Beruflich Dokumente
Kultur Dokumente
Programa de Auditoría
“Redes, Comunicaciones e internet”
Indice
Introducción
Auditoría de Redes
Auditoria de comunicaciones:
Auditoria De La Red Física
Auditoria de la Red Lógica
Programa de auditoría
Origen de la Auditoría
Alcance
Objetivos Principales
Metodología
Procesos a Evaluar
1. CI01 Estado General de las Redes y Comunicaciones
1.1 Descripción
1.2. Objetivos
1.3. Procedimiento
1.3.1. Obtener Información Preliminar
1.3.2. Cuestionario de Control Interno (ICQ)
GENERAL
2. CI02 Redes y Planes de Contingenia
2.1 Descripción
2.2. Objetivos
2.3. Procedimiento
2.3.1. Get Preliminary Information
3. CI03 Internet
2.1 Descripción
2.2. Objetivos
2.3. Procedimiento
2.3.1. Obtención de Información
2.3.2. Verficación del Estado de Router
4. CI04 Controles físicos
4.1 Descripción
4.2. Objetivos
4.3. Procedimiento
4.3.1. Get Preliminary Information
5. CI04 Capacitación de empleados
5.1 Descripción
5.2. Objetivos
5.3. Procedimiento
Ejecución de los diferentes instrumentos (Observación, revision documental y
entrevista)
6. CI04 Seguridad Firewall
6.1 Descripción
6.2. Objetivos
6.3. Procedimiento
7. CI04 Securidad en Correo Electrónico
7.1 Descripción
7.2. Objetivos:
7.3. Procedimiento
7.3.1. Aplicación de Cuestionario
Bibliografía
Introducción
Auditoría de Redes
Es una serie de mecanismos mediante los cuales se pone a prueba una red informática,
evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la
información.
Auditoria de comunicaciones:
Ha de verse:
● La gestión de red. Los equipos y su conectividad.
● La monitorización de las comunicaciones.
● La revisión de costes y la asignación formal de proveedores.
● Creación y aplicabilidad de estándares.
En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a
enviar mensajes hasta que satura por completo la red.
Para éste tipo de situaciones:
● Se deben dar contraseñas de acceso.
● Controlar los errores.
● Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto,
regularmente se cambia la ruta de acceso de la información a la red.
● Registrar las actividades de los usuarios en la red.
● Encriptar la información pertinente.
● Evitar la importación y exportación de datos.
Que se comprueban si:
● El sistema pidió el nombre de usuario y la contraseña para cada sesión:
● En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin
autorización, ha de inhabilitarse al usuario que tras un número establecido de veces
erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar
su contraseña regularmente, las contraseñas no deben ser mostradas en pantalla tras
digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de
evitar suplantaciones.
● Inhabilitar el software o hardware con acceso libre.
● Generar estadísticas de las tasas de errores y transmisión.
● Crear protocolos con detección de errores.
● Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
● El software de comunicación, ha de tener procedimientos correctivos y de control ante
mensajes duplicados, fuera de orden, perdidos o retrasados.
● Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos
desde una terminal debidamente autorizada.
● Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
● Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre
diferentes organizaciones.
● Asegurar que los datos que viajan por Internet vayan cifrados.
● Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad
asociado para impedir el acceso de equipos foráneos a la red.
● Deben existir políticas que prohíban la instalación de programas o equipos personales en
la red.
● Los accesos a servidores remotos han de estar inhabilitados.
● La propia empresa generará propios ataques para probar solidez de la red y encontrar
posibles fallos en cada una de las siguientes facetas:
○ Servidores = Desde dentro del servidor y de la red interna.
○ Servidores web.
○ Intranet = Desde dentro.
○ Firewall = Desde dentro.
○ Accesos del exterior y/o Internet.
Programa de auditoría
(con guías detalladas de auditoría sobre el tema en particular (utilice todos los instrumentos y
técnicas que requiera).
Origen de la Auditoría
Alcance
Inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre
tiempos de desuso. Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la
desactualizacion de esta documentación significaría una grave debilidad. La inexistencia de datos sobre
la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad
Informática. Determinación de las disfunciones organizativas. La contratación e instalación de líneas
va asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes
Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.).
Objetivos Principales
● Evaluar el estado de Redes y Planes de Contingenia, Internet, Intranet, Controles Físicos,
Capacitación de Empleados, Seguridad del Cortafuegos, Seguridad de Correo Electrónico
● Comprender la organización y la manera como la comunicación incide en su funcionamiento.
● Medir la eficacia de la plataforma de canales y medios internos o externos de la
organización.
● Determinar las dependencias en comunicaciones de la organización.
Metodología
Para el desarrollo de la auditoria especializada de comunicaciones se propone desarrollar una
serie de fases:
Procesos a Evaluar
Ref Actividad a ser evaluada Herramienta a Observación
utilizar
1.1 Descripción
1.2. Objetivos
■ Identificar el estado de diagramas de red y configuración del hadware en relación a la
representación de accesos a la red y servicios
■ Obtener la información
1.3. Procedimiento
1. Realizar la petición sobre diagramas de red,
Detalles de la prueba:
· Obtener un un diagrama completo de red, incluyendo una copia de del
diagrama de configuracion del hardware, con todas las conecciones de la
topologia de red servidores,equipo de comunicaciones, estaciones, puentes,
repetidores, etc
- Asegúrando que el diagrama de la red externa indica cómo acceder a partes de la
red y de los servicios.
Detalles de la prueba:
Obtener y revisar lo siguiente
- Politicas, estandares y procedimientos
- Proveedor y el nombre del representante de los proveedores del ISP-
Los nombres de los responsables de contenido de la intranet y la
administración
- Informe con ejemplos y seguimiento del firewall
- Informes de seguridad violación
- Plan de contingencia
Listado descriptivo del inventario (hardware y software). Para todo
el software del sistema y los servicios públicos, incluir el número de
versión actual y la historia de la revisión si procede
- Lista de los servicios de red y los equipos suministrados por terceros.
-Lista de equipos que presentan problemas.
Detalle de Prueba:
GENERAL
1. ¿Existen documentos con los procedimientos para el uso de la red?
3. ¿Existe un inventario de equipos de red de datos, incluidas las líneas, terminales, módems,
controladores, etc?
4. Existe un diagrama de red, que muestra las conexiones físicas y lógicas entre los equipos de
red, ha preparado?
5. ¿Tiene documentación de la red incluyen una descripción de:
- Los equipos de red que se utiliza para apoyar a cada uno de las aplicaciones de red?
- Protocolos utilizados?
- Puertas de enlace con otras redes?
6. Han sido etiquetado de equipos de redes para facilitar la referencia cruzada a la
documentación?
7. ¿Son los códigos de acceso periódicamente cambiado?
- ¿Con qué frecuencia?
8. ¿Tiene documentación de la red incluyen una descripción de:
- Los equipos de red que se utiliza para apoyar a cada uno de las aplicaciones de red?
- Protocolos utilizados?
- Puertas de enlace con otras redes?
9. ¿Existe una política de acceso al sistema a seguir por las partes externas?
10. ¿Existe un inventario de las aplicaciones accesibles desde el exterior y servicios?
11. ¿Existe documentación relativa a las aplicaciones y la información de las partes externas
tienen acceso?
RENDIMIENTO / INTEGRIDAD
1. ¿Existe un terminal específico diseñado para monitorizar la actividad dentro del sistema on-
line?
2. Tener normas de funcionamiento ha establecido?
3. Haga prioridades (por los requisitos de la terminal o la aplicación) asignado a cada línea de la
red parece razonable?
4. Procure personal de la red de soporte a revisar las nuevas aplicaciones para determinar su
impacto en los sistemas existentes?
Detalles de la Prueba:
¿Tiene la capacidad de planificación incluirá un análisis de la longitud del mensaje, el protocolo, el
volumen de transacciones y el tráfico de mensajes?
¿Son los tiempos de respuesta medidos y evaluados para posible mejora del rendimiento de la red?
¿La gestión rutinaria revisión de los servicios de proveedores realizado?
¿Están los controles periódicos de la red realizadas para verificar el correcto funcionamiento y detectar
terminal / línea de errores de módem?
¿Se fallos de hardware de red documentados, incluyendo las acciones correctivas tomadas?
¿Configuración del módem cambiar periódicamente en comparación con las especificaciones de la línea
de configuración de red?
Si se utilizan circuitos arrendados, ha sido considerado acondicionamiento de líneas para reducir los
errores de transmisión?
¿Se ha tenido en cuenta la transmisión digital para reducir los errores de transmisión?
Tener los procedimientos establecidos para garantizar que todas las operaciones realizadas se han
recibido? (Por ejemplo, registro de cuenta enviados / recibidos)?
Procura utilizar un almacenamiento y envío de mensajería del sistema?
Si es así, ¿existen controles adecuados para garantizar que las transacciones fueron enviados a
sus destinos apropiados?
¿Existe una revisión de todos los mensajes de transacción que sean dadas por desaparecidas,
distorsionado, duplicado, o retrasado?
¿Es la persona, la encargada de examinar los registros de errores y notificar al personal de seguridad de
algo inusual?
¿Existe un método para crear un blog (camino) de todos los mensajes enviados?
¿Tiene cada mensaje contiene información de identificación tales como:
- Número de puerto (en caso de marcar)
- Número de mensaje
- Terminal
- Instrucciones?
- Fecha?
- Código de transacción?
- Al final de su mensaje?
- Fin de la transmisión?
¿Existe un método (número de secuencia en cada mensaje) para dar cuenta de todos los mensajes y
para identificar los mensajes ilegales?
¿Hay servicios de emergencia para el sistema en línea en el caso de una emergencia?
¿Están las líneas de acceso telefónico utilizado en caso de fallas en las líneas alquiladas?
- Si es así, ¿hay un número suficiente de líneas de acceso telefónico (2 líneas por módem) para
facilitar la red conmutada de respaldo de compatibilidad (SNBU)?
¿Existen módems de copia de seguridad disponibles para estas líneas?
En el caso de las interrupciones del servicio, ¿existen procedimientos escritos a seguir para reiniciar la
red on-line?
¿Tiene el sistema prevé reiniciar los procedimientos y recuperación para recuperar la comunicación
después de un fallo de hardware / software?
SEGURIDAD DIAL-UP
· ¿Existe una lista de usuarios autorizados del acceso telefónico a las instalaciones?
· ¿Existen disposiciones establecidas para garantizar la confidencialidad de los números de teléfono
(por ejemplo, no cotizan en bolsa)?
· ¿Son los números de acceso telefónico cambiados periódicamente?
SEGURIDAD FÍSICA
· ¿Son controlados los problemas físicos y ambientales adecuadamente para proteger los equipos de red
de entornos de trabajo adversos?
· ¿Están los controladores de red situado en un área segura bajo el control del personal de operaciones o
de una instalación central de la red?
· ¿Están los cables y pantallas de visualización de vídeo eléctricamente protegidos para evitar
emanaciones eléctricas o de manipulación física?
· ¿Es el acceso a los equipos de ensayo (por ejemplo, los ámbitos de datos, los controles de línea) y el
software de diagnóstico de red, con acceso solo al personal adecuado?
· ¿Está el equipo de prueba utilizado para monitorear la red controlada?
· Es un ámbito de aplicación los datos que se utiliza para controlar en línea los circuitos y el equipo? Si
es así:
- ¿Está en una zona restringida?
- ¿La unidad de restringir el acceso a personal autorizado?
· ¿Están de inicio de sesión, los comandos del sistema, y en línea de manuales de documentación de la
operación catalogada como confidencial y se coloca cuando no esté en un área segura en uso?
Seguridad Lógica
· ¿Están las contraseñas y los códigos únicos de usuario necesarios para iniciar sesión en el software de
red?
· Tiene el principio de privilegio mínimo (por ejemplo, la concesión de la autorización de acceso
mínimo necesario para las tareas de funcionamiento exigidos) llevado a cabo?
· ¿Son sólo el personal autorizado de permiso para acceder a software de red?
- Si es así, ¿quién?
· ¿Se permite sólo el personal autorizado para inspeccionar buffers de almacenamiento (por ejemplo,
utilizando los ámbitos de software o datos, los usuarios pueden examinar los mensajes incluidos los
identificadores y contraseñas)?
· Si la red se ha configurado para permitir funciones de control remoto de terminales (por ejemplo, el
mantenimiento o proveedor de servicios) por parte de no es el personal, son los parámetros por
defecto de campo proveedor de servicios para la revisión necesidad demostrada?
· Si una oficina de servicio está siendo utilizado para transmitir datos, ha proporcionado las medidas de
seguridad adecuadas para los identificadores y controlar tu contraseña?
· ¿Tiene el sistema de prevenir la aparición de cualquier "AYUDA" información antes de que el usuario
haya iniciado sesión correctamente?
· Durante el inicio de sesión, es el sistema informará al usuario cuando éste último cierra la sesión?
· ¿Se borran después de tampones terminal de inicio de sesión correcto?
· ¿Están los usuarios impedido de hacer un número ilimitado de intentos de inicio de sesión sin éxito?
· Si hay terminales inexistente predefinidas en las tablas del sistema, son terminales intruso impedido
estar conectado al sistema como una de las entidades predefinidas?
· Si la información sensible está en proceso, hay controles adecuados para garantizar que la producción
sólo puede estar encaminada a "autorizado" impresoras o "autorizado" las instalaciones de
impresión?
2.1 Descripción
Este punto permite conocer como se almacena y recupera la informacion, es decir, determinar el nivel de
disponibilidad de la informacion, independiente de la situacion.
2.2. Objetivos
* Asegurar el almacenamiento y la recuperacion de informacion
* Determinar la capacitacion a personal, sobre la importacia de los backups
2.3. Procedimiento
El proceso para evaluar esta área es a partir de los instrumentos creados : observacion y entrvistas
Detalles de la prueba:
· Revisión de los materiales de copia de seguridad.
- Determinar si los procedimientos de backup y recuperación se están
cumpliendo.
· Entrevista personal SE para determinar si se han cruzado capacitado.
- Revisar los registros de capacitación para determinar la cantidad de
entrenamiento cruzado siempre.
Detalles de la prueba:
· Obtener y revisar una copia del plan de recuperación de desastres y el
acuerdo de sede alterna, en su caso.
- Determinar si están completos y actualizados, y si la dirección ejecutiva ha
firmado en el plan.
· Determinar quién es responsable en el desarrollo del plan y si los usuarios
y todas las facetas del trabajo en red han participado adecuadamente en
su desarrollo.
· Determinar si una evaluación de riesgos se ha preparado y si parece
razonable.
· Determinar si la gestión ejecutiva ha aprobado la financiación de un sitio
alternativo y las pruebas del plan de recuperación de desastres.
- Observar una prueba del plan, si es posible.
· Revisión de los resultados de la prueba del plan de recuperación de
desastres.
3. CI03 Internet
2.1 Descripción
Análisis de Politicas y estandares establecido en el área para permitir un correcto funcionamiento de
equipos y personal
2.2. Objetivos
Confrontar las politicas establecidas con el verdadero funcionamiento del área tanto en equipos como del
personal
Verificación del estado de los equipos
2.3. Procedimiento
Ejecución de los diferentes instrumentos (Observación, revision documental y entrevista)
Procedimientos: Observaciones
Politica de comprension y revision
Detalles de la prueba:
· Determinar el alcance y la comprensión de la política de uso de
Internet.
· Identificar el proceso que se utilizó para desarrollar la política.
- Determinar si el proceso de considerar el valor y grado de confianza
en el servidor de seguridad y la probabilidad, a la gravedad y el
alcance de las posibilidades de daños directos e indirectos.
· Evaluar si la política:
- Identifica los activos específicos que se destina la firewall para
proteger y los objetivos de dicha protección (integridad,
disponibilidad y confidencialidad).
- Describe la estructura organizativa y las responsabilidades asociadas
y la responsabilidad del personal que estará encargado de
implementar la política, vigilar el cumplimiento de la política y la
adhesión a la política.
- Soporta el uso legítimo y el flujo de datos e información.
- Documentos de la información que pasa por el firewall será objeto de
seguimiento (limitan la responsabilidad de organización, reducir el
abuso, la persecución de apoyo para el abuso).
¿Es coherente tanto en el tono y, en principio, con otras políticas de la
organización y la práctica aceptada (por ejemplo, la disponibilidad de
acceso a Internet para uso no comercial).
· Comprobar si un abogado ha revisado la política de garantizar la
coherencia con los requisitos y las limitaciones impuestas externamente
(leyes, reglamentos, etc.)
· Determinar si la aprobación de la gestión de la política ha sido solicitada
y concedida y la fecha de la revisión más reciente de la política por la
administración.
· Identificar cómo la política de Internet fue / es comunicada a los usuarios
y cómo la conciencia se mantiene. Seleccionar una muestra de usuarios
y discutir su comprensión de sus responsabilidades relacionadas con el
uso de Internet y cómo reportar problemas.
· Determinar si las normas y procedimientos se han definido para
especificar el medio por el cual se implementa la política.
· Evaluar si las normas y procedimientos especificar quién es responsable
y facultado para hacer todas las funciones necesarias para el buen
funcionamiento del servidor de seguridad.
Evaluar si la política de seguridad:
- ¿Es fácil de leer y ubicar las secciones pertinentes
- ¿Es versionados y fecha
- ¿Es cuidadosamente redactado con todos los términos ambiguos definido
con precisión
- Establece las condiciones aceptables de uso, así como condiciones
inaceptables de uso
- ¿Es ampliamente comunicada a las personas afectadas
- Se revisa a intervalos regulares
· Considere si las siguientes cuestiones se abordan en el documento de
política:
- Ámbito de aplicación de la política en relación con otras redes internas y
externas con las que se puede conectar.
- La filosofía básica que se puede utilizar para tomar decisiones no
determinista.
- Las políticas de Gobierno, las leyes, los términos y condiciones
contractuales, o de otras políticas internas a la Compañía.
- Identificación de la persona que tiene la máxima autoridad para
interpretar y aplicar la política a una situación particular.
- Provisión para la política que debe renunciar temporalmente por una
persona de autoridad en virtud de ciertas condiciones o directrices.
4.1 Descripción
En esta parte se tiene la infraestructura y la disposicion de cada uno de los elementos
(mantenimiento, actualizaciones, repotes de compras, ...) que permiten la comunicacion.
Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.
Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el
trafico en ella.
Descripción y pruebas de la protección de la organización de amenazas tanto en equipos de
escritorio como datacenter.
4.2. Objetivos
Determinar el nivel de seguridad de los equipos (Servidores, LAN)
Evaluar la seguridad brindada desde la estación de trabajo
4.3. Procedimiento
Ejecución de los diferentes instrumentos (Observación, revision documental y entrevista)
5.2. Objetivos
Determinar la comunicación de políticas, estándares y demás elementos al personal
Crear conciencia al personal sobre la seguridad y el manejo de los equipos
5.3. Procedimiento
6.1 Descripción
El firewall se convierte en el elemento indispensable para garantizar la seguridad de servidores y datos
en este proceso se busca determinar a través del uso de diferentes herramientas el nivel de seguridad en
el que se encuentra teniendo en cuenta que deben haber póliticas de acceso y garantizar que el firewall
establecido sea de un provedor confiable
6.2. Objetivos
● Determinar el nivel de confianza que se puede esperar de el servidor de seguridad.
● Determinar y realizar pruebas de servidor de seguridad.
● Evaluar los resultados de la exposición y la vulnerabilidad.
6.3. Procedimiento
Revisión Documental Externa
Observación Directa
Experimentación
Uso de herramientas de Software ISS, SATAN, TRIPWIRE, COPS.
7.1 Descripción
A través de la revisión documental se desea establecer los mecanismo utilizados para garantizar el buen
funcionamiento de este proceso apoyado por el uso de políticas, herramientas u otros medios que indique
la entidad, a nivel de prácticas de backup y niveles de seguridad
7.2. Objetivos:
● Determinar y analizar las prácticas de seguridad para correo electrónico
● Determinar el grado de seguimiento de tráfico de correo electrónico.
● Obtener una comprensión de la seguridad del correo electrónico
7.3. Procedimiento
Aplicación de cuestionario, pruebas de software y revisión documental
Bibliografía
Fuentes: Iternet, Documentación entregada por el profesor y bibliografía técnica.
Information Systems Audit and Control Association www.isaca.org
Networking AUDIT PROGRAM & INTERNAL CONTROL QUESTIONNAIRE
http://www.34t.com/box-docs.asp?doc=497
http://www.scribd.com/doc/6575883/Auditoria-de-Redes-y-Base-de-Datos