AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

CUESTIONARIO DE LA RED LGICA

1. Qu datos hay en el perfil del usuario cuando se hace una alta?

Para laboratorios: NOMBRE DEL USUARIO Y CARRERA

2. El ID de usuario puede repetirse? En caso de ser SI la respuesta, como se aseguran de ello SI ( ) NO ( x )

5.- Si una cuenta fue borrada o eliminada, puede utilizarse un ID ya usado y eliminado para un usuario nuevo? En caso de ser NO la respuesta, como se aseguran de ello. SI ( ) NO ( x)

El proceso es automtico, el SW se encarga de hacerlo

Ing. Jonathan Osvaldo Hernndez Diosdado

AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

9.- Hay algn histrico de las cuentas que se dan de baja? Cmo se administra?

10.- Se guardan los archivos y datos de las cuentas eliminadas? Por cunto tiempo? Qu datos se guardan? Con qu motivo?

11.- Hay procedimientos para asignar los usuarios a un grupo de acuerdo a ciertas caractersticas? Cul?

Ing. Jonathan Osvaldo Hernndez Diosdado

AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

12.- Hay procedimientos para dar de alta, baja, modificar, suspender, etc. Una cuenta de usuario? Cul?

13.- Se hacen revisiones de las cuentas de usuarios? En qu tiempo? Cul es el procedimiento? Se revisan sus permisos?

14.- Hay procedimientos para determinar los nuevos requerimientos relacionados con cambios en funciones del empleado? Cules? Cmo se mantienen actualizadas las cuentas cuando esto pasa?

Ing. Jonathan Osvaldo Hernndez Diosdado

AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

15.- Se documentan las modificaciones que se hacen en las cuentas? Cul es el procedimiento? Se lleva un histrico de los cambios? Cmo?

16.- Tienen una clasificacin de los recursos (datos) en base a la sensibilidad? Cul? O en base a los tipos (base de datos, archivos de configuracin, datos personales, segn el departamento de la organizacin.)?

17.- Quin les asigna los permisos a los usuarios? Cmo es dicho procedimiento?

Ing. Jonathan Osvaldo Hernndez Diosdado

AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

18.- Despus de qu perodo de inactividad en que el usuario no realiza acciones en el sistema, se limpia la pantalla asociada al usuario, se desconecta el usuario inactivo o pide la password de nuevo?

19.- Antes de terminar con la sesin, se avisa al usuario que se le desconectar? Si en un determinado tiempo el usuario no responde, entonces se termina la sesin?

20.- Despus de qu perodo de inactividad (de cuantos das) se pone una cuenta de usuario como inactiva, porque el usuario no se ha logeado? Este proceso es automtico (del sistema operativo) o lo realiza el administrador?

Ing. Jonathan Osvaldo Hernndez Diosdado

AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

21.- Los usuarios se identifican en forma nica o existen usuarios genricos que todas las personas usan? Todos los usuarios tienen un perfil o pertenecen a algn grupo?

22.- El sistema genera histricos o logs de las actividades de los usuarios en el sistema, para poder seguirles el rastro?

23.- Tienen forma de asignar responsabilidades individualmente a cada usuario, identificndolo a travs de su ID? Cmo se lleva a cabo este proceso?

24.- Existen grupos de usuarios? Cmo se forman los grupos? Segn el departamento de la empresa donde trabajen, segn el rol que desempeen? Por qu esa clasificacin?

Ing. Jonathan Osvaldo Hernndez Diosdado

AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

25.- El acceso puede controlarse con el tipo de trabajo o la funcin (rol) del que pide acceso? Por qu?

26.- Los ID hacen referencia a una persona, o son annimos? Hacen referencia a un grupo?

27.- Se eliminan los que vienen por default en el sistema operativo? (Cuentas Guest, por ejemplo) Cmo se aseguran de ello?

28.- Qu tipos de perfil de administrador hay?

29.- Cuntas personas y quines son administradores?

Ing. Jonathan Osvaldo Hernndez Diosdado

AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

30.- Desde qu terminal puede logearse un administrador?

31.- Adems de la cuenta de administrador, tienen otra cuenta para las funciones comunes?

32.- Qu datos se muestran cuando alguien intenta logearse? Se muestran los siguientes datos? o o o o o Nombre de usuario ( ) Password ( ) Grupo o entorno de red ( ) Estacin de trabajo ( ) Fecha y hora ( )

33.- Qu datos se muestran cuando alguien logra logearse? Se muestran los siguientes datos? o o o Fecha y hora de la ltima conexin. ( ) Localizacin de la ltima conexin (Ej. nmero de terminal) ( ) Intentos fallidos de conexin de ese ID de usuario desde la ltima conexin lograda. ( )

34.- Utilizan el ID de usuario como un control de acceso a los recursos, o solo para ingreso al sistema? Por qu?

35.- Un usuario puede tener solo una sesin abierta, de alguna aplicacin, de acuerdo a sus tareas o puede tener varias? Depende de la cantidad de grupos a los que pertenezca? Ing. Jonathan Osvaldo Hernndez Diosdado 8

AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

36.- Cmo se protegen los datos de autenticacin cuando estn siendo ingresados por el usuario? Qu se muestra en pantalla cuando se tipea el password?Espacios, asteriscos, no se mueve el cursor?

37.- Cmo se guardan los datos de autenticacin en disco? Encriptados? Bajo password? De qu forma se les asegura? Por qu se decidi emplear este mtodo?

38.- Cmo se restringe el acceso a estos datos? Hay un control de acceso ms severo con estos datos? Se los clasifica como confidenciales?

39.- Quin tiene acceso a estos datos?

40.- Cmo se transfieren los datos de autenticacin desde la terminal que se logea hasta el servidor encargado de autenticar? Encriptados, o solo en texto plano?

Ing. Jonathan Osvaldo Hernndez Diosdado

AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

41.- Qu alcances tienen las autenticaciones? Es una autenticacin para una aplicacin en particular, para toda la red, o solo para la LAN, y otra para la WAN?

42.- Se lockea el usuario despus de varios intentos fallidos de autenticacin o se inhabilita la cuenta o la terminal?

43.- Despus de cuantos intentos?

44.- Qu se hace despus de la inhabilitacin: se espera un tiempo y muestra nuevamente la pantalla de logeo o el administrador debe aprobar la operacin de relogeo?

45.- Se usan firmas digitales para autenticar a los usuarios dentro de la organizacin, cuando mandan mensajes internos? Y para mensajes externos?

46.- De qu forma se ponen de acuerdo Windows y LINUX para la autenticacin? Es necesaria esa interoperatividad (intercambiar datos y posibilitar la puesta en Ing. Jonathan Osvaldo Hernndez Diosdado 10

AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

comn de informacin y conocimientos) para algo? Es necesaria alguna herramienta para esta comunicacin?

47.- Se manejan los controles de acceso de manera que una sola persona no tenga acceso a todo, en relacin a una sola transaccin? Existe separacin de tareas a travs del control de acceso?

48.- Si existe rotacin de tareas, cmo es el mecanismo en el control de acceso para posibilitar esto? Se modifican los permisos? O tienen todos los permisos necesarios permanentemente?

49.- Son obligatorias las vacaciones en la empresa? Si es as, cmo se manejan con las passwords durante los perodos de vacaciones? Qu ocurre con la cuenta del administrador en el perodo de vacaciones? Puede ser modificada? Cmo controlan que no sea modificada durante su ausencia?

50.- Las passwords son generadas con procesos automticos (programas degeneracin de passwords) o son creadas por los usuarios? Se usan estos programas en alguna mquina, por ejemplo en los servidores?

51.- Qu caractersticas deben tener estas passwords? Ing. Jonathan Osvaldo Hernndez Diosdado 11

AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

52.- Cul es el conjunto de caracteres permitidos (alfa, numricos y caracteres especiales)?

53.- Cul es el largo mnimo y mximo del password (seis a ocho, preferentemente nueve)?

54.- La password se inicializa como expirada para obligar al cambio?

55.- De qu forma se hace cumplir este requerimiento? Se pone una fecha de expiracin? No se permite al usuario logearse ya que su password ha expirado?

56.- Se chequean contra un diccionario on line para verificar que no sean palabras que existan?

57.- Se permite que contengan el nombre de la empresa, o el nombre del usuario? Ing. Jonathan Osvaldo Hernndez Diosdado 12

AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

58.- Dos cuentas pueden tener las mismas passwords?

59.- Si existe ms de una cuenta de administrador, algunas de estas (o todas) tienen las mismas passwords?

60.- El password puede ser igual al ID del usuario?

61.- Qu procedimiento existe para el cambio de las passwords de los usuarios?Se puede cambiar en cualquier momento?

62.- Quin puede hacer los cambios? El administrador? Los usuarios a travs de una opcin en el men? Le tienen que avisar a alguien cuando cambian la contrasea? Tiene que pedir autorizacin?

Ing. Jonathan Osvaldo Hernndez Diosdado

13

AUDITORA DE SISTEMAS

Cuestionario de auditora de la red lgica

63.- Qu procedimiento existe para comprobar que las passwords asignadas por default (por el administrador o por el sistema operativo) han sido cambiadas por el usuario?

64.- Cul es el procedimiento para manejo de passwords perdidas o reveladas? Cmo se cambian? Solo se cambia la password o se cambia tambin la cuenta y el nombre del usuario?

65.- Con qu frecuencia es necesario cambiar la password antes que se vuelva obsoleta?

66.- Al modificar la password de una cuenta, se puede repetir la misma password?

67.- Se guarda una base de datos con las ltimas password de los usuarios? En que consiste la BD? Cuntas passwords de cada usuario se guardan?

68.- Se entrena a los usuarios en la administracin del password? Se les ensea a: Ing. Jonathan Osvaldo Hernndez Diosdado 14

AUDITORA DE SISTEMAS
No usar passwords fciles de descifrar ( ) No divulgarlas ( )

Cuestionario de auditora de la red lgica

No guardarlas en lugares donde se puedan encontrar ( ) Entender que la administracin de passwords es el principal mtodo de seguridad del sistema ( ) Ninguno ( )

Ing. Jonathan Osvaldo Hernndez Diosdado

15