Professional Documents
Culture Documents
Programa de Auditora
Redes, Comunicaciones e internet
Indice
Introduccin
Auditora de Redes
Auditoria de comunicaciones:
Auditoria De La Red Fsica
Auditoria de la Red Lgica
Programa de auditora
Origen de la Auditora
Alcance
Objetivos Principales
Metodologa
Procesos a Evaluar
1. CI01 Estado General de las Redes y Comunicaciones
1.1 Descripcin
1.2. Objetivos
1.3. Procedimiento
1.3.1. Obtener Informacin Preliminar
1.3.2. Cuestionario de Control Interno (ICQ)
GENERAL
2. CI02 Redes y Planes de Contingenia
2.1 Descripcin
2.2. Objetivos
2.3. Procedimiento
2.3.1. Get Preliminary Information
3. CI03 Internet
2.1 Descripcin
2.2. Objetivos
2.3. Procedimiento
2.3.1. Obtencin de Informacin
2.3.2. Verficacin del Estado de Router
4. CI04 Controles fsicos
4.1 Descripcin
4.2. Objetivos
4.3. Procedimiento
4.3.1. Get Preliminary Information
5. CI04 Capacitacin de empleados
5.1 Descripcin
5.2. Objetivos
5.3. Procedimiento
Introduccin
Auditora de Redes
Es una serie de mecanismos mediante los cuales se pone a prueba una red informtica,
evaluando su desempeo y seguridad, a fin de lograr una utilizacin ms eficiente y segura de la
informacin.
Auditoria de comunicaciones:
Ha de verse:
La gestin de red. Los equipos y su conectividad.
La monitorizacin de las comunicaciones.
La revisin de costes y la asignacin formal de proveedores.
Creacin y aplicabilidad de estndares.
Cumpliendo como objetivos de control :
Tener una gerencia de comunicaciones con plena autoridad de voto y accin.
Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo equipo
relacionado con las comunicaciones.
Mantener una vigilancia constante sobre cualquier accin en la red.
Comprobando que:
El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
La seguridad fsica del equipo de comunicaciones sea adecuada.
Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas
telefnicas.
Las lneas de comunicacin estn fuera de la vista.
Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma.
Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar
pinchazos a la red.
Existan revisiones peridicas de la red buscando pinchazos a la misma.
El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones
especficas.
Existan alternativas de respaldo de las comunicaciones.
Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas
configuradas con retrollamada, cdigo de conexin o interruptores.
Programa de auditora
(con guas detalladas de auditora sobre el tema en particular (utilice todos los instrumentos y
tcnicas que requiera).
Empresa Auditada
Audilacteos
rea Auditada
Redes, Comunicaciones e
Internet
Firma Auditora
Chauditores
Fecha de Inicio:24/11/2010
Representantes de la Empresa
Vanesa Cardona
Juan Pablo Castro
Jorge Enrique Urrea
Daniel Hernandez
Juan Sebastian
Origen de la Auditora
La empresa Audilacteos solicita auditar todo su componente de redes, comunicaciones e
Internet. Esto para evaluar los sistemas existentes, gestionar posibles riesgos y mejorar cualquier
inconsistencia que se encuentren.
Alcance
Inquirir sobre los ndices de utilizacin de las lneas contratadas con informacin abundante sobre
tiempos de desuso. Deber proveerse de la topologa de la Red de Comunicaciones, actualizada, ya que la
desactualizacion de esta documentacin significara una grave debilidad. La inexistencia de datos sobre
la cuantas lneas existen, cmo son y donde estn instaladas, supondra que se bordea la Inoperatividad
Informtica. Determinacin de las disfunciones organizativas. La contratacin e instalacin de lneas
va asociada a la instalacin de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes
Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.).
Objetivos Principales
Evaluar el estado de Redes y Planes de Contingenia, Internet, Intranet, Controles Fsicos,
Capacitacin de Empleados, Seguridad del Cortafuegos, Seguridad de Correo Electrnico
Metodologa
Para el desarrollo de la auditoria especializada de comunicaciones se propone desarrollar una
serie de fases:
Fase1: Obtencin Preliminar de informacin, seguridad telefonica (dial-up security), seguridad
fsica,
seguridad logica
Fase 2: anlisis de datos, revisin documental
Procesos a Evaluar
Ref
Herramienta a
utilizar
CI01
CI02
Redes y Planes de
Contingenia
Revision documental
Observacion
Entrevista
CI03
Internet
Revision documental
Observacion
Entrevista
CI04
Intranet
Revision documental
Observacion
Entrevista
CI05
Controles Fsicos
Revision documental
Observacion
Entrevista
CI06
Capacitacin de Empleados
Revision documental
Observacion
Entrevista
CI07
Revision documental
Observacion
Entrevista
CI08
Seguridad de Correo
Electrnico
Aplicacin
de
cuestionario,
pruebas
de software y revisin
documental
Observacin
1.3. Procedimiento
1. Realizar la peticin sobre diagramas de red,
1.3.1. Obtener Informacin Preliminar
Diagrama de Red
Otros Materiales
Observaciones
Detalles de la prueba:
Observaciones:
Procedimiento Objetivo:
Politica:
Cuestionario
El objetivo del ICQ es evaluar la seguridad de la red general de la Este cuestionario
de
Control empresa.
a rellenar por el
Interno
(ICQ)Los datos que se transmiten a travs de lneas de la red pueden estar administrador
sujetos
de red y / o el
a una variedad de exposiciones: la divulgacin, los errores, los mensajes
administrador de
de
la zona.
extravo, o la negligencia de terceros. En la medida de lo posible, tratar
de recomendar los controles que son principalmente de naturaleza
preventiva. En la ausencia de controles preventivos, se debe recomendar
controles de deteccin que actan como una pista de auditora y como un
elemento de disuasin.
Detalle de Prueba:
GENERAL
- Con qu frecuencia?
8. Tiene documentacin de la red incluyen una descripcin de:
- Los equipos de red que se utiliza para apoyar a cada uno de las aplicaciones de red?
- Protocolos utilizados?
- Puertas de enlace con otras redes?
9. Existe una poltica de acceso al sistema a seguir por las partes externas?
10. Existe un inventario de las aplicaciones accesibles desde el exterior y servicios?
11. Existe documentacin relativa a las aplicaciones y la informacin de las partes externas
tienen acceso?
RENDIMIENTO / INTEGRIDAD
1. Existe un terminal especfico diseado para monitorizar la actividad dentro del sistema online?
2. Tener normas de funcionamiento ha establecido?
3. Haga prioridades (por los requisitos de la terminal o la aplicacin) asignado a cada lnea de la
red parece razonable?
4. Procure personal de la red de soporte a revisar las nuevas aplicaciones para determinar su
impacto en los sistemas existentes?
Detalles de la Prueba:
SEGURIDAD DIAL-UP
Existe una lista de usuarios autorizados del acceso telefnico a las instalaciones?
Existen disposiciones establecidas para garantizar la confidencialidad de los nmeros de telfono
(por ejemplo, no cotizan en bolsa)?
Son los nmeros de acceso telefnico cambiados peridicamente?
Detalles de laPrueba (continuacion):
Puede determinar desde la CPU de un terminal de marcado manual, automticamente obtener
su identificacin, y comprobar que la llamada terminal es el mismo terminal que "dice" que est
llamando?
Tiene el sistema de desconectar a los usuarios que colgar el telfono sin cerrar la sesin
correctamente?
Es el acceso dial-up limitada slo a los nmeros telefnicos controlados por el departamento de
informtica. (Dial-up no se debe permitir a los mdems, que puede ser parte de una configuracin
de escritorio local, ya que esto puede permitir que usuarios no autorizados a conectarse a la red sin
estar debidamente autenticados.
SEGURIDAD FSICA
Son controlados los problemas fsicos y ambientales adecuadamente para proteger los equipos de red
de entornos de trabajo adversos?
Estn los controladores de red situado en un rea segura bajo el control del personal de operaciones o
de una instalacin central de la red?
Estn los cables y pantallas de visualizacin de vdeo elctricamente protegidos para evitar
emanaciones elctricas o de manipulacin fsica?
Es el acceso a los equipos de ensayo (por ejemplo, los mbitos de datos, los controles de lnea) y el
software de diagnstico de red, con acceso solo al personal adecuado?
Est el equipo de prueba utilizado para monitorear la red controlada?
Es un mbito de aplicacin los datos que se utiliza para controlar en lnea los circuitos y el equipo? Si
es as:
- Est en una zona restringida?
- La unidad de restringir el acceso a personal autorizado?
Estn de inicio de sesin, los comandos del sistema, y en lnea de manuales de documentacin de la
operacin catalogada como confidencial y se coloca cuando no est en un rea segura en uso?
Seguridad Lgica
Estn las contraseas y los cdigos nicos de usuario necesarios para iniciar sesin en el software de
red?
Tiene el principio de privilegio mnimo (por ejemplo, la concesin de la autorizacin de acceso
mnimo necesario para las tareas de funcionamiento exigidos) llevado a cabo?
Son slo el personal autorizado de permiso para acceder a software de red?
- Si es as, quin?
Se permite slo el personal autorizado para inspeccionar buffers de almacenamiento (por ejemplo,
utilizando los mbitos de software o datos, los usuarios pueden examinar los mensajes incluidos los
identificadores y contraseas)?
Si la red se ha configurado para permitir funciones de control remoto de terminales (por ejemplo, el
mantenimiento o proveedor de servicios) por parte de no es el personal, son los parmetros por
defecto de campo proveedor de servicios para la revisin necesidad demostrada?
Si una oficina de servicio est siendo utilizado para transmitir datos, ha proporcionado las medidas de
seguridad adecuadas para los identificadores y controlar tu contrasea?
Tiene el sistema de prevenir la aparicin de cualquier "AYUDA" informacin antes de que el usuario
haya iniciado sesin correctamente?
Durante el inicio de sesin, es el sistema informar al usuario cuando ste ltimo cierra la sesin?
Se borran despus de tampones terminal de inicio de sesin correcto?
Estn los usuarios impedido de hacer un nmero ilimitado de intentos de inicio de sesin sin xito?
Si hay terminales inexistente predefinidas en las tablas del sistema, son terminales intruso impedido
estar conectado al sistema como una de las entidades predefinidas?
Si la informacin sensible est en proceso, hay controles adecuados para garantizar que la produccin
slo puede estar encaminada a "autorizado" impresoras o "autorizado" las instalaciones de
impresin?
Detalles de prueba (continuacin):
Tiene mensaje cifrado, se ha considerado como un medio para proteger los datos sensibles y la
2.2. Objetivos
* Asegurar el almacenamiento y la recuperacion de informacion
* Determinar la capacitacion a personal, sobre la importacia de los backups
2.3. Procedimiento
El proceso para evaluar esta rea es a partir de los instrumentos creados : observacion y entrvistas
2.3.1. Obtener Informacin Preliminar
Procedimiento:
Procedimiento de Backups
Observaciones:
Detalles de la prueba:
Revisin de los materiales de copia de seguridad.
- Determinar si los procedimientos de backup y recuperacin se estn
cumpliendo.
Entrevista personal SE para determinar si se han cruzado capacitado.
- Revisar los registros de capacitacin para determinar la cantidad de
entrenamiento cruzado siempre.
Procedure Step:
Observaciones:
Detalles de la prueba:
Obtener y revisar una copia del plan de recuperacin de desastres y el
acuerdo de sede alterna, en su caso.
- Determinar si estn completos y actualizados, y si la direccin ejecutiva ha
firmado en el plan.
Determinar quin es responsable en el desarrollo del plan y si los usuarios
y todas las facetas del trabajo en red han participado adecuadamente en
su desarrollo.
Determinar si una evaluacin de riesgos se ha preparado y si parece
razonable.
Determinar si la gestin ejecutiva ha aprobado la financiacin de un sitio
alternativo y las pruebas del plan de recuperacin de desastres.
- Observar una prueba del plan, si es posible.
Revisin de los resultados de la prueba del plan de recuperacin de
desastres.
3. CI03 Internet
2.1 Descripcin
Anlisis de Politicas y estandares establecido en el rea para permitir un correcto funcionamiento de
equipos y personal
2.2. Objetivos
Confrontar las politicas establecidas con el verdadero funcionamiento del rea tanto en equipos como del
personal
Verificacin del estado de los equipos
2.3. Procedimiento
Ejecucin de los diferentes instrumentos (Observacin, revision documental y entrevista)
2.3.1. Obtencin de Informacin
Poltica de la comprensin y el examen
Verficacin del Estado de router
Procedimientos:
Politica de comprension y revision
Observaciones
Detalles de la prueba:
Determinar el alcance y la comprensin de la poltica de uso de
Internet.
Identificar el proceso que se utiliz para desarrollar la poltica.
- Determinar si el proceso de considerar el valor y grado de confianza
en el servidor de seguridad y la probabilidad, a la gravedad y el
alcance de las posibilidades de daos directos e indirectos.
Evaluar si la poltica:
- Identifica los activos especficos que se destina la firewall para
proteger y los objetivos de dicha proteccin (integridad,
disponibilidad y confidencialidad).
- Describe la estructura organizativa y las responsabilidades asociadas
y la responsabilidad del personal que estar encargado de
implementar la poltica, vigilar el cumplimiento de la poltica y la
adhesin a la poltica.
- Soporta el uso legtimo y el flujo de datos e informacin.
- Documentos de la informacin que pasa por el firewall ser objeto de
seguimiento (limitan la responsabilidad de organizacin, reducir el
abuso, la persecucin de apoyo para el abuso).
Es coherente tanto en el tono y, en principio, con otras polticas de la
organizacin y la prctica aceptada (por ejemplo, la disponibilidad de
acceso a Internet para uso no comercial).
Comprobar si un abogado ha revisado la poltica de garantizar la
coherencia con los requisitos y las limitaciones impuestas externamente
(leyes, reglamentos, etc.)
Determinar si la aprobacin de la gestin de la poltica ha sido solicitada
y concedida y la fecha de la revisin ms reciente de la poltica por la
administracin.
Identificar cmo la poltica de Internet fue / es comunicada a los usuarios
y cmo la conciencia se mantiene. Seleccionar una muestra de usuarios
y discutir su comprensin de sus responsabilidades relacionadas con el
uso de Internet y cmo reportar problemas.
Determinar si las normas y procedimientos se han definido para
especificar el medio por el cual se implementa la poltica.
Evaluar si las normas y procedimientos especificar quin es responsable
y facultado para hacer todas las funciones necesarias para el buen
funcionamiento del servidor de seguridad.
Evaluar si la poltica de seguridad:
- Es fcil de leer y ubicar las secciones pertinentes
- Es versionados y fecha
- Es cuidadosamente redactado con todos los trminos ambiguos definido
con precisin
- Establece las condiciones aceptables de uso, as como condiciones
inaceptables de uso
- Es ampliamente comunicada a las personas afectadas
- Se revisa a intervalos regulares
Considere si las siguientes cuestiones se abordan en el documento de
poltica:
- mbito de aplicacin de la poltica en relacin con otras redes internas y
externas con las que se puede conectar.
- La filosofa bsica que se puede utilizar para tomar decisiones no
determinista.
- Las polticas de Gobierno, las leyes, los trminos y condiciones
contractuales, o de otras polticas internas a la Compaa.
- Identificacin de la persona que tiene la mxima autoridad para
interpretar y aplicar la poltica a una situacin particular.
- Provisin para la poltica que debe renunciar temporalmente por una
persona de autoridad en virtud de ciertas condiciones o directrices.
Procedimiento:
Configuracin
Hardware
Detalles de pruebas:
de
CERT Avisos
Host segudidad
Monitoreo de la
actividad de la red
Deteccin
Intrusos
de
Observaciones:
Procedimiento:
Detelles de Prueba:
Observaciones::
Gestion
de
Configuracion de la
seguridad del Router
Revision
de
la Determinar el alcance y la revisin de la actividad del
actividad del Router router.
de
prueba
Procedimiento:
Detalles de prubas:
Observaciones:
Contenido apropiado
Seguridad
Pgina
del
Detalles de la prueba:
Obtener acceso a la Intranet y revisar toda la
informacin del sitio y enlaces para la conveniencia.
4.3. Procedimiento
Ejecucin de los diferentes instrumentos (Observacin, revision documental y entrevista)
4.3.1. Get Preliminary Information
Procedimiento:
Detalles de Prueba:
Seguridad de Servidores
Seguridad de distribucion
de la LAN
Observaciones:
5.1 Descripcin
Evaluacion de la continua capacitacin que se debe brindar a los usuarios para permitir mejor rendimiento
y seguridad.
5.2. Objetivos
Determinar la comunicacin de polticas, estndares y dems elementos al personal
Crear conciencia al personal sobre la seguridad y el manejo de los equipos
5.3. Procedimiento
Ejecucin de los diferentes instrumentos (Observacin, revision documental y entrevista)
Procedimiento:
Detalles de Pruebas:
Importe de la
educacin en las
polticas
Conciencia
seguridad
Observaciones
Las
acciones Determinar si las acciones disciplinarias se han
disciplinarias
formulado para los pantalones de directrices de la
empresa de seguridad de datos.
6.2. Objetivos
6.3. Procedimiento
Revisin Documental Externa
Observacin Directa
Experimentacin
Uso de herramientas de Software ISS, SATAN, TRIPWIRE, COPS.
Procedimiento:
Proveedor
Firewall
Detalles de Pruebas:
de
DiseoFirewall
Servidor de
seguridad
Revisin de
registro
Pruebas al Firewall
Observaciones:
7.2. Objetivos:
7.3. Procedimiento
Aplicacin de cuestionario, pruebas de software y revisin documental
7.3.1. Aplicacin de Cuestionario
Procedimiento
Detalles/Prueba
Prcticas de Backup
Cuestionario:
1. Estn definidas practicas de seguridad para el uso del
correo electrnico en la organizacin.
2. Es de conocimiento de todos los empleados esta
informacin.
3. Se han definido polticas para el control de la cuenta de
correo institucional
Observaciones:
Seguimiento
Revisin
Polticas
Nivel de Seguridad
Bibliografa
Fuentes: Iternet, Documentacin entregada por el profesor y bibliografa tcnica.
Information Systems Audit and Control Association www.isaca.org
Networking AUDIT PROGRAM & INTERNAL CONTROL QUESTIONNAIRE
http://www.34t.com/box-docs.asp?doc=497
http://www.scribd.com/doc/6575883/Auditoria-de-Redes-y-Base-de-Datos