UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO”        DECANATO DE CIENCIAS Y TECNOLOGÍA     2º DIPLOMADO DE AUDITORÍA INF...
1. Identificar el área a auditar en la red.   Auditoría Informática de Redes - ámbito de Documentación.2. Determinar el ob...
4. Elaborar el análisis de la matriz de evaluación para auditar la red indicando su objetivoespecífico, dimisión e indicad...
Cambio periódico de niveles, privilegios y                                      contraseñas de acceso al sistema          ...
documentación.DOCUMENTOS A SOLICITAR   Políticas, estándares, normas y procedimientos.   Plan de redes.   Planos o diag...
5. Diseños Instrumentos y Técnicas para la aplicación de la         auditoría: Cuestionario, ponderación, lista de chequeo...
SECCION DE TRABAJO:PROGRAMA DE AUDITORÍA DE REDES                                                 Pág. 1 de 1EMPRESA: XYZU...
de trabajo?                                                 están                                                         ...
período máximo de vigencia)?                                  documentadas.16. ¿Están documentados los planes de          ...
7. ¿Qué equipos de              Se utiliza PC servidor   prueba de                    dedicado ubicado en   comunicaciones...
en caso de fallas?   con exactitud el origen de                     la falla y la solución de la                     misma.
LISTA DE CHEQUEONro.                CARACTERISTICAS A CHEQUEAR                            SI     NO                       ...
7. Elaborar el plan para la aplicación de la auditoria.                      PLAN DE AUDITORIA                            ...
Aplicación de                Lista de      28/11/12   29/11/12cuestionarios y listas     chequeo yde chequeo al           ...
8. Hallazgos de Auditoria La empresa posee una documentación donde especifican algunas normas y  políticas. La empresa X...
 No existe un plan proactivo de tareas a fin de anticipar los problemas y  solucionarlos antes de que los mismos afecten ...
Las empresas buscan llevar la buena práctica de habilitar mecanismos deauditoría en los servidores, para registro de event...
Elaborar un calendario de mantenimiento de rutina periódico del hardware.
Upcoming SlideShare
Loading in...5
×

Tarea de redes ejecucion

77

Published on

Fase de ejecución de auditoria de redes (área documentación).

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
77
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Tarea de redes ejecucion"

  1. 1. UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO” DECANATO DE CIENCIAS Y TECNOLOGÍA 2º DIPLOMADO DE AUDITORÍA INFORMÁTICA Auditoría Informática de Redes Primera tarea: Fase de Planeación. Área a auditar en la Red: Documentación. Integrantes: Carlos Cordero Naylet Macea Tibisay Matos Prof.: Luzneida Matute Barquisimeto, Diciembre 2012
  2. 2. 1. Identificar el área a auditar en la red. Auditoría Informática de Redes - ámbito de Documentación.2. Determinar el objetivo general y los específicos. General: Realizar una auditoría informática de redes-ámbito de documentación, en la empresa XYZ. Específicos:  Diagnosticar la situación actual de la documentación del entorno de red.  Evaluar el estatus de la documentación del entorno de red.  Analizar la información recolectada durante el proceso de auditoría informática de redes.  Presentar informe del proceso de auditoría informática de redes-área documentación.3. Describir los puntos del área a auditar.  Objetivos de la red.  Personal que administra la red.  Políticas de Seguridad de red  Servicios que proporciona la red  Planes de Contingencia.  Mapas o Diagramas  Planos de la Red y Topología  Configuraciones y Conexiones  Estándares y Normativas  Convenios y/o contratos con el ISP (Proveedor de Servicios de Internet)
  3. 3. 4. Elaborar el análisis de la matriz de evaluación para auditar la red indicando su objetivoespecífico, dimisión e indicadores. CODIGO MAIR-01MATRIZ DE ANALISIS DE AUDITORIA INFORMATICA DE REDES-ÁREA DOCUMENTACIÓN, EN LA EMPRESA XYZ. OBJETIVOS DIMENSIÓN INDICADORES INSTRUMENTOS General Específicos Documentación de los objetivos de la red. Entrevistas. Políticas y normas de redes en la empresa. Cuestionarios. Organización Definiciones de cargos y perfiles de los administradores de red. Observación directa.Realizar una Diagnosticar la Segregación de funciones en el área deauditoría situación actual tecnologíainformática de Políticas de seguridad de redes. de laredes-área documentación Servicios que proporciona la red.documentación, Entrevistas.en la empresa del entorno deXYZ. red. Conectividad y comunicaciones de la red Cuestionarios. Monitoreo de la red Gestión de Observación directa. redes Manejo de control de acceso. Lista de Chequeo Administración de claves y contraseñas robustas
  4. 4. Cambio periódico de niveles, privilegios y contraseñas de acceso al sistema Planes de recuperación Especificación de la infraestructura de red. Especificación de la topología de red Entrevistas. Infraestructura Descripción del cableado Cuestionarios. Especificación de las conexiones entre los Observación equipos directa. Existencia de inventario de equipos de redes Lista de Chequeo Control Existencia de documentación del contrato con Externo el proveedor del servicio de internet.Analizar lainformaciónrecolectadadurante el Análisis de laproceso de información Resultados obtenidos.auditoríainformática deredes.Presentar informedel proceso de Presentaciónauditoría del informe. Informeinformática deredes-área
  5. 5. documentación.DOCUMENTOS A SOLICITAR  Políticas, estándares, normas y procedimientos.  Plan de redes.  Planos o diagramas de la topología de red  Conexiones y cableado  Planes de seguridad de la red  Facturas de los equipos que componen la red.  Garantía de los equipos de la red  Autorizaciones de traslado de equipos de un lugar a otro.  Organigrama y manual de funciones.  Manuales de redes  Contrato con el ISP
  6. 6. 5. Diseños Instrumentos y Técnicas para la aplicación de la auditoría: Cuestionario, ponderación, lista de chequeo, guía de auditoría, matriz de evaluación, acta testimonial. SECCION DE TRABAJO:PROGRAMA DE AUDITORÍA DE REDES Pág. 1 de 1EMPRESA: XYZUnidad y/o Departamento: RedesÁrea: Organización (objetivos, políticas y normas, cargos y perfiles, funciones)PERIODO DE REVISION 15 11 12 HASTA: 15 12 12DESDE:Nº PROCEDIMIENTOS REF.P/T1 Identificarse y dirigirse al Jefe del Departamento Redes de la Gerencia TI. Solicitar documentos como: - Políticas, estándares, normas y procedimientos.2 - Plan de redes. - Planes de seguridad y continuidad - Contratos, pólizas de seguros. - Organigrama y manual de funciones.3 Obtener e identificar los objetivos del Departamento de Redes.4 Aplicar las preguntas Nº 1, 2 y 3 del cuestionario al Jefe del Departamento CAIR-01 de Redes. En la columna observaciones del cuestionario, anotar:5 Información relevante que se nos diga. Dejar sentado todo documento a solicitar si responden que tienen lo que se le pregunta.6 Analizar información entregada por el Departamento de Redes.7 Determinar hallazgos, observaciones basadas en el análisis anterior.HECHO POR: REVISADO POR:Ing. Pedro González Ing. Álvaro Martínez
  7. 7. SECCION DE TRABAJO:PROGRAMA DE AUDITORÍA DE REDES Pág. 1 de 1EMPRESA: XYZUnidad y/o Departamento: RedesÁrea: Gestión (Especificación de la documentación de la infraestructura de red y de laexistencia de inventario de equipos de redes.)PERIODO DE REVISION 15 11 12 HASTA: 15 12 12DESDE:Nº PROCEDIMIENTOS REF.P/T1 Identificarse y dirigirse al Jefe del Departamento Redes de la Gerencia TI. Solicitar documentos como:2 - Diagramado de la infraestructura de la red. - Inventario de equipos de redes. - Manuales de redes.3 Aplicar las preguntas Nº 4, 5, 6 y 7 del cuestionario al Jefe del CAIR-01 Departamento de Redes. En la columna observaciones del cuestionario, anotar:4 Información relevante que se nos diga. Dejar sentado todo documento a solicitar si responden que tienen lo que se le pregunta.5 Analizar información entregada por el Departamento de Redes.6 Determinar hallazgos, observaciones basadas en el análisis anterior.HECHO POR: REVISADO POR:Ing. María Pérez Ing. Álvaro Martínez CUESTIONARIO DESCRIPCIÓN SI NO N/A OBSERVACIONES Nº 1. ¿Existe la documentación de los objetivos X Solicitarlo de red? 2. ¿Existen documentos con la misión, visión, X Solicitarlo valores, objetivos y metas del departamento de redes? 3. ¿Existen manuales que definan las X Se tienen los cargos funciones, cargos y perfiles de los puestos específicos pero no
  8. 8. de trabajo? están documentados.4. ¿Poseen una documentación sobre el X Solicitarlo diagramado de la red?5. ¿Poseen la documentación de la X No se tiene infraestructura capaz de soportar el documentación de la crecimiento de la red a largo plazo infraestructura de la teniendo en cuenta los posibles cambios red. tecnológicos o en la organización?6. ¿Existe la documentación actual de la X Solicitarlo topología de red?7. ¿Poseen informes de las conexiones entre X No se tiene los equipos de la red? información de las conexiones entre los equipos de red.8. ¿Existe el diagrama del cableado utilizado, X Solicitarlo la categoría y su recorrido en la infraestructura de la red?9. ¿Existe documentación del inventario de X Solicitarlo equipos asociados a las de redes?10. ¿Cuentan con una protección y tendido X Solicitarlo adecuado de cables y líneas de comunicaciones?11. ¿Existe documentación de medidas, X No se tiene controles, procedimientos, normas y documentación de estándares de seguridad? medidas, controles, procedimientos, normas y estándares de seguridad12. ¿Existe documentado los procedimientos X No se tiene de protección de los cables y las bocas de documentado la conexión? protección de los cables y bocas de conexión.13. ¿Está documentada la jerarquía en la X Se tiene la jerarquía asignación de permiso a las cuentas de de permisos mas no usuarios? existe documentación de ello.14. ¿Existe documentación de las políticas de X Se tiene políticas de restricción de acceso (de personas de la acceso mas no organización y de las que no lo son) a los existe programas, aplicaciones y archivos? documentación de las mismas.15. ¿Existen políticas para el manejo de X Se tienen las cuentas y contraseña de usuario de red políticas mas no se (número máximo de intentos de conexión y tienen
  9. 9. período máximo de vigencia)? documentadas.16. ¿Están documentados los planes de X No se tiene emergencia alternativos de transmisión documentado los entre diferentes sedes? planes de emergencia.17. ¿En caso de desastre poseen planes de X No se tiene seguridad por escrito para asegurar la documentado los integridad de los datos? planes para la integridad de los datos.18. ¿Implantan la ejecución de planes de X Se implantan planes contingencia y la simulación de posibles de contingencia y accidentes? simulación de accidentes pero no existe documentación de ello.19. ¿El departamento de redes conoce del X Solicitarlo contrato con el proveedor de servicio de internet? ENTREVISTA MATRIZ DE ANALISIS DE CONTENIDO- ENTREVISTA EAIR-01Nro. Pregunta Respuesta Recomendación1. ¿Cuándo realizan Estos procedimientos no Documentar todo tipo de modificaciones en la red se documentan. cambio en la red y de los o de algún equipo la equipos. documentan?2. ¿La documentación de Se mantiene actualizada la la topología de red esta documentación de la actualizada? topología de red.3. ¿Documentan cuando No se documenta el Documentar todo tipo de realizan algún traslado traslado de los equipos de traslado de los equipos de de equipos de red de un un lugar a otro. un lugar a otro. lugar a otro?4. ¿Cuentan con Antivirus, Se mantienen actualizadas antispyware por estás herramientas de seguridad de la red? protección.5. ¿Qué tipo de nVision, NetSupprt, entre herramienta utilizan otros. para monitorear la red?6. ¿Cada cuanto tiempo No se ha establecido un Definir la frecuencia de realizan un análisis del tiempo específico para revisión. tráfico de la red? ello.
  10. 10. 7. ¿Qué equipos de Se utiliza PC servidor prueba de dedicado ubicado en comunicaciones utilizan oficina de personal de para monitorear la red y redes. el tráfico en ella?8. ¿Qué procedimientos Se realiza la notificación Documentar formalmente llevan para la vía telefónica y van al sitio las notificaciones de notificación y gestión de para solventar la falla, no incidencias y el incidencias y son se tiene documentación procedimiento para documentadas? formal de este resolverlas. procedimiento.9. ¿Poseen las facturas de Se tienen todas las todos los equipos que facturas. componen la red?10. ¿Conocen cuáles son No se conocen con los equipos que aun exactitud, pero ubicando poseen garantía y las facturas se puede cuales no? determinar.11. ¿Cómo hacen para Se contrata un proveedor Documentar formalmente el darle mantenimiento para realizar este servicio. procedimiento realizado preventivo y correctivo a para el mantenimiento los equipos que no preventivo. poseen garantía?12. ¿Qué procedimientos Mediante correos Determinar políticas y llevan las solicitudes de electrónicos o vía procedimientos para el modificaciones y telefónica. control de cambios. cambios?13. ¿Cómo jerarquizan o Considerando las qué se basan los responsabilidades y áreas permisos de las cuentas de acción del usuario de usuarios? dentro de la organización.14. ¿Cada cuanto tiempo No se tiene tiempo Documentar formalmente revisan las políticas definido, se realiza cuando este procedimiento. para el manejo de se notifica algún incidente cuentas y contraseñas? por un usuario.15. ¿Existe un control de No existe formalmente el Realizar y documentar acceso por Contraseñas control de acceso para formalmente el control de de Sesión de usuarios usuarios con renovación. acceso a sesiones para con renovación? usuarios con renovación.16. ¿Cómo son los planes No existe un plan alternativos de especificado, es muy transmisión entre limitado y puntual, solo diferentes sedes para ocurre en caso de casos de emergencias? emergencia.17. ¿Cómo es el tiempo de En oportunidades respuesta del proveedor demoran en reestablecer de servicios de internet el servicio, y no informan
  11. 11. en caso de fallas? con exactitud el origen de la falla y la solución de la misma.
  12. 12. LISTA DE CHEQUEONro. CARACTERISTICAS A CHEQUEAR SI NO CUMPLE CUMPLE1. El área de servidores contiene solamente el equipo X relacionado directamente con informática2. Está el área de servidores situado lejos de interferencias X electromagnéticas3. Se mantiene el área de servidores en un rango de X temperaturas permitidas4. Tiene el área de servidores una altura mínima adecuada X5. Tiene el área de servidores una salida de emergencia X identificada6. Existe un mecanismo contra incendio X7. Es el techo del área de servidores impermeable para X evitar el paso de agua desde niveles superiores8. Existe un control de acceso con notificación en la entrada X del departamento9. Existe una bitácora de las visitas e ingresos al área de X servidores10. Se controla el trabajo fuera de horario X11. Tienen instalado equipos como reguladores de voltaje, X supresores pico, UPS, generadores de energía, que protejan los equipos de redes en caso de variación de voltaje o falla en el suministro de energía eléctrica12. Cuenta el área de servidores con CCTV X13. Las personas de limpieza realizan sus funciones dentro X del área de redes acompañadas por ustedes14. Cuentan las puertas de área de servidores con X cerraduras de seguridad adecuadas15. ¿Tienen instalado cortafuegos, sistema de detección de X intrusos- antispyware, antivirus, llaves para protección de software, etc.?16. Existe un seguro de los activos de redes y X comunicaciones6. Identificar las herramientas informáticas que serán empleadaspara evaluar los indicadores de la auditoria.  OCS Inventory.  NetSupport.  Nsauditor.  NVision.  KeePass Password Safe.
  13. 13. 7. Elaborar el plan para la aplicación de la auditoria. PLAN DE AUDITORIA SEMANAS ACTIVIDADES RECURSOS DESDE HASTA HR. 1 2 3 4 5 6 7 8Planificación de Lápiz, hojas de 15/11/12 15/11/12actividades papel, borrador, 4 X computador, impresora.Entrevista con el Entrevista 16/11/12 16/11/12cliente realizada, grabador, 2 X Lápiz, hojas de papel.Levantamiento inicial Documentos 17/11/12 18/11/12 8 Xde información solicitados.Definición de alcance Lápiz, hojas de 19/11/12 19/11/12y objetivos de la papel,auditoría borrador, 2 X computador, impresora.Elaboración de la Lápiz, hojas de 20/11/12 20/11/12matriz de análisis de papel,auditoría borrador, 4 X computador, impresora.Elaboración del Lápiz, hojas de 21/11/12 21/11/12programa de auditoría papel, borrador, 4 X computador, impresora.Elaboración de los Lápiz, hojas de 22/11/12 22/11/12procedimientos de papel,auditoría borrador, 4 X computador, impresora.Elaboración de Lápiz, hojas de 23/11/12 23/11/12entrevistas papel, borrador, 6 X computador, impresora.Elaboración de Lápiz, hojas de 24/11/12 24/11/12cuestionarios papel, borrador, 4 X computador, impresora.Elaboración de Lápiz, hojas de 25/11/12 25/11/12pruebas de redes papel, borrador, 2 X computador, impresora.Entrevistas con el Entrevista 26/11/12 27/11/12personal objeto de realizada,auditoría grabador, 8 X Lápiz, hojas de papel.
  14. 14. Aplicación de Lista de 28/11/12 29/11/12cuestionarios y listas chequeo yde chequeo al cuestionariopersonal objeto de realizado, 8 Xauditoría grabador, Lápiz, hojas de papel.Observación directa Lápiz, hojas de 29/11/12 01/12/12sobre los procesos papel, 16 X Xauditados en la borrador,organización grabador,Recopilación de Lápiz, hojas de 01/12/12 02/12/12información y papel,documentación borrador, 15 Xrelevante al proceso grabador,de auditoría computador, impresora.Análisis de la Herramientas 03/12/12 04/12/12información recopilada para organizary de ser necesario, datos, Lápiz,utilizar herramientas hojas de papel, 10 Xautomatizadas para la borrador,organización de los computador,datos. impresora.Determinación de Lápiz, hojas de 05/12/12 07/12/12resultados: Hallazgos, papel,observaciones, borrador,recomendaciones y estadísticas de 20 X Xconclusiones. entrevistas, computador, impresora.Revisión general de Computador, 08/12/12 10/12/12 22 Xlos resultados. impresora.Elaboración del Pre- Lápiz, hojas de 11/12/12 11/12/12Informe papel, borrador, estadísticas de 8 X entrevistas, computador, impresora.Elaboración de Lápiz, hojas de 12/12/12 14/12/12informe final papel, borrador, estadísticas de 26 X entrevistas, computador, impresora.Presentación del Lápiz, hojas de 15/12/12 15/12/12informe papel, borrador, computador, 4 X estadísticas de entrevistas, video beam.
  15. 15. 8. Hallazgos de Auditoria La empresa posee una documentación donde especifican algunas normas y políticas. La empresa XYZ no posee documentado procedimientos alternos en caso de falla de la infraestructura de red. No se documenta el procedimiento para realizar modificaciones en la red o de algún equipo. No cuentan con un procedimiento de control de acceso de usuarios documentado formalmente. No se evidencia ningún mecanismo de control de acceso a las salas de servidores. No se evidencia sistema de control de incendio en las salas de servidores. No documentan cuando realizan algún traslado de equipos de red de un lugar a otro. No existe un mecanismo de control para el registro de las personas que ingresan a la sala donde residen los servidores de la empresa. No se encuentran habilitados los mecanismos para el registro de eventos de auditoría en los servidores. No observaron procedimientos formales relacionados con la definición de responsabilidades, frecuencia y documentación para la revisión de registros de auditoría. No se tiene definido las características de las políticas de contraseñas con las pautas necesarias para unificar los mecanismos manuales y automáticos ofrecidos por el sistema operativo. No se generan contraseña de acceso con características robustas, tomando en cuenta que no se encuentra configurado el parámetro de configuración “Passwords must meet complexity requirements”. No existe un calendario de mantenimiento de rutina periódico del hardware definido por el departamento de redes.
  16. 16.  No existe un plan proactivo de tareas a fin de anticipar los problemas y solucionarlos antes de que los mismos afecten el desempeño de la red. Carecen de indicadores precisos que apoyen a la evaluación objetiva de la gestión del departamento. No cuentan con mecanismos para la asistencia del personal de redes a jornadas y cursos de actualización en el área de competencia.9. Conclusiones. Como resultado de la Auditoria podemos manifestar que hemos cumplidocon evaluar cada uno de los objetivos contenidos en el programa de auditoría. El área de redes presenta deficiencias sobre todo en el debidocumplimiento de documentar normas de redes, funciones, procesos, accesos,monitoreo de red, entre otros. Las empresas mejoran la administración del ambiente de redes,fortaleciendo y ampliando la definición de su manual de políticas y procedimientos,facilitándose así la aplicación de normas y mecanismos de control, como también ladocumentación (base para la creación de una base de datos de conocimientos),disminuyendo la dependencia del personal al realizar actividades específicas. Las empresas que buscan evitar improvisar soluciones que pudieranretrasar la reanudación de las operaciones, trabajan en tener formalmente definidoy mantener procedimientos alternos en caso de falla de la infraestructura de redes,que les permitan proveer la continuidad de los servicios en caso de ocurrir unacontingencia que pueda afectar sus equipos, y faciliten la coordinación eficaz en lospasos a seguir para restablecer los procesos operativos en función al eventopresentado. Las empresas que conocen el valor de los equipos de redes y laimportancia de los mismos como habilitador del servicio de los procesos de laempresa, documentan todo lo relacionado con ello, y refuerzan la seguridad físicade los cuartos de cómputo, de las localidades de convergencia de cableadointermedio, e implementan mejoras en la distribución e identificación del cableadoestructurado, y acondicionan estos lugares con sistema de protección contraincendios, carga eléctrica, etc. Las empresas para disminuir acciones que puedan afectar la operatividadde los equipos ubicados en las salas de servidores de la empresa, llevan unregistro y control de las personas que ingresas a estas aéreas restringidas.
  17. 17. Las empresas buscan llevar la buena práctica de habilitar mecanismos deauditoría en los servidores, para registro de eventos regulares en la infraestructura,que le facilitan la detección a tiempo de fallas o actividades irregulares, ydocumentan estos eventos para aminorar la dependencia del personal encargadoen llevar dichas las actividades. Para mitigar el acceso no autorizado, las empresas en sus políticas decontraseñas de accesos a los servidores de la empresa, implementan la unificaciónde los mecanismos de seguridad ofrecidos por los sistemas (la longitud máxima decontraseña, el bloqueo de cuantas por intentos fallidos de conexión, numero deintentos fallidos, etc.). Las contraseñas de acceso constituyen un elemento importante queayudan a preservar la identidad de los usuarios, la integridad y privacidad de lainformación, por lo que su definición debe estar enmarcada bajo criterios quepermitan producir claves de acceso robustas. El no tenerlo puede traer comoconsecuencia que se produzcan ingresos por parte de personas no autorizadas,existiendo la posibilidad de que sean realizadas operaciones indebidas que afectenal manejo de la información y recursos de la empresa.10. RecomendacionesFortalecer y ampliar la documentación de políticas y procedimientos.Establecer y documentar procedimientos alternos en caso de falla de lainfraestructura.Establecer mecanismo que permiten el registro de las personas que ingresan a lasala donde residen los servidores de la empresa.Evaluar la posibilidad de activar mecanismos de auditoría en los servidores de laempresa.Optimizar esquema de seguridad para el control de acceso al servidor.Definir y documentar formalmente mecanismos de control para la creación decontraseñas robustas, y así definir de manera segura controles de acceso.Elaborar toda la documentación técnica correspondiente a los sistemas de redes.Implementar y documentar un plan que permita modificar en forma oportuna el plana largo plazo de tecnología de redes.
  18. 18. Elaborar un calendario de mantenimiento de rutina periódico del hardware.

×