Tarea de redes ejecucion

UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO” DECANATO DE CIENCIAS Y TECNOLOGÍA

2º DIPLOMADO DE AUDITORÍA INFORMÁTICA

Auditoría Informática de Redes

Primera tarea: Fase de Planeación. Área a auditar en la Red: Documentación.

Integrantes: Carlos Cordero Naylet Macea Tibisay Matos

Prof.: Luzneida Matute

Barquisimeto, Diciembre 2012

1. Identificar el área a auditar en la red.

Auditoría Informática de Redes - ámbito de Documentación.

2. Determinar el objetivo general y los específicos.

General: Realizar una auditoría informática de redes-ámbito de documentación,

en la empresa XYZ.

Específicos:

Diagnosticar la situación actual de la documentación del entorno de red.

Evaluar el estatus de la documentación del entorno de red.

Analizar la información recolectada durante el proceso de auditoría

informática de redes.

Presentar informe del proceso de auditoría informática de redes-área

documentación.

3. Describir los puntos del área a auditar.

Objetivos de la red.

Personal que administra la red.

Políticas de Seguridad de red

Servicios que proporciona la red

Planes de Contingencia.

Mapas o Diagramas

Planos de la Red y Topología

Configuraciones y Conexiones

Estándares y Normativas

Convenios y/o contratos con el ISP (Proveedor de Servicios de Internet)

4. Elaborar el análisis de la matriz de evaluación para auditar la red indicando su objetivo específico, dimisión e indicadores.

CODIGO MAIR-01

MATRIZ DE ANALISIS DE AUDITORIA INFORMATICA DE REDES-ÁREA DOCUMENTACIÓN, EN LA EMPRESA XYZ.

OBJETIVOS DIMENSIÓN INDICADORES INSTRUMENTOS

General Específicos

Realizar una auditoría informática de redes-área documentación, en la empresa XYZ.

Diagnosticar la

situación actual

de la

documentación

del entorno de

red.

Organización

Documentación de los objetivos de la red. Políticas y normas de redes en la empresa. Definiciones de cargos y perfiles de los administradores de red. Segregación de funciones en el área de tecnología

Entrevistas. Cuestionarios. Observación

directa.

Gestión de

redes

Políticas de seguridad de redes. Servicios que proporciona la red. Conectividad y comunicaciones de la red Monitoreo de la red Manejo de control de acceso. Administración de claves y contraseñas robustas

Entrevistas. Cuestionarios. Observación directa. Lista de Chequeo

Cambio periódico de niveles, privilegios y contraseñas de acceso al sistema Planes de recuperación

Infraestructura

Especificación de la infraestructura de red. Especificación de la topología de red Descripción del cableado Especificación de las conexiones entre los equipos Existencia de inventario de equipos de redes

Entrevistas. Cuestionarios. Observación directa. Lista de Chequeo

Control

Externo Existencia de documentación del contrato con el proveedor del servicio de internet.

Analizar la

información

recolectada

durante el

proceso de

auditoría

informática de

redes.

Análisis de la

información Resultados obtenidos.

Presentar informe

del proceso de

auditoría

informática de

redes-área

Presentación

del informe. Informe

documentación.

DOCUMENTOS A SOLICITAR

Políticas, estándares, normas y procedimientos.

Plan de redes.

Planos o diagramas de la topología de red

Conexiones y cableado

Planes de seguridad de la red

Facturas de los equipos que componen la red.

Garantía de los equipos de la red

Autorizaciones de traslado de equipos de un lugar a otro.

Organigrama y manual de funciones.

Manuales de redes

Contrato con el ISP

5. Diseños Instrumentos y Técnicas para la aplicación de la auditoría: Cuestionario, ponderación, lista de chequeo, guía de

auditoría, matriz de evaluación, acta testimonial.

PROGRAMA DE AUDITORÍA DE REDES SECCION DE TRABAJO:

Pág. 1 de 1

EMPRESA: XYZ

Unidad y/o Departamento: Redes

Área: Organización (objetivos, políticas y normas, cargos y perfiles, funciones)

PERIODO DE REVISION

DESDE: 15 11 12 HASTA: 15 12 12

Nº PROCEDIMIENTOS REF.P/T

1 Identificarse y dirigirse al Jefe del Departamento Redes de la Gerencia TI.

2

Solicitar documentos como: - Políticas, estándares, normas y procedimientos. - Plan de redes. - Planes de seguridad y continuidad - Contratos, pólizas de seguros. - Organigrama y manual de funciones.

3 Obtener e identificar los objetivos del Departamento de Redes.

4 Aplicar las preguntas Nº 1, 2 y 3 del cuestionario al Jefe del Departamento de Redes.

CAIR-01

5

En la columna observaciones del cuestionario, anotar: Información relevante que se nos diga. Dejar sentado todo documento a solicitar si responden que tienen lo que se le pregunta.

6 Analizar información entregada por el Departamento de Redes.

7 Determinar hallazgos, observaciones basadas en el análisis anterior.

HECHO POR: REVISADO POR:

Ing. Pedro González Ing. Álvaro Martínez

PROGRAMA DE AUDITORÍA DE REDES SECCION DE TRABAJO:

Pág. 1 de 1

EMPRESA: XYZ

Unidad y/o Departamento: Redes

Área: Gestión (Especificación de la documentación de la infraestructura de red y de la

existencia de inventario de equipos de redes.)

PERIODO DE REVISION

DESDE: 15 11 12 HASTA: 15 12 12

Nº PROCEDIMIENTOS REF.P/T

1 Identificarse y dirigirse al Jefe del Departamento Redes de la Gerencia TI.

2

Solicitar documentos como: - Diagramado de la infraestructura de la red. - Inventario de equipos de redes. - Manuales de redes.

3 Aplicar las preguntas Nº 4, 5, 6 y 7 del cuestionario al Jefe del Departamento de Redes.

CAIR-01

4

En la columna observaciones del cuestionario, anotar: Información relevante que se nos diga. Dejar sentado todo documento a solicitar si responden que tienen lo que se le pregunta.

5 Analizar información entregada por el Departamento de Redes.

6 Determinar hallazgos, observaciones basadas en el análisis anterior.

HECHO POR: REVISADO POR:

Ing. María Pérez Ing. Álvaro Martínez

CUESTIONARIO

Nº

DESCRIPCIÓN SI NO N/A OBSERVACIONES

1. ¿Existe la documentación de los objetivos de red?

X Solicitarlo

2. ¿Existen documentos con la misión, visión, valores, objetivos y metas del departamento de redes?

X Solicitarlo

3. ¿Existen manuales que definan las funciones, cargos y perfiles de los puestos

X Se tienen los cargos específicos pero no

de trabajo? están documentados.

4. ¿Poseen una documentación sobre el diagramado de la red?

X Solicitarlo

5. ¿Poseen la documentación de la infraestructura capaz de soportar el crecimiento de la red a largo plazo teniendo en cuenta los posibles cambios tecnológicos o en la organización?

X No se tiene documentación de la infraestructura de la

red.

6. ¿Existe la documentación actual de la topología de red?

X Solicitarlo

7. ¿Poseen informes de las conexiones entre los equipos de la red?

X No se tiene información de las

conexiones entre los equipos de red.

8. ¿Existe el diagrama del cableado utilizado, la categoría y su recorrido en la infraestructura de la red?

X Solicitarlo

9. ¿Existe documentación del inventario de equipos asociados a las de redes?

X Solicitarlo

10. ¿Cuentan con una protección y tendido adecuado de cables y líneas de comunicaciones?

X Solicitarlo

11. ¿Existe documentación de medidas, controles, procedimientos, normas y estándares de seguridad?

X No se tiene documentación de medidas, controles,

procedimientos, normas y estándares

de seguridad

12. ¿Existe documentado los procedimientos de protección de los cables y las bocas de conexión?

X No se tiene documentado la protección de los cables y bocas de

conexión.

13. ¿Está documentada la jerarquía en la asignación de permiso a las cuentas de usuarios?

X Se tiene la jerarquía de permisos mas no

existe documentación de

ello.

14. ¿Existe documentación de las políticas de restricción de acceso (de personas de la organización y de las que no lo son) a los programas, aplicaciones y archivos?

X Se tiene políticas de acceso mas no


las mismas.

15. ¿Existen políticas para el manejo de cuentas y contraseña de usuario de red (número máximo de intentos de conexión y

X Se tienen las políticas mas no se

tienen

período máximo de vigencia)? documentadas.

16. ¿Están documentados los planes de emergencia alternativos de transmisión entre diferentes sedes?

X No se tiene documentado los

planes de emergencia.

17. ¿En caso de desastre poseen planes de seguridad por escrito para asegurar la integridad de los datos?

X No se tiene documentado los

planes para la integridad de los

datos.

18. ¿Implantan la ejecución de planes de contingencia y la simulación de posibles accidentes?

X Se implantan planes de contingencia y

simulación de accidentes pero no


ello.

19. ¿El departamento de redes conoce del contrato con el proveedor de servicio de internet?

X Solicitarlo

ENTREVISTA

MATRIZ DE ANALISIS DE CONTENIDO- ENTREVISTA EAIR-01

Nro. Pregunta Respuesta Recomendación

1. ¿Cuándo realizan modificaciones en la red o de algún equipo la documentan?

Estos procedimientos no se documentan.

Documentar todo tipo de cambio en la red y de los equipos.

2. ¿La documentación de la topología de red esta actualizada?

Se mantiene actualizada la documentación de la topología de red.

3. ¿Documentan cuando realizan algún traslado de equipos de red de un lugar a otro?

No se documenta el traslado de los equipos de un lugar a otro.

Documentar todo tipo de traslado de los equipos de un lugar a otro.

4. ¿Cuentan con Antivirus, antispyware por seguridad de la red?

Se mantienen actualizadas estás herramientas de protección.

5. ¿Qué tipo de herramienta utilizan para monitorear la red?

nVision, NetSupprt, entre otros.

6. ¿Cada cuanto tiempo realizan un análisis del tráfico de la red?

No se ha establecido un tiempo específico para ello.

Definir la frecuencia de revisión.

7. ¿Qué equipos de prueba de comunicaciones utilizan para monitorear la red y el tráfico en ella?

Se utiliza PC servidor dedicado ubicado en oficina de personal de redes.

8. ¿Qué procedimientos llevan para la notificación y gestión de incidencias y son documentadas?

Se realiza la notificación vía telefónica y van al sitio para solventar la falla, no se tiene documentación formal de este procedimiento.

Documentar formalmente las notificaciones de incidencias y el procedimiento para resolverlas.

9. ¿Poseen las facturas de todos los equipos que componen la red?

Se tienen todas las facturas.

10. ¿Conocen cuáles son los equipos que aun poseen garantía y cuales no?

No se conocen con exactitud, pero ubicando las facturas se puede determinar.

11. ¿Cómo hacen para darle mantenimiento preventivo y correctivo a los equipos que no poseen garantía?

Se contrata un proveedor para realizar este servicio.

Documentar formalmente el procedimiento realizado para el mantenimiento preventivo.

12. ¿Qué procedimientos llevan las solicitudes de modificaciones y cambios?

Mediante correos electrónicos o vía telefónica.

Determinar políticas y procedimientos para el control de cambios.

13. ¿Cómo jerarquizan o qué se basan los permisos de las cuentas de usuarios?

Considerando las responsabilidades y áreas de acción del usuario dentro de la organización.

14. ¿Cada cuanto tiempo revisan las políticas para el manejo de cuentas y contraseñas?

No se tiene tiempo definido, se realiza cuando se notifica algún incidente por un usuario.

Documentar formalmente este procedimiento.

15. ¿Existe un control de acceso por Contraseñas de Sesión de usuarios con renovación?

No existe formalmente el control de acceso para usuarios con renovación.

Realizar y documentar formalmente el control de acceso a sesiones para usuarios con renovación.

16. ¿Cómo son los planes alternativos de transmisión entre diferentes sedes para casos de emergencias?

No existe un plan especificado, es muy limitado y puntual, solo ocurre en caso de emergencia.

17. ¿Cómo es el tiempo de respuesta del proveedor de servicios de internet

En oportunidades demoran en reestablecer el servicio, y no informan

en caso de fallas? con exactitud el origen de la falla y la solución de la misma.

LISTA DE CHEQUEO

Nro. CARACTERISTICAS A CHEQUEAR SI CUMPLE

NO CUMPLE

1. El área de servidores contiene solamente el equipo relacionado directamente con informática

X

2. Está el área de servidores situado lejos de interferencias electromagnéticas

X

3. Se mantiene el área de servidores en un rango de temperaturas permitidas

X

4. Tiene el área de servidores una altura mínima adecuada X

5. Tiene el área de servidores una salida de emergencia identificada

X

6. Existe un mecanismo contra incendio X

7. Es el techo del área de servidores impermeable para evitar el paso de agua desde niveles superiores

X

8. Existe un control de acceso con notificación en la entrada del departamento

X

9. Existe una bitácora de las visitas e ingresos al área de servidores

X

10. Se controla el trabajo fuera de horario X

11. Tienen instalado equipos como reguladores de voltaje, supresores pico, UPS, generadores de energía, que protejan los equipos de redes en caso de variación de voltaje o falla en el suministro de energía eléctrica

X

12. Cuenta el área de servidores con CCTV X

13. Las personas de limpieza realizan sus funciones dentro del área de redes acompañadas por ustedes

X

14. Cuentan las puertas de área de servidores con cerraduras de seguridad adecuadas

X

15. ¿Tienen instalado cortafuegos, sistema de detección de intrusos- antispyware, antivirus, llaves para protección de software, etc.?

X

16. Existe un seguro de los activos de redes y comunicaciones

X

6. Identificar las herramientas informáticas que serán empleadas

para evaluar los indicadores de la auditoria.

OCS Inventory.

NetSupport.

Nsauditor.

NVision.

KeePass Password Safe.

7. Elaborar el plan para la aplicación de la auditoria.

PLAN DE AUDITORIA SEMANAS

ACTIVIDADES RECURSOS DESDE HASTA HR. 1 2 3 4 5 6 7 8

Planificación de actividades

Lápiz, hojas de papel,

borrador, computador, impresora.

15/11/12 15/11/12

4 X

Entrevista con el cliente

Entrevista realizada, grabador,

Lápiz, hojas de papel.

16/11/12 16/11/12

2 X

Levantamiento inicial de información

Documentos solicitados.

17/11/12 18/11/12 8 X

Definición de alcance y objetivos de la auditoría



19/11/12 19/11/12

2 X

Elaboración de la matriz de análisis de auditoría



20/11/12 20/11/12

4 X

Elaboración del programa de auditoría



21/11/12 21/11/12

4 X

Elaboración de los procedimientos de auditoría



22/11/12 22/11/12

4 X

Elaboración de entrevistas



23/11/12 23/11/12

6 X

Elaboración de cuestionarios



24/11/12 24/11/12

4 X

Elaboración de pruebas de redes



25/11/12 25/11/12

2 X

Entrevistas con el personal objeto de auditoría

Entrevista realizada, grabador,


26/11/12 27/11/12

8 X

Aplicación de cuestionarios y listas de chequeo al personal objeto de auditoría

Lista de chequeo y

cuestionario realizado, grabador,


28/11/12 29/11/12

8 X

Observación directa sobre los procesos auditados en la organización


borrador, grabador,

29/11/12 01/12/12

16 X X

Recopilación de información y documentación relevante al proceso de auditoría


borrador, grabador,

computador, impresora.

01/12/12 02/12/12

15 X

Análisis de la información recopilada y de ser necesario, utilizar herramientas automatizadas para la organización de los datos.

Herramientas para organizar datos, Lápiz,

hojas de papel, borrador,

computador, impresora.

03/12/12 04/12/12

10 X

Determinación de resultados: Hallazgos, observaciones, recomendaciones y conclusiones.


borrador, estadísticas de

entrevistas, computador, impresora.

05/12/12 07/12/12

20 X X

Revisión general de los resultados.

Computador, impresora.

08/12/12 10/12/12 22 X

Elaboración del Pre-Informe




11/12/12 11/12/12

8 X

Elaboración de informe final




12/12/12 14/12/12

26 X

Presentación del informe


borrador, computador,

estadísticas de entrevistas, video beam.

15/12/12 15/12/12

4 X

8. Hallazgos de Auditoria

La empresa posee una documentación donde especifican algunas normas y políticas.

La empresa XYZ no posee documentado procedimientos alternos en caso de falla de la infraestructura de red.

No se documenta el procedimiento para realizar modificaciones en la red o de algún equipo.

No cuentan con un procedimiento de control de acceso de usuarios documentado formalmente.

No se evidencia ningún mecanismo de control de acceso a las salas de servidores.

No se evidencia sistema de control de incendio en las salas de servidores.

No documentan cuando realizan algún traslado de equipos de red de un lugar a otro.

No existe un mecanismo de control para el registro de las personas que ingresan a la sala donde residen los servidores de la empresa.

No se encuentran habilitados los mecanismos para el registro de eventos de auditoría en los servidores.

No observaron procedimientos formales relacionados con la definición de responsabilidades, frecuencia y documentación para la revisión de registros de auditoría.

No se tiene definido las características de las políticas de contraseñas con las pautas necesarias para unificar los mecanismos manuales y automáticos ofrecidos por el sistema operativo.

No se generan contraseña de acceso con características robustas, tomando en cuenta que no se encuentra configurado el parámetro de configuración “Passwords must meet complexity requirements”.

No existe un calendario de mantenimiento de rutina periódico del hardware definido por el departamento de redes.

No existe un plan proactivo de tareas a fin de anticipar los problemas y solucionarlos antes de que los mismos afecten el desempeño de la red.

Carecen de indicadores precisos que apoyen a la evaluación objetiva de la gestión del departamento.

No cuentan con mecanismos para la asistencia del personal de redes a jornadas y cursos de actualización en el área de competencia.

9. Conclusiones.

Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoría.

El área de redes presenta deficiencias sobre todo en el debido cumplimiento de documentar normas de redes, funciones, procesos, accesos, monitoreo de red, entre otros.

Las empresas mejoran la administración del ambiente de redes, fortaleciendo y ampliando la definición de su manual de políticas y procedimientos, facilitándose así la aplicación de normas y mecanismos de control, como también la documentación (base para la creación de una base de datos de conocimientos), disminuyendo la dependencia del personal al realizar actividades específicas.

Las empresas que buscan evitar improvisar soluciones que pudieran retrasar la reanudación de las operaciones, trabajan en tener formalmente definido y mantener procedimientos alternos en caso de falla de la infraestructura de redes, que les permitan proveer la continuidad de los servicios en caso de ocurrir una contingencia que pueda afectar sus equipos, y faciliten la coordinación eficaz en los pasos a seguir para restablecer los procesos operativos en función al evento presentado.

Las empresas que conocen el valor de los equipos de redes y la importancia de los mismos como habilitador del servicio de los procesos de la empresa, documentan todo lo relacionado con ello, y refuerzan la seguridad física de los cuartos de cómputo, de las localidades de convergencia de cableado intermedio, e implementan mejoras en la distribución e identificación del cableado estructurado, y acondicionan estos lugares con sistema de protección contra incendios, carga eléctrica, etc.

Las empresas para disminuir acciones que puedan afectar la operatividad de los equipos ubicados en las salas de servidores de la empresa, llevan un registro y control de las personas que ingresas a estas aéreas restringidas.

Las empresas buscan llevar la buena práctica de habilitar mecanismos de auditoría en los servidores, para registro de eventos regulares en la infraestructura, que le facilitan la detección a tiempo de fallas o actividades irregulares, y documentan estos eventos para aminorar la dependencia del personal encargado en llevar dichas las actividades.

Para mitigar el acceso no autorizado, las empresas en sus políticas de contraseñas de accesos a los servidores de la empresa, implementan la unificación de los mecanismos de seguridad ofrecidos por los sistemas (la longitud máxima de contraseña, el bloqueo de cuantas por intentos fallidos de conexión, numero de intentos fallidos, etc.).

Las contraseñas de acceso constituyen un elemento importante que ayudan a preservar la identidad de los usuarios, la integridad y privacidad de la información, por lo que su definición debe estar enmarcada bajo criterios que permitan producir claves de acceso robustas. El no tenerlo puede traer como consecuencia que se produzcan ingresos por parte de personas no autorizadas, existiendo la posibilidad de que sean realizadas operaciones indebidas que afecten al manejo de la información y recursos de la empresa.

10. Recomendaciones

Fortalecer y ampliar la documentación de políticas y procedimientos.

Establecer y documentar procedimientos alternos en caso de falla de la infraestructura.

Establecer mecanismo que permiten el registro de las personas que ingresan a la sala donde residen los servidores de la empresa.

Evaluar la posibilidad de activar mecanismos de auditoría en los servidores de la empresa.

Optimizar esquema de seguridad para el control de acceso al servidor.

Definir y documentar formalmente mecanismos de control para la creación de contraseñas robustas, y así definir de manera segura controles de acceso.

Elaborar toda la documentación técnica correspondiente a los sistemas de redes.

Implementar y documentar un plan que permita modificar en forma oportuna el plan a largo plazo de tecnología de redes.

Elaborar un calendario de mantenimiento de rutina periódico del hardware.

Tarea de redes ejecucion

Education

Transcript of Tarea de redes ejecucion