TRABAJO AUDITORIAS ESPECIALIZADAS Programa de Auditora Redes, Comunicaciones e internet Indice

Introduccin Auditora de Redes Auditoria de comunicaciones: Auditoria De La Red Fsica Auditoria de la Red Lgica Programa de auditora Origen de la Auditora Alcance Objetivos Principales Metodologa Procesos a Evaluar 1. CI01 Estado General de las Redes y Comunicaciones 1.1 Descripcin 1.2. Objetivos 1.3. Procedimiento 1.3.1. Obtener Informacin Preliminar 1.3.2. Cuestionario de Control Interno (ICQ) GENERAL 2. CI02 Redes y Planes de Contingenia 2.1 Descripcin 2.2. Objetivos 2.3. Procedimiento 2.3.1. Get Preliminary Information 3. CI03 Internet 2.1 Descripcin 2.2. Objetivos 2.3. Procedimiento 2.3.1. Obtencin de Informacin 2.3.2. Verficacin del Estado de Router 4. CI04 Controles fsicos 4.1 Descripcin 4.2. Objetivos 4.3. Procedimiento 4.3.1. Get Preliminary Information 5. CI04 Capacitacin de empleados 5.1 Descripcin 5.2. Objetivos 5.3. Procedimiento

Ejecucin de los diferentes instrumentos (Observacin, revision documental y entrevista) 6. CI04 Seguridad Firewall 6.1 Descripcin 6.2. Objetivos 6.3. Procedimiento 7. CI04 Securidad en Correo Electrnico 7.1 Descripcin 7.2. Objetivos: 7.3. Procedimiento 7.3.1. Aplicacin de Cuestionario Bibliografa

Introduccin
Auditora de Redes
Es una serie de mecanismos mediante los cuales se pone a prueba una red informtica, evaluando su desempeo y seguridad, a fin de lograr una utilizacin ms eficiente y segura de la informacin.

Auditoria de comunicaciones:
Ha de verse: La gestin de red. Los equipos y su conectividad. La monitorizacin de las comunicaciones. La revisin de costes y la asignacin formal de proveedores. Creacin y aplicabilidad de estndares. Cumpliendo como objetivos de control : Tener una gerencia de comunicaciones con plena autoridad de voto y accin. Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo equipo relacionado con las comunicaciones. Mantener una vigilancia constante sobre cualquier accin en la red.

Registrar un coste de comunicaciones y reparto a encargados. Mejorar el rendimiento y la resolucin de problemas presentados en la red.

Para lo cual se debe comprobar: El nivel de acceso a diferentes funciones dentro de la red. Coordinacin de la organizacin de comunicacin de datos y voz. Han de existir normas de comunicacin en: Tipos de equipamiento como adaptadores LAN. Autorizacin de nuevo equipamiento, tanto dentro, como fuera de las horas laborales. Uso de conexin digital con el exterior como Internet. Instalacin de equipos de escucha como Sniffers (exploradores fsicos) o Traceadores (exploradores lgicos). La responsabilidad en los contratos de proveedores. La creacin de estrategias de comunicacin a largo plazo. Los planes de comunicacin a alta velocidad como fibra ptica y ATM ( tcnica de conmutacin de paquetes usada en redes MAN e ISDN). Planificacin de cableado. Planificacin de la recuperacin de las comunicaciones en caso de desastre. Ha de tenerse documentacin sobre el diagramado de la red. Se deben hacer pruebas sobre los nuevos equipos. Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores. Vigilancia sobre toda actividad on-line. La facturacin de los transportistas y vendedores ha de revisarse regularmente.

Auditoria De La Red Fsica

Se debe garantizar que exista: reas de equipo de comunicacin con control de acceso. Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos. Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella. Prioridad de recuperacin del sistema. Control de las lneas telefnicas.

Comprobando que: El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad fsica del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas telefnicas. Las lneas de comunicacin estn fuera de la vista. Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma. Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar pinchazos a la red. Existan revisiones peridicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retrollamada, cdigo de conexin o interruptores.

Auditoria de la Red Lgica

En sta, debe evitarse un dao interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para ste tipo de situaciones: Se deben dar contraseas de acceso. Controlar los errores. Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la informacin a la red. Registrar las actividades de los usuarios en la red. Encriptar la informacin pertinente. Evitar la importacin y exportacin de datos. Que se comprueban si: El sistema pidi el nombre de usuario y la contrasea para cada sesin: En cada sesin de usuario, se debe revisar que no acceda a ningn sistema sin autorizacin, ha de inhabilitarse al usuario que tras un nmero establecido de veces erra en dar correctamente su propia contrasea, se debe obligar a los usuarios a cambiar su contrasea regularmente, las contraseas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar informacin sobre su ltima conexin a fin de evitar suplantaciones. Inhabilitar el software o hardware con acceso libre. Generar estadsticas de las tasas de errores y transmisin.

Crear protocolos con deteccin de errores. Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor. El software de comunicacin, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados. Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada. Se debe hacer un anlisis del riesgo de aplicaciones en los procesos. Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones. Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos forneos a la red. Deben existir polticas que prohban la instalacin de programas o equipos personales en la red. Los accesos a servidores remotos han de estar inhabilitados. La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: Servidores = Desde dentro del servidor y de la red interna. Servidores web. Intranet = Desde dentro. Firewall = Desde dentro. Accesos del exterior y/o Internet.

Programa de auditora
(con guas detalladas de auditora sobre el tema en particular (utilice todos los instrumentos y tcnicas que requiera).

Empresa Auditada Audilacteos Fecha de Inicio:24/11/2010

rea Auditada Redes, Comunicaciones e Internet

Firma Auditora Chauditores

Equipo Auditor: Equipo 8 Yeimy Lorena Escobar Rivera Laura Marcela Giraldo Hoyos

Representantes de la Empresa

Vanesa Cardona Juan Pablo Castro Jorge Enrique Urrea Daniel Hernandez

Juan Sebastian

Origen de la Auditora
La empresa Audilacteos solicita auditar todo su componente de redes, comunicaciones e Internet. Esto para evaluar los sistemas existentes, gestionar posibles riesgos y mejorar cualquier inconsistencia que se encuentren.

Alcance
Inquirir sobre los ndices de utilizacin de las lneas contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la topologa de la Red de Comunicaciones, actualizada, ya que la desactualizacion de esta documentacin significara una grave debilidad. La inexistencia de datos sobre la cuantas lneas existen, cmo son y donde estn instaladas, supondra que se bordea la Inoperatividad Informtica. Determinacin de las disfunciones organizativas. La contratacin e instalacin de lneas va asociada a la instalacin de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.).

Objetivos Principales
Evaluar el estado de Redes y Planes de Contingenia, Internet, Intranet, Controles Fsicos,
Capacitacin de Empleados, Seguridad del Cortafuegos, Seguridad de Correo Electrnico

Comprender la organizacin y la manera como la comunicacin incide en su funcionamiento. Medir la eficacia de la plataforma de canales y medios internos o externos de la organizacin. Determinar las dependencias en comunicaciones de la organizacin.

Metodologa
Para el desarrollo de la auditoria especializada de comunicaciones se propone desarrollar una serie de fases:
Fase1: Obtencin Preliminar de informacin, seguridad telefonica (dial-up security), seguridad

fsica, seguridad logica

Fase 2: anlisis de datos, revisin documental

Fase 3:comunicacin de resultados Fase 4: seguimiento y control

Procesos a Evaluar
Ref Actividad a ser evaluada Herramienta a utilizar Observacin

CI01

Estado General de las Redes Revision documental Cuestionario de Control y Comunicaciones

Interno (ICQ)

CI02

Redes y Planes de Contingenia Internet

Revision documental Observacion Entrevista Revision documental Observacion Entrevista Revision documental Observacion Entrevista Revision documental Observacion Entrevista Revision documental Observacion Entrevista Revision documental Observacion Entrevista
Aplicacin de cuestionario, pruebas de software y revisin documental

CI03

CI04

Intranet

CI05

Controles Fsicos

CI06

Capacitacin de Empleados

CI07

Seguridad del Cortafuegos

CI08

Seguridad de Correo Electrnico

1. CI01 Estado General de las Redes y Comunicaciones

1.1 Descripcin 1.2. Objetivos
Identificar el estado de diagramas de red y configuracin del hadware en relacin a la representacin de accesos a la red y servicios Obtener la informacin

1.3. Procedimiento
1. Realizar la peticin sobre diagramas de red, 1.3.1. Obtener Informacin Preliminar

Diagrama de Red Otros Materiales

Procedimiento: Diagrama de red Detalles de la prueba: Obtener un un diagrama completo de red, incluyendo una copia de del diagrama de configuracion del hardware, con todas las conecciones de la topologia de red servidores,equipo de comunicaciones, estaciones, puentes, repetidores, etc - Asegrando que el diagrama de la red externa indica cmo acceder a partes de la red y de los servicios.

Observaciones

Procedimiento: Otros materiales

Detalles de la prueba:

Observaciones:

Obtener y revisar lo siguiente - Politicas, estandares y procedimientos - Proveedor y el nombre del representante de los proveedores del ISPLos nombres de los responsables de contenido de la intranet y la administracin - Informe con ejemplos y seguimiento del firewall - Informes de seguridad violacin - Plan de contingencia Listado descriptivo del inventario (hardware y software). Para todo el software del sistema y los servicios pblicos, incluir el nmero de versin actual y la historia de la revisin si procede

- Lista de los servicios de red y los equipos suministrados por terceros. -Lista de equipos que presentan problemas.

1.3.2. Cuestionario de Control Interno (ICQ)

Procedimiento Objetivo: Politica: Cuestionario El objetivo del ICQ es evaluar la seguridad de la red general de la Este cuestionario de Control empresa. a rellenar por el Interno (ICQ)Los datos que se transmiten a travs de lneas de la red pueden estar administrador

sujetos de red y / o el a una variedad de exposiciones: la divulgacin, los errores, los mensajes administrador de de la zona. extravo, o la negligencia de terceros. En la medida de lo posible, tratar de recomendar los controles que son principalmente de naturaleza preventiva. En la ausencia de controles preventivos, se debe recomendar controles de deteccin que actan como una pista de auditora y como un elemento de disuasin.

Detalle de Prueba:

GENERAL

1. Existen documentos con los procedimientos para el uso de la red? 2. Tiene la responsabilidad y la responsabilidad de los proveedores de la red en definir (por ejemplo, contratos)? 3. Existe un inventario de equipos de red de datos, incluidas las lneas, terminales, mdems, controladores, etc? 4. Existe un diagrama de red, que muestra las conexiones fsicas y lgicas entre los equipos de red, ha preparado? 5. Tiene documentacin de la red incluyen una descripcin de: - Los equipos de red que se utiliza para apoyar a cada uno de las aplicaciones de red? - Protocolos utilizados? - Puertas de enlace con otras redes? 6. Han sido etiquetado de equipos de redes para facilitar la referencia cruzada a la documentacin? 7. Son los cdigos de acceso peridicamente cambiado?

- Con qu frecuencia? 8. Tiene documentacin de la red incluyen una descripcin de: - Los equipos de red que se utiliza para apoyar a cada uno de las aplicaciones de red? - Protocolos utilizados? - Puertas de enlace con otras redes? 9. Existe una poltica de acceso al sistema a seguir por las partes externas? 10. Existe un inventario de las aplicaciones accesibles desde el exterior y servicios? 11. Existe documentacin relativa a las aplicaciones y la informacin de las partes externas tienen acceso? RENDIMIENTO / INTEGRIDAD 1. Existe un terminal especfico diseado para monitorizar la actividad dentro del sistema online? 2. Tener normas de funcionamiento ha establecido? 3. Haga prioridades (por los requisitos de la terminal o la aplicacin) asignado a cada lnea de la red parece razonable? 4. Procure personal de la red de soporte a revisar las nuevas aplicaciones para determinar su impacto en los sistemas existentes?
Detalles de la Prueba:

Tiene la capacidad de planificacin incluir un anlisis de la longitud del mensaje, el protocolo, el volumen de transacciones y el trfico de mensajes? Son los tiempos de respuesta medidos y evaluados para posible mejora del rendimiento de la red? La gestin rutinaria revisin de los servicios de proveedores realizado? Estn los controles peridicos de la red realizadas para verificar el correcto funcionamiento y detectar terminal / lnea de errores de mdem? Se fallos de hardware de red documentados, incluyendo las acciones correctivas tomadas? Configuracin del mdem cambiar peridicamente en comparacin con las especificaciones de la lnea de configuracin de red? Si se utilizan circuitos arrendados, ha sido considerado acondicionamiento de lneas para reducir los errores de transmisin? Se ha tenido en cuenta la transmisin digital para reducir los errores de transmisin? Tener los procedimientos establecidos para garantizar que todas las operaciones realizadas se han recibido? (Por ejemplo, registro de cuenta enviados / recibidos)? Procura utilizar un almacenamiento y envo de mensajera del sistema? Si es as, existen controles adecuados para garantizar que las transacciones fueron enviados a sus destinos apropiados? Existe una revisin de todos los mensajes de transaccin que sean dadas por desaparecidas, distorsionado, duplicado, o retrasado? Es la persona, la encargada de examinar los registros de errores y notificar al personal de seguridad de algo inusual? Existe un mtodo para crear un blog (camino) de todos los mensajes enviados? Tiene cada mensaje contiene informacin de identificacin tales como:

Nmero de puerto (en caso de marcar) - Nmero de mensaje - Terminal - Instrucciones? - Fecha? - Cdigo de transaccin? - Al final de su mensaje? - Fin de la transmisin? Existe un mtodo (nmero de secuencia en cada mensaje) para dar cuenta de todos los mensajes y para identificar los mensajes ilegales? Hay servicios de emergencia para el sistema en lnea en el caso de una emergencia? Estn las lneas de acceso telefnico utilizado en caso de fallas en las lneas alquiladas? - Si es as, hay un nmero suficiente de lneas de acceso telefnico (2 lneas por mdem) para facilitar la red conmutada de respaldo de compatibilidad (SNBU)? Existen mdems de copia de seguridad disponibles para estas lneas? En el caso de las interrupciones del servicio, existen procedimientos escritos a seguir para reiniciar la red on-line? Tiene el sistema prev reiniciar los procedimientos y recuperacin para recuperar la comunicacin despus de un fallo de hardware / software?

SEGURIDAD DIAL-UP Existe una lista de usuarios autorizados del acceso telefnico a las instalaciones? Existen disposiciones establecidas para garantizar la confidencialidad de los nmeros de telfono (por ejemplo, no cotizan en bolsa)? Son los nmeros de acceso telefnico cambiados peridicamente?
Detalles de laPrueba (continuacion): Puede determinar desde la CPU de un terminal de marcado manual, automticamente obtener

su identificacin, y comprobar que la llamada terminal es el mismo terminal que "dice" que est llamando? Tiene el sistema de desconectar a los usuarios que colgar el telfono sin cerrar la sesin correctamente? Es el acceso dial-up limitada slo a los nmeros telefnicos controlados por el departamento de informtica. (Dial-up no se debe permitir a los mdems, que puede ser parte de una configuracin de escritorio local, ya que esto puede permitir que usuarios no autorizados a conectarse a la red sin estar debidamente autenticados. SEGURIDAD FSICA Son controlados los problemas fsicos y ambientales adecuadamente para proteger los equipos de red de entornos de trabajo adversos?

 Estn los controladores de red situado en un rea segura bajo el control del personal de operaciones o de una instalacin central de la red? Estn los cables y pantallas de visualizacin de vdeo elctricamente protegidos para evitar emanaciones elctricas o de manipulacin fsica? Es el acceso a los equipos de ensayo (por ejemplo, los mbitos de datos, los controles de lnea) y el software de diagnstico de red, con acceso solo al personal adecuado? Est el equipo de prueba utilizado para monitorear la red controlada? Es un mbito de aplicacin los datos que se utiliza para controlar en lnea los circuitos y el equipo? Si es as: - Est en una zona restringida? - La unidad de restringir el acceso a personal autorizado? Estn de inicio de sesin, los comandos del sistema, y en lnea de manuales de documentacin de la operacin catalogada como confidencial y se coloca cuando no est en un rea segura en uso? Seguridad Lgica Estn las contraseas y los cdigos nicos de usuario necesarios para iniciar sesin en el software de red? Tiene el principio de privilegio mnimo (por ejemplo, la concesin de la autorizacin de acceso mnimo necesario para las tareas de funcionamiento exigidos) llevado a cabo? Son slo el personal autorizado de permiso para acceder a software de red? - Si es as, quin? Se permite slo el personal autorizado para inspeccionar buffers de almacenamiento (por ejemplo, utilizando los mbitos de software o datos, los usuarios pueden examinar los mensajes incluidos los identificadores y contraseas)? Si la red se ha configurado para permitir funciones de control remoto de terminales (por ejemplo, el mantenimiento o proveedor de servicios) por parte de no es el personal, son los parmetros por defecto de campo proveedor de servicios para la revisin necesidad demostrada? Si una oficina de servicio est siendo utilizado para transmitir datos, ha proporcionado las medidas de seguridad adecuadas para los identificadores y controlar tu contrasea? Tiene el sistema de prevenir la aparicin de cualquier "AYUDA" informacin antes de que el usuario haya iniciado sesin correctamente? Durante el inicio de sesin, es el sistema informar al usuario cuando ste ltimo cierra la sesin? Se borran despus de tampones terminal de inicio de sesin correcto? Estn los usuarios impedido de hacer un nmero ilimitado de intentos de inicio de sesin sin xito? Si hay terminales inexistente predefinidas en las tablas del sistema, son terminales intruso impedido estar conectado al sistema como una de las entidades predefinidas? Si la informacin sensible est en proceso, hay controles adecuados para garantizar que la produccin slo puede estar encaminada a "autorizado" impresoras o "autorizado" las instalaciones de impresin? Detalles de prueba (continuacin): Tiene mensaje cifrado, se ha considerado como un medio para proteger los datos sensibles y la

contrasea durante la transmisin? -Si el cifrado se utiliza, tiene control sobre la clave de cifrado ha desarrollado? El sistema emplea un mtodo de seguridad del flujo de trfico para ocultar la presencia de mensajes vlidos en la lnea al hacer que el circuito que aparece ocupado en todo momento o mediante la encriptacin de los direcciones de origen y destino de los mensajes vlidos? En los sistemas con capacidad de correo electrnico donde los mensajes pop-up en modo interactivo, los usuarios han recibido instrucciones de ignorar la peticin de un intruso para una identificacin y contrasea al ser informado de que este no es un sistema legtimo.

2. CI02 Redes y Planes de Contingenia

2.1 Descripcin
Este punto permite conocer como se almacena y recupera la informacion, es decir, determinar el nivel de disponibilidad de la informacion, independiente de la situacion.

2.2. Objetivos
* Asegurar el almacenamiento y la recuperacion de informacion * Determinar la capacitacion a personal, sobre la importacia de los backups

2.3. Procedimiento
El proceso para evaluar esta rea es a partir de los instrumentos creados : observacion y entrvistas 2.3.1. Obtener Informacin Preliminar Procedimientos de copia de seguridad Plan de Recuperacin de Desastres Observaciones:

Procedimiento: Procedimiento de Backups Detalles de la prueba: Revisin de los materiales de copia de seguridad. - Determinar si los procedimientos de backup y recuperacin se estn cumpliendo. Entrevista personal SE para determinar si se han cruzado capacitado. - Revisar los registros de capacitacin para determinar la cantidad de entrenamiento cruzado siempre.

Procedure Step:

Observaciones:

Plan de Recuperacion de desastre

Detalles de la prueba: Obtener y revisar una copia del plan de recuperacin de desastres y el acuerdo de sede alterna, en su caso. - Determinar si estn completos y actualizados, y si la direccin ejecutiva ha firmado en el plan. Determinar quin es responsable en el desarrollo del plan y si los usuarios y todas las facetas del trabajo en red han participado adecuadamente en su desarrollo. Determinar si una evaluacin de riesgos se ha preparado y si parece razonable. Determinar si la gestin ejecutiva ha aprobado la financiacin de un sitio alternativo y las pruebas del plan de recuperacin de desastres. - Observar una prueba del plan, si es posible. Revisin de los resultados de la prueba del plan de recuperacin de desastres.

3. CI03 Internet
2.1 Descripcin
Anlisis de Politicas y estandares establecido en el rea para permitir un correcto funcionamiento de equipos y personal

2.2. Objetivos
Confrontar las politicas establecidas con el verdadero funcionamiento del rea tanto en equipos como del personal Verificacin del estado de los equipos

2.3. Procedimiento
Ejecucin de los diferentes instrumentos (Observacin, revision documental y entrevista) 2.3.1. Obtencin de Informacin Poltica de la comprensin y el examen Verficacin del Estado de router

Procedimientos: Politica de comprension y revision

Observaciones

Detalles de la prueba: Determinar el alcance y la comprensin de la poltica de uso de Internet. Identificar el proceso que se utiliz para desarrollar la poltica. - Determinar si el proceso de considerar el valor y grado de confianza en el servidor de seguridad y la probabilidad, a la gravedad y el alcance de las posibilidades de daos directos e indirectos. Evaluar si la poltica: - Identifica los activos especficos que se destina la firewall para proteger y los objetivos de dicha proteccin (integridad, disponibilidad y confidencialidad). - Describe la estructura organizativa y las responsabilidades asociadas y la responsabilidad del personal que estar encargado de implementar la poltica, vigilar el cumplimiento de la poltica y la adhesin a la poltica. - Soporta el uso legtimo y el flujo de datos e informacin. - Documentos de la informacin que pasa por el firewall ser objeto de seguimiento (limitan la responsabilidad de organizacin, reducir el abuso, la persecucin de apoyo para el abuso). Es coherente tanto en el tono y, en principio, con otras polticas de la organizacin y la prctica aceptada (por ejemplo, la disponibilidad de acceso a Internet para uso no comercial). Comprobar si un abogado ha revisado la poltica de garantizar la coherencia con los requisitos y las limitaciones impuestas externamente (leyes, reglamentos, etc.) Determinar si la aprobacin de la gestin de la poltica ha sido solicitada y concedida y la fecha de la revisin ms reciente de la poltica por la administracin. Identificar cmo la poltica de Internet fue / es comunicada a los usuarios y cmo la conciencia se mantiene. Seleccionar una muestra de usuarios y discutir su comprensin de sus responsabilidades relacionadas con el uso de Internet y cmo reportar problemas. Determinar si las normas y procedimientos se han definido para especificar el medio por el cual se implementa la poltica. Evaluar si las normas y procedimientos especificar quin es responsable y facultado para hacer todas las funciones necesarias para el buen funcionamiento del servidor de seguridad. Evaluar si la poltica de seguridad: - Es fcil de leer y ubicar las secciones pertinentes - Es versionados y fecha - Es cuidadosamente redactado con todos los trminos ambiguos definido con precisin - Establece las condiciones aceptables de uso, as como condiciones

inaceptables de uso - Es ampliamente comunicada a las personas afectadas - Se revisa a intervalos regulares Considere si las siguientes cuestiones se abordan en el documento de poltica: - mbito de aplicacin de la poltica en relacin con otras redes internas y externas con las que se puede conectar. - La filosofa bsica que se puede utilizar para tomar decisiones no determinista. - Las polticas de Gobierno, las leyes, los trminos y condiciones contractuales, o de otras polticas internas a la Compaa. - Identificacin de la persona que tiene la mxima autoridad para interpretar y aplicar la poltica a una situacin particular. - Provisin para la poltica que debe renunciar temporalmente por una persona de autoridad en virtud de ciertas condiciones o directrices.

Detalles de prueba (continuacin): Considere si los derechos y responsabilidades de los usuarios se abordan en el documento de poltica, incluyendo: - Cuenta de utilizacin, tanto por el titular de la cuenta y el proveedor del recurso. Las condiciones especiales pueden aplicarse a la utilizacin de cuentas de usuario normal, y las cuentas de acceso pblico (como FTP annimo), y estas condiciones se podra expresar aqu. - Software y los datos de acceso y uso, incluidas las fuentes de datos y software. - Divulgacin de informacin, que es potencialmente daina, como la informacin de contraseas o informacin de configuracin. - Etiqueta, incluidas las formas aceptables de expresin (por ejemplo, la expresin no ofensiva espera para el correo electrnico no solicitado), y prcticas inaceptables (como la falsificacin del correo electrnico y artculos periodsticos). - Contrasea usos y formatos.

Otras directrices sobre diversas prcticas razonables, tales como el uso de ciclos de CPU y almacenamiento temporal de las reas generales de acceso. cuestiones de Derecho de Autor tambin se pueden discutir aqu. Considere si los derechos y responsabilidades de los proveedores de recursos se abordan en el documento de poltica, incluyendo: - Directrices de seguridad fsica. - Proteccin de las directrices.

- Directrices de configuracin incluyen: - Asignacin de la responsabilidad - Directrices de conexin de red - Autenticacin de directrices - Autoridad de celebrar y otorgar cuenta las directrices - Auditora y seguimiento de las orientaciones - Directrices formato contrasea, la aplicacin y la duracin - Nombre de banderas.

Procedimiento: Configuracin Hardware de

Detalles de pruebas:

Observaciones:

- Determinar y asignar la configuracin de hardware de Internet. - Garantizar la adecuacin de la construccin de firewall. Determinar si, y que se mantiene vigente en CERT (Computer Emergency Response Team) y otros avisos. Determinar el alcance y la frecuencia de la vigilancia de la salud de la seguridad del host Determinar el alcance y la regularidad de seguimiento de actividad de la red. Determinar en qu medida el control de deteccin de intrusos de actividad de la red.

CERT Avisos

Host segudidad

Monitoreo de la actividad de la red Deteccin Intrusos de

2.3.2. Verficacin del Estado de Router

Procedimiento:

Detelles de Prueba:

Observaciones::

Seguridad General del Router

Determinar si los enrutadores estn protegidos por la autenticacin segura y control de acceso. Revisar que todos los routers utilizan mltiples niveles o grados de asegurar que las personas tienen derechos pre-asignado, segn corresponda. - Garantizar que las personas slo una o dos tienen acceso a configurar y actualizar la red. - Garantizar la proteccin adecuada de las configuraciones de la direccin y las tablas de enrutamiento, determinan que las contraseas son, como mnimo, diez caracteres alfanumricos. - Asegrese de que las modificaciones del router se realizan de una manera segura y controlada.

Gestion

de

Router Determine si el ms seguro fuera de la gestin de

routers de banda que utiliza. En la banda de gestin de configuraciones del router permite a travs de la red en lugar de a travs de acceso fsico y el conocimiento de cdigos del sistema. Como solucin de compromiso, las actualizaciones en la banda debe ser a travs de un puerto de acceso telefnico con la seguridad de lnea Seguridad del Router Fisica Asegrese de que los routers son fsicamente seguro. Asegurar que la informacin del router archivo de configuracin se cifra, sobre todo contraseas. La compresin de datos para la eficiencia puede responder a esa necesidad.

Configuracion de la seguridad del Router

Revision de la Determinar el alcance y la revisin de la actividad del actividad del Router router.

- Especialmente importante es una pista de auditora de todos los intentos de acceder al router, ver sus configuraciones, y cambiar su configuracin. - Determinar el uso de la notificacin - los routers y notificar a los administradores cuando hay una entrada errnea
Router de prueba

Determinar el alcance de las pruebas cuando se produzcan cambios.

Procedimiento:

Detalles de prubas:

Observaciones:

Intentos sin autorizacion de inicio de sesion

Determine si no autorizada de inicio de sesin en los intentos se registran, alarmado, y se enva en un agujero negro.

Contenido apropiado

Detalles de la prueba: Obtener acceso a la Intranet y revisar toda la informacin del sitio y enlaces para la conveniencia.

Seguridad Pgina

del

sitio Revisin de la seguridad de las pginas del sitio. - Actualizacin de acceso debe residir con los propietarios solamente. Seguridad debe ser tal que no permiten el acceso desde el exterior por cualquier pgina, incluidos los responsables de mantenimiento. El mantenimiento debe realizarse en el lugar solamente.

4. CI04 Controles fsicos

4.1 Descripcin En esta parte se tiene la infraestructura y la disposicion de cada uno de los elementos (mantenimiento, actualizaciones, repotes de compras, ...) que permiten la comunicacion. Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos. Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella. Descripcin y pruebas de la proteccin de la organizacin de amenazas tanto en equipos de escritorio como datacenter. 4.2. Objetivos
Determinar el nivel de seguridad de los equipos (Servidores, LAN) Evaluar la seguridad brindada desde la estacin de trabajo

4.3. Procedimiento
Ejecucin de los diferentes instrumentos (Observacin, revision documental y entrevista) 4.3.1. Get Preliminary Information

Procedimiento: Seguridad de Servidores

Detalles de Prueba:

Observaciones:

Verifique la seguridad fsica proporcionan para los servidores y comunicaciones configurables equipos de red es la adecuada. - Verificar que todos los servidores estn asegurados en un rea inaccesible a todos, pero el personal autorizado. - Determinar la forma de acceso autorizado, controlado y supervisado. - Verificar que los equipos independientes y los suministros no se almacenan en el rea de seguridad.

Seguridad de distribucion de la LAN

Verifique la seguridad fsica previstos equipo para redes de distribucin es la adecuada. - Verificar que todos los equipos grandes, la distribucin primaria de las zonas de acceso controlado. - Para los equipos de distribucin secundaria (grupos pequeos), determinan que el equipo est debidamente protegidos de la desconexin accidental o perturbacin.

Estacin de trabajo de Determinar si la seguridad fsica de estacin de seguridad fsica trabajo es adecuado y suficiente.
Control Ambiental

Determinar si las condiciones ambientales cumplen con las especificaciones de equipamiento, incluidos: - Artculos de electricidad, incluyendo UPS y energa de emergencia y equipos de aire acondicionado - Los sistemas de HVAC y control - Control de Esttica

Almacenamiento en las Determinar si el almacenamiento en todos los instalaciones de los medios del sistema es adecuado para evitar el datos acceso no autorizado.

5. CI04 Capacitacin de empleados

5.1 Descripcin
Evaluacion de la continua capacitacin que se debe brindar a los usuarios para permitir mejor rendimiento y seguridad.

5.2. Objetivos
Determinar la comunicacin de polticas, estndares y dems elementos al personal Crear conciencia al personal sobre la seguridad y el manejo de los equipos

5.3. Procedimiento
Ejecucin de los diferentes instrumentos (Observacin, revision documental y entrevista)
Procedimiento: Detalles de Pruebas: Observaciones

Importe de la educacin en las polticas

Determinar la cantidad de empleados en educacion como a las polticas de redes y procedimientos corporativos. Determinar el nivel de educacin de los empleados en el uso eficiente del hardware y software.

Conciencia seguridad

de Determinar el nivel de concienciacin sobre la seguridad de los empleados que utilizan las redes, incluyendo vulnerabilidades, mtodos de control, y las condiciones de las leyes de copyright con respecto al uso y la duplicacin.

Las acciones Determinar si las acciones disciplinarias se han disciplinarias formulado para los pantalones de directrices de la empresa de seguridad de datos.

6. CI04 Seguridad Firewall

6.1 Descripcin
El firewall se convierte en el elemento indispensable para garantizar la seguridad de servidores y datos en este proceso se busca determinar a travs del uso de diferentes herramientas el nivel de seguridad en el que se encuentra teniendo en cuenta que deben haber pliticas de acceso y garantizar que el firewall establecido sea de un provedor confiable

6.2. Objetivos
Determinar el nivel de confianza que se puede esperar de el servidor de seguridad. Determinar y realizar pruebas de servidor de seguridad.

Evaluar los resultados de la exposicin y la vulnerabilidad.

6.3. Procedimiento
Revisin Documental Externa Observacin Directa Experimentacin Uso de herramientas de Software ISS, SATAN, TRIPWIRE, COPS.
Procedimiento: Detalles de Pruebas: Observaciones:

Proveedor Firewall

de

Revisin Documental Externa Revisar la informacin de proveedores para determinar el nivel de confianza que se puede esperar de el servidor de seguridad. Examinar el diseo de cortafuegos. Determinar lo que se conoce los problemas de seguridad. Estos problemas se puede encontrar en todo tipo de lugares, por lo que la bsqueda se consume mucho tiempo.Como ejemplo, mira cmo el servidor de seguridad se encarga de tampones y desbordamientos de bfer.
Firewall Examinar los registros.

DiseoFirewall

Servidor de seguridad Revisin de registro

- Activar el registro detallado para un perodo seleccionado y examinar los registros en detalle. Esto puede tomar bastante tiempo, pero vamos a tener una idea de si el cortafuegos est funcionando correctamente. Adems, los registros tambin se crear si se utiliza un servicio que no saba es habilitado o que se utiliza en el sistema. Al examinar los registros, esto puede ser detectado y corregido. Determinar y realizar pruebas de servidor de seguridad. El objetivo es tratar de penetrar en el servidor de seguridad, as como para prescindir de ella. Los problemas tcnicos tales como las vulnerabilidades conocidas, as como una configuracin errnea y mal implementado polticas de seguridad son explotados, si es posible. Crear un plan de pruebas.

Pruebas al Firewall

Riesgos del Firewall

Descargar y ejecutar cualquier o todos los siguientes productos de seguridad contra el servidor de seguridad: - ISS - SATAN - TRIPWIRE, - COPS. Evaluar los resultados de la exposicin y la vulnerabilidad. Antes de intentar esto en contra de cualquier sistema de produccin es mejor probar en contra de un sistema de prueba. El departamento de informtica debe ser consciente de que cualquier prueba de este tipo que est pasando, ya que es posible hacer que el sistema se bloquee.

7. CI04 Securidad en Correo Electrnico

7.1 Descripcin
A travs de la revisin documental se desea establecer los mecanismo utilizados para garantizar el buen funcionamiento de este proceso apoyado por el uso de polticas, herramientas u otros medios que indique la entidad, a nivel de prcticas de backup y niveles de seguridad

7.2. Objetivos:
Determinar y analizar las prcticas de seguridad para correo electrnico Determinar el grado de seguimiento de trfico de correo electrnico. Obtener una comprensin de la seguridad del correo electrnico

7.3. Procedimiento
Aplicacin de cuestionario, pruebas de software y revisin documental 7.3.1. Aplicacin de Cuestionario
Procedimiento Prcticas de Backup Detalles/Prueba Cuestionario: 1. Estn definidas practicas de seguridad para el uso del correo electrnico en la organizacin. 2. Es de conocimiento de todos los empleados esta informacin. 3. Se han definido polticas para el control de la cuenta de correo institucional Observaciones:

Seguimiento

4. Se ha determinado el uso de software/herramientas para el seguimiento de trfico de correo electrnico de Obtener una comprensin de la seguridad del correo electrnico a travs de la poltica de seguridad formal. La poltica debe dar una norma clara que describe las razones y objetivos de la seguridad, la necesidad de proteger los datos corporativos, que es responsable de mantener la seguridad, el nivel de confidencialidad, integridad y disponibilidad deseada; claramente usos aceptables para el sistema de correo electrnico y, cualquier advierte sobre la vigilancia 1. De uno a 10 determine el nivel de seguridad disponible en el sistema de correo electronico 2. Enumere las actividades realizadas para almacenar y transmitir mensajes de correo electrnico de forma segura en la organizacin

Revisin Polticas

Nivel de Seguridad

Bibliografa
Fuentes: Iternet, Documentacin entregada por el profesor y bibliografa tcnica.
Information Systems Audit and Control Association www.isaca.org Networking AUDIT PROGRAM & INTERNAL CONTROL QUESTIONNAIRE

http://www.34t.com/box-docs.asp?doc=497 http://www.scribd.com/doc/6575883/Auditoria-de-Redes-y-Base-de-Datos