TRABAJO AUDITORIAS ESPECIALIZADAS

Programa de Auditora
Redes, Comunicaciones e internet
Indice
Introduccin
Auditora de Redes
Auditoria de comunicaciones:
Auditoria De La Red Fsica
Auditoria de la Red Lgica
Programa de auditora
Origen de la Auditora
Alcance
Objetivos Principales
Metodologa
Procesos a Evaluar
1. CI01 Estado General de las Redes y Comunicaciones
1.1 Descripcin
1.2. Objetivos
1.3. Procedimiento
1.3.1. Obtener Informacin Preliminar
1.3.2. Cuestionario de Control Interno (ICQ)
GENERAL
2. CI02 Redes y Planes de Contingenia
2.1 Descripcin
2.2. Objetivos
2.3. Procedimiento
2.3.1. Get Preliminary Information
3. CI03 Internet
2.1 Descripcin
2.2. Objetivos
2.3. Procedimiento
2.3.1. Obtencin de Informacin
2.3.2. Verficacin del Estado de Router
4. CI04 Controles fsicos
4.1 Descripcin
4.2. Objetivos
4.3. Procedimiento
4.3.1. Get Preliminary Information
5. CI04 Capacitacin de empleados
5.1 Descripcin
5.2. Objetivos
5.3. Procedimiento

Ejecucin de los diferentes instrumentos (Observacin, revision documental y

entrevista)
6. CI04 Seguridad Firewall
6.1 Descripcin
6.2. Objetivos
6.3. Procedimiento
7. CI04 Securidad en Correo Electrnico
7.1 Descripcin
7.2. Objetivos:
7.3. Procedimiento
7.3.1. Aplicacin de Cuestionario
Bibliografa

Introduccin
Auditora de Redes
Es una serie de mecanismos mediante los cuales se pone a prueba una red informtica,
evaluando su desempeo y seguridad, a fin de lograr una utilizacin ms eficiente y segura de la
informacin.

Auditoria de comunicaciones:
Ha de verse:
La gestin de red. Los equipos y su conectividad.
La monitorizacin de las comunicaciones.
La revisin de costes y la asignacin formal de proveedores.
Creacin y aplicabilidad de estndares.
Cumpliendo como objetivos de control :
Tener una gerencia de comunicaciones con plena autoridad de voto y accin.
Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo equipo
relacionado con las comunicaciones.
Mantener una vigilancia constante sobre cualquier accin en la red.

Registrar un coste de comunicaciones y reparto a encargados.

Mejorar el rendimiento y la resolucin de problemas presentados en la red.

Para lo cual se debe comprobar:

El nivel de acceso a diferentes funciones dentro de la red.
Coordinacin de la organizacin de comunicacin de datos y voz.
Han de existir normas de comunicacin en:
Tipos de equipamiento como adaptadores LAN.
Autorizacin de nuevo equipamiento, tanto dentro, como fuera de las horas
laborales.
Uso de conexin digital con el exterior como Internet.
Instalacin de equipos de escucha como Sniffers (exploradores fsicos) o
Traceadores (exploradores lgicos).
La responsabilidad en los contratos de proveedores.
La creacin de estrategias de comunicacin a largo plazo.
Los planes de comunicacin a alta velocidad como fibra ptica y ATM ( tcnica de
conmutacin de paquetes usada en redes MAN e ISDN).
Planificacin de cableado.
Planificacin de la recuperacin de las comunicaciones en caso de desastre.
Ha de tenerse documentacin sobre el diagramado de la red.
Se deben hacer pruebas sobre los nuevos equipos.
Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y
la tasa de errores.
Vigilancia sobre toda actividad on-line.
La facturacin de los transportistas y vendedores ha de revisarse regularmente.

Auditoria De La Red Fsica

Se debe garantizar que exista:
reas de equipo de comunicacin con control de acceso.
Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos
fsicos.
Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y
el trafico en ella.
Prioridad de recuperacin del sistema.
Control de las lneas telefnicas.

Comprobando que:
El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
La seguridad fsica del equipo de comunicaciones sea adecuada.
Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas
telefnicas.
Las lneas de comunicacin estn fuera de la vista.
Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma.
Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar
pinchazos a la red.
Existan revisiones peridicas de la red buscando pinchazos a la misma.
El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones
especficas.
Existan alternativas de respaldo de las comunicaciones.
Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas
configuradas con retrollamada, cdigo de conexin o interruptores.

Auditoria de la Red Lgica

En sta, debe evitarse un dao interno, como por ejemplo, inhabilitar un equipo que empieza a
enviar mensajes hasta que satura por completo la red.
Para ste tipo de situaciones:
Se deben dar contraseas de acceso.
Controlar los errores.
Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para esto,
regularmente se cambia la ruta de acceso de la informacin a la red.
Registrar las actividades de los usuarios en la red.
Encriptar la informacin pertinente.
Evitar la importacin y exportacin de datos.
Que se comprueban si:
El sistema pidi el nombre de usuario y la contrasea para cada sesin:
En cada sesin de usuario, se debe revisar que no acceda a ningn sistema sin
autorizacin, ha de inhabilitarse al usuario que tras un nmero establecido de veces
erra en dar correctamente su propia contrasea, se debe obligar a los usuarios a cambiar
su contrasea regularmente, las contraseas no deben ser mostradas en pantalla tras
digitarlas, para cada usuario, se debe dar informacin sobre su ltima conexin a fin de
evitar suplantaciones.
Inhabilitar el software o hardware con acceso libre.
Generar estadsticas de las tasas de errores y transmisin.

Crear protocolos con deteccin de errores.

Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor.
El software de comunicacin, ha de tener procedimientos correctivos y de control ante
mensajes duplicados, fuera de orden, perdidos o retrasados.
Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos
desde una terminal debidamente autorizada.
Se debe hacer un anlisis del riesgo de aplicaciones en los procesos.
Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre
diferentes organizaciones.
Asegurar que los datos que viajan por Internet vayan cifrados.
Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad
asociado para impedir el acceso de equipos forneos a la red.
Deben existir polticas que prohban la instalacin de programas o equipos personales en
la red.
Los accesos a servidores remotos han de estar inhabilitados.
La propia empresa generar propios ataques para probar solidez de la red y encontrar
posibles fallos en cada una de las siguientes facetas:
Servidores = Desde dentro del servidor y de la red interna.
Servidores web.
Intranet = Desde dentro.
Firewall = Desde dentro.
Accesos del exterior y/o Internet.

Programa de auditora
(con guas detalladas de auditora sobre el tema en particular (utilice todos los instrumentos y
tcnicas que requiera).

Empresa Auditada
Audilacteos

rea Auditada
Redes, Comunicaciones e
Internet

Firma Auditora
Chauditores

Fecha de Inicio:24/11/2010

Equipo Auditor: Equipo 8

Yeimy Lorena Escobar Rivera
Laura Marcela Giraldo Hoyos

Representantes de la Empresa

Vanesa Cardona
Juan Pablo Castro
Jorge Enrique Urrea
Daniel Hernandez

Juan Sebastian

Origen de la Auditora
La empresa Audilacteos solicita auditar todo su componente de redes, comunicaciones e
Internet. Esto para evaluar los sistemas existentes, gestionar posibles riesgos y mejorar cualquier
inconsistencia que se encuentren.

Alcance
Inquirir sobre los ndices de utilizacin de las lneas contratadas con informacin abundante sobre
tiempos de desuso. Deber proveerse de la topologa de la Red de Comunicaciones, actualizada, ya que la
desactualizacion de esta documentacin significara una grave debilidad. La inexistencia de datos sobre
la cuantas lneas existen, cmo son y donde estn instaladas, supondra que se bordea la Inoperatividad
Informtica. Determinacin de las disfunciones organizativas. La contratacin e instalacin de lneas
va asociada a la instalacin de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes
Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.).

Objetivos Principales
Evaluar el estado de Redes y Planes de Contingenia, Internet, Intranet, Controles Fsicos,
Capacitacin de Empleados, Seguridad del Cortafuegos, Seguridad de Correo Electrnico

Comprender la organizacin y la manera como la comunicacin incide en su funcionamiento.

Medir la eficacia de la plataforma de canales y medios internos o externos de la
organizacin.
Determinar las dependencias en comunicaciones de la organizacin.

Metodologa
Para el desarrollo de la auditoria especializada de comunicaciones se propone desarrollar una
serie de fases:
Fase1: Obtencin Preliminar de informacin, seguridad telefonica (dial-up security), seguridad

fsica,
seguridad logica
Fase 2: anlisis de datos, revisin documental

Fase 3:comunicacin de resultados

Fase 4: seguimiento y control

Procesos a Evaluar
Ref

Actividad a ser evaluada

Herramienta a
utilizar

CI01

Estado General de las Redes Revision documental

Cuestionario de Control
y Comunicaciones
Interno (ICQ)

CI02

Redes y Planes de
Contingenia

Revision documental
Observacion
Entrevista

CI03

Internet

Revision documental
Observacion
Entrevista

CI04

Intranet

Revision documental
Observacion
Entrevista

CI05

Controles Fsicos

Revision documental
Observacion
Entrevista

CI06

Capacitacin de Empleados

Revision documental
Observacion
Entrevista

CI07

Seguridad del Cortafuegos

Revision documental
Observacion
Entrevista

CI08

Seguridad de Correo
Electrnico

Aplicacin
de
cuestionario,
pruebas
de software y revisin
documental

Observacin

1. CI01 Estado General de las Redes y Comunicaciones

1.1 Descripcin
1.2. Objetivos

Identificar el estado de diagramas de red y configuracin del hadware en relacin a la

representacin de accesos a la red y servicios
Obtener la informacin

1.3. Procedimiento
1. Realizar la peticin sobre diagramas de red,
1.3.1. Obtener Informacin Preliminar

Diagrama de Red
Otros Materiales

Procedimiento: Diagrama de red

Observaciones

Detalles de la prueba:

Obtener un un diagrama completo de red, incluyendo una copia de del

diagrama de configuracion del hardware, con todas las conecciones de la
topologia de red servidores,equipo de comunicaciones, estaciones, puentes,
repetidores, etc
- Asegrando que el diagrama de la red externa indica cmo acceder a partes de la
red y de los servicios.

Procedimiento: Otros materiales

Detalles de la prueba:

Obtener y revisar lo siguiente

- Politicas, estandares y procedimientos
- Proveedor y el nombre del representante de los proveedores del ISPLos nombres de los responsables de contenido de la intranet y la
administracin
- Informe con ejemplos y seguimiento del firewall
- Informes de seguridad violacin
- Plan de contingencia
Listado descriptivo del inventario (hardware y software). Para todo
el software del sistema y los servicios pblicos, incluir el nmero de
versin actual y la historia de la revisin si procede

Observaciones:

- Lista de los servicios de red y los equipos suministrados por terceros.

-Lista de equipos que presentan problemas.

1.3.2. Cuestionario de Control Interno (ICQ)

Procedimiento Objetivo:
Politica:
Cuestionario
El objetivo del ICQ es evaluar la seguridad de la red general de la Este cuestionario
de
Control empresa.
a rellenar por el
Interno
(ICQ)Los datos que se transmiten a travs de lneas de la red pueden estar administrador

sujetos
de red y / o el
a una variedad de exposiciones: la divulgacin, los errores, los mensajes
administrador de
de
la zona.
extravo, o la negligencia de terceros. En la medida de lo posible, tratar
de recomendar los controles que son principalmente de naturaleza
preventiva. En la ausencia de controles preventivos, se debe recomendar
controles de deteccin que actan como una pista de auditora y como un
elemento de disuasin.

Detalle de Prueba:

GENERAL

1. Existen documentos con los procedimientos para el uso de la red?

2. Tiene la responsabilidad y la responsabilidad de los proveedores de la red en definir (por
ejemplo, contratos)?
3. Existe un inventario de equipos de red de datos, incluidas las lneas, terminales, mdems,
controladores, etc?
4. Existe un diagrama de red, que muestra las conexiones fsicas y lgicas entre los equipos de
red, ha preparado?
5. Tiene documentacin de la red incluyen una descripcin de:
- Los equipos de red que se utiliza para apoyar a cada uno de las aplicaciones de red?
- Protocolos utilizados?
- Puertas de enlace con otras redes?
6. Han sido etiquetado de equipos de redes para facilitar la referencia cruzada a la
documentacin?
7. Son los cdigos de acceso peridicamente cambiado?

- Con qu frecuencia?
8. Tiene documentacin de la red incluyen una descripcin de:
- Los equipos de red que se utiliza para apoyar a cada uno de las aplicaciones de red?
- Protocolos utilizados?
- Puertas de enlace con otras redes?
9. Existe una poltica de acceso al sistema a seguir por las partes externas?
10. Existe un inventario de las aplicaciones accesibles desde el exterior y servicios?
11. Existe documentacin relativa a las aplicaciones y la informacin de las partes externas
tienen acceso?
RENDIMIENTO / INTEGRIDAD
1. Existe un terminal especfico diseado para monitorizar la actividad dentro del sistema online?
2. Tener normas de funcionamiento ha establecido?
3. Haga prioridades (por los requisitos de la terminal o la aplicacin) asignado a cada lnea de la
red parece razonable?
4. Procure personal de la red de soporte a revisar las nuevas aplicaciones para determinar su
impacto en los sistemas existentes?
Detalles de la Prueba:

Tiene la capacidad de planificacin incluir un anlisis de la longitud del mensaje, el protocolo, el

volumen de transacciones y el trfico de mensajes?
Son los tiempos de respuesta medidos y evaluados para posible mejora del rendimiento de la red?
La gestin rutinaria revisin de los servicios de proveedores realizado?
Estn los controles peridicos de la red realizadas para verificar el correcto funcionamiento y detectar
terminal / lnea de errores de mdem?
Se fallos de hardware de red documentados, incluyendo las acciones correctivas tomadas?
Configuracin del mdem cambiar peridicamente en comparacin con las especificaciones de la lnea
de configuracin de red?
Si se utilizan circuitos arrendados, ha sido considerado acondicionamiento de lneas para reducir los
errores de transmisin?
Se ha tenido en cuenta la transmisin digital para reducir los errores de transmisin?
Tener los procedimientos establecidos para garantizar que todas las operaciones realizadas se han
recibido? (Por ejemplo, registro de cuenta enviados / recibidos)?
Procura utilizar un almacenamiento y envo de mensajera del sistema?
Si es as, existen controles adecuados para garantizar que las transacciones fueron enviados a
sus destinos apropiados?
Existe una revisin de todos los mensajes de transaccin que sean dadas por desaparecidas,
distorsionado, duplicado, o retrasado?
Es la persona, la encargada de examinar los registros de errores y notificar al personal de seguridad de
algo inusual?
Existe un mtodo para crear un blog (camino) de todos los mensajes enviados?
Tiene cada mensaje contiene informacin de identificacin tales como:

Nmero de puerto (en caso de marcar)

- Nmero de mensaje
- Terminal
- Instrucciones?
- Fecha?
- Cdigo de transaccin?
- Al final de su mensaje?
- Fin de la transmisin?
Existe un mtodo (nmero de secuencia en cada mensaje) para dar cuenta de todos los mensajes y
para identificar los mensajes ilegales?
Hay servicios de emergencia para el sistema en lnea en el caso de una emergencia?
Estn las lneas de acceso telefnico utilizado en caso de fallas en las lneas alquiladas?
- Si es as, hay un nmero suficiente de lneas de acceso telefnico (2 lneas por mdem) para
facilitar la red conmutada de respaldo de compatibilidad (SNBU)?
Existen mdems de copia de seguridad disponibles para estas lneas?
En el caso de las interrupciones del servicio, existen procedimientos escritos a seguir para reiniciar la
red on-line?
Tiene el sistema prev reiniciar los procedimientos y recuperacin para recuperar la comunicacin
despus de un fallo de hardware / software?

SEGURIDAD DIAL-UP
Existe una lista de usuarios autorizados del acceso telefnico a las instalaciones?
Existen disposiciones establecidas para garantizar la confidencialidad de los nmeros de telfono
(por ejemplo, no cotizan en bolsa)?
Son los nmeros de acceso telefnico cambiados peridicamente?
Detalles de laPrueba (continuacion):
Puede determinar desde la CPU de un terminal de marcado manual, automticamente obtener

su identificacin, y comprobar que la llamada terminal es el mismo terminal que "dice" que est
llamando?
Tiene el sistema de desconectar a los usuarios que colgar el telfono sin cerrar la sesin
correctamente?
Es el acceso dial-up limitada slo a los nmeros telefnicos controlados por el departamento de
informtica. (Dial-up no se debe permitir a los mdems, que puede ser parte de una configuracin
de escritorio local, ya que esto puede permitir que usuarios no autorizados a conectarse a la red sin
estar debidamente autenticados.
SEGURIDAD FSICA
Son controlados los problemas fsicos y ambientales adecuadamente para proteger los equipos de red
de entornos de trabajo adversos?

 Estn los controladores de red situado en un rea segura bajo el control del personal de operaciones o
de una instalacin central de la red?
Estn los cables y pantallas de visualizacin de vdeo elctricamente protegidos para evitar
emanaciones elctricas o de manipulacin fsica?
Es el acceso a los equipos de ensayo (por ejemplo, los mbitos de datos, los controles de lnea) y el
software de diagnstico de red, con acceso solo al personal adecuado?
Est el equipo de prueba utilizado para monitorear la red controlada?
Es un mbito de aplicacin los datos que se utiliza para controlar en lnea los circuitos y el equipo? Si
es as:
- Est en una zona restringida?
- La unidad de restringir el acceso a personal autorizado?
Estn de inicio de sesin, los comandos del sistema, y en lnea de manuales de documentacin de la
operacin catalogada como confidencial y se coloca cuando no est en un rea segura en uso?
Seguridad Lgica
Estn las contraseas y los cdigos nicos de usuario necesarios para iniciar sesin en el software de
red?
Tiene el principio de privilegio mnimo (por ejemplo, la concesin de la autorizacin de acceso
mnimo necesario para las tareas de funcionamiento exigidos) llevado a cabo?
Son slo el personal autorizado de permiso para acceder a software de red?
- Si es as, quin?
Se permite slo el personal autorizado para inspeccionar buffers de almacenamiento (por ejemplo,
utilizando los mbitos de software o datos, los usuarios pueden examinar los mensajes incluidos los
identificadores y contraseas)?
Si la red se ha configurado para permitir funciones de control remoto de terminales (por ejemplo, el
mantenimiento o proveedor de servicios) por parte de no es el personal, son los parmetros por
defecto de campo proveedor de servicios para la revisin necesidad demostrada?
Si una oficina de servicio est siendo utilizado para transmitir datos, ha proporcionado las medidas de
seguridad adecuadas para los identificadores y controlar tu contrasea?
Tiene el sistema de prevenir la aparicin de cualquier "AYUDA" informacin antes de que el usuario
haya iniciado sesin correctamente?
Durante el inicio de sesin, es el sistema informar al usuario cuando ste ltimo cierra la sesin?
Se borran despus de tampones terminal de inicio de sesin correcto?
Estn los usuarios impedido de hacer un nmero ilimitado de intentos de inicio de sesin sin xito?
Si hay terminales inexistente predefinidas en las tablas del sistema, son terminales intruso impedido
estar conectado al sistema como una de las entidades predefinidas?
Si la informacin sensible est en proceso, hay controles adecuados para garantizar que la produccin
slo puede estar encaminada a "autorizado" impresoras o "autorizado" las instalaciones de
impresin?
Detalles de prueba (continuacin):
Tiene mensaje cifrado, se ha considerado como un medio para proteger los datos sensibles y la

contrasea durante la transmisin?

-Si el cifrado se utiliza, tiene control sobre la clave de cifrado ha desarrollado?
El sistema emplea un mtodo de seguridad del flujo de trfico para ocultar la presencia de mensajes
vlidos en la lnea al hacer que el circuito que aparece ocupado en todo momento o mediante la
encriptacin de los direcciones de origen y destino de los mensajes vlidos?
En los sistemas con capacidad de correo electrnico donde los mensajes pop-up en modo interactivo,
los usuarios han recibido instrucciones de ignorar la peticin de un intruso para una identificacin y
contrasea al ser informado de que este no es un sistema legtimo.

2. CI02 Redes y Planes de Contingenia

2.1 Descripcin
Este punto permite conocer como se almacena y recupera la informacion, es decir, determinar el nivel de
disponibilidad de la informacion, independiente de la situacion.

2.2. Objetivos
* Asegurar el almacenamiento y la recuperacion de informacion
* Determinar la capacitacion a personal, sobre la importacia de los backups

2.3. Procedimiento
El proceso para evaluar esta rea es a partir de los instrumentos creados : observacion y entrvistas
2.3.1. Obtener Informacin Preliminar

Procedimientos de copia de seguridad

Plan de Recuperacin de Desastres

Procedimiento:
Procedimiento de Backups

Observaciones:

Detalles de la prueba:
Revisin de los materiales de copia de seguridad.
- Determinar si los procedimientos de backup y recuperacin se estn
cumpliendo.
Entrevista personal SE para determinar si se han cruzado capacitado.
- Revisar los registros de capacitacin para determinar la cantidad de
entrenamiento cruzado siempre.

Procedure Step:

Observaciones:

Plan de Recuperacion de desastre

Detalles de la prueba:
Obtener y revisar una copia del plan de recuperacin de desastres y el
acuerdo de sede alterna, en su caso.
- Determinar si estn completos y actualizados, y si la direccin ejecutiva ha
firmado en el plan.
Determinar quin es responsable en el desarrollo del plan y si los usuarios
y todas las facetas del trabajo en red han participado adecuadamente en
su desarrollo.
Determinar si una evaluacin de riesgos se ha preparado y si parece
razonable.
Determinar si la gestin ejecutiva ha aprobado la financiacin de un sitio
alternativo y las pruebas del plan de recuperacin de desastres.
- Observar una prueba del plan, si es posible.
Revisin de los resultados de la prueba del plan de recuperacin de
desastres.

3. CI03 Internet
2.1 Descripcin
Anlisis de Politicas y estandares establecido en el rea para permitir un correcto funcionamiento de
equipos y personal

2.2. Objetivos
Confrontar las politicas establecidas con el verdadero funcionamiento del rea tanto en equipos como del
personal
Verificacin del estado de los equipos

2.3. Procedimiento
Ejecucin de los diferentes instrumentos (Observacin, revision documental y entrevista)
2.3.1. Obtencin de Informacin
Poltica de la comprensin y el examen
Verficacin del Estado de router

Procedimientos:
Politica de comprension y revision

Observaciones

Detalles de la prueba:
Determinar el alcance y la comprensin de la poltica de uso de
Internet.
Identificar el proceso que se utiliz para desarrollar la poltica.
- Determinar si el proceso de considerar el valor y grado de confianza
en el servidor de seguridad y la probabilidad, a la gravedad y el
alcance de las posibilidades de daos directos e indirectos.
Evaluar si la poltica:
- Identifica los activos especficos que se destina la firewall para
proteger y los objetivos de dicha proteccin (integridad,
disponibilidad y confidencialidad).
- Describe la estructura organizativa y las responsabilidades asociadas
y la responsabilidad del personal que estar encargado de
implementar la poltica, vigilar el cumplimiento de la poltica y la
adhesin a la poltica.
- Soporta el uso legtimo y el flujo de datos e informacin.
- Documentos de la informacin que pasa por el firewall ser objeto de
seguimiento (limitan la responsabilidad de organizacin, reducir el
abuso, la persecucin de apoyo para el abuso).
Es coherente tanto en el tono y, en principio, con otras polticas de la
organizacin y la prctica aceptada (por ejemplo, la disponibilidad de
acceso a Internet para uso no comercial).
Comprobar si un abogado ha revisado la poltica de garantizar la
coherencia con los requisitos y las limitaciones impuestas externamente
(leyes, reglamentos, etc.)
Determinar si la aprobacin de la gestin de la poltica ha sido solicitada
y concedida y la fecha de la revisin ms reciente de la poltica por la
administracin.
Identificar cmo la poltica de Internet fue / es comunicada a los usuarios
y cmo la conciencia se mantiene. Seleccionar una muestra de usuarios
y discutir su comprensin de sus responsabilidades relacionadas con el
uso de Internet y cmo reportar problemas.
Determinar si las normas y procedimientos se han definido para
especificar el medio por el cual se implementa la poltica.
Evaluar si las normas y procedimientos especificar quin es responsable
y facultado para hacer todas las funciones necesarias para el buen
funcionamiento del servidor de seguridad.
Evaluar si la poltica de seguridad:
- Es fcil de leer y ubicar las secciones pertinentes
- Es versionados y fecha
- Es cuidadosamente redactado con todos los trminos ambiguos definido
con precisin
- Establece las condiciones aceptables de uso, as como condiciones

inaceptables de uso
- Es ampliamente comunicada a las personas afectadas
- Se revisa a intervalos regulares
Considere si las siguientes cuestiones se abordan en el documento de
poltica:
- mbito de aplicacin de la poltica en relacin con otras redes internas y
externas con las que se puede conectar.
- La filosofa bsica que se puede utilizar para tomar decisiones no
determinista.
- Las polticas de Gobierno, las leyes, los trminos y condiciones
contractuales, o de otras polticas internas a la Compaa.
- Identificacin de la persona que tiene la mxima autoridad para
interpretar y aplicar la poltica a una situacin particular.
- Provisin para la poltica que debe renunciar temporalmente por una
persona de autoridad en virtud de ciertas condiciones o directrices.

Detalles de prueba (continuacin):

Considere si los derechos y responsabilidades de los usuarios se
abordan en el documento de poltica, incluyendo:
- Cuenta de utilizacin, tanto por el titular de la cuenta y el proveedor
del recurso. Las condiciones especiales pueden aplicarse a la
utilizacin de cuentas de usuario normal, y las cuentas de acceso
pblico (como FTP annimo), y estas condiciones se podra
expresar aqu.
- Software y los datos de acceso y uso, incluidas las fuentes de datos y
software.
- Divulgacin de informacin, que es potencialmente daina, como la
informacin de contraseas o informacin de configuracin.
- Etiqueta, incluidas las formas aceptables de expresin (por ejemplo,
la expresin no ofensiva espera para el correo electrnico no
solicitado), y prcticas inaceptables (como la falsificacin del
correo electrnico y artculos periodsticos).
- Contrasea usos y formatos.

Otras directrices sobre diversas prcticas razonables, tales como

el uso de ciclos de CPU y almacenamiento temporal de las reas
generales de acceso. cuestiones de Derecho de Autor tambin se
pueden discutir aqu.
Considere si los derechos y responsabilidades de los proveedores de
recursos se abordan en el documento de poltica, incluyendo:
- Directrices de seguridad fsica.
- Proteccin de las directrices.

- Directrices de configuracin incluyen:

- Asignacin de la responsabilidad
- Directrices de conexin de red
- Autenticacin de directrices
- Autoridad de celebrar y otorgar cuenta las directrices
- Auditora y seguimiento de las orientaciones
- Directrices formato contrasea, la aplicacin y la duracin
- Nombre de banderas.

Procedimiento:
Configuracin
Hardware

Detalles de pruebas:
de

- Determinar y asignar la configuracin de hardware de

Internet.
- Garantizar la adecuacin de la construccin de firewall.

CERT Avisos

Determinar si, y que se mantiene vigente en CERT

(Computer Emergency Response Team) y otros avisos.

Host segudidad

Determinar el alcance y la frecuencia de la vigilancia de la

salud de la seguridad del host

Monitoreo de la
actividad de la red

Determinar el alcance y la regularidad de seguimiento de

actividad de la red.

Deteccin
Intrusos

Determinar en qu medida el control de deteccin de

intrusos de actividad de la red.

de

Observaciones:

2.3.2. Verficacin del Estado de Router

Procedimiento:

Detelles de Prueba:

Observaciones::

Seguridad General del

Router

Gestion

de

Determinar si los enrutadores estn protegidos por la

autenticacin segura y control de acceso.
Revisar que todos los routers utilizan mltiples niveles
o grados de asegurar que las personas tienen
derechos pre-asignado, segn corresponda.
- Garantizar que las personas slo una o dos tienen
acceso a configurar y actualizar la red.
- Garantizar la proteccin adecuada de las
configuraciones de la direccin y las tablas de
enrutamiento, determinan que las contraseas son,
como mnimo, diez caracteres alfanumricos.
- Asegrese de que las modificaciones del router se
realizan de una manera segura y controlada.

Router Determine si el ms seguro fuera de la gestin de

routers de banda que utiliza. En la banda de gestin de

configuraciones del router permite a travs de la red en
lugar de a travs de acceso fsico y el conocimiento de
cdigos del sistema. Como solucin de compromiso, las
actualizaciones en la banda debe ser a travs de un puerto
de acceso telefnico con la seguridad de lnea
Seguridad
del Router

Fisica Asegrese de que los routers son fsicamente seguro.

Configuracion de la
seguridad del Router

Asegurar que la informacin del router archivo de

configuracin se cifra, sobre todo contraseas. La
compresin de datos para la eficiencia puede responder a
esa necesidad.

Revision
de
la Determinar el alcance y la revisin de la actividad del
actividad del Router router.

- Especialmente importante es una pista de auditora

de todos los intentos de acceder al router, ver sus
configuraciones, y cambiar su configuracin.
- Determinar el uso de la notificacin - los routers y
notificar a los administradores cuando hay una entrada
errnea
Router

de

prueba

Procedimiento:

Determinar el alcance de las pruebas cuando se

produzcan cambios.

Detalles de prubas:

Observaciones:

Intentos sin autorizacion

de inicio de sesion

Contenido apropiado

Seguridad
Pgina

del

Determine si no autorizada de inicio de sesin en

los intentos se registran, alarmado, y se enva en un
agujero negro.

Detalles de la prueba:
Obtener acceso a la Intranet y revisar toda la
informacin del sitio y enlaces para la conveniencia.

sitio Revisin de la seguridad de las pginas del sitio.

- Actualizacin de acceso debe residir con los
propietarios solamente. Seguridad debe ser tal que
no permiten el acceso desde el exterior por cualquier
pgina, incluidos los responsables de mantenimiento.
El mantenimiento debe realizarse en el lugar
solamente.

4. CI04 Controles fsicos

4.1 Descripcin
En esta parte se tiene la infraestructura y la disposicion de cada uno de los elementos
(mantenimiento, actualizaciones, repotes de compras, ...) que permiten la comunicacion.
Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos.
Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el
trafico en ella.
Descripcin y pruebas de la proteccin de la organizacin de amenazas tanto en equipos de
escritorio como datacenter.
4.2. Objetivos
Determinar el nivel de seguridad de los equipos (Servidores, LAN)
Evaluar la seguridad brindada desde la estacin de trabajo

4.3. Procedimiento
Ejecucin de los diferentes instrumentos (Observacin, revision documental y entrevista)
4.3.1. Get Preliminary Information

Procedimiento:

Detalles de Prueba:

Seguridad de Servidores

Verifique la seguridad fsica proporcionan para

los servidores y comunicaciones configurables
equipos de red es la adecuada.
- Verificar que todos los servidores estn
asegurados en un rea inaccesible a todos,
pero el personal autorizado.
- Determinar la forma de acceso autorizado,
controlado y supervisado.
- Verificar que los equipos independientes y
los suministros no se almacenan en el rea
de seguridad.

Seguridad de distribucion
de la LAN

Verifique la seguridad fsica previstos equipo

para redes de distribucin es la adecuada.
- Verificar que todos los equipos grandes,
la distribucin primaria de las zonas de
acceso controlado.
- Para los equipos de distribucin secundaria
(grupos pequeos), determinan que el
equipo est debidamente protegidos de la
desconexin accidental o perturbacin.

Estacin de trabajo de Determinar si la seguridad fsica de estacin de

seguridad fsica
trabajo es adecuado y suficiente.
Control Ambiental

Determinar si las condiciones ambientales

cumplen
con
las
especificaciones
de
equipamiento, incluidos:
- Artculos de electricidad, incluyendo UPS
y energa de emergencia y equipos de aire
acondicionado
- Los sistemas de HVAC y control
- Control de Esttica

Almacenamiento en las Determinar si el almacenamiento en todos los

instalaciones de los medios del sistema es adecuado para evitar el
datos
acceso no autorizado.

5. CI04 Capacitacin de empleados

Observaciones:

5.1 Descripcin
Evaluacion de la continua capacitacin que se debe brindar a los usuarios para permitir mejor rendimiento
y seguridad.

5.2. Objetivos
Determinar la comunicacin de polticas, estndares y dems elementos al personal
Crear conciencia al personal sobre la seguridad y el manejo de los equipos

5.3. Procedimiento
Ejecucin de los diferentes instrumentos (Observacin, revision documental y entrevista)
Procedimiento:

Detalles de Pruebas:

Importe de la
educacin en las
polticas

Determinar la cantidad de empleados en educacion

como a las polticas de redes y procedimientos
corporativos.
Determinar el nivel de educacin de los empleados en
el uso eficiente del hardware y software.

Conciencia
seguridad

Observaciones

de Determinar el nivel de concienciacin sobre la

seguridad de los empleados que utilizan las redes,
incluyendo vulnerabilidades, mtodos de control, y las
condiciones de las leyes de copyright con respecto al
uso y la duplicacin.

Las
acciones Determinar si las acciones disciplinarias se han
disciplinarias
formulado para los pantalones de directrices de la
empresa de seguridad de datos.

6. CI04 Seguridad Firewall

6.1 Descripcin
El firewall se convierte en el elemento indispensable para garantizar la seguridad de servidores y datos
en este proceso se busca determinar a travs del uso de diferentes herramientas el nivel de seguridad en
el que se encuentra teniendo en cuenta que deben haber pliticas de acceso y garantizar que el firewall
establecido sea de un provedor confiable

6.2. Objetivos

Determinar el nivel de confianza que se puede esperar de el servidor de seguridad.

Determinar y realizar pruebas de servidor de seguridad.

Evaluar los resultados de la exposicin y la vulnerabilidad.

6.3. Procedimiento
Revisin Documental Externa
Observacin Directa
Experimentacin
Uso de herramientas de Software ISS, SATAN, TRIPWIRE, COPS.
Procedimiento:

Proveedor
Firewall

Detalles de Pruebas:

de

Revisin Documental Externa

Revisar la informacin de proveedores para determinar
el nivel de confianza que se puede esperar de el
servidor de seguridad.

DiseoFirewall

Examinar el diseo de cortafuegos.

Determinar lo que se conoce los problemas de
seguridad. Estos problemas se puede encontrar
en todo tipo de lugares, por lo que la bsqueda se
consume mucho tiempo.Como ejemplo, mira cmo
el servidor de seguridad se encarga de tampones y
desbordamientos de bfer.

Servidor de
seguridad

Firewall Examinar los registros.

Revisin de
registro

Pruebas al Firewall

- Activar el registro detallado para un perodo

seleccionado y examinar los registros en
detalle. Esto puede tomar bastante tiempo, pero
vamos a tener una idea de si el cortafuegos est
funcionando correctamente. Adems, los registros
tambin se crear si se utiliza un servicio que no
saba es habilitado o que se utiliza en el sistema.
Al examinar los registros, esto puede ser detectado
y corregido.
Determinar y realizar pruebas de servidor de
seguridad. El objetivo es tratar de penetrar en el
servidor de seguridad, as como para prescindir
de ella. Los problemas tcnicos tales como
las vulnerabilidades conocidas, as como una
configuracin errnea y mal implementado
polticas de seguridad son explotados, si es
posible.
Crear un plan de pruebas.

Observaciones:

Riesgos del Firewall

Descargar y ejecutar cualquier o todos los siguientes

productos de seguridad contra el servidor de
seguridad:
- ISS
- SATAN
- TRIPWIRE,
- COPS.
Evaluar los resultados de la exposicin y la
vulnerabilidad.
Antes de intentar esto en contra de cualquier sistema
de produccin es mejor probar en contra de un sistema
de prueba. El departamento de informtica debe ser
consciente de que cualquier prueba de este tipo que
est pasando, ya que es posible hacer que el sistema se
bloquee.

7. CI04 Securidad en Correo Electrnico

7.1 Descripcin
A travs de la revisin documental se desea establecer los mecanismo utilizados para garantizar el buen
funcionamiento de este proceso apoyado por el uso de polticas, herramientas u otros medios que indique
la entidad, a nivel de prcticas de backup y niveles de seguridad

7.2. Objetivos:

Determinar y analizar las prcticas de seguridad para correo electrnico

Determinar el grado de seguimiento de trfico de correo electrnico.
Obtener una comprensin de la seguridad del correo electrnico

7.3. Procedimiento
Aplicacin de cuestionario, pruebas de software y revisin documental
7.3.1. Aplicacin de Cuestionario
Procedimiento

Detalles/Prueba

Prcticas de Backup

Cuestionario:
1. Estn definidas practicas de seguridad para el uso del
correo electrnico en la organizacin.
2. Es de conocimiento de todos los empleados esta
informacin.
3. Se han definido polticas para el control de la cuenta de
correo institucional

Observaciones:

Seguimiento

Revisin
Polticas

4. Se ha determinado el uso de software/herramientas para el

seguimiento de trfico de correo electrnico
de

Nivel de Seguridad

Obtener una comprensin de la seguridad del correo

electrnico a travs de la poltica de seguridad formal. La
poltica debe dar una norma clara que describe las razones y
objetivos de la seguridad, la necesidad de proteger los datos
corporativos, que es responsable de mantener la seguridad,
el nivel de confidencialidad, integridad y disponibilidad
deseada; claramente usos aceptables para el sistema de correo
electrnico y, cualquier advierte sobre la vigilancia
1. De uno a 10 determine el nivel de seguridad disponible en
el sistema de correo electronico
2. Enumere las actividades realizadas para almacenar y
transmitir mensajes de correo electrnico de forma segura en
la organizacin

Bibliografa
Fuentes: Iternet, Documentacin entregada por el profesor y bibliografa tcnica.
Information Systems Audit and Control Association www.isaca.org
Networking AUDIT PROGRAM & INTERNAL CONTROL QUESTIONNAIRE

http://www.34t.com/box-docs.asp?doc=497
http://www.scribd.com/doc/6575883/Auditoria-de-Redes-y-Base-de-Datos