Proyecto Final

Eduardo Andrés Flores Sepúlveda

Auditoría Informática

Instituto IACC

13 de Abril de 2019
 Instrucciones

Su empresa Auditoría Inc. desea participar de una licitación privada del Banco IACC en la que solicitan
realizar una auditoría informática de red interna y perimetral que incluya:
- 100 estaciones de trabajo con Windows 7.

- 5 bases de datos Oracle con Sistema Operativo Redhat Enterprise 5.

- 2 firewalls (uno interno y otro externo).

- 1 Router perimetral.

- 1 data center donde se encuentran todos los servidores.

- Enlaces redundantes entre las oficinas y el data center.

Para participar y adjudicársela, usted debe construir una propuesta técnica en la cual explique el
objetivo y alcance de la auditoría, la metodología de trabajo que utilizará, un plan de trabajo con un
programa y las actividades a desarrollar.
Finalmente, como anexo debe incluir lo siguiente:

- Detalle de pruebas a realizar por cada dispositivo (herramientas, checklist, etc.).

 Desarrollo

Se realizará una Auditoría Informática de red Interna y Perimetral Banco IACC.

OBJETIVO:

La finalidad de una auditoría informática es recolectar y evaluar la evidencia, para de esta forma
determinar, si los sistemas de información y los recursos relacionados protegen de manera adecuada los
activos, si mantienen la integridad y la disponibilidad de los datos del sistema, además son los encargados de
proveer la información que es relevante y confiable, logrando así de manera efectiva las metas
organizacionales, por otra parte hacen uso eficiente de los recursos, manejan controles internos efectivos que
proveen una evidencia confiable, de que los objetivos, operaciones y de control serán alcanzados, donde los
eventos no deseados serán evitados y/o detectados y corregidos de forma oportuna y eficaz. Por otra parte,
también determinan si existen problemas de conectividad, que pudieran afectar el desempeño de los
distintos funcionarios o equipos que se encuentren en una red, además de ayuda a detectar si tenemos el
control de acceso preciso a esta, que lo proteja de sufrir ataques malintencionados.
Puesto que, las auditorías informáticas, cuentan con distintas aristas, en esta presentación nos
enfocaremos en determinar y constatar si el equipamiento de los funcionarios, servidores y todos los
dispositivos que se encuentran dentro de la red, estén en condiciones adecuadas para que se realice un
trabajo seguro y sin deficiencias en la transmisión de la información, t a m b i é n se determinará si
la red perimetral está entregando la seguridad requerida para este tipo de negocios.
METODOLOGÍA QUE SE UTILIZARÁ:

Para realizar la auditoría se utilizarán técnicas asistidas por computadores (CAAT), las cuales son
herramientas encargadas de recolectar información asociada a la red de manera completa, incluyendo
la información de los distintos equipos y dispositivos que están presentes, por lo que se efectuarán
inspecciones tanto físicas,como lógicas, con el objetivo de poder establecer si los servidores, equipos, etc.
Cuentan con sus respectivas licencias, en cuanto a sus softwares, y si estos además cuentan con las
características físicas adecuadas para prestar los diversos servicios (ejemplo: instalaciones eléctricas,
cableado estructurad, etc). Y para finalizar, se entregará un informe con el resultado detallado de la
auditoría.

 Inspección de Red:

- En esta unidad, realizaremos una revisión de los equipos de comunicación para establecer si
están entregando un servicio acorde a la estructura de la red y sus necesidades, se realizarán
revisiones en base al enlace principal y los enlaces de respaldo que puedan existir.
- Adicionalmente se realizará una revisión de la estructura de la red y normativas vigentes
- Otras verificaciones.

 Inspección Lógica:

- En esta unidad, realizaremos una revisión detallada de los sistemas operativos, verificaremos si
cuentan con la licencia y la versión correspondiente (32 o 64 bits), revisaremos las aplicaciones
adicionales al sistema con sus respectivas licencias, y por último verificaremos los sistemas
operativos de los servidores y firmware de los dispositivos, como Router, switch, firewall, etc.
- También realizaremos la verificación de las configuraciones de las tarjetas de red, revisaremos las
puertas de enlace, servidores DNS, máscaras de red y direcciones IP.

- Revisaremos configuraciones de los firewalls y el Router perimetral, con el objetivo de verificar que
están entregando los servicios rigurosamente necesarios para la red
- Verificaremos los enlaces repetidos, entre las oficinas y el data center.
- Verificaremos si los sistemas son operables, en cuanto a respaldo y recuperación en caso de falla
- Verificaremos las cuentas de los usuarios y los accesos a sus estaciones de trabajo.
- Realizaremos una revisión profunda de las cuentas, con acceso a los servidores.
- Por último realizaremos una revisión para verificar si las tablas de auditorías de bases de dato están
activadas o no.
  Inspección Física:

- En esta unidad, realizaremos una inspección visual de cada uno de los equipos que están en la red,
como lo son; computadores, Router, switch, firewall, servidores, entre otros. Las cuáles serán
apoyadas en conjunto a la ficha de cada equipo o dispositivo, como también realizaremos una
revisión de la topología de la red, con el objetivo de verificar que esta sea concordante.
- Verificaremos las condiciones habilitantes del data center, donde están ubicados los servidores,
los medios de seguridad existentes para llegar a ellos y las condiciones que están presentes para que
los servidores presenten un óptimo funcionamiento a la red.
- Verificaremos si los servidores cuentan con el equipamiento de respaldo pertinente ante posibles
fallas eléctricas y cómo actúan estos sistemas, si son de forma automática o manual.
- Verificaremos que el data center cuente con todas las medidas de seguridad ante algún tipo de
eventualidad que pueda presentarse.

Posteriormente se elaborará el informe de la evaluación, el cual detallará los resultados de las

revisiones y verificaciones realizadas y que se mencionaron anteriormente, y dependiendo de los
resultados de dicho informe, podremos determinar si se requiere la elaboración de un plan de mejora
para la red, con el objetivo de que la entidad, cuente con los estándares correspondientes.

Por lo tanto en caso de ser necesario, se darán sugerencias relacionadas a las configuraciones de
firewall, Router, servidores y equipos, y en caso de ser necesario se entregarán sugerencias en las que
se deberán reemplazar, equipamientos defectuosos u obsoletos, para así entregar mejores prestaciones
que las entregadas hasta el momento.

PLAN DE TRABAJO A REALIZAR:

 Revisión de estaciones de trabajo.

Realizaremos una coordinación, con el fin de cubrir la revisión de los equipos en el menor tiempo
posible, tomando en cuenta que se debe tener una espacio necesario, por posibles imprevistos que se
puedan presentar, considerando que es una entidad bancaria y que su producción se concentra
directamente en las cajas, por lo que durante las mañanas comenzaremos con los equipos que se
encuentran en las distintas oficinas del banco, estas revisiones quedarán a cargo de dos personas, la cual
se realizará desde las 9 am hasta las 18 pm, contando 1 hora para colación, se espera establecer un
tiempo en promedio de 15 minutos por cada equipo para revisión, por lo tanto, se espera que se revisen
30 estaciones de trabajo aproximadamente al día.
  Revisión de Data Center y bases de datos

Posteriormente revisaremos las estaciones de trabajo, esto estará bajo la responsabilidad de las mismas
dos personas mencionadas en el punto anterior, y de manera simultánea se realizará la revisión del data
center, para lo cual, se estima el uso de medio día aproximadamente, y simultáneamente se realizarán las
revisiones a las bases de datos, credenciales de acceso y distintos permisos que puedan tener los
funcionarios además de las tablas de auditoría, para lo cual se estima 3 horas por base de datos
aproximadamente, por lo tanto, el proceso se estima finalizar luego de tres días aproximadamente, en este
cálculo se incluyen los espacios necesarios, para poder cumplir con los plazos establecidos.

 Revisión Router Perimetral y ambos firewalls

Para este punto se estima medio día por cada revisión de firewall aproximadamente, en él se revisarán
versiones de firmware, configuraciones de seguridad, listas de accesos, etc. A su vez realizaremos las
revisiones necesarias al Router perimetral, por lo que realizaremos un análisis de la arquitectura de la red,
configuraciones de seguridad, los servicios que presta el equipo, se verificarán las configuraciones ethernet
y sus listas de acceso correspondientes. Se estima un día de tiempo de trabajo aproximadamente.

 Revisiones de enlaces redundantes.

Realizaremos revisiones necesarias, para verificar si entre las distintas oficinas y el data center existe un
enlace redundante, que permita proporcionar la conectividad necesaria, en caso de presentarse alguna
eventualidad. Esto será en el plazo de un día

 Revisiones varias

Finalmente con la ayuda de un software especializado, realizaremos la verificación de los servicios

que están corriendo a través de la red, así mismo, con este tipo de software realizaremos un inventario
de todos los dispositivos conectados a la red y sus características, con el objetivo de verificar de manera
eficaz los componentes de los distintos equipos.
ANEXO CON CHECK LIST A REALIZAR.

Check List a verificar por cada estación de trabajo:

 Marca

 Modelo

 Procesador

 Disco Duro

 Memoria RAM

 Configuración IP
 MAC

 Periféricos

 Conexiones

 Sistema operativo y licencia

 Aplicaciones adicionales y licencias

 Antivirus

 Usuario

 Dominio

Check List a verificar por Firewalls y Router:

 Marca

 Modelo

 Firmware

 Seguridad

 Conexiones

 Servicios configurados
Check List a verificar en Data center:

 Control de acceso

 Sistema de seguridad ante imprevistos (incendios, problemas eléctricos, etc.)

 Estado de conexiones
 Bibliografía

- IACC 2019. Auditoría Informática. Fundamentos generales de la auditoría informática. Parte I.

Semana 1
- IACC 2019. Auditoría Informática. Fundamentos generales de la auditoría informática. Parte II.
Semana 2
- IACC 2019. Auditoria informática. Técnicas de auditoría informática. Parte I. semana 3.
- IACC 2019. Auditoría Informática. Técnicas de auditoría informática. Parte II. Semana 4
- IACC 2019. Auditoria Informática. Proceso de auditoría informática. Semana 5
- IACC 2019. Auditoria Informática. Administración del proceso de auditoría informática. Semana 6
- IACC 2019. Auditoría Informática. Principales áreas de la auditoría informática I. Semana 7.
- IACC 2019. Auditoría Informática. Principales Áreas de la Auditoría Informática, Parte II. Semana 8