Inversiones uzcarguin

Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
INVERSIONES UZCARGUIN C.A.
Propuesta Auditoria de Red 2017
(Auditoria interna y externa)
Integrante:
Brache luis
C.I: 21.321.979

Barinas 2017
Entidad Auditada:
Inversiones Uzcarguin C.A
Alcance
Auditoría Informática de Redes a la empresa Inversiones Uzcarguin C.A
Tiempo
50 Horas
Objetivo General:
Desarrollar una auditoría informática en el área de redes, a la empresa Inversiones Uzcarguin C.A, para la detección
de vulnerabilidades que presenta la infraestructura de la organización.
Objetivos Específicos:
 Determinar el estado actual de red física y lógica de la organización. Verificar la topología de la red y sus posibles
debilidades.
 Analizar la información recolectada durante el proceso de Auditoría Informática de Redes. Realizar el pre-informe
de la auditora de redes.
 Presentar el informe del proceso de Auditoría Informática de Redes.

Matriz de Análisis de Auditoria de Red
Empresa Inversiones Uzcarguin C.A
Objetivos
General Específicos Dimensión Indicadores Instrumentos
Desarrollar una
auditoría informática
en el área de redes, a
la empresa
Inversiones Uzcarguin
C.A, para la detección
de vulnerabilidades
que presenta la
infraestructura de la
organización.
Determinar el estado
actual de red física y
lógica de la
organización.
Organización  Estandarización
 Documentación
 Recursos
Humanos y
Materiales
 Encuestas.
 Técnicas de
Observación
directa.
 Revisión del
modelo OSI.Funcionamiento  Identificación de
la red Física.
 Identificación de
la red Lógica
 Verificación de
estado de
mantenimiento y
actualización de
la red.
Verificar la topología
de la red y sus
posibles debilidades.
Topología Física  Identificación del
cableado de la
red.
 Verificación de
los conectores.
 Comprobación de
la conexión de los
host con los
dispositivos
intermediarios.
 Técnica de
observación
directa.
 Técnicas de
revisión.
Topología Lógica  Identificación de
los protocolos
utilizados.

 Comprobación
del
comportamiento
de los
dispositivos
intermediarios.
Analizar la
información
recolectada durante el
proceso de Auditoría
Informática de Redes.
Análisis de la
información
 Resultados
derivados
Realizar el pre-
informe de la auditora
de redes.
Presentar Pre-Informe
 Pre-Informe
Presentar el informe
del proceso de
Auditoría Informática
de Redes.
Elaboración del
Informe
 Informe

EDT.

Programa de Auditoria
Empresa: INVERSIONES UZCARGUIN C.A FECHA: 03/04/2017 HOJA Nº 1
FASE ACTIVIDAD HORAS ESTIMADAS ENCARGADO

I Etapa Preliminar:
 Planificación de Actividades.
 Recolección de Información.
 Determinación de los objetivos.
 Establecimiento del alcance.
 Elaboración de la Entrevista.
 Elaboración de Cuestionarios.
 Elaboración de Pruebas de Comunicación.
 Elaboración de Pruebas de Intrusión.
(2 Dias)
10 Brache luis
FASE ACTIVIDAD FECHA: 07/04/2017
HORAS ESTIMADAS
HOJA Nº 1
ENCARGADO
II Desarrollo de la Auditoria:
 Entrevistas al personal encargado de la tecnología
de la empresa.
 Aplicación de los cuestionarios y entrevistas.
 Aplicación de pruebas de comunicación físicos y
lógicas.
 Aplicación de pruebas de intrusión.
 Recopilación de información arrojada en las
pruebas
 Análisis de la información recopilada.
 Establecimiento de resultados (Descubrimientos,
observaciones, recomendación y resultados).
(3 Dias )
20
Brache luis
Empresa: INVERSIONES UZCARGUIN C.A FECHA: 11/04/2017 HOJA Nº 2

FASE ACTIVIDAD HORAS ESTIMADAS ENCARGADO
III Revisión y Pre-Informe
 Revisión de los resultados
 Elaboración del Pre-Informe
(2 Dias)
10 Brache luis
FASE ACTIVIDAD FECHA: 14/04/2017
HORAS ESTIMADAS
HOJA Nº 2
ENCARGADO
IV Informe
 Elaboración del informe final.
 Presentación del informe
(1Dias)
10 Brache luis

Fases de la Auditoria
Fase I. Etapa Preliminar (10 horas)
• Planificación de Actividades.
• Recolección de Información.
• Determinación de los objetivos.
• Establecimiento del alcance.
• Elaboración de la Entrevista.
• Elaboración de Cuestionarios.
• Elaboración de Pruebas de Comunicación.
• Elaboración de Pruebas de Intrusión.
Fase II. Desarrollo de las Auditorias (20 horas)
• Entrevistas al personal encargado de la tecnología de la empresa.
• Aplicación de los cuestionarios y entrevistas.
• Aplicación de pruebas de comunicación físicos y lógicas.
• Aplicación de las pruebas de intrusión.
• Recopilación de información arrojada en las pruebas
• Análisis de la información recopilada.
• Establecimiento de resultados (Descubrimientos, observaciones, recomendación y resultados).

Fase III. Revisión y Pre-Informe (10 horas)
• Revisión de los resultados
• Elaboración del Pre-Informe
Fase IV. Informe (10 horas)
• Elaboración del informe final
• Presentación del informe

Cronograma.
ACTIVIDADES HORAS 1 2 3 4
Planificación de Actividades. 1
Recolección de Información. 1
Determinación de los objetivos. 1
Establecimiento del alcance. 1
Elaboración de la Entrevista. 1
Elaboración de Cuestionarios. 2
Elaboración de Pruebas de Comunicación. 1
Elaboración de Pruebas de Intrusión. 2
Entrevistas al personal encargado de la tecnología de la empresa. 2
Aplicación de los cuestionarios y entrevistas. 2
Aplicación de pruebas de comunicación físicos y lógicas. 3
Aplicación de las pruebas de intrusión. 3
Recopilación de información arrojada en las pruebas 2
Análisis de la información recopilada. 3
Establecimiento de resultados (Descubrimientos, observaciones, recomendación y
resultados).
3
Revisión de los resultados 7
Elaboración del Pre-Informe 3
Elaboración del informe final 7
Presentación del informe 3

Actividad Tiempo Comienzo Fin
DIAS FASE I DIAS FASE II DIAS FASE III DIAS FASE IV
S D L M M J V S D L M M J V S D L M M J V S D L M M J V
Fase I 2 días 03/04/2017 06/04/2017
Planificación inicial de
Actividades 03/04/2017 03/04/2017
Primer contacto con el cliente 04/04/2017 04/04/2017
Entrevista con el personal y
administradores 04/04/2017 05/04/2017
Solicitud de información o
manuales de usuarios 06/04/2017 06/04/2017
Fase II 3 días 07/04/2017 10/04/2017
Definición del alcance y
objetivos de la auditoria 07/04/2017 07/04/2017
Diseño de instrumentos y
técnicas de auditoria 08/04/2017 09/04/2017
Aplicación de entrevistas y
cuestionarios a usuarios 10/04/2017 10/04/2017
Fase III 2 días 11/04/2017 13/04/2017
Observación directa y prueba
sobre los factores considerados 11/04/20170 11/04/2017

Aplicación de técnicas,
recopilación y análisis de
información 13/04/2017 13/04/2017
Fase IV 5 días 14/04/2016 14/04/2017
Elaboración del Pre-Informe 14/04/2017 14/04/2017
Revisión y discusión de los
resultados del pre-informe 14/04/2017 14/04/2017
Elaboración del Informe Final 14/04/2017 14/04/2017
Presentación del informe final 22/07/2016 14/04/2017

Matriz de Riesgo
Descripción Impacto Probabilidad
Manifestaciones 3 2
Terremotos 2 1
Inundaciones 2 1
Incendios 3 2
Caída de la Red 1 3
Perdida de Información 3 3
Vulnerabilidad Remota 3 3
Inadecuados Controles Lógicos 2 3
Robo de los Equipos 3 3
Impacto:

1) Bajo
2) Medio
3) Alto
Probabilidad:
1) Bajo
2) Medio
3) Alto
Análisis:
De la matriz de riesgo se puede notar claramente el alto impacto de los principales peligros a la estabilidad y correcto
funcionamiento de la red de la empresa Inversiones Uzcarguin C.A, en este caso:
0
0.5
1
1.5
2
2.5
Riesgos de la Red Inversiones Uzcarguin C.A
HORAS 1

- Manifestaciones
- Incendios
- Perdida de Información
- Vulnerabilidad Remota
- Robo de equipos
Se puede inferir dado los resultados obtenidos, la necesidad de dedicar mayores esfuerzos a atacar estos riegos y de
esta forma evitar su materialización en el futuro.
Programa de auditor (software)
WIRELESS NETWORK WATCHER
Programa diseñado específicamente para analizar la red y mostrar todos los dispositivos que se encuentran conectados.

Determinación de Hallazgos en la Auditoria
Nº Procedimiento Cumple No Cumple Referencia Observaciones
1
Evaluar el control de
acceso al sistema.
X ISO 27001
La empresa cumple con un control de contraseñas en los
equipos.
2 Evaluar la configuración y x ISO 17799 Los equipos están en buen estado

estado físico de los
equipos de cómputo
ISO 9241-400
3
Evaluar el uso de
antivirus
X ISO 15489 Todas los equipos tienen antivirus actualizados
4
Evaluar la existencia de
respaldos de las bases
de datos e información
critica de la empresa
X ISO/IEC 24762 No se hacen respaldos de la información
5
Realización de
inventarios
X ISO 9001 Llevan el control de inventarios en el sistema.
6
Protección de la
información
X ISO 15489 Tienen control de acceso los equipos
7
Evaluar las medidas
contra siniestros
X ISO 14001
Los empleados no están capacitados contra algún
siniestro que pudiese ocurrir
8
Evaluar el desempeño
del sistema
X ISO 15504-2
El sistema no cumple correctamente con la función para
la cual es necesitado
Tipo Instrumento: Prueba Página: 1/1
Propósito: Determinar el buen funcionamiento de red
Fecha: 04/07/2016
Tipo de prueba: Caja Negra

Pre requisitos:
1. Tener instalado el sistema de red
2. Poseer un usuario que tenga acceso al sistema
Pasos:
1. Ingresar al sistema de red
2. Abrir el modulo red principal
3. Verificar la conexión física en todos los equipos a la red
4. Verificar la conexión logica en todos los equipos a la red
5. Salir del Sistema
Resultados 1. Mensajes de Confirmación de redes activadas
esperados:
2. Alertas al introducir contraseñas de seguridad no establecidas
Observaciones:
__________________________________________________________________________________________
__________________________________________________________________________________________
Riesgos / Valoración
Probabilidad Impacto
A M B L M C
Eléctricos
R1 No existe sistema de puesta a tierra
x
x

R2 No existe reguladores de voltaje x
x
R3
No existe protectores contra
sobrecarga
x
x
R4
No hay interruptores en la caja de
protecciones
x
x
R5
La fase neutra no se encuentra bien
identificada x
x
Siniestros y Catástrofes
R6 No existen sistemas contra incendios
x
x
R7
No existe el mantenimiento
adecuado a los sistemas contra
incendio
x
x
R8
No existen sistemas de ventilación
adecuados x x
R9
Terremotos o ventiscas pueden
causar daños a los sistemas de
distribución eléctrica que abastecen
a la empresa del servicio x x
Manejo y Control de Personal
R10
No hay control de acceso al sistema
por parte del personal
x
x

R11
No se hace respaldo de la
información
x x
R12
No se lleva un registro detallado de
los usuarios que hacen uso de los
equipos
x x
En la matriz se puede notar que el riesgo más alto se presenta en:
-Siniestros
-Manejo y control de personal
Se estima que la necesidad de dedicar mayor esfuerzo debilitar estos riesgos y así prevenir su ejecución en el futuro.
Procedimientos de
auditoria
Sección de
Trabajo
Informática de
sistemas PAGINA 1 de 1
Matriz De Riesgo
Probabilidad:
Alta: A
Media: M
Baja: B
Catastrófico: C
Moderado: M
Leve: L
Impacto:
Bajo R9 R2,R3 R4,R10
Moderado Catastrófico
Alto R1,R5
Medio R8,R11,R12 R6,R7
Leve

Empresa: Inversiones
uzcarguin c.a
Unidad y/o departamento: Oficinas
Área: Sistemas
.
Nº Descripción Si No Observaciones
1 Realice Encuestas
2
Aplique Cuestionarios de control
interno
3 Aplique listas de chequeo
4 Llene matriz de riesgos
5 Realice Pruebas
6
Examen y evaluación de la
información
7 Realice Análisis de riesgos
8
Especifique evidencias de
auditoria
9 Tabule resultados
10 Análisis de resultados
Hallazgos de la Auditoria:
 La red de área local de la organización no se encuentra documentada.
 La empresa no posee un mapa de red.

 No posee catálogos de amenazas de la red la organización.
 No se encuentran registradas las amenazas de la red dentro de la organización.
 Ausencia de la documentación de las vulnerabilidades de la red de la empresa.
 La empresa carece de medidas de seguridad para resguardar las contraseñas de la misma.
 La organización carece procedimiento automático para que realice el cambio periódico de contraseñas
 Posible acceso indebido a la red de área local de la organización.
 Fallas importantes de seguridad en la red de área local.
 La red no cuenta con protocolos seguros para la codificación y encriptación de los datos.
 La seguridad de acceso al servidor y dispositivos de red es baja.
 El estado lógico de la red es riesgoso, debido a la falta de protocolos seguros para la red.
Recomendaciones:

1) Se recomienda al gerente de Sistemas la elaboración de un mapa de la red de la empresa para poder obtener un
registro de los componentes y sus funciones dentro de la red.
2) Se recomienda al gerente de sistemas la elaboración de un documento firmado por los trabajadores, donde se
comprometa el resguardo de las contraseñas.
3) Se recomienda al gerente de sistemas la elaboración de un procedimiento automático para que realice el cambio
periódico las claves secretas de los usuarios.
4) Se recomienda al gerente de sistemas crear un registro de usuarios para obtener la lista de acceso de los usuarios
que se conecten a la red.
5) Se recomienda al gerente de sistemas configurar los routers inalámbricos para solo permitir el acceso a la red a los
equipos de la empresa.
6) Se recomienda al gerente de sistemas la elaboración de acciones de seguridad relevantes para la red.
7) Se recomienda al gerente de sistemas aplicar protocolos seguros para la codificación y encriptación de los datos.
8) Se recomienda al gerente de sistemas la creación de los controles correspondientes para la autenticación de los
servicios de la red.
9) Se recomienda al gerente de sistemas la inclusión de protocolos de comunicación seguros dentro de la red.
Conclusiones:

Al examinar con detenimiento la Red de Área Local de la empresa OXFORD C.A, hemos determinado que se
deben implementar técnicas para optimización de la red, así mismo mejorar los controles existentes dentro de la red de
área local de la misma para brindar una mayor seguridad en la red y así mismo definiendo métodos de acceso a la red,
evitan el acceso indebido a la misma. Por otra parte, se observa la carencia de documentación de la red, dando
oportunidad a la caída de la misma por un largo lapso de tiempo hasta que se logre detectar la falla. Así mismo las
políticas de seguridad de la organización deben desarrollar protocolos que permitan el resguardo de las contraseñas por
parte de los empleados.
La recomendación dada para la organización OXFORD C.A, es que, se deben adaptar la red de área local
existentes, a los requerimientos actuales del mercado, con protocolos estrictos de codificación y encriptamiento de los
datos que circulan a través de la misma. Al mismo tiempo es necesario documentar toda la red para actuar antes casos
inesperados.
Por todos los elementos antes expuestos, se ha logrado cumplir con los objetivos planteados para el desarrollo de
la auditoría informática en el área de redes, a la empresa OXFORD C.A, para la detección de vulnerabilidades que
presenta la infraestructura de la organización, logrando detectar las amenazas y vulnerabilidades de la red de área local
de la organización. Para concluir se exponen los siguientes puntos, que se recomiendo abordar a la brevedad:
 Se manifiesta acceso al servidor y demás dispositivos de red de forma indebida.
 Es necesario aplicar protocolos seguros en la red de área local.

Inversiones uzcarguin

Recomendados

Recomendados

Más contenido relacionado

Similar a Inversiones uzcarguin

Similar a Inversiones uzcarguin (20)

Último

Último (20)

Inversiones uzcarguin