAPÍTULO 1. CRITERIOS GENERALES COMÚNMENTE ACEPTADOS SOBRE AUDITORÍA INFORMÁTICA
- ¿Qué es una auditoría informática?
- Código deontológico de la función de auditoría
- Relación de los distintos tipos de auditoría en el marco de los sistemas de información
- Criterios a seguir para la composición del equipo auditor
- El informe de auditoría
- Fases generales de una auditoría
- Planificación inicial, objetivos y alcance
- Análisis de riesgos y amenazas
- Definir las soluciones necesarias
- Implantar los cambios necesarios
- Monitorización y evaluación de resultados
- Fases de una auditoría de hacking ético
- Fase 1: reconocimiento (Reconnaissance)
- Fase 2: escaneo y enumeración (scanning)
- Fase 3 Análisis de vulnerabilidades
- Fase 3: obtener acceso /explotación (Gainning Access)
- Fase 4: mantener acceso (maintaining Access)
- Fase 5: limpiar huellas (clearing tracks)
- Fase 6: Documentación, conclusiones y recomendaciones (Documentation)
- Tipos de auditorías de hacking ético, metodologías, normas y leyes
- Tipos de auditorías de hacking ético
- Metodologías comúnmente usadas
- Aplicación de criterios comunes para categorizar los hallazgos como observaciones o no conformidades
- CAPÍTULO 2. APLICACIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
- Evolución del derecho a la protección de datos
- Aspectos de la protección de datos de carácter personal
- Derechos ARCO
- Niveles de seguridad de los ficheros de datos
- Sanciones por incumplimiento
- Recursos protegidos dentro de la LOPD
- Agencia Española de Protección de Datos (AEPD)
- Auditorias LOPD
- El papel del DPO
- CAPÍTULO 3. ANÁLISIS DE RIESGOS DE LOS SISTEMAS DE INFORMACIÓN
- Conceptos de análisis de riesgos
- Metodologías de análisis de riesgos y guías de buenas prácticas
- Vulnerabilidades, malware, ataques, fallos de programa, programas maliciosos y criterios de programación segura
- Ingeniería social
- Ataques de red
- Ataques por contraseña
- Ataques a aplicaciones
- Amenazas físicas
- Software malicioso
- Amenazas al hardware
- Vulnerabilidades en aplicaciones
- Gestión de riesgos
- Identificar los activos
- Identificar las amenazas (Threat assessment)
- Análisis del impacto
- Priorización de las amenazas
- Identificar las técnicas de mitigación del riesgo
- Evaluar el riesgo residual
- Estrategias de mitigación del riesgo
- Metodología NIST SP 800-30
- Metodología MAGERIT
- CAPÍTULO 4. USO DE HERRAMIENTAS PARA LA AUDITORÍA DE SISTEMAS
- Herramientas del sistema operativo tipo Ping, Traceroute, ETC.
- Ping
- Tracert
- Pathping
- Netstat
- Whois
- Nslookup
- Ipconfig
- Getmac
- Arp -a
- Netsh
- Hostname
- Route
- Nbtstat
- Herramientas de análisis de red, puertos y servicios: Nmap
- Herramientas de análisis de vulnerabilidades.
- Analizadores de protocolos
- Wireshark
- Otras aplicaciones de análisis de protocolos
- Analizadores de páginas web
- Ataques de diccionario y fuerza bruta tipo Brutus, John the Ripper
- Ataques de fuerza bruta y de diccionario online. Contramedidas
- Ataque de fuerza bruta y de diccionario Offline
- Ataques de tablas Rainbow
- CAPÍTULO 5. DESCRIPCIÓN DE LOS ASPECTOS SOBRE CORTAFUEGOS EN AUDITORÍAS DE SISTEMAS INFORMÁTICOS
- Tipos de Firewall
- Firewall proxy
- Stateful inspection firewall
- Firewall para gestión unificada de amenazas (UTM)
- Firewall de última generación (NGFW)
- Otras clasificaciones de firewall
- Firewall en Routers
- El cortafuegos de Windows
- Reglas de entrada y salida
- Crear una regla personalizada Entrada o salida
- Reglas de Puerto
- Reglas personalizadas y personalizadas predefinidas
- Propiedades del firewall
- Cortafuegos domésticos / Software
- ZoneAlarm Free Firewall
- Sophos XG Firewall Home Edition
- Cortafuegos empresariales
- Establecer Firewall mediante GPO en Windows Server
- BIBLIOGRAFÍA Y WEBGRAFÍA