Auditoria de Redes

Análisis de riesgos
 Auditoria de Redes
Es una serie de mecanismos mediante los cuales se pone a prueba una
red informática, evaluando su desempeño y seguridad, a fin de lograr
una utilización más eficiente y segura de la información.

Metodología
Identificar:
– Estructura Física (Hardware, Topología)
– Estructura Lógica (Software, Aplicaciones)

La identificación se lleva a cabo en:

Equipos, Red, Intranet, Extranet
 Etapas de la auditoria de
Redes
• Análisis de la Vulnerabilidad
• Estrategia de Saneamiento.
• Plan de Contención ante posibles incidentes
• Seguimiento Continuo del desempeño del
Sistema.
Análisis de Vulnerabilidad
Éste es sin duda el punto más crítico de toda la Auditoría,
ya que de él dependerá directamente el curso de acción a
tomar en las siguientes etapas y el éxito de éstas.

Estrategia de Saneamiento
Se Identifican las "brechas" en la red y se procede a
"parchearlas", ya sea actualizando el software
afectado, reconfigurándolo de una manera mejor o
removiéndolo para remplazarlo por otro software
similar.
 Plan de Contención
Consta de elaborar un "Plan B", que prevea un incidente
aún después de tomadas las medidas de seguridad, y
que dé respuesta a posibles eventualidades.

Seguimiento Continuo del desempeño del

Sistema.
La seguridad no es un producto, es un proceso.
Constantemente surgen nuevos fallos de seguridad,
nuevos virus, nuevas herramientas que facilitan la
intrusión en sistemas, como también nuevas y más
efectivas tecnologías para solucionar estos y otros
problemas
 Auditoria de Red Física
• Áreas de equipo de comunicación con control de acceso.

• Protección y tendido adecuado de cables y líneas de

comunicación para evitar accesos físicos.

• Control de utilización de equipos de prueba de comunicaciones

para monitorizar la red y el tráfico en ella.

• Prioridad de recuperación del sistema.

• Control de las líneas telefónicas.
• Equipos de comunicaciones deben estar en un lugar
cerrado y con acceso limitado.

• Seguridad física del equipo sea adecuada.

• Se tomen medidas para separar las actividades de los

electricistas y de cableado de líneas telefónicas.

• Las líneas de comunicación estén fuera de la vista.

• Se dé un código a cada línea, en vez de una descripción

física de la misma.
 Auditoria de Red Lógica
• En líneas telefónicas: No debe darse el número como
público y tenerlas configuradas con retro-llamada, código de
conexión o interruptores.
• Usar contraseñas de acceso.
• Garantizar que en una transmisión, solo sea recibida por el
destinatario.
• Registrar actividades de los usuarios en la red.
Comprobar
• Encriptar la información pertinente.
• Evitar la importación y exportación de datos.
• Inhabilitar el software o hardware con acceso libre.
• Generar estadísticas de las tasas de errores y transmisión.
• Crear protocolos con detección de errores