Tarea de redes ejecucion
-
Upload
corderocarlos11 -
Category
Education
-
view
174 -
download
1
Transcript of Tarea de redes ejecucion
UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO”DECANATO DE CIENCIAS Y TECNOLOGÍA
2º DIPLOMADO DE AUDITORÍA INFORMÁTICA
Auditoría Informática de RedesPrimera tarea: Fase de Planeación.
Área a auditar en la Red: Documentación.
Integrantes:Carlos CorderoNaylet MaceaTibisay Matos
Prof.: Luzneida Matute
Barquisimeto, Diciembre 2012
1. Identificar el área a auditar en la red.
Auditoría Informática de Redes - ámbito de Documentación.
2. Determinar el objetivo general y los específicos.
General: Realizar una auditoría informática de redes-ámbito de documentación, en la empresa XYZ.
Específicos:
Diagnosticar la situación actual de la documentación del entorno de red.
Evaluar el estatus de la documentación del entorno de red.
Analizar la información recolectada durante el proceso de auditoría informática de redes.
Presentar informe del proceso de auditoría informática de redes-área documentación.
3. Describir los puntos del área a auditar.
Objetivos de la red. Personal que administra la red. Políticas de Seguridad de red Servicios que proporciona la red Planes de Contingencia. Mapas o Diagramas Planos de la Red y Topología Configuraciones y Conexiones Estándares y Normativas Convenios y/o contratos con el ISP (Proveedor de Servicios de Internet)
4. Elaborar el análisis de la matriz de evaluación para auditar la red indicando su objetivo específico, dimisión e indicadores.
CODIGO MAIR-01
MATRIZ DE ANALISIS DE AUDITORIA INFORMATICA DE REDES-ÁREA DOCUMENTACIÓN, EN LA EMPRESA XYZ.
OBJETIVOSDIMENSIÓN INDICADORES INSTRUMENTOS
General Específicos
Realizar una auditoría informática de redes-área documentación, en la empresa XYZ.
Diagnosticar la situación actual de la documentación del entorno de red.
Organización
Documentación de los objetivos de la red.
Políticas y normas de redes en la empresa.
Definiciones de cargos y perfiles de los administradores de red.
Segregación de funciones en el área de tecnología
Entrevistas.
Cuestionarios.
Observación directa.
Gestión de redes
Políticas de seguridad de redes.
Servicios que proporciona la red.
Conectividad y comunicaciones de la red
Monitoreo de la red
Manejo de control de acceso.
Administración de claves y contraseñas robustas
Entrevistas.
Cuestionarios.
Observación directa.
Lista de Chequeo
Cambio periódico de niveles, privilegios y contraseñas de acceso al sistema
Planes de recuperación
Infraestructura
Especificación de la infraestructura de red.
Especificación de la topología de red
Descripción del cableado
Especificación de las conexiones entre los equipos
Existencia de inventario de equipos de redes
Entrevistas.
Cuestionarios.
Observación directa.
Lista de ChequeoControl Externo
Existencia de documentación del contrato con el proveedor del servicio de internet.
Analizar la información recolectada durante el proceso de auditoría informática de redes.
Análisis de la información Resultados obtenidos.
Presentar informe del proceso de auditoría informática de redes-área
Presentación del informe.
Informe
documentación.
DOCUMENTOS A SOLICITAR
Políticas, estándares, normas y procedimientos. Plan de redes. Planos o diagramas de la topología de red Conexiones y cableado Planes de seguridad de la red Facturas de los equipos que componen la red. Garantía de los equipos de la red Autorizaciones de traslado de equipos de un lugar a otro. Organigrama y manual de funciones. Manuales de redes Contrato con el ISP
5. Diseños Instrumentos y Técnicas para la aplicación de la auditoría: Cuestionario, ponderación, lista de chequeo, guía de auditoría, matriz de evaluación, acta testimonial.
PROGRAMA DE AUDITORÍA DE REDESSECCION DE TRABAJO:
Pág. 1 de 1
EMPRESA: XYZ
Unidad y/o Departamento: Redes
Área: Organización (objetivos, políticas y normas, cargos y perfiles, funciones)
PERIODO DE REVISION
DESDE:15 11 12 HASTA: 15 12 12
Nº PROCEDIMIENTOS REF.P/T
1 Identificarse y dirigirse al Jefe del Departamento Redes de la Gerencia TI.
2
Solicitar documentos como:- Políticas, estándares, normas y procedimientos.- Plan de redes.- Planes de seguridad y continuidad- Contratos, pólizas de seguros.- Organigrama y manual de funciones.
3 Obtener e identificar los objetivos del Departamento de Redes.
4 Aplicar las preguntas Nº 1, 2 y 3 del cuestionario al Jefe del Departamento de Redes.
CAIR-01
5
En la columna observaciones del cuestionario, anotar:Información relevante que se nos diga.Dejar sentado todo documento a solicitar si responden que tienen lo que se le pregunta.
6 Analizar información entregada por el Departamento de Redes.
7 Determinar hallazgos, observaciones basadas en el análisis anterior.
HECHO POR: REVISADO POR:
Ing. Pedro González Ing. Álvaro Martínez
PROGRAMA DE AUDITORÍA DE REDESSECCION DE TRABAJO:
Pág. 1 de 1
EMPRESA: XYZ
Unidad y/o Departamento: Redes
Área: Gestión (Especificación de la documentación de la infraestructura de red y de la
existencia de inventario de equipos de redes.)
PERIODO DE REVISION
DESDE:15 11 12 HASTA: 15 12 12
Nº PROCEDIMIENTOS REF.P/T
1 Identificarse y dirigirse al Jefe del Departamento Redes de la Gerencia TI.
2
Solicitar documentos como:- Diagramado de la infraestructura de la red.- Inventario de equipos de redes.- Manuales de redes.
3 Aplicar las preguntas Nº 4, 5, 6 y 7 del cuestionario al Jefe del Departamento de Redes.
CAIR-01
4
En la columna observaciones del cuestionario, anotar:Información relevante que se nos diga.Dejar sentado todo documento a solicitar si responden que tienen lo que se le pregunta.
5 Analizar información entregada por el Departamento de Redes.
6 Determinar hallazgos, observaciones basadas en el análisis anterior.
HECHO POR: REVISADO POR:
Ing. María Pérez Ing. Álvaro Martínez
CUESTIONARIO
NºDESCRIPCIÓN SI NO N/A OBSERVACIONES
1. ¿Existe la documentación de los objetivos de red?
X Solicitarlo
2. ¿Existen documentos con la misión, visión, valores, objetivos y metas del departamento de redes?
X Solicitarlo
3. ¿Existen manuales que definan las funciones, cargos y perfiles de los puestos
X Se tienen los cargos específicos pero no
de trabajo? están documentados.
4. ¿Poseen una documentación sobre el diagramado de la red?
X Solicitarlo
5. ¿Poseen la documentación de la infraestructura capaz de soportar el crecimiento de la red a largo plazo teniendo en cuenta los posibles cambios tecnológicos o en la organización?
X No se tiene documentación de la infraestructura de la
red.
6. ¿Existe la documentación actual de la topología de red?
X Solicitarlo
7. ¿Poseen informes de las conexiones entre los equipos de la red?
X No se tiene información de las
conexiones entre los equipos de red.
8. ¿Existe el diagrama del cableado utilizado, la categoría y su recorrido en la infraestructura de la red?
X Solicitarlo
9. ¿Existe documentación del inventario de equipos asociados a las de redes?
X Solicitarlo
10.¿Cuentan con una protección y tendido adecuado de cables y líneas de comunicaciones?
X Solicitarlo
11.¿Existe documentación de medidas, controles, procedimientos, normas y estándares de seguridad?
X No se tiene documentación de medidas, controles,
procedimientos, normas y estándares
de seguridad12.¿Existe documentado los procedimientos
de protección de los cables y las bocas de conexión?
X No se tiene documentado la protección de los cables y bocas de
conexión.13. ¿Está documentada la jerarquía en la
asignación de permiso a las cuentas de usuarios?
X Se tiene la jerarquía de permisos mas no
existe documentación de
ello.14.¿Existe documentación de las políticas de
restricción de acceso (de personas de la organización y de las que no lo son) a los programas, aplicaciones y archivos?
X Se tiene políticas de acceso mas no
existe documentación de
las mismas.15.¿Existen políticas para el manejo de
cuentas y contraseña de usuario de red (número máximo de intentos de conexión y
X Se tienen las políticas mas no se
tienen
período máximo de vigencia)? documentadas.16. ¿Están documentados los planes de
emergencia alternativos de transmisión entre diferentes sedes?
X No se tiene documentado los
planes de emergencia.
17. ¿En caso de desastre poseen planes de seguridad por escrito para asegurar la integridad de los datos?
X No se tiene documentado los
planes para la integridad de los
datos.18.¿Implantan la ejecución de planes de
contingencia y la simulación de posibles accidentes?
X Se implantan planes de contingencia y
simulación de accidentes pero no
existe documentación de
ello.19.¿El departamento de redes conoce del
contrato con el proveedor de servicio de internet?
X Solicitarlo
ENTREVISTAMATRIZ DE ANALISIS DE CONTENIDO- ENTREVISTA EAIR-01
Nro. Pregunta Respuesta Recomendación1. ¿Cuándo realizan
modificaciones en la red o de algún equipo la documentan?
Estos procedimientos no se documentan.
Documentar todo tipo de cambio en la red y de los equipos.
2. ¿La documentación de la topología de red esta actualizada?
Se mantiene actualizada la documentación de la topología de red.
3. ¿Documentan cuando realizan algún traslado de equipos de red de un lugar a otro?
No se documenta el traslado de los equipos de un lugar a otro.
Documentar todo tipo de traslado de los equipos de un lugar a otro.
4. ¿Cuentan con Antivirus, antispyware por seguridad de la red?
Se mantienen actualizadas estás herramientas de protección.
5. ¿Qué tipo de herramienta utilizan para monitorear la red?
nVision, NetSupprt, entre otros.
6. ¿Cada cuanto tiempo realizan un análisis del tráfico de la red?
No se ha establecido un tiempo específico para ello.
Definir la frecuencia de revisión.
7. ¿Qué equipos de prueba de comunicaciones utilizan para monitorear la red y el tráfico en ella?
Se utiliza PC servidor dedicado ubicado en oficina de personal de redes.
8. ¿Qué procedimientos llevan para la notificación y gestión de incidencias y son documentadas?
Se realiza la notificación vía telefónica y van al sitio para solventar la falla, no se tiene documentación formal de este procedimiento.
Documentar formalmente las notificaciones de incidencias y el procedimiento para resolverlas.
9. ¿Poseen las facturas de todos los equipos que componen la red?
Se tienen todas las facturas.
10.¿Conocen cuáles son los equipos que aun poseen garantía y cuales no?
No se conocen con exactitud, pero ubicando las facturas se puede determinar.
11.¿Cómo hacen para darle mantenimiento preventivo y correctivo a los equipos que no poseen garantía?
Se contrata un proveedor para realizar este servicio.
Documentar formalmente el procedimiento realizado para el mantenimiento preventivo.
12.¿Qué procedimientos llevan las solicitudes de modificaciones y cambios?
Mediante correos electrónicos o vía telefónica.
Determinar políticas y procedimientos para el control de cambios.
13.¿Cómo jerarquizan o qué se basan los permisos de las cuentas de usuarios?
Considerando las responsabilidades y áreas de acción del usuario dentro de la organización.
14.¿Cada cuanto tiempo revisan las políticas para el manejo de cuentas y contraseñas?
No se tiene tiempo definido, se realiza cuando se notifica algún incidente por un usuario.
Documentar formalmente este procedimiento.
15.¿Existe un control de acceso por Contraseñas de Sesión de usuarios con renovación?
No existe formalmente el control de acceso para usuarios con renovación.
Realizar y documentar formalmente el control de acceso a sesiones para usuarios con renovación.
16.¿Cómo son los planes alternativos de transmisión entre diferentes sedes para casos de emergencias?
No existe un plan especificado, es muy limitado y puntual, solo ocurre en caso de emergencia.
17. ¿Cómo es el tiempo de respuesta del proveedor de servicios de internet
En oportunidades demoran en reestablecer el servicio, y no informan
en caso de fallas? con exactitud el origen de la falla y la solución de la misma.
LISTA DE CHEQUEO
Nro. CARACTERISTICAS A CHEQUEAR SI CUMPLE
NO CUMPLE
1. El área de servidores contiene solamente el equipo relacionado directamente con informática
X
2. Está el área de servidores situado lejos de interferencias electromagnéticas
X
3. Se mantiene el área de servidores en un rango de temperaturas permitidas
X
4. Tiene el área de servidores una altura mínima adecuada X5. Tiene el área de servidores una salida de emergencia
identificadaX
6. Existe un mecanismo contra incendio X7. Es el techo del área de servidores impermeable para
evitar el paso de agua desde niveles superioresX
8. Existe un control de acceso con notificación en la entrada del departamento
X
9. Existe una bitácora de las visitas e ingresos al área de servidores
X
10. Se controla el trabajo fuera de horario X11. Tienen instalado equipos como reguladores de voltaje,
supresores pico, UPS, generadores de energía, que protejan los equipos de redes en caso de variación de voltaje o falla en el suministro de energía eléctrica
X
12. Cuenta el área de servidores con CCTV X13. Las personas de limpieza realizan sus funciones dentro
del área de redes acompañadas por ustedesX
14. Cuentan las puertas de área de servidores con cerraduras de seguridad adecuadas
X
15. ¿Tienen instalado cortafuegos, sistema de detección de intrusos- antispyware, antivirus, llaves para protección de software, etc.?
X
16. Existe un seguro de los activos de redes y comunicaciones
X
6. Identificar las herramientas informáticas que serán empleadas para evaluar los indicadores de la auditoria.
OCS Inventory. NetSupport. Nsauditor. NVision. KeePass Password Safe.
7. Elaborar el plan para la aplicación de la auditoria.
PLAN DE AUDITORIA SEMANASACTIVIDADES RECURSOS DESDE HASTA HR. 1 2 3 4 5 6 7 8
Planificación de actividades
Lápiz, hojas de papel,
borrador, computador, impresora.
15/11/12 15/11/12
4 X
Entrevista con el cliente
Entrevista realizada, grabador,
Lápiz, hojas de papel.
16/11/12 16/11/12
2 X
Levantamiento inicial de información
Documentos solicitados.
17/11/12 18/11/128 X
Definición de alcance y objetivos de la auditoría
Lápiz, hojas de papel,
borrador, computador, impresora.
19/11/12 19/11/12
2 X
Elaboración de la matriz de análisis de auditoría
Lápiz, hojas de papel,
borrador, computador, impresora.
20/11/12 20/11/12
4 X
Elaboración del programa de auditoría
Lápiz, hojas de papel,
borrador, computador, impresora.
21/11/12 21/11/12
4 X
Elaboración de los procedimientos de auditoría
Lápiz, hojas de papel,
borrador, computador, impresora.
22/11/12 22/11/12
4 X
Elaboración de entrevistas
Lápiz, hojas de papel,
borrador, computador, impresora.
23/11/12 23/11/12
6 X
Elaboración de cuestionarios
Lápiz, hojas de papel,
borrador, computador, impresora.
24/11/12 24/11/12
4 X
Elaboración de pruebas de redes
Lápiz, hojas de papel,
borrador, computador, impresora.
25/11/12 25/11/12
2 X
Entrevistas con el personal objeto de auditoría
Entrevista realizada, grabador,
Lápiz, hojas de papel.
26/11/12 27/11/12
8 X
Aplicación de cuestionarios y listas de chequeo al personal objeto de auditoría
Lista de chequeo y
cuestionario realizado, grabador,
Lápiz, hojas de papel.
28/11/12 29/11/12
8 X
Observación directa sobre los procesos auditados en la organización
Lápiz, hojas de papel,
borrador, grabador,
29/11/12 01/12/12
16 X X
Recopilación de información y documentación relevante al proceso de auditoría
Lápiz, hojas de papel,
borrador, grabador,
computador, impresora.
01/12/12 02/12/12
15 X
Análisis de la información recopilada y de ser necesario, utilizar herramientas automatizadas para la organización de los datos.
Herramientas para organizar datos, Lápiz,
hojas de papel, borrador,
computador, impresora.
03/12/12 04/12/12
10 X
Determinación de resultados: Hallazgos, observaciones, recomendaciones y conclusiones.
Lápiz, hojas de papel,
borrador, estadísticas de
entrevistas, computador, impresora.
05/12/12 07/12/12
20 X X
Revisión general de los resultados.
Computador, impresora.
08/12/12 10/12/1222 X
Elaboración del Pre-Informe
Lápiz, hojas de papel,
borrador, estadísticas de
entrevistas, computador, impresora.
11/12/12 11/12/12
8 X
Elaboración de informe final
Lápiz, hojas de papel,
borrador, estadísticas de
entrevistas, computador, impresora.
12/12/12 14/12/12
26 X
Presentación del informe
Lápiz, hojas de papel,
borrador, computador,
estadísticas de entrevistas, video beam.
15/12/12 15/12/12
4 X
8. Hallazgos de Auditoria
La empresa posee una documentación donde especifican algunas normas y políticas.
La empresa XYZ no posee documentado procedimientos alternos en caso de falla de la infraestructura de red.
No se documenta el procedimiento para realizar modificaciones en la red o de algún equipo.
No cuentan con un procedimiento de control de acceso de usuarios documentado formalmente.
No se evidencia ningún mecanismo de control de acceso a las salas de servidores.
No se evidencia sistema de control de incendio en las salas de servidores.
No documentan cuando realizan algún traslado de equipos de red de un lugar a otro.
No existe un mecanismo de control para el registro de las personas que ingresan a la sala donde residen los servidores de la empresa.
No se encuentran habilitados los mecanismos para el registro de eventos de auditoría en los servidores.
No observaron procedimientos formales relacionados con la definición de responsabilidades, frecuencia y documentación para la revisión de registros de auditoría.
No se tiene definido las características de las políticas de contraseñas con las pautas necesarias para unificar los mecanismos manuales y automáticos ofrecidos por el sistema operativo.
No se generan contraseña de acceso con características robustas, tomando en cuenta que no se encuentra configurado el parámetro de configuración “Passwords must meet complexity requirements”.
No existe un calendario de mantenimiento de rutina periódico del hardware definido por el departamento de redes.
No existe un plan proactivo de tareas a fin de anticipar los problemas y solucionarlos antes de que los mismos afecten el desempeño de la red.
Carecen de indicadores precisos que apoyen a la evaluación objetiva de la gestión del departamento.
No cuentan con mecanismos para la asistencia del personal de redes a jornadas y cursos de actualización en el área de competencia.
9. Conclusiones.
Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoría.
El área de redes presenta deficiencias sobre todo en el debido cumplimiento de documentar normas de redes, funciones, procesos, accesos, monitoreo de red, entre otros.
Las empresas mejoran la administración del ambiente de redes, fortaleciendo y ampliando la definición de su manual de políticas y procedimientos, facilitándose así la aplicación de normas y mecanismos de control, como también la documentación (base para la creación de una base de datos de conocimientos), disminuyendo la dependencia del personal al realizar actividades específicas.
Las empresas que buscan evitar improvisar soluciones que pudieran retrasar la reanudación de las operaciones, trabajan en tener formalmente definido y mantener procedimientos alternos en caso de falla de la infraestructura de redes, que les permitan proveer la continuidad de los servicios en caso de ocurrir una contingencia que pueda afectar sus equipos, y faciliten la coordinación eficaz en los pasos a seguir para restablecer los procesos operativos en función al evento presentado.
Las empresas que conocen el valor de los equipos de redes y la importancia de los mismos como habilitador del servicio de los procesos de la empresa, documentan todo lo relacionado con ello, y refuerzan la seguridad física de los cuartos de cómputo, de las localidades de convergencia de cableado intermedio, e implementan mejoras en la distribución e identificación del cableado estructurado, y acondicionan estos lugares con sistema de protección contra incendios, carga eléctrica, etc.
Las empresas para disminuir acciones que puedan afectar la operatividad de los equipos ubicados en las salas de servidores de la empresa, llevan un registro y control de las personas que ingresas a estas aéreas restringidas.
Las empresas buscan llevar la buena práctica de habilitar mecanismos de auditoría en los servidores, para registro de eventos regulares en la infraestructura, que le facilitan la detección a tiempo de fallas o actividades irregulares, y documentan estos eventos para aminorar la dependencia del personal encargado en llevar dichas las actividades.
Para mitigar el acceso no autorizado, las empresas en sus políticas de contraseñas de accesos a los servidores de la empresa, implementan la unificación de los mecanismos de seguridad ofrecidos por los sistemas (la longitud máxima de contraseña, el bloqueo de cuantas por intentos fallidos de conexión, numero de intentos fallidos, etc.).
Las contraseñas de acceso constituyen un elemento importante que ayudan a preservar la identidad de los usuarios, la integridad y privacidad de la información, por lo que su definición debe estar enmarcada bajo criterios que permitan producir claves de acceso robustas. El no tenerlo puede traer como consecuencia que se produzcan ingresos por parte de personas no autorizadas, existiendo la posibilidad de que sean realizadas operaciones indebidas que afecten al manejo de la información y recursos de la empresa.
10. Recomendaciones
Fortalecer y ampliar la documentación de políticas y procedimientos.
Establecer y documentar procedimientos alternos en caso de falla de la infraestructura.
Establecer mecanismo que permiten el registro de las personas que ingresan a la sala donde residen los servidores de la empresa.
Evaluar la posibilidad de activar mecanismos de auditoría en los servidores de la empresa.
Optimizar esquema de seguridad para el control de acceso al servidor.
Definir y documentar formalmente mecanismos de control para la creación de contraseñas robustas, y así definir de manera segura controles de acceso.
Elaborar toda la documentación técnica correspondiente a los sistemas de redes.
Implementar y documentar un plan que permita modificar en forma oportuna el plan a largo plazo de tecnología de redes.
Elaborar un calendario de mantenimiento de rutina periódico del hardware.