Sie sind auf Seite 1von 10

[Subttulo del

documento]

AUDITORIA A LOS
SISTEMAS DE
REDES
Esta es una revisin exhaustiva, especfica y especializada
que se realiz a los sistemas de redes de una empresa,
considerando en la evaluacin
lostiposderedes,arquitectura,topologa,susprotocolosdecomun
icacin,lasconexiones,accesos,privilegios,administracinydem
saspectosquerepercutenensuinstalacin,administracin,funci
onamientoyaprovechamiento.

Auditoria a los Sistemas de Redes

JUSTIFICACION ADECUACION Y FORMALIZACION

1. ORIGEN DE LA AUDITORA
La siguiente auditora surge como necesidad de llevar a la prctica los conocimientos
adquiridos en las aulas y realizar el trabajo designado para la aprobacin del curso

La empresa escogida para efectos de esta practica, es la ya mencionada Listos S.A.

2. ALCANCE DE LA AUDITORA
La auditora realizada fue aplicada a la Empresa Listos S.A. en su totalidad, y con un
enfoque especifico en las redes, que permitir comprobar su seguridad y
vulnerabilidades, as como, determinar que la funcin de redes est claramente
definida

3. ANTECEDENTES
La Empresa Listos S.A. a sido auditada en todas sus reas por la sede principal de
sus oficinas que se encuentra en Cali, con resultados privados, adems que estos se
encuentran en la mencionada ciudad

4. ENFOQUE A UTILIZAR
El enfoque utilizado, en el presente informe, est basado principalmente en las
ctedras del doncente y los libros que tememos como recursos para el desarrollo de
esta materia los cuales son:

DE LA PEA, Alberto, Auditora un Enfoque Prctico, Editorial Thompson, 2008.


PIATTINI, Mario. Auditora de Tecnologas y Sistemas de Informacin Editorial
Alfaomega-Rama. 2008.
WHITTINGTON. Principios de Auditora, Mxico, Mac Graw Hill, 2004, Dcimo Cuarta
Edicin.
PIATTINI, Mario. Auditora Informtica: Un Enfoque Prctico. Editorial AlfaomegaRama. Segunda Edicin. 2004.
MUOZ, Carlos. Auditora en Sistemas Computacionales. Mxico: Pearson Education,
2002.
5. CRONOGRAMA

6. DOCUMENTOS A SOLICITAR

Razn social
Misin
Visin

Objetivos de la empresa
Organigrama
Descripcin general de la empresa
Conocimiento general del rea de sistemas
Organigrama del rea de sistemas
Objetivos del departamento
Funciones por reas
Funciones principales de algunos empleados
Distribucin fsica de equipos
Inventario de software
Inventario de hardware
Contratos de mantenimiento
7. MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMATICA
El motivo principal de esta auditoria tiene fines acadmicos, buscando poner en
prctica los conocimientos adquiridos en esta materia y favorecer a la Empresa Listos
S.A. en los siguientes puntos:
Deficiente Seguridad de los Equipos de Computo
Distribucin Inadecuada de los Equipos de Computo
Deficiente confidencialidad de la informacin
Uso ineficiente de lo equipos de computo
8. JUSTIFICACION
El punto principal por el cual se realiza esta auditoria tiene que ver directamente con
objetivos acadmicos, pero teniendo en cuenta las falencias encontradas en el rea de
redes de la empresa se llego a la conclusin:
La empresa debe aprovechar al mximo el espacio fsico con el que cuenta el centro
de cmputo
Los equipos deben tener una mayor seguridad tanto en el ingreso de personal como
para la informacin
Para mejorar el uso de los equipos se debe contar con manuales tcnicos y
documentos de gestin
8.1 AREA A AUDITAR:
La auditora realizada a la Empresa Listos S.A. se encuentra enfocada al rea de
redes, ya que es un rea muy importante y compleja en un centro de cmputo

8.2 MATRIZ DE RIESGO:

8.3 PLAN DE AUDITORIA EN INFORMATICA:


Esta auditoria cuenta con la aprobacin y supervisin de la Gerente General de la
empresa de la ciudad de Bucaramanga, la cual aprob las siguientes tareas
realizadas:

9. ADECUACIN

9.1 MTODOS

Verificacin de las funciones, seguridad de los equipos, cableado, etc


Verificacin de documentos de gestin
9.2 TCNICAS
Observacin
Anlisis y revisin de documentos
9.3 HERRAMIENTAS
Libreta de apuntes
Papel
Lapicero
Microsoft Office Word 2007
Microsoft Office Excel 2007
Microsoft Office Power Point 2007
Internet
9.4 PLAN DE AUDITORIA DE ACUERDO AL CLIENTE:
La Empresa Listos S.A. ha solicitado al equipo auditor lo siguiente:
Reestructurar la red existente tanto con normas de cableado estructurado como la
Ubicacin adecuada de sus equipos
Ver el estado de sus equipos de cmputo
Dar ms seguridad fsica y a sus datos
Ensear una utilizacin eficiente y satisfactoria de los equipos a sus empleados
10. FORMALIZACIN
10.1 PLAN APROBADO

La entrevista realizada a la seora Martha Villamizar, Gerente General de la empresa


en Bucaramanga, permiti tener acceso a la informacin concerniente a la Empresa
Listos S.A., quien acept y aprob el plan descrito con anterioridad
10.2 COMPROMISO EJECUTIVO
De acuerdo al plan ya mencionado, hubo un compromiso de entregar el informe de
auditora Informtica a la empresa en mencin en el momento de terminada dicha
auditoria

DESARROLLO DE LA AUDITORIA
1. AUDITORIA DE REDES
1.1 ALCANCE
La auditoria de redes fue aplicada en centro de cmputo de la empresa. Los puntos a
tomar en cuenta sern los siguientes:
Organizacin y calificacin del tendido de red
Planes y procedimientos
Sistemas tcnicos de Seguridad y Proteccin
1.2 OBJETIVOS
Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo
equipo relacionado con las comunicaciones
Mantener una vigilancia constante sobre cualquier accin en la red
Mejorar el rendimiento y la resolucin de problemas presentados en la red
1.3 DESARROLLO DE LA AUDITORIA
Para el Desarrollo de esta auditora especfica se emplear el modelo comn de
referencia que se denomina OSI (Open Systems Interconection), y consta de siete
capas, las cuales se tomarn para realizar la auditora
reas controladas para los equipos de comunicaciones, previniendo as accesos
inadecuados
***Los equipos de comunicaciones (Switch, Router) no se mantienen en habitaciones
cerradas
***La seguridad fsica de los equipos de comunicaciones (Switch, Router) es
inadecuada
***No se restringe el acceso a persona no autorizadas a los dispositivos mayores ni
menores
Proteccin y tendido adecuado de cables y lneas de comunicacin, para evitar
accesos fsicos
***Cable canal deteriorado

***Cable dificultando el paso de la persona


***Cable en el piso
***El cableado de la red se encuentra junto al de la red elctrica
***No existen carteles que prohban comer y/o fumar dentro del centro de cmputo
Revisar las polticas y normas sobre redes y el funcionamiento de la red y la seguridad
de los datos dentro de la Red LAN
A. MODELO OSI, CAPA FSICA
Capa Fsica: Transforma la informacin en seales fsicas adaptadas al medio de
comunicacin.
El cableado utilizado para el tendido de red presenta las siguientes caractersticas:
Tipo de Cable: Par trenzado (UTP Categora 5)
Conectores: RJ-45
El tipo de cables y conectores utilizados para este tipo de red es adecuado, el
problema radica en que los cables de comunicacin de datos se encuentran juntos con
los de la red elctrica, lo cual genera interferencias en la comunicacin
B. MODELO OSI, CAPA DE ENLACE
Capa de Enlace: Transforma los paquetes de informacin en tramas adaptadas a los
dispositivos fsicos sobres los cuales se realiza la transmisin. De acuerdo al
inventario de hardware se resumen los siguientes componentes: Topologa de la Red:
Estrella Especificaciones: Ethernet Tarjeta de Red: Encore PCI Fast Ethernet 10/100
MBps Se pudo identificar que no todos los equipos tienen el mismo tipo de tarjeta de
red, por lo cual se producen errores de bits en la ruta de transmisin
C. MODELO OSI, CAPA DE RED
Capa de Red: Establece las rutas por las cuales se puede comunicar el emisor con el
receptor, lo que se realiza mediante el envo de paquetes de informacin
En la institucin se utilizan los siguientes componentes:
Velocidad de transmisin 10/100 MBps
Router D-link de 4 puertos
Switch Encore de 8 puertos
Protocolo TCP/IP
De acuerdo a las necesidades de la empresa, el Switch y el Router empleado presenta
problemas en la transmisin de datos ya que se encuentran en un rea expuesta a la
humedad
D. MODELO OSI, CAPA DE TRANSPORTE
Capa de Transporte: Comprueba la integridad de los datos transmitidos (que no ha
habido prdidas ni corrupciones)

En la Empresa se utiliza el Protocolo TCP/IP para la transmisin datos, lo cual es lo


ptimo debido a que es ms seguro, sin embargo la mala distribucin de la red fsica
dificulta la esta trasmisin de datos
E. MODELO OSI, CAPA DE SESIN
Capa de Sesin: Establece los procedimientos de aperturas y cierres de sesin de
comunicaciones, as como informacin de la sesin en curso.
En la Empresa existe un control de las sesiones ya que la entrada y salida de sesin
de cada usuario queda registrada en un servidor
F. MODELO OSI, CAPA DE PRESENTACIN
Capa de Presentacin: Define el formato de los datos que se van a presentar a la
aplicacin.
Actualmente existe una aplicacin en red de un Sistema contable llamada (UnoE), que
se encarga de la parte comercial, financiera etc de la organizacin y actualmente esta
en funcionamiento
G. MODELO OSI, CAPA DE APLICACIN
Capa de Aplicacin: Es donde la aplicacin que necesita comunicaciones enlaza,
mediante API (Application Program Interface) con el sistema de comunicaciones.
Se utiliza el Protocolo FTP para el intercambio de informacin, el cual se usa para las
impresoras.
Correo de la empresa: Existe un servidor de correo basado en Outlook, por lo cual
cada empleado posee su propia cuenta de usuario

1.4 INFORME FINAL

1. Titulo
Auditoria de Redes.

2. Cliente
El rea de Informtica

3. Entidad Auditada
Empresa Listos S.A.

4. Objetivos
Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo
equipo relacionado con las comunicaciones

Mantener una vigilancia constante sobre cualquier accin en la red


Mejorar el rendimiento y la resolucin de problemas presentados en la red
5. Normativa aplicada y excepciones

La especificacin utilizada en esta auditora de redes es la Normativa actual IEEE


802.3 para redes LAN Ethernet 10/100MBps (utilizada por la empresa), adems de la
norma ISO 17799 y Normas de Auditorias Gubernamentales: Normas de Control
Interno para sistemas computarizados (NAGU 500)
6. Alcance

El presente trabajo de auditoria de red, comprende el presente periodo 2010 y se ha


realizado en la Empresa Listos S.A. de acuerdo a las normas y dems disposiciones
aplicables

7. Resultados
reas controladas para los equipos de comunicaciones, previniendo as accesos
inadecuados
*** Los equipos de comunicaciones (Switch, Router) no se mantienen en habitaciones
cerradas
*** La seguridad fsica de los equipos de comunicaciones (Switch, Router) es
inadecuada
*** No se restringe el acceso a persona no autorizadas a los dispositivos mayores ni
menores
Proteccin y tendido adecuado de cables y lneas de comunicacin, para evitar
accesos fsicos
*** Cable canal deteriorado
*** Cable dificultando el paso de la persona
*** Cable en el piso
*** El cableado de la red se encuentra junto al de la red elctrica
*** No existen carteles que prohban comer y/o fumar dentro del centro de cmputo
Revisar las polticas y normas sobre redes y el funcionamiento de la red y la seguridad
de los datos dentro de la Red Lan
*** No existen reas de equipo de comunicacin con control de acceso
*** No hay un tendido adecuado de cables y lneas de comunicacin por lo cual
permite accesos fsicos no autorizados
*** No existen revisiones peridicas de la red por tanto se presentan errores y/o daos
a la misma

CONCLUSIN:
Nuestra opinin es que, los controles sobre los recursos de la red de rea local de la
empresa deben ser mejorados puesto que presenta importantes dificultades. Esto se
debe a la ausencia de lineamientos claros para su gestin.

RECOMENDADIONES:
Se recomienda, en primer lugar que se coloquen los centros de cableado en lugares
adecuados, fuera del alcance de personas no autorizadas
Tambin recomendamos que se identifiquen los dispositivos principales
De igual forma recomendamos que se escriban los lineamientos generales para la
gestin de la red y se difundan a los encargados
Tambin recomendamos que se capacite al personal en los aspectos referidos a la
seguridad de la red fsica
Recomendamos, por ltimo, que los encargados del centro de cmputo realicen las
acciones necesarias para:
Mantener el cableado en buenas condiciones
Mantener los conectores en buen estado
Estas acciones deben ejecutarse en forma peridica

8. Fecha del Informe


El presente Informe se inici el 04 de Marzo de 2010 y se concluy el 13 de Mayo del
2010

9. Identificacin y Firma del Auditor

_____________________________
Jennifer Roco Lozada Ortiz
CC 1.098.620.240 de Bucaramanga