TRABAJO AUDITORIAS ESPECIALIZADAS

Programa de Auditoría
“Redes, Comunicaciones e internet”

Indice

Introducción
Auditoría de Redes
Auditoria de comunicaciones:
Auditoria De La Red Física
Auditoria de la Red Lógica
Programa de auditoría
Origen de la Auditoría
Alcance
Objetivos Principales
Metodología
Procesos a Evaluar
1. CI01 Estado General de las Redes y Comunicaciones
1.1 Descripción
1.2. Objetivos
1.3. Procedimiento
1.3.1. Obtener Información Preliminar
1.3.2. Cuestionario de Control Interno (ICQ)
GENERAL
2. CI02 Redes y Planes de Contingenia
2.1 Descripción
2.2. Objetivos
2.3. Procedimiento
2.3.1. Get Preliminary Information
3. CI03 Internet
2.1 Descripción
2.2. Objetivos
2.3. Procedimiento
2.3.1. Obtención de Información
2.3.2. Verficación del Estado de Router
4. CI04 Controles físicos
4.1 Descripción
4.2. Objetivos
4.3. Procedimiento
4.3.1. Get Preliminary Information
5. CI04 Capacitación de empleados
5.1 Descripción
5.2. Objetivos
5.3. Procedimiento
 Ejecución de los diferentes instrumentos (Observación, revision documental y
entrevista)
6. CI04 Seguridad Firewall
6.1 Descripción
6.2. Objetivos
6.3. Procedimiento
7. CI04 Securidad en Correo Electrónico
7.1 Descripción
7.2. Objetivos:
7.3. Procedimiento
7.3.1. Aplicación de Cuestionario
Bibliografía

Introducción

Auditoría de Redes

Es una serie de mecanismos mediante los cuales se pone a prueba una red informática,
evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la
información.

Auditoria de comunicaciones:
Ha de verse:
● La gestión de red. Los equipos y su conectividad.
● La monitorización de las comunicaciones.
● La revisión de costes y la asignación formal de proveedores.
● Creación y aplicabilidad de estándares.

Cumpliendo como objetivos de control :

● Tener una gerencia de comunicaciones con plena autoridad de voto y acción.
● Llevar un registro actualizado de módems, controladores, terminales, líneas y todo equipo
relacionado con las comunicaciones.
● Mantener una vigilancia constante sobre cualquier acción en la red.
 ● Registrar un coste de comunicaciones y reparto a encargados.
● Mejorar el rendimiento y la resolución de problemas presentados en la red.

Para lo cual se debe comprobar:

○ El nivel de acceso a diferentes funciones dentro de la red.
○ Coordinación de la organización de comunicación de datos y voz.
○ Han de existir normas de comunicación en:
■ Tipos de equipamiento como adaptadores LAN.
■ Autorización de nuevo equipamiento, tanto dentro, como fuera de las horas
laborales.
■ Uso de conexión digital con el exterior como Internet.
■ Instalación de equipos de escucha como Sniffers (exploradores físicos) o
Traceadores (exploradores lógicos).
○ La responsabilidad en los contratos de proveedores.
○ La creación de estrategias de comunicación a largo plazo.
○ Los planes de comunicación a alta velocidad como fibra óptica y ATM ( técnica de
conmutación de paquetes usada en redes MAN e ISDN).
○ Planificación de cableado.
○ Planificación de la recuperación de las comunicaciones en caso de desastre.
○ Ha de tenerse documentación sobre el diagramado de la red.
○ Se deben hacer pruebas sobre los nuevos equipos.
○ Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y
la tasa de errores.
○ Vigilancia sobre toda actividad on-line.
○ La facturación de los transportistas y vendedores ha de revisarse regularmente.

Auditoria De La Red Física

Se debe garantizar que exista:

■ Áreas de equipo de comunicación con control de acceso.
■ Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos
físicos.
■ Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y
el trafico en ella.
■ Prioridad de recuperación del sistema.
■ Control de las líneas telefónicas.
Comprobando que:
○ El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
○ La seguridad física del equipo de comunicaciones sea adecuada.
○ Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas
telefónicas.
○ Las líneas de comunicación estén fuera de la vista.
○ Se dé un código a cada línea, en vez de una descripción física de la misma.
○ Haya procedimientos de protección de los cables y las bocas de conexión para evitar
pinchazos a la red.
○ Existan revisiones periódicas de la red buscando pinchazos a la misma.
○ El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones
específicas.
○ Existan alternativas de respaldo de las comunicaciones.
○ Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas
configuradas con retrollamada, código de conexión o interruptores.

Auditoria de la Red Lógica

En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a
enviar mensajes hasta que satura por completo la red.
Para éste tipo de situaciones:
● Se deben dar contraseñas de acceso.
● Controlar los errores.
● Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto,
regularmente se cambia la ruta de acceso de la información a la red.
● Registrar las actividades de los usuarios en la red.
● Encriptar la información pertinente.
● Evitar la importación y exportación de datos.
Que se comprueban si:
● El sistema pidió el nombre de usuario y la contraseña para cada sesión:
● En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin
autorización, ha de inhabilitarse al usuario que tras un número establecido de veces
erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar
su contraseña regularmente, las contraseñas no deben ser mostradas en pantalla tras
digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de
evitar suplantaciones.
● Inhabilitar el software o hardware con acceso libre.
● Generar estadísticas de las tasas de errores y transmisión.
 ● Crear protocolos con detección de errores.
● Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
● El software de comunicación, ha de tener procedimientos correctivos y de control ante
mensajes duplicados, fuera de orden, perdidos o retrasados.
● Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos
desde una terminal debidamente autorizada.
● Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
● Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre
diferentes organizaciones.
● Asegurar que los datos que viajan por Internet vayan cifrados.
● Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad
asociado para impedir el acceso de equipos foráneos a la red.
● Deben existir políticas que prohíban la instalación de programas o equipos personales en
la red.
● Los accesos a servidores remotos han de estar inhabilitados.
● La propia empresa generará propios ataques para probar solidez de la red y encontrar
posibles fallos en cada una de las siguientes facetas:
○ Servidores = Desde dentro del servidor y de la red interna.
○ Servidores web.
○ Intranet = Desde dentro.
○ Firewall = Desde dentro.
○ Accesos del exterior y/o Internet.

Programa de auditoría
(con guías detalladas de auditoría sobre el tema en particular (utilice todos los instrumentos y
técnicas que requiera).

Área Auditada Firma Auditora

Empresa Auditada
Redes, Comunicaciones e Chauditores
Audilacteos
Internet
Fecha de Inicio:24/11/2010
Equipo Auditor: Equipo 8 Representantes de la Empresa
Yeimy Lorena Escobar Rivera Vanesa Cardona
Laura Marcela Giraldo Hoyos Juan Pablo Castro
Jorge Enrique Urrea
Daniel Hernandez
 Juan Sebastian

Origen de la Auditoría

La empresa Audilacteos solicita auditar todo su componente de redes, comunicaciones e

Internet. Esto para evaluar los sistemas existentes, gestionar posibles riesgos y mejorar cualquier
inconsistencia que se encuentren.

Alcance
Inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre
tiempos de desuso. Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la
desactualizacion de esta documentación significaría una grave debilidad. La inexistencia de datos sobre
la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad
Informática. Determinación de las disfunciones organizativas. La contratación e instalación de líneas
va asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes
Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.).

Objetivos Principales
● Evaluar el estado de Redes y Planes de Contingenia, Internet, Intranet, Controles Físicos,
Capacitación de Empleados, Seguridad del Cortafuegos, Seguridad de Correo Electrónico
● Comprender la organización y la manera como la comunicación incide en su funcionamiento.
● Medir la eficacia de la plataforma de canales y medios internos o externos de la
organización.
● Determinar las dependencias en comunicaciones de la organización.

Metodología
Para el desarrollo de la auditoria especializada de comunicaciones se propone desarrollar una
serie de fases:

Fase1: Obtención Preliminar de información, seguridad telefonica (dial-up security), seguridad

física,
seguridad logica

Fase 2: análisis de datos, revisión documental

Fase 3:comunicación de resultados

Fase 4: seguimiento y control

Procesos a Evaluar
Ref Actividad a ser evaluada Herramienta a Observación
utilizar

CI01 Estado General de las Redes Revision documental

y Comunicaciones Cuestionario de Control
Interno (ICQ)

CI02 Redes y Planes de Revision documental

Contingenia Observacion
Entrevista

CI03 Internet Revision documental

Observacion
Entrevista

CI04 Intranet Revision documental

Observacion
Entrevista

CI05 Controles Físicos Revision documental

Observacion
Entrevista

CI06 Capacitación de Empleados Revision documental

Observacion
Entrevista

CI07 Seguridad del Cortafuegos Revision documental

Observacion
Entrevista

CI08 Seguridad de Correo Aplicación de

Electrónico cuestionario, pruebas
de software y revisión
documental
1. CI01 Estado General de las Redes y Comunicaciones

1.1 Descripción

1.2. Objetivos
■ Identificar el estado de diagramas de red y configuración del hadware en relación a la
representación de accesos a la red y servicios
■ Obtener la información

1.3. Procedimiento
1. Realizar la petición sobre diagramas de red,

1.3.1. Obtener Información Preliminar

● Diagrama de Red
● Otros Materiales

Procedimiento: Diagrama de red Observaciones

Detalles de la prueba:
· Obtener un un diagrama completo de red, incluyendo una copia de del
diagrama de configuracion del hardware, con todas las conecciones de la
topologia de red servidores,equipo de comunicaciones, estaciones, puentes,
repetidores, etc
- Asegúrando que el diagrama de la red externa indica cómo acceder a partes de la
red y de los servicios.

Procedimiento: Otros materiales Observaciones:

Detalles de la prueba:
Obtener y revisar lo siguiente
- Politicas, estandares y procedimientos
- Proveedor y el nombre del representante de los proveedores del ISP-
Los nombres de los responsables de contenido de la intranet y la
administración
- Informe con ejemplos y seguimiento del firewall
- Informes de seguridad violación
- Plan de contingencia
Listado descriptivo del inventario (hardware y software). Para todo
el software del sistema y los servicios públicos, incluir el número de
versión actual y la historia de la revisión si procede
 - Lista de los servicios de red y los equipos suministrados por terceros.
-Lista de equipos que presentan problemas.

1.3.2. Cuestionario de Control Interno (ICQ)

Procedimiento Objetivo: Politica:

Cuestionario El objetivo del ICQ es evaluar la seguridad de la red general de la Este cuestionario
de Control empresa. a rellenar por el
Interno (ICQ) Los datos que se transmiten a través de líneas de la red pueden estar administrador
sujetos de red y / o el
a una variedad de exposiciones: la divulgación, los errores, los mensajdems inistrador de
de la zona.
extravío, o la negligencia de terceros. En la medida de lo posible, tratar
de recomendar los controles que son principalmente de naturaleza
preventiva. En la ausencia de controles preventivos, se debe recomendar
controles de detección que actúan como una pista de auditoría y como un
elemento de disuasión.

Detalle de Prueba:

GENERAL
1. ¿Existen documentos con los procedimientos para el uso de la red?

2. Tiene la responsabilidad y la responsabilidad de los proveedores de la red en definir (por

ejemplo, contratos)?

3. ¿Existe un inventario de equipos de red de datos, incluidas las líneas, terminales, módems,
controladores, etc?

4. Existe un diagrama de red, que muestra las conexiones físicas y lógicas entre los equipos de
red, ha preparado?
5. ¿Tiene documentación de la red incluyen una descripción de:
- Los equipos de red que se utiliza para apoyar a cada uno de las aplicaciones de red?
- Protocolos utilizados?
- Puertas de enlace con otras redes?
6. Han sido etiquetado de equipos de redes para facilitar la referencia cruzada a la
documentación?
7. ¿Son los códigos de acceso periódicamente cambiado?
 - ¿Con qué frecuencia?
8. ¿Tiene documentación de la red incluyen una descripción de:
- Los equipos de red que se utiliza para apoyar a cada uno de las aplicaciones de red?
- Protocolos utilizados?
- Puertas de enlace con otras redes?
9. ¿Existe una política de acceso al sistema a seguir por las partes externas?
10. ¿Existe un inventario de las aplicaciones accesibles desde el exterior y servicios?
11. ¿Existe documentación relativa a las aplicaciones y la información de las partes externas
tienen acceso?

RENDIMIENTO / INTEGRIDAD
1. ¿Existe un terminal específico diseñado para monitorizar la actividad dentro del sistema on-
line?
2. Tener normas de funcionamiento ha establecido?
3. Haga prioridades (por los requisitos de la terminal o la aplicación) asignado a cada línea de la
red parece razonable?
4. Procure personal de la red de soporte a revisar las nuevas aplicaciones para determinar su
impacto en los sistemas existentes?

Detalles de la Prueba:
¿Tiene la capacidad de planificación incluirá un análisis de la longitud del mensaje, el protocolo, el
volumen de transacciones y el tráfico de mensajes?
¿Son los tiempos de respuesta medidos y evaluados para posible mejora del rendimiento de la red?
¿La gestión rutinaria revisión de los servicios de proveedores realizado?
¿Están los controles periódicos de la red realizadas para verificar el correcto funcionamiento y detectar
terminal / línea de errores de módem?
¿Se fallos de hardware de red documentados, incluyendo las acciones correctivas tomadas?
¿Configuración del módem cambiar periódicamente en comparación con las especificaciones de la línea
de configuración de red?
Si se utilizan circuitos arrendados, ha sido considerado acondicionamiento de líneas para reducir los
errores de transmisión?
¿Se ha tenido en cuenta la transmisión digital para reducir los errores de transmisión?
Tener los procedimientos establecidos para garantizar que todas las operaciones realizadas se han
recibido? (Por ejemplo, registro de cuenta enviados / recibidos)?
Procura utilizar un almacenamiento y envío de mensajería del sistema?
Si es así, ¿existen controles adecuados para garantizar que las transacciones fueron enviados a
sus destinos apropiados?
¿Existe una revisión de todos los mensajes de transacción que sean dadas por desaparecidas,
distorsionado, duplicado, o retrasado?
¿Es la persona, la encargada de examinar los registros de errores y notificar al personal de seguridad de
algo inusual?
¿Existe un método para crear un blog (camino) de todos los mensajes enviados?
¿Tiene cada mensaje contiene información de identificación tales como:
- Número de puerto (en caso de marcar)
- Número de mensaje
- Terminal
- Instrucciones?
- Fecha?
- Código de transacción?
- Al final de su mensaje?
- Fin de la transmisión?
¿Existe un método (número de secuencia en cada mensaje) para dar cuenta de todos los mensajes y
para identificar los mensajes ilegales?
¿Hay servicios de emergencia para el sistema en línea en el caso de una emergencia?
¿Están las líneas de acceso telefónico utilizado en caso de fallas en las líneas alquiladas?
- Si es así, ¿hay un número suficiente de líneas de acceso telefónico (2 líneas por módem) para
facilitar la red conmutada de respaldo de compatibilidad (SNBU)?
¿Existen módems de copia de seguridad disponibles para estas líneas?
En el caso de las interrupciones del servicio, ¿existen procedimientos escritos a seguir para reiniciar la
red on-line?
¿Tiene el sistema prevé reiniciar los procedimientos y recuperación para recuperar la comunicación
después de un fallo de hardware / software?

SEGURIDAD DIAL-UP

· ¿Existe una lista de usuarios autorizados del acceso telefónico a las instalaciones?
· ¿Existen disposiciones establecidas para garantizar la confidencialidad de los números de teléfono
(por ejemplo, no cotizan en bolsa)?
· ¿Son los números de acceso telefónico cambiados periódicamente?

Detalles de laPrueba (continuacion):

· · ¿Puede determinar desde la CPU de un terminal de marcado manual, automáticamente obtener
su identificación, y comprobar que la llamada terminal es el mismo terminal que "dice" que está
llamando?
· ¿Tiene el sistema de desconectar a los usuarios que colgar el teléfono sin cerrar la sesión
correctamente?
· ¿Es el acceso dial-up limitada sólo a los números telefónicos controlados por el departamento de
informática. (Dial-up no se debe permitir a los módems, que puede ser parte de una configuración
de escritorio local, ya que esto puede permitir que usuarios no autorizados a conectarse a la red sin
estar debidamente autenticados.

SEGURIDAD FÍSICA

· ¿Son controlados los problemas físicos y ambientales adecuadamente para proteger los equipos de red
de entornos de trabajo adversos?
· ¿Están los controladores de red situado en un área segura bajo el control del personal de operaciones o
de una instalación central de la red?
· ¿Están los cables y pantallas de visualización de vídeo eléctricamente protegidos para evitar
emanaciones eléctricas o de manipulación física?
· ¿Es el acceso a los equipos de ensayo (por ejemplo, los ámbitos de datos, los controles de línea) y el
software de diagnóstico de red, con acceso solo al personal adecuado?
· ¿Está el equipo de prueba utilizado para monitorear la red controlada?
· Es un ámbito de aplicación los datos que se utiliza para controlar en línea los circuitos y el equipo? Si
es así:
- ¿Está en una zona restringida?
- ¿La unidad de restringir el acceso a personal autorizado?
· ¿Están de inicio de sesión, los comandos del sistema, y en línea de manuales de documentación de la
operación catalogada como confidencial y se coloca cuando no esté en un área segura en uso?

Seguridad Lógica

· ¿Están las contraseñas y los códigos únicos de usuario necesarios para iniciar sesión en el software de
red?
· Tiene el principio de privilegio mínimo (por ejemplo, la concesión de la autorización de acceso
mínimo necesario para las tareas de funcionamiento exigidos) llevado a cabo?
· ¿Son sólo el personal autorizado de permiso para acceder a software de red?
- Si es así, ¿quién?
· ¿Se permite sólo el personal autorizado para inspeccionar buffers de almacenamiento (por ejemplo,
utilizando los ámbitos de software o datos, los usuarios pueden examinar los mensajes incluidos los
identificadores y contraseñas)?
· Si la red se ha configurado para permitir funciones de control remoto de terminales (por ejemplo, el
mantenimiento o proveedor de servicios) por parte de no es el personal, son los parámetros por
defecto de campo proveedor de servicios para la revisión necesidad demostrada?
· Si una oficina de servicio está siendo utilizado para transmitir datos, ha proporcionado las medidas de
seguridad adecuadas para los identificadores y controlar tu contraseña?
· ¿Tiene el sistema de prevenir la aparición de cualquier "AYUDA" información antes de que el usuario
haya iniciado sesión correctamente?
· Durante el inicio de sesión, es el sistema informará al usuario cuando éste último cierra la sesión?
· ¿Se borran después de tampones terminal de inicio de sesión correcto?
· ¿Están los usuarios impedido de hacer un número ilimitado de intentos de inicio de sesión sin éxito?
· Si hay terminales inexistente predefinidas en las tablas del sistema, son terminales intruso impedido
estar conectado al sistema como una de las entidades predefinidas?
· Si la información sensible está en proceso, hay controles adecuados para garantizar que la producción
sólo puede estar encaminada a "autorizado" impresoras o "autorizado" las instalaciones de
impresión?

Detalles de prueba (continuación):

· Tiene mensaje cifrado, se ha considerado como un medio para proteger los datos sensibles y la
 contraseña durante la transmisión?
-Si el cifrado se utiliza, tiene control sobre la clave de cifrado ha desarrollado?
· ¿El sistema emplea un método de seguridad del flujo de tráfico para ocultar la presencia de mensajes
válidos en la línea al hacer que el circuito que aparece ocupado en todo momento o mediante la
encriptación de los direcciones de origen y destino de los mensajes válidos?
· En los sistemas con capacidad de correo electrónico donde los mensajes pop-up en modo interactivo,
los usuarios han recibido instrucciones de ignorar la petición de un intruso para una identificación y
contraseña al ser informado de que este no es un sistema legítimo.

2. CI02 Redes y Planes de Contingenia

2.1 Descripción
Este punto permite conocer como se almacena y recupera la informacion, es decir, determinar el nivel de
disponibilidad de la informacion, independiente de la situacion.

2.2. Objetivos
* Asegurar el almacenamiento y la recuperacion de informacion
* Determinar la capacitacion a personal, sobre la importacia de los backups

2.3. Procedimiento
El proceso para evaluar esta área es a partir de los instrumentos creados : observacion y entrvistas

2.3.1. Obtener Información Preliminar

● Procedimientos de copia de seguridad
● Plan de Recuperación de Desastres
Procedimiento: Observaciones:
Procedimiento de Backups

Detalles de la prueba:
· Revisión de los materiales de copia de seguridad.
- Determinar si los procedimientos de backup y recuperación se están
cumpliendo.
· Entrevista personal SE para determinar si se han cruzado capacitado.
- Revisar los registros de capacitación para determinar la cantidad de
entrenamiento cruzado siempre.

Procedure Step: Observaciones:

Plan de Recuperacion de desastre

Detalles de la prueba:
· Obtener y revisar una copia del plan de recuperación de desastres y el
acuerdo de sede alterna, en su caso.
- Determinar si están completos y actualizados, y si la dirección ejecutiva ha
firmado en el plan.
· Determinar quién es responsable en el desarrollo del plan y si los usuarios
y todas las facetas del trabajo en red han participado adecuadamente en
su desarrollo.
· Determinar si una evaluación de riesgos se ha preparado y si parece
razonable.
· Determinar si la gestión ejecutiva ha aprobado la financiación de un sitio
alternativo y las pruebas del plan de recuperación de desastres.
- Observar una prueba del plan, si es posible.
· Revisión de los resultados de la prueba del plan de recuperación de
desastres.

3. CI03 Internet

2.1 Descripción
Análisis de Politicas y estandares establecido en el área para permitir un correcto funcionamiento de
equipos y personal

2.2. Objetivos
Confrontar las politicas establecidas con el verdadero funcionamiento del área tanto en equipos como del
personal
Verificación del estado de los equipos

2.3. Procedimiento
Ejecución de los diferentes instrumentos (Observación, revision documental y entrevista)

2.3.1. Obtención de Información

Política de la comprensión y el examen
Verficación del Estado de router

Procedimientos: Observaciones
Politica de comprension y revision
 Detalles de la prueba:
· Determinar el alcance y la comprensión de la política de uso de
Internet.
· Identificar el proceso que se utilizó para desarrollar la política.
- Determinar si el proceso de considerar el valor y grado de confianza
en el servidor de seguridad y la probabilidad, a la gravedad y el
alcance de las posibilidades de daños directos e indirectos.
· Evaluar si la política:
- Identifica los activos específicos que se destina la firewall para
proteger y los objetivos de dicha protección (integridad,
disponibilidad y confidencialidad).
- Describe la estructura organizativa y las responsabilidades asociadas
y la responsabilidad del personal que estará encargado de
implementar la política, vigilar el cumplimiento de la política y la
adhesión a la política.
- Soporta el uso legítimo y el flujo de datos e información.
- Documentos de la información que pasa por el firewall será objeto de
seguimiento (limitan la responsabilidad de organización, reducir el
abuso, la persecución de apoyo para el abuso).
¿Es coherente tanto en el tono y, en principio, con otras políticas de la
organización y la práctica aceptada (por ejemplo, la disponibilidad de
acceso a Internet para uso no comercial).
· Comprobar si un abogado ha revisado la política de garantizar la
coherencia con los requisitos y las limitaciones impuestas externamente
(leyes, reglamentos, etc.)
· Determinar si la aprobación de la gestión de la política ha sido solicitada
y concedida y la fecha de la revisión más reciente de la política por la
administración.
· Identificar cómo la política de Internet fue / es comunicada a los usuarios
y cómo la conciencia se mantiene. Seleccionar una muestra de usuarios
y discutir su comprensión de sus responsabilidades relacionadas con el
uso de Internet y cómo reportar problemas.
· Determinar si las normas y procedimientos se han definido para
especificar el medio por el cual se implementa la política.
· Evaluar si las normas y procedimientos especificar quién es responsable
y facultado para hacer todas las funciones necesarias para el buen
funcionamiento del servidor de seguridad.
Evaluar si la política de seguridad:
- ¿Es fácil de leer y ubicar las secciones pertinentes
- ¿Es versionados y fecha
- ¿Es cuidadosamente redactado con todos los términos ambiguos definido
con precisión
- Establece las condiciones aceptables de uso, así como condiciones
inaceptables de uso
- ¿Es ampliamente comunicada a las personas afectadas
- Se revisa a intervalos regulares
· Considere si las siguientes cuestiones se abordan en el documento de
política:
- Ámbito de aplicación de la política en relación con otras redes internas y
externas con las que se puede conectar.
- La filosofía básica que se puede utilizar para tomar decisiones no
determinista.
- Las políticas de Gobierno, las leyes, los términos y condiciones
contractuales, o de otras políticas internas a la Compañía.
- Identificación de la persona que tiene la máxima autoridad para
interpretar y aplicar la política a una situación particular.
- Provisión para la política que debe renunciar temporalmente por una
persona de autoridad en virtud de ciertas condiciones o directrices.

Detalles de prueba (continuación):

· Considere si los derechos y responsabilidades de los usuarios se
abordan en el documento de política, incluyendo:
- Cuenta de utilización, tanto por el titular de la cuenta y el proveedor
del recurso. Las condiciones especiales pueden aplicarse a la
utilización de cuentas de usuario normal, y las cuentas de acceso
público (como FTP anónimo), y estas condiciones se podría
expresar aquí.
- Software y los datos de acceso y uso, incluidas las fuentes de datos y
software.
- Divulgación de información, que es potencialmente dañina, como la
información de contraseñas o información de configuración.
- Etiqueta, incluidas las formas aceptables de expresión (por ejemplo,
la expresión no ofensiva espera para el correo electrónico no
solicitado), y prácticas inaceptables (como la falsificación del
correo electrónico y artículos periodísticos).
- Contraseña usos y formatos.

Otras directrices sobre diversas prácticas razonables, tales como

el uso de ciclos de CPU y almacenamiento temporal de las áreas
generales de acceso. cuestiones de Derecho de Autor también se
pueden discutir aquí.
· Considere si los derechos y responsabilidades de los proveedores de
recursos se abordan en el documento de política, incluyendo:
- Directrices de seguridad física.
- Protección de las directrices.
 - Directrices de configuración incluyen:
- Asignación de la responsabilidad
- Directrices de conexión de red
- Autenticación de directrices
- Autoridad de celebrar y otorgar cuenta las directrices
- Auditoría y seguimiento de las orientaciones
- Directrices formato contraseña, la aplicación y la duración
- Nombre de banderas.

Procedimiento: Detalles de pruebas: Observaciones:

Configuración de - Determinar y asignar la configuración de hardware de

Hardware Internet.
- Garantizar la adecuación de la construcción de firewall.

CERT Avisos Determinar si, y que se mantiene vigente en CERT

(Computer Emergency Response Team) y otros avisos.

Host segudidad Determinar el alcance y la frecuencia de la vigilancia de la

salud de la seguridad del host

Monitoreo de la Determinar el alcance y la regularidad de seguimiento de

actividad de la red actividad de la red.

Detección de Determinar en qué medida el control de detección de

Intrusos intrusos de actividad de la red.

2.3.2. Verficación del Estado de Router

Procedimiento: Detelles de Prueba: Observaciones::

Seguridad General del · Determinar si los enrutadores están protegidos por la
Router autenticación segura y control de acceso.
· Revisar que todos los routers utilizan múltiples niveles
o grados de asegurar que las personas tienen
derechos pre-asignado, según corresponda.
- Garantizar que las personas sólo una o dos tienen
acceso a configurar y actualizar la red.
- Garantizar la protección adecuada de las
configuraciones de la dirección y las tablas de
enrutamiento, determinan que las contraseñas son,
como mínimo, diez caracteres alfanuméricos.
- Asegúrese de que las modificaciones del router se
realizan de una manera segura y controlada.

Gestion de Router Determine si el más seguro fuera de la gestión de

routers de banda que utiliza. En la banda de gestión de
configuraciones del router permite a través de la red en
lugar de a través de acceso físico y el conocimiento de
códigos del sistema. Como solución de compromiso, las
actualizaciones en la banda debe ser a través de un puerto
de acceso telefónico con la seguridad de línea

Seguridad Fisica Asegúrese de que los routers son físicamente seguro.

del Router

Configuracion de la Asegurar que la información del router archivo de

seguridad del Router configuración se cifra, sobre todo contraseñas. La
compresión de datos para la eficiencia puede responder a
esa necesidad.

Revision de la Determinar el alcance y la revisión de la actividad del

actividad del Router router.
- Especialmente importante es una pista de auditoría
de todos los intentos de acceder al router, ver sus
configuraciones, y cambiar su configuración.
- Determinar el uso de la notificación - los routers y
notificar a los administradores cuando hay una entrada
errónea

Router de prueba Determinar el alcance de las pruebas cuando se

produzcan cambios.

Procedimiento: Detalles de prubas: Observaciones:

Intentos sin autorizacion Determine si no autorizada de inicio de sesión en
de inicio de sesion los intentos se registran, alarmado, y se envía en un
agujero negro.

Contenido apropiado Detalles de la prueba:

· Obtener acceso a la Intranet y revisar toda la
información del sitio y enlaces para la conveniencia.

Seguridad del sitio · Revisión de la seguridad de las páginas del sitio.

Página - Actualización de acceso debe residir con los
propietarios solamente. Seguridad debe ser tal que
no permiten el acceso desde el exterior por cualquier
página, incluidos los responsables de mantenimiento.
El mantenimiento debe realizarse en el lugar
solamente.

4. CI04 Controles físicos

4.1 Descripción
En esta parte se tiene la infraestructura y la disposicion de cada uno de los elementos
(mantenimiento, actualizaciones, repotes de compras, ...) que permiten la comunicacion.
Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.
Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el
trafico en ella.
Descripción y pruebas de la protección de la organización de amenazas tanto en equipos de
escritorio como datacenter.

4.2. Objetivos
Determinar el nivel de seguridad de los equipos (Servidores, LAN)
Evaluar la seguridad brindada desde la estación de trabajo

4.3. Procedimiento
Ejecución de los diferentes instrumentos (Observación, revision documental y entrevista)

4.3.1. Get Preliminary Information

Procedimiento: Detalles de Prueba: Observaciones:

Seguridad de Servidores Verifique la seguridad física proporcionan para

los servidores y comunicaciones configurables
equipos de red es la adecuada.
- Verificar que todos los servidores están
asegurados en un área inaccesible a todos,
pero el personal autorizado.
- Determinar la forma de acceso autorizado,
controlado y supervisado.
- Verificar que los equipos independientes y
los suministros no se almacenan en el área
de seguridad.

Seguridad de distribucion Verifique la seguridad física previstos equipo

de la LAN para redes de distribución es la adecuada.
- Verificar que todos los equipos grandes,
la distribución primaria de las zonas de
acceso controlado.
- Para los equipos de distribución secundaria
(grupos pequeños), determinan que el
equipo esté debidamente protegidos de la
desconexión accidental o perturbación.

Estación de trabajo de Determinar si la seguridad física de estación de

seguridad física trabajo es adecuado y suficiente.

Control Ambiental · Determinar si las condiciones ambientales

cumplen con las especificaciones de
equipamiento, incluidos:
- Artículos de electricidad, incluyendo UPS
y energía de emergencia y equipos de aire
acondicionado
- Los sistemas de HVAC y control
- Control de Estática

Almacenamiento en las · Determinar si el almacenamiento en todos los

instalaciones de los medios del sistema es adecuado para evitar el
datos acceso no autorizado.

5. CI04 Capacitación de empleados

5.1 Descripción
Evaluacion de la continua capacitación que se debe brindar a los usuarios para permitir mejor rendimiento
y seguridad.

5.2. Objetivos
Determinar la comunicación de políticas, estándares y demás elementos al personal
Crear conciencia al personal sobre la seguridad y el manejo de los equipos

5.3. Procedimiento

Ejecución de los diferentes instrumentos (Observación, revision documental y entrevista)

Procedimiento: Detalles de Pruebas: Observaciones

Importe de la · Determinar la cantidad de empleados en educacion

educación en las como a las políticas de redes y procedimientos
políticas corporativos.
· Determinar el nivel de educación de los empleados en
el uso eficiente del hardware y software.

Conciencia de · Determinar el nivel de concienciación sobre la

seguridad seguridad de los empleados que utilizan las redes,
incluyendo vulnerabilidades, métodos de control, y las
condiciones de las leyes de copyright con respecto al
uso y la duplicación.

Las acciones Determinar si las acciones disciplinarias se han

disciplinarias formulado para los pantalones de directrices de la
empresa de seguridad de datos.

6. CI04 Seguridad Firewall

6.1 Descripción
El firewall se convierte en el elemento indispensable para garantizar la seguridad de servidores y datos
en este proceso se busca determinar a través del uso de diferentes herramientas el nivel de seguridad en
el que se encuentra teniendo en cuenta que deben haber póliticas de acceso y garantizar que el firewall
establecido sea de un provedor confiable

6.2. Objetivos
● Determinar el nivel de confianza que se puede esperar de el servidor de seguridad.
● Determinar y realizar pruebas de servidor de seguridad.
 ● Evaluar los resultados de la exposición y la vulnerabilidad.

6.3. Procedimiento
Revisión Documental Externa
Observación Directa
Experimentación
Uso de herramientas de Software ISS, SATAN, TRIPWIRE, COPS.

Procedimiento: Detalles de Pruebas: Observaciones:

Proveedor de Revisión Documental Externa

Firewall Revisar la información de proveedores para determinar
el nivel de confianza que se puede esperar de el
servidor de seguridad.

DiseñoFirewall · Examinar el diseño de cortafuegos.

Determinar lo que se conoce los problemas de
seguridad. Estos problemas se puede encontrar
en todo tipo de lugares, por lo que la búsqueda se
consume mucho tiempo.Como ejemplo, mira cómo
el servidor de seguridad se encarga de tampones y
desbordamientos de búfer.

Servidor de · • Firewall Examinar los registros.

seguridad - Activar el registro detallado para un período
seleccionado y examinar los registros en
Revisión de
detalle. Esto puede tomar bastante tiempo, pero
registro
vamos a tener una idea de si el cortafuegos está
funcionando correctamente. Además, los registros
también se creará si se utiliza un servicio que no
sabía es habilitado o que se utiliza en el sistema.
Al examinar los registros, esto puede ser detectado
y corregido.

Pruebas al Firewall · Determinar y realizar pruebas de servidor de

seguridad. El objetivo es tratar de penetrar en el
servidor de seguridad, así como para prescindir
de ella. Los problemas técnicos tales como
las vulnerabilidades conocidas, así como una
configuración errónea y mal implementado
políticas de seguridad son explotados, si es
posible.
Crear un plan de pruebas.
Riesgos del Firewall · Descargar y ejecutar cualquier o todos los siguientes
productos de seguridad contra el servidor de
seguridad:
- ISS
- SATAN
- TRIPWIRE,
- COPS.
· Evaluar los resultados de la exposición y la
vulnerabilidad.
Antes de intentar esto en contra de cualquier sistema
de producción es mejor probar en contra de un sistema
de prueba. El departamento de informática debe ser
consciente de que cualquier prueba de este tipo que
está pasando, ya que es posible hacer que el sistema se
bloquee.

7. CI04 Securidad en Correo Electrónico

7.1 Descripción
A través de la revisión documental se desea establecer los mecanismo utilizados para garantizar el buen
funcionamiento de este proceso apoyado por el uso de políticas, herramientas u otros medios que indique
la entidad, a nivel de prácticas de backup y niveles de seguridad

7.2. Objetivos:
● Determinar y analizar las prácticas de seguridad para correo electrónico
● Determinar el grado de seguimiento de tráfico de correo electrónico.
● Obtener una comprensión de la seguridad del correo electrónico

7.3. Procedimiento
Aplicación de cuestionario, pruebas de software y revisión documental

7.3.1. Aplicación de Cuestionario

Procedimiento Detalles/Prueba Observaciones:

Prácticas de Backup Cuestionario:

1. Están definidas practicas de seguridad para el uso del
correo electrónico en la organización.
2. Es de conocimiento de todos los empleados esta
información.
3. Se han definido políticas para el control de la cuenta de
correo institucional
Seguimiento 4. Se ha determinado el uso de software/herramientas para el
seguimiento de tráfico de correo electrónico

Revisión de Obtener una comprensión de la seguridad del correo

Políticas electrónico a través de la política de seguridad formal. La
política debe dar una norma clara que describe las razones y
objetivos de la seguridad, la necesidad de proteger los datos
corporativos, que es responsable de mantener la seguridad,
el nivel de confidencialidad, integridad y disponibilidad
deseada; claramente usos aceptables para el sistema de correo
electrónico y, cualquier advierte sobre la vigilancia

Nivel de Seguridad 1. De uno a 10 determine el nivel de seguridad disponible en

el sistema de correo electronico
2. Enumere las actividades realizadas para almacenar y
transmitir mensajes de correo electrónico de forma segura en
la organización

Bibliografía
Fuentes: Iternet, Documentación entregada por el profesor y bibliografía técnica.
Information Systems Audit and Control Association www.isaca.org
Networking AUDIT PROGRAM & INTERNAL CONTROL QUESTIONNAIRE
http://www.34t.com/box-docs.asp?doc=497
http://www.scribd.com/doc/6575883/Auditoria-de-Redes-y-Base-de-Datos