Auditoria        Informática        de Redes        Seguridad de la Red de        DatosDiciembre, 2012
Área Auditada       Seguridad de la red de datos, departamento de telecomunicaciones de la gerencia detecnología de inform...
PROGRAMA DE AUDITORIA                                                                      Hoja Nº 1/1Empresa: ACME XXX   ...
-Determinación y tabulación de       resultados (Hallazgos, observaciones,       recomendaciones y conclusiones).       - ...
MATRIZ DE ANALISIS                                                                   CODIGO                MASLF-01       ...
Planes         de                                              contingencia    y                                          ...
INSTRUMENTOS Y TECNICAS                                       ENCUESTA                                          CODIGO ESL...
Especifique____ __________________________________________________________________________________________________________...
LISTA DE CHEQUEO                                           CODIGO LCSLF-01                                                ...
4. ¿Tiene conocimientos de planes documentados que permitan a la organización recuperar y     restaurar sus funciones crít...
ESTABLECIDA                                  VOS                                                S PARA LOS                ...
RECUPERACIÓN    ANTE   HECHOS PLANES       QUE    CON PLANES    CON PLANES    CON PLANES     CON PLANESEXTERNOS O AMBIENTA...
PROCEDIMIENTOS ESPECIFICOS                                                                 Código    PESLF-01Programa de A...
Código        PESLF-02Programa de Auditoría          Sección de Trabajo:           Página: 1/1InformáticaEmpresa: ACME XXX...
RESULTADOS      Después de realizadas las pruebas establecidas para la auditoria informática de redesde datos se obtuviero...
Especifique: a través del active directory se establecen los horarios de acceso de los diferentes gruposde usuarios_______...
LISTA DE CHEQUEO                                           CODIGO LCSLF-01                                                ...
4. ¿Tiene conocimientos de planes documentados que permitan a la organización recuperar y      restaurar sus funciones crí...
DENTRO Y ALREDEDOR DEL CENTRODE CÓMPUTOPLANES DE CONTINGENCIA YRECUPERACIÓN    ANTE   HECHOSEXTERNOS O AMBIENTALES        ...
red (entrada                                     de       nuevo                                     personal a la         ...
OBSERVACIONES DE LOS HALLAZGOS       Inadecuada gestión sobres los archivos de registro       No hay difusión de las polít...
restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial,ya que una infracción d...
Upcoming SlideShare
Loading in...5
×

Fase de Ejecucion

278

Published on

1. Aplicación de cuestionarios al personal de redes y usuarios.
2. Observación directa sobre los procesos auditados en la organización.
3. Recopilación de información y documentación relevante al proceso de auditoría.
4. Análisis de la información recopilada.
5. Evaluación de los controles internos del departamento de redes.
6. Determinación de los hallazgos, observaciones, recomendaciones y conclusiones.
7. Uso de las herramientas informáticas para facilitar la tarea del auditor.
8. Evaluar la plataforma tecnológica de la red.
9. Medir el desempeño de la Red.
10. Evaluar la gestión de seguridad.
11. Evaluar documentación y estándares

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
278
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Fase de Ejecucion"

  1. 1. Auditoria Informática de Redes Seguridad de la Red de DatosDiciembre, 2012
  2. 2. Área Auditada Seguridad de la red de datos, departamento de telecomunicaciones de la gerencia detecnología de información de la empresa ACME XXXAlcance de la Auditoria Auditoría informática de la seguridad de la red datos en la gerencia de tecnología deinformación de la empresa ACME XXX en un lapso aproximado del 14-11-2012 al 14-12-2012Objetivos de la Auditoriaa. Generales: Efectuar una auditoria informática de la seguridad de la red de datosb. Específicos: -Evaluar las medidas de control interno, para la seguridad de la red de datos. -Evaluar Planes de contingencia -Analizar la información suministrada de la seguridad de la red de datos durante el periodo de auditoría. -Presentar informe del proceso de auditoría informática, de seguridad de la red de datos.
  3. 3. PROGRAMA DE AUDITORIA Hoja Nº 1/1Empresa: ACME XXX Fecha: 14/11/2012Fase Actividad Horas Estimadas Encargados Etapa Preliminar: -Entrevista con el cliente -Levantamiento inicial de información -Definición de alcance y objetivos de la auditoría. -Elaboración de la matriz de análisis de auditoría. I -Elaboración de la matriz de evaluación 30 Equipo Nro 4 de auditoría -Elaboración del programa de auditoría -Elaboración de los procedimientos de auditoría. -Elaboración de entrevistas -Elaboración de cuestionarios -Elaboración de pruebas de Desarrollo de la Auditoria: -Entrevistas con el personal encargado de la gerencia de tecnología de información y departamento de telecomunicaciones -Aplicación de encuesta y listas de chequeo cuestionarios al encargado de la gerencia de tecnología de información -Aplicación de entrevista al encargado del departamento de telecomunicaciones II -Aplicar herramienta de auditoria 360 (15 días) Equipo Nro 4 NSAuditor -Recopilación de información y documentación de políticas de seguridad, control de registros de vulnerabilidades y modificaciones, manuales, contratos de seguro, reportes de la herramienta de auditoría NSAuditor -Análisis de la información recopilada en entrevistas, encuestas, lista de chequeos y la observación directa.
  4. 4. -Determinación y tabulación de resultados (Hallazgos, observaciones, recomendaciones y conclusiones). - Revisión general de los resultados. 120 III - Elaboración del Pre-Informe. - Elaboración de informe final. 168IV - Presentación del informe.
  5. 5. MATRIZ DE ANALISIS CODIGO MASLF-01 MATRIZ DE ANALISIS DE AUDITORIA INFORMATICA DE REDES OBJETIVOS GENERAL ESPECIFICO DIMENSION INDICADOR INSTRUMENTO Control de acceso a redes Responsabilidades del usuario (talleres de divulgación sobre uso de la clave, etc ) Administración y el análisis de los archivos de registro (archivos log) EntrevistaEfectuar unaauditoria Evaluar las medidas Personal calificado Lista de chequeoinformática de la de control interno, para el cargo Seguridad Lógica Encuestaseguridad de la red para la seguridad de concerniente a lade datos en la la red de datos gestión de la red de Matriz de Evaluaciónempresa ACME XXX datos Método de encriptación utilizado para la trasmisión y recepción en la red de datos Revisión periódica de las políticas utilizadas para la seguridad de la red de datos
  6. 6. Planes de contingencia y recuperación ante hechos externos o ambientales EntrevistaEvaluar aplicación de Mecanismos de Lista de chequeobarreras físicas y seguridad dentro y Matriz de Evaluaciónprocedimientos de alrededor delcontrol, como Seguridad Física Centro de Cómputo Observación Directamedidas de Métodos Contratos de seguro,seguridad de la red preventivos a proveedores, yde datos riesgos por mantenimiento. ubicación. Tiempo de actividad de los servicios de la red de datosAnalizar lainformaciónsuministrada de la Análisis de la Resultadosseguridad de la red Información Obtenidosde datos durante elperiodo de auditoríaPresentar informedel proceso deauditoría Presentación de Informesinformática, de Informesseguridad de la redde datos
  7. 7. INSTRUMENTOS Y TECNICAS ENCUESTA CODIGO ESLF-0101 ¿Existe un plan estratégico de seguridad? Si la respuesta es afirmativa indique en qué estatus seencuentra. SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________02 ¿Se encuentra definido la gestión de usuarios y perfiles de acceso a la red dependiendo del rolque desempeñan estos en la organización? Si la respuesta es afirmativa, especifique. SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________03 ¿Utilizan herramientas para el monitoreo de los servicios de red? Si la respuesta es afirmativa,especifique. SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________04 ¿Existe Gestión de actualización o revisión de las políticas implementadas en la red? SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________05 ¿Se controla el acceso a la red de datos fuera del horario laboral? Si la respuesta es afirmativa,especifique SI NO
  8. 8. Especifique____ ____________________________________________________________________________________________________________________________________________06 ¿Existe control en el acceso al centro de dato? Si la respuesta es afirmativa indique él mecanismoutilizado. SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________07 ¿Cuenta con planes de contingencia? Explique SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________08 ¿Existe un procedimiento de selección de personal calificado? Explique SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________09 ¿El personal responsable de la administración de la red de datos fue notificado de forma escritade las funciones inherentes al cargo? Explique SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________10 ¿Existe personal encargado para realizar el monitoreo de los servicios de red? Si la respuesta esafirmativa, especifique. SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________
  9. 9. LISTA DE CHEQUEO CODIGO LCSLF-01 CODIGO LCSLF-01Nro LISTA DE CHEQUEO SI NO Se cuenta con políticas documentadas y probadas por la gerencia de tecnología 1 de informacíon para prevenir ataques a la red datos 2 Se cuenta con registro de las caídas de los servicios de red Los empleados tienen conocimiento de la existencia de los controles de 3 seguridad establecidos en la red 4 Se llevan registro de incidentes ocurridos y la solución implementada 5 Realizan monitoreo de los servicios de la red 6 efectúan gestión a los archivos de registro cuentan con planes de contingencia que permita recuperar los servicios de la red 7 al momento de acontecer un incidente 8 existe personal capacitado para realizar la administración de la red Cuenta con registro del tiempo en que se encuentran en funcionamiento los servicios de 9 red10 Cuentan tecnologías de video vigilancia dentro y alrededor del centro de computo Cuentan con algún mecanismo de acceso al centro de computo (guardias de seguridad,11 carnet de identificación automática con códigos de barras, banda magnética, tarjetas de proximidad por radio frecuencia, sistemas biométricos) ENTREVISTA CODIGO ENSLF-01 1. ¿Tiene definida las responsabilidades de su cargo? 2. ¿Existe un encargado del monitoreo de los servicios de la red de datos? 3. ¿Cuenta con políticas escritas y aprobados por la gerencia de tecnología de informacíon para realizar la gestión de seguridad de la red de datos?
  10. 10. 4. ¿Tiene conocimientos de planes documentados que permitan a la organización recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo estimado? 5. ¿Al ocurrir alguna anomalía en la red de datos es reportada a sus superiores inmediatamente? 6. ¿Realiza gestión sobre los archivos de registro y utiliza alguna herramienta para ello? 7. ¿Cuenta con adiestramiento continuo para realizar la gestión de seguridad de la red de datos? 8. ¿Realiza revisión periódica de las políticas utilizadas para la seguridad de la red de datos? 9. ¿Participa en el diseño de las políticas de la seguridad de la red de datos? 10. ¿Los incidentes ocurridos en la red de datos y sus soluciones se encuentran documentos? MATRIZ DE EVALUACION CODIGO MESLF-01MATRIZ DE EVALUACION CODIGO MESLF-01EVALUAR Y CALIFICAR ELCUMPLIMIENTO DE LOS EXCELENTE BUENO SUFICIENTE REGULAR DEFICIENTESIGUIENTES ASPECTOS SI DISPONEN DE SE DISPONEN SI DISPONEN NO DISPONEN NO DISPONEN SERVIDOR DE DE SERVIDOR DE SERVIDOR DE SERVIDOR CONTROLADOR DE CONTROLADO CONTROLADO CONTROLADO CONTROLADO DOMINIO PARA LA R DE R DE R DE R DE DOMINIO AUTENTICACION DOMINIO DOMINIO DOMINIO PARA LA DE LOS USUARIOS PARA LA PARA LA PARA LA AUTENTICACIO DE LA RED, AUTENTICACI AUTENTICACI AUTENTICACI N DE LOSCONTROL DE ACCESO Y DEFINIDOS EN ON DE LOS ON DE LOS ON DE LOS USUARIOS DEAUTENTICACION GRUPOS, ROLES O USUARIOS DE USUARIOS DE USUARIOS DE LA RED, NO PERFILES, LA RED, LA RED, NO LA RED, SOLO CUENTAN CON HORARIOS DE DEFINIDOS EN CUENTAN CUENTA CO PERFILES ACCESO, GRUPOS, NO CON GRUPOS, PERFILES LOCALES, LOS CADUCIDAD DE LA CUENTAN NI PERFILES DEFINIDOS USUARIOS CLAVE CON DEFINIDOS. LOCALMENTE TIENEN POLITICAS PRIVILEGIOS BIEN ADMINISTRATI
  11. 11. ESTABLECIDA VOS S PARA LOS PERFILES CUANDO CUANDO CUANDO CUANDO CUANDO NO REALIZAN REALIZAN REALIZAN REALIZAN SE HACE GESTION DE LOS GESTION DE GESTION DE GESTION DE GESTION ARCHIVOS DE LOS LOS LOS SOBRE LOS REGISTRO Y ARCHIVOS DE ARCHIVOS DE ARCHIVOS DE ARCHIVOS DE ADEMAS REGISTRO Y REGISTRO Y REGISTRO REGISTRO DISPONEN DE UN ADEMAS SI SE NO SE EVENTUALME SERVIDOR DISPONE DE DISPONE DE NTE EXCLUSIVO PARA UN SERVIDOR UN SERVIDORGESTION DE LOS ARCHIVOS DE ALMANCENMIENT EXCLUSIVO PARAREGISTROS O Y LOS ARCHIVOS PARA ALMANCENM SON GUARDADOS ALMANCENM IENTO POR UN PERIODO IENTO Y LOS DE TIEMPO ENTRE ARCHIVOS 1 Y 2 AÑOS SON GUARDADOS POR UN PERIODO DE TIEMPO DE UN AÑOS CUANDO EL 100% CUANDO EL CUANDO EL CUANDO EL CUANDO ES DEL TIEMPO LOS 90% DEL 80% DEL 60% DEL MENOR AL SERVICIOS SE TIEMPO LOS TIEMPO LOS TIEMPO LOS 60% DELTIEMPO DE ACTIVIDAD DE LOS ENCUENTRAN SERVICIOS SE SERVICIOS SE SERVICIOS SE TIEMPO LOSSERVICIOS DE LA RED DE DATOS ACTIVOS ENCUENTRAN ENCUENTRAN ENCUENTRAN SERVICIOS SE ACTIVOS ACTIVOS ACTIVOS ENCUENTRAN ACTIVOS SI DISPONEN DE SI DISPONEN SI DISPONEN SI DISPONEN SI NO MECANISMOS QUE DE DE DE DISPONEN DE PERMITAN MECANISMOS MECANISMOS MECANISMOS MECANISMOS RESGUARDAR LA QUE QUE QUE QUE SEGURIDAD PERMITAN PERMITAN PERMITAN PERMITAN PERIMETRAL Y EL RESGUARDAR RESGUARDAR RESGUARDAR RESGUARDAR ACCESO AL LA LA LA LA SEGURIDAD CENTRO DE SEGURIDAD SEGURIDAD SEGURIDAD PERIMETRAL YMECANISMOS DE SEGURIDAD COMPUTOS, PERIMETRAL PERIMETRAL PERIMETRAL EL ACCESO AL UTILIZACIÓN DE Y EL ACCESO Y EL ACCESO Y EL ACCESO CENTRO DEDENTRO Y ALREDEDOR DEL CENTRO GUARDIAS, AL CENTRO AL CENTRO AL CENTRO COMPUTOS.DE CÓMPUTO UTILIZACIÓN DE DE DE DE SISTEMAS COMPUTOS, COMPUTOS, COMPUTOS, BIOMÉTRICOS, UTILIZACIÓN UTILIZACIÓN UTILIZACIÓN CIRCUITOS DE SISTEMAS DE CIRCUITOS DE TARJETAS CERRADOS, BIOMÉTRICOS CERRADOS, DE TARJETAS DE , CIRCUITOS DE TARJETAS PROXIMIDAD PROXIMIDAD POR CERRADOS, DE POR RADIO RADIO TARJETAS DE PROXIMIDAD FRECUENCIA FRECUENCIA PROXIMIDAD POR RADIO POR RADIO FRECUENCIA FRECUENCIAPLANES DE CONTINGENCIA Y SI CUENTAN CON SI CUENTAN SI CUENTAN SI CUENTAN SI CUENTAN
  12. 12. RECUPERACIÓN ANTE HECHOS PLANES QUE CON PLANES CON PLANES CON PLANES CON PLANESEXTERNOS O AMBIENTALES PERMITAN A LA QUE QUE QUE QUE ORGANIZACIÓN PERMITAN A PERMITAN A PERMITAN A PERMITAN A RECUPERAR Y LA LA LA LA RESTAURAR SUS ORGANIZACIÓ ORGANIZACIÓ ORGANIZACIÓ ORGANIZACIÓ FUNCIONES N RECUPERAR N RECUPERAR N RECUPERAR N RECUPERAR CRÍTICAS PARCIAL Y RESTAURAR Y RESTAURAR Y RESTAURAR Y RESTAURAR O TOTALMENTE SUS SUS SUS SUS INTERRUMPIDAS FUNCIONES FUNCIONES FUNCIONES FUNCIONES DENTRO DE UN CRÍTICAS CRÍTICAS CRÍTICAS CRÍTICAS TIEMPO MENOR A PARCIAL O PARCIAL O PARCIAL O PARCIAL O UNA HORA TOTALMENTE TOTALMENTE TOTALMENTE TOTALMENTE DESPUÉS DE UNA INTERRUMPI INTERRUMPI INTERRUMPI INTERRUMPID INTERRUPCIÓN NO DAS DENTRO DAS DENTRO DAS DENTRO AS DENTRO DE DESEADA O DE UN DE UN DE UN UN TIEMPO DESASTRE TIEMPO TIEMPO TIEMPO MAYOR A ENTRE UNA ENTRE DOS Y ENTRE OCHO HORAS Y DOS HORAS CUATRO CUATRO Y DESPUÉS DE DESPUÉS DE HORAS OCHO HORAS UNA UNA DESPUÉS DE DESPUÉS DE INTERRUPCIÓ INTERRUPCIÓ UNA UNA N NO N NO INTERRUPCIÓ INTERRUPCIÓ DESEADA O DESEADA O N NO N NO DESASTRE DESASTRE DESEADA O DESEADA O DESASTRE DESASTRE
  13. 13. PROCEDIMIENTOS ESPECIFICOS Código PESLF-01Programa de Auditoría Sección de Trabajo: Página: 1/1InformáticaEmpresa: ACME XXXUnidad y/o Departamento: Gerencia de tecnología de informaciónDimensión: Seguridad LogicaPeriodo de revision Desde: 14/11/2012 Hasta: 14/12/2012 Nº Procedimientos Ref. P/T Reunirse con el encargado de la gerencia de tecnología de 1 informacíon 2 Solicitar las políticas de seguridad de la información. Indagar acerca de las estrategias de seguridad de 3 información que están siendo aplicadas. 4 Aplicar encuesta ESLF-01 5 Aplicar lista de chequeo LCSLF-01 Constatar mediante observación directa algunas de las 6 respuestas arrojadas en la encuesta. 7 Registrar las observaciones encontradas.
  14. 14. Código PESLF-02Programa de Auditoría Sección de Trabajo: Página: 1/1InformáticaEmpresa: ACME XXXUnidad y/o Departamento: Departamento de TelecomunicacionesDimensión: Seguridad FisicaPeriodo de revision Desde: 14/11/2012 Hasta: 14/12/2012 Nº Procedimientos Ref. P/T Reunirse con el encargado del departamento de 1 telecomunicaciones Realizar entrevista al encargado del departamento de 2 telecomunicaciones ENSLF-01 3 Aplicar encuesta ESLF-01 Constatar mediante observación directa algunas de las 4 respuestas arrojadas en la entrevista. 5 Utilizar herramienta de auditoria nsauditor Solicitar planes de contingencia al encargado del 6 departamento de telecomunicaciones 7 Registrar las observaciones encontradas.
  15. 15. RESULTADOS Después de realizadas las pruebas establecidas para la auditoria informática de redesde datos se obtuvieron los siguientes resultados ENCUESTA CODIGO ESLF-0101 ¿Existe un plan estratégico de seguridad? Si la respuesta es afirmativa indique en qué estatus seencuentra. SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________02 ¿Se encuentra definido la gestión de usuarios y perfiles de acceso a la red dependiendo del rolque desempeñan estos en la organización? Si la respuesta es afirmativa, especifique. SI NOEspecifique: para la gestión de usuarios se realiza a través del active directory en el cual seencuentran usuarios divididos en grupos o unidas organizativas donde se le aplican políticas degrupos, diferentes según el rol que desempeñan en la organización ____________________________03 ¿Utilizan herramientas para el monitoreo de los servicios de red? Si la respuesta es afirmativa,especifique. SI NOEspecifique: se cuenta con una herramienta llamada Nagios el cual es un sistema de monitorizaciónde redes de código abierto que inspecciona los equipos (hardware) y servicios (software) que seespecifiquen04 ¿Existe Gestión de actualización o revisión de las políticas implementadas en la red? SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________05 ¿Se controla el acceso a la red de datos fuera del horario laboral? Si la respuesta es afirmativa,especifique SI NO
  16. 16. Especifique: a través del active directory se establecen los horarios de acceso de los diferentes gruposde usuarios_______________________________________________________________________06 ¿Existe control en el acceso al centro de dato? Si la respuesta es afirmativa indique él mecanismoutilizado. SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________07 ¿Cuenta con planes de contingencia? Explique SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________08 ¿Existe un procedimiento de selección de personal calificado? Explique SI NOEspecifique: pero no se adapta a los requerimientos actuales de exigidos por la organización_____________________________________________________________________________09 ¿El personal responsable de la administración de la red de datos fue notificado de forma escritade las funciones inherentes al cargo? Explique SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________10 ¿Existe personal encargado para realizar el monitoreo de los servicios de red? Si la respuesta esafirmativa, especifique. SI NOEspecifique____ ____________________________________________________________________________________________________________________________________________
  17. 17. LISTA DE CHEQUEO CODIGO LCSLF-01 CODIGO LCSLF-01Nro LISTA DE CHEQUEO SI NO Se cuenta con políticas documentadas y probadas por la gerencia de tecnología 1 X de informacíon para prevenir ataques a la red datos 2 Se cuenta con registro de las caídas de los servicios de red X Los empleados tienen conocimiento de la existencia de los controles de 3 X seguridad establecidos en la red 4 Se llevan registro de incidentes ocurridos y la solución implementada X 5 Realizan monitoreo de los servicios de la red X 6 efectúan gestión a los archivos de registro X cuentan con planes de contingencia que permita recuperar los servicios de la red 7 X al momento de acontecer un incidente 8 existe personal capacitado para realizar la administración de la red X Cuenta con registro del tiempo en que se encuentran en funcionamiento los servicios de 9 X red10 Cuentan tecnologías de video vigilancia dentro y alrededor del centro de computo X Cuentan con algún mecanismo de acceso al centro de computo (guardias de seguridad,11 carnet de identificación automática con códigos de barras, banda magnética, tarjetas de X proximidad por radio frecuencia, sistemas biométricos) ENTREVISTA CODIGO ENSLF-01 1. ¿Tiene definida las responsabilidades de su cargo? R. No están definidas las responsabilidades del cargo 2. ¿Existe un encargado del monitoreo de los servicios de la red de datos? R. No existe personal responsable que realice esa función 3. ¿Cuenta con políticas escritas y aprobados por la gerencia de tecnología de información para realizar la gestión de seguridad de la red de datos? R. Existen políticas pero no están documentadas ni para su implementación fueron aprobadas por la gerencia de tecnología de información
  18. 18. 4. ¿Tiene conocimientos de planes documentados que permitan a la organización recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo estimado? R. Existen planes que permitan realizar dicha labor 5. ¿Al ocurrir alguna anomalía en la red de datos es reportada a sus superiores inmediatamente? R. Solo verbalmente 6. ¿Realiza gestión sobre los archivos de registro y utiliza alguna herramienta para ello? R. No se realiza gestión sobre los archivos de registros 7. ¿Cuenta con adiestramiento continuo para realizar la gestión de seguridad de la red de datos? R. No se cuenta con adiestramiento para el personal 8. ¿Realiza revisión periódica de las políticas utilizadas para la seguridad de la red de datos? R. Sí, pero no se encuentre documentado dicho procedimiento 9. ¿Participa en el diseño de las políticas de la seguridad de la red de datos? R. Si 10. ¿Los incidentes ocurridos en la red de datos y sus soluciones se encuentran documentos? No se lleva documentación sobre los incidentes ocurridos ni de la solución implementada MATRIZ DE EVALUACION CODIGO MESLF-01MATRIZ DE EVALUACION CODIGO MESLF-01EVALUAR Y CALIFICAR ELCUMPLIMIENTO DE LOS EXCELENTE BUENO SUFICIENTE REGULAR DEFICIENTESIGUIENTES ASPECTOSCONTROL DE ACCESO YAUTENTICACION X O O O OGESTION DE LOS ARCHIVOS DEREGISTROS O O O X OTIEMPO DE ACTIVIDAD DE LOSSERVICIOS DE LA RED DE DATOS O O X O OMECANISMOS DE SEGURIDAD O O O O X
  19. 19. DENTRO Y ALREDEDOR DEL CENTRODE CÓMPUTOPLANES DE CONTINGENCIA YRECUPERACIÓN ANTE HECHOSEXTERNOS O AMBIENTALES O O O O XMATRIZ DE EVALUACION CODIGO MESLF-02EVALUAR Y CALIFICAR ELCUMPLIMIENTO DE LOS EXCELENTE BUENO REGULAR DEFICIENTESIGUIENTES ASPECTOS -Pc actualizados de marcas reconocidas(lenovo) -Switch de marcar reconocidas (cisco) y modelos actuales -Servidores marca IBM con características superiores a laPLATAFORMA TECNOLOGICA DE LA estándar de fabrica O O ORED -Router de marca reconocida (cisco) y modelo actual -Firewall de marca reconocida con soporte de actualización de los servicios -Antivirus corporativo y soporte de actualización -No se cuenta con segmentación de la red deDESEMPEÑO DE LA RED O O O datos -Crecimiento no planificado de puntos de
  20. 20. red (entrada de nuevo personal a la organización) -Servicios de red no optimizados -Cableado inadecuado en algunas unidades de la organización -No se cuenta con personal para dicha tarea -No existenGESTION DE SEGURIDAD O O O políticas acorde a los requerimientos de la organización No se cuenta con procedimientosDOCUMENTACION Y ESTANDARES documentados O O O para la gestión de la seguridad de la red de datos
  21. 21. OBSERVACIONES DE LOS HALLAZGOS Inadecuada gestión sobres los archivos de registro No hay difusión de las políticas de seguridad de la red a los usuarios No se llevan registro de incidentes ocurridos y la solución implementada No cuentan con personal capacitado para realizar gestión de seguridad de la red de datos No cuentan con planes que permitan a la organización recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial Deficiencia en los métodos preventivos a riesgos por ubicación No poseen mecanismos de seguridad dentro y alrededor del centro de computo No existe personal encargado del monitoreo de los servicios de la red de datos No llevan registro documentado sobre los incidentes en la red de datos y las soluciones implementadas Deficiencia en el adiestramiento al personal que realiza la gestión de la red de datos Algunas políticas no están acorde a los requerimientos de la organización Cableado estructura que no cumple con los estándares No existe segmentación de la red No se realizan mantenimientos preventivos a los servidoresRECOMENDACIONES Establecer y hacer uso de políticas de seguridad Realizar planes estratégicos que involucren la seguridad de la red Se debe implementar un procedimiento y documentarlo para llevar la administración y el análisis de los archivos de registro Se sugiere desarrollar un procedimiento documentado que permita registrar de la forma más expedita los incidentes ocurridos en la red de datos y la solución realizada Realizar talleres con todo el personal como medio de difusión de las políticas de seguridad Realizar monitoreo minucioso de la red para mitigar las posibles causa de los servicios de red Definir funciones especificas al personal encargado de la gestión de red Realizar un plan de contingencia que permitan a la organización recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial Capacitar al personal en las funciones a desempeñar Documentar las políticas a implementar en la red de datos y las mismas deben contar con la aprobación del comité gerencialCONCLUSION La seguridad de la red de datos cada día cobra más importancia dentro de las organizacionesdebido a que la red es la que soporta la conectividad entre los diferentes dispositivos que la integranademás siendo un factor determinante en la gestión del activo más importante para toda empresaque es la información. Es de vital importancia para la organización contar con planes que permitan recuperar y
  22. 22. restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial,ya que una infracción de seguridad puede causar un daño irreparable a la reputación o la imagen demarca de la compañía. Educando a los usuarios en el uso de las mejores prácticas, la organización debe estipularmétodos preventivos para la seguridad interna de la red de datos para ello debe fomentar laconciencia entre los usuarios de la importancia que tiene para todos los empleados el buenfuncionamiento de la red, para lo cual los usuarios finales deben ser participes en el cumplimientosde las políticas implementadas para la seguridad de la red de datos. Para el establecimiento de políticas acorde con los requerimientos de la organización se debenllegar registros detallados de los incidentes ocurridos anexando las evidencias encontradas y ademáslas soluciones implementadas en los casos. Para mitigar los riesgos es indispensable la concientización de la directiva en el rolfundamental que desempeña la correcta aplicación de políticas de seguridad de la red de datos en elbuen desempeño de la organización.

×