Metodología de medición de vulnerabilidades en redes de datos de organizaciones

Abstract

This document shows the development of a methodology to conduct risk analysis to data networks organizations. This consists of four chapters, the first chapter disclosed the fundamentals of safety, as the definition of a security system, the importance of information of organizations and their physical and logical security, in addition to exposing accounting a crime from a legal point of view, both nationally and internationally. Once you have these clear concepts, it gives way to Chapter Two. The second chapter presents the analysis of risks posed by the authors and also explains the risk. The procedure created for this begins by determining the assets, as a figure to protect. Later questionnaires apply both the network administrator and end users, the questions are focused on gathering basic information about the organization, also to security they have in their infrastructure, applications, operations and staff. We must also test their security for vulnerabilities, this is done with some techniques like social engineering. Chapter three shows as develop security policies for creating these are taken into account the elements that compose it, this involves how to be created, assigning responsibilities, determining the use and control of network resources , handling of sensitive information, the response in the event that it is violated and the strategy to be used to be valid within the organization.

Este documento muestra la elaboración de una metodología que permite realizar análisis de riesgos a las redes de datos de las organizaciones. Esta consta de cuatro capítulos, en el primer capítulo se dan a conocer los fundamentos de la seguridad, como la definición de un sistema de seguridad, la importancia de la información de las organizaciones y su seguridad física y lógica, además de exponer lo que representa un delito desde el punto de vista legal, tanto nacional como internacional. Una vez que se tienen estos conceptos claros, se da paso al capítulo dos. El capítulo dos expone el análisis de riesgos planteado por los autores y además se explica que es el riesgo. El procedimiento creado para esto comienza por la determinación de los activos, a modo de averiguar que proteger. Posteriormente se aplican cuestionarios tanto al administrador de red como a los usuarios finales, las preguntas están enfocadas a la recopilación información básica de la organización, también a la seguridad que poseen en su infraestructura, aplicaciones, operaciones y con el personal. Además debemos poner a prueba su seguridad en busca de vulnerabilidades, esto se lleva a cabo con algunas técnicas como la ingeniería social. El capítulo tres muestra cómo elaborar Políticas de Seguridad, para la creación de estas se toman en cuenta los elementos que la componen, esto implica la forma en que se deben crear, asignación de responsabilidades, determinación del uso y control de los recursos de las redes, el manejo de la información sensible, la respuesta en el caso que ésta sea violada y la estrategia que se debe usar para que sean válidas dentro de la organización.