1. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
INVERSIONES UZCARGUIN C.A.
Propuesta Auditoria de Red 2017
(Auditoria interna y externa)
Integrante:
Brache luis
C.I: 21.321.979
2. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Barinas 2017
Entidad Auditada:
Inversiones Uzcarguin C.A
Alcance
Auditoría Informática de Redes a la empresa Inversiones Uzcarguin C.A
Tiempo
50 Horas
Objetivo General:
Desarrollar una auditoría informática en el área de redes, a la empresa Inversiones Uzcarguin C.A, para la detección
de vulnerabilidades que presenta la infraestructura de la organización.
Objetivos Específicos:
Determinar el estado actual de red física y lógica de la organización. Verificar la topología de la red y sus posibles
debilidades.
Analizar la información recolectada durante el proceso de Auditoría Informática de Redes. Realizar el pre-informe
de la auditora de redes.
Presentar el informe del proceso de Auditoría Informática de Redes.
3. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Matriz de Análisis de Auditoria de Red
Empresa Inversiones Uzcarguin C.A
Objetivos
General Específicos Dimensión Indicadores Instrumentos
Desarrollar una
auditoría informática
en el área de redes, a
la empresa
Inversiones Uzcarguin
C.A, para la detección
de vulnerabilidades
que presenta la
infraestructura de la
organización.
Determinar el estado
actual de red física y
lógica de la
organización.
Organización Estandarización
Documentación
Recursos
Humanos y
Materiales
Encuestas.
Técnicas de
Observación
directa.
Revisión del
modelo OSI.Funcionamiento Identificación de
la red Física.
Identificación de
la red Lógica
Verificación de
estado de
mantenimiento y
actualización de
la red.
Verificar la topología
de la red y sus
posibles debilidades.
Topología Física Identificación del
cableado de la
red.
Verificación de
los conectores.
Comprobación de
la conexión de los
host con los
dispositivos
intermediarios.
Técnica de
observación
directa.
Técnicas de
revisión.
Topología Lógica Identificación de
los protocolos
utilizados.
4. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Comprobación
del
comportamiento
de los
dispositivos
intermediarios.
Analizar la
información
recolectada durante el
proceso de Auditoría
Informática de Redes.
Análisis de la
información
Resultados
derivados
Realizar el pre-
informe de la auditora
de redes.
Presentar Pre-Informe
Pre-Informe
Presentar el informe
del proceso de
Auditoría Informática
de Redes.
Elaboración del
Informe
Informe
5. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
EDT.
6. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Programa de Auditoria
Empresa: INVERSIONES UZCARGUIN C.A FECHA: 03/04/2017 HOJA Nº 1
FASE ACTIVIDAD HORAS ESTIMADAS ENCARGADO
7. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
I Etapa Preliminar:
Planificación de Actividades.
Recolección de Información.
Determinación de los objetivos.
Establecimiento del alcance.
Elaboración de la Entrevista.
Elaboración de Cuestionarios.
Elaboración de Pruebas de Comunicación.
Elaboración de Pruebas de Intrusión.
(2 Dias)
10 Brache luis
FASE ACTIVIDAD FECHA: 07/04/2017
HORAS ESTIMADAS
HOJA Nº 1
ENCARGADO
II Desarrollo de la Auditoria:
Entrevistas al personal encargado de la tecnología
de la empresa.
Aplicación de los cuestionarios y entrevistas.
Aplicación de pruebas de comunicación físicos y
lógicas.
Aplicación de pruebas de intrusión.
Recopilación de información arrojada en las
pruebas
Análisis de la información recopilada.
Establecimiento de resultados (Descubrimientos,
observaciones, recomendación y resultados).
(3 Dias )
20
Brache luis
Empresa: INVERSIONES UZCARGUIN C.A FECHA: 11/04/2017 HOJA Nº 2
8. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
FASE ACTIVIDAD HORAS ESTIMADAS ENCARGADO
III Revisión y Pre-Informe
Revisión de los resultados
Elaboración del Pre-Informe
(2 Dias)
10 Brache luis
FASE ACTIVIDAD FECHA: 14/04/2017
HORAS ESTIMADAS
HOJA Nº 2
ENCARGADO
IV Informe
Elaboración del informe final.
Presentación del informe
(1Dias)
10 Brache luis
9. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Fases de la Auditoria
Fase I. Etapa Preliminar (10 horas)
• Planificación de Actividades.
• Recolección de Información.
• Determinación de los objetivos.
• Establecimiento del alcance.
• Elaboración de la Entrevista.
• Elaboración de Cuestionarios.
• Elaboración de Pruebas de Comunicación.
• Elaboración de Pruebas de Intrusión.
Fase II. Desarrollo de las Auditorias (20 horas)
• Entrevistas al personal encargado de la tecnología de la empresa.
• Aplicación de los cuestionarios y entrevistas.
• Aplicación de pruebas de comunicación físicos y lógicas.
• Aplicación de las pruebas de intrusión.
• Recopilación de información arrojada en las pruebas
• Análisis de la información recopilada.
• Establecimiento de resultados (Descubrimientos, observaciones, recomendación y resultados).
10. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Fase III. Revisión y Pre-Informe (10 horas)
• Revisión de los resultados
• Elaboración del Pre-Informe
Fase IV. Informe (10 horas)
• Elaboración del informe final
• Presentación del informe
11. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Cronograma.
ACTIVIDADES HORAS 1 2 3 4
Planificación de Actividades. 1
Recolección de Información. 1
Determinación de los objetivos. 1
Establecimiento del alcance. 1
Elaboración de la Entrevista. 1
Elaboración de Cuestionarios. 2
Elaboración de Pruebas de Comunicación. 1
Elaboración de Pruebas de Intrusión. 2
Entrevistas al personal encargado de la tecnología de la empresa. 2
Aplicación de los cuestionarios y entrevistas. 2
Aplicación de pruebas de comunicación físicos y lógicas. 3
Aplicación de las pruebas de intrusión. 3
Recopilación de información arrojada en las pruebas 2
Análisis de la información recopilada. 3
Establecimiento de resultados (Descubrimientos, observaciones, recomendación y
resultados).
3
Revisión de los resultados 7
Elaboración del Pre-Informe 3
Elaboración del informe final 7
Presentación del informe 3
12. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
13. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Actividad Tiempo Comienzo Fin
DIAS FASE I DIAS FASE II DIAS FASE III DIAS FASE IV
S D L M M J V S D L M M J V S D L M M J V S D L M M J V
Fase I 2 días 03/04/2017 06/04/2017
Planificación inicial de
Actividades 03/04/2017 03/04/2017
Primer contacto con el cliente 04/04/2017 04/04/2017
Entrevista con el personal y
administradores 04/04/2017 05/04/2017
Solicitud de información o
manuales de usuarios 06/04/2017 06/04/2017
Fase II 3 días 07/04/2017 10/04/2017
Definición del alcance y
objetivos de la auditoria 07/04/2017 07/04/2017
Diseño de instrumentos y
técnicas de auditoria 08/04/2017 09/04/2017
Aplicación de entrevistas y
cuestionarios a usuarios 10/04/2017 10/04/2017
Fase III 2 días 11/04/2017 13/04/2017
Observación directa y prueba
sobre los factores considerados 11/04/20170 11/04/2017
14. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Aplicación de técnicas,
recopilación y análisis de
información 13/04/2017 13/04/2017
Fase IV 5 días 14/04/2016 14/04/2017
Elaboración del Pre-Informe 14/04/2017 14/04/2017
Revisión y discusión de los
resultados del pre-informe 14/04/2017 14/04/2017
Elaboración del Informe Final 14/04/2017 14/04/2017
Presentación del informe final 22/07/2016 14/04/2017
15. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Matriz de Riesgo
Descripción Impacto Probabilidad
Manifestaciones 3 2
Terremotos 2 1
Inundaciones 2 1
Incendios 3 2
Caída de la Red 1 3
Perdida de Información 3 3
Vulnerabilidad Remota 3 3
Inadecuados Controles Lógicos 2 3
Robo de los Equipos 3 3
Impacto:
16. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
1) Bajo
2) Medio
3) Alto
Probabilidad:
1) Bajo
2) Medio
3) Alto
Análisis:
De la matriz de riesgo se puede notar claramente el alto impacto de los principales peligros a la estabilidad y correcto
funcionamiento de la red de la empresa Inversiones Uzcarguin C.A, en este caso:
0
0.5
1
1.5
2
2.5
Riesgos de la Red Inversiones Uzcarguin C.A
HORAS 1
17. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
- Manifestaciones
- Incendios
- Perdida de Información
- Vulnerabilidad Remota
- Robo de equipos
Se puede inferir dado los resultados obtenidos, la necesidad de dedicar mayores esfuerzos a atacar estos riegos y de
esta forma evitar su materialización en el futuro.
Programa de auditor (software)
WIRELESS NETWORK WATCHER
Programa diseñado específicamente para analizar la red y mostrar todos los dispositivos que se encuentran conectados.
18. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Determinación de Hallazgos en la Auditoria
Nº Procedimiento Cumple No Cumple Referencia Observaciones
1
Evaluar el control de
acceso al sistema.
X ISO 27001
La empresa cumple con un control de contraseñas en los
equipos.
2 Evaluar la configuración y x ISO 17799 Los equipos están en buen estado
19. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
estado físico de los
equipos de cómputo
ISO 9241-400
3
Evaluar el uso de
antivirus
X ISO 15489 Todas los equipos tienen antivirus actualizados
4
Evaluar la existencia de
respaldos de las bases
de datos e información
critica de la empresa
X ISO/IEC 24762 No se hacen respaldos de la información
5
Realización de
inventarios
X ISO 9001 Llevan el control de inventarios en el sistema.
6
Protección de la
información
X ISO 15489 Tienen control de acceso los equipos
7
Evaluar las medidas
contra siniestros
X ISO 14001
Los empleados no están capacitados contra algún
siniestro que pudiese ocurrir
8
Evaluar el desempeño
del sistema
X ISO 15504-2
El sistema no cumple correctamente con la función para
la cual es necesitado
Tipo Instrumento: Prueba Página: 1/1
Propósito: Determinar el buen funcionamiento de red
Fecha: 04/07/2016
Tipo de prueba: Caja Negra
20. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Pre requisitos:
1. Tener instalado el sistema de red
2. Poseer un usuario que tenga acceso al sistema
Pasos:
1. Ingresar al sistema de red
2. Abrir el modulo red principal
3. Verificar la conexión física en todos los equipos a la red
4. Verificar la conexión logica en todos los equipos a la red
5. Salir del Sistema
Resultados 1. Mensajes de Confirmación de redes activadas
esperados:
2. Alertas al introducir contraseñas de seguridad no establecidas
Observaciones:
__________________________________________________________________________________________
__________________________________________________________________________________________
Riesgos / Valoración
Probabilidad Impacto
A M B L M C
Eléctricos
R1 No existe sistema de puesta a tierra
x
x
21. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
R2 No existe reguladores de voltaje x
x
R3
No existe protectores contra
sobrecarga
x
x
R4
No hay interruptores en la caja de
protecciones
x
x
R5
La fase neutra no se encuentra bien
identificada x
x
Siniestros y Catástrofes
R6 No existen sistemas contra incendios
x
x
R7
No existe el mantenimiento
adecuado a los sistemas contra
incendio
x
x
R8
No existen sistemas de ventilación
adecuados x x
R9
Terremotos o ventiscas pueden
causar daños a los sistemas de
distribución eléctrica que abastecen
a la empresa del servicio x x
Manejo y Control de Personal
R10
No hay control de acceso al sistema
por parte del personal
x
x
22. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
R11
No se hace respaldo de la
información
x x
R12
No se lleva un registro detallado de
los usuarios que hacen uso de los
equipos
x x
En la matriz se puede notar que el riesgo más alto se presenta en:
-Siniestros
-Manejo y control de personal
Se estima que la necesidad de dedicar mayor esfuerzo debilitar estos riesgos y así prevenir su ejecución en el futuro.
Procedimientos de
auditoria
Sección de
Trabajo
Informática de
sistemas PAGINA 1 de 1
Matriz De Riesgo
Probabilidad:
Alta: A
Media: M
Baja: B
Catastrófico: C
Moderado: M
Leve: L
Impacto:
Bajo R9 R2,R3 R4,R10
Moderado Catastrófico
Alto R1,R5
Medio R8,R11,R12 R6,R7
Leve
23. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Empresa: Inversiones
uzcarguin c.a
Unidad y/o departamento: Oficinas
Área: Sistemas
.
Nº Descripción Si No Observaciones
1 Realice Encuestas
2
Aplique Cuestionarios de control
interno
3 Aplique listas de chequeo
4 Llene matriz de riesgos
5 Realice Pruebas
6
Examen y evaluación de la
información
7 Realice Análisis de riesgos
8
Especifique evidencias de
auditoria
9 Tabule resultados
10 Análisis de resultados
Hallazgos de la Auditoria:
La red de área local de la organización no se encuentra documentada.
La empresa no posee un mapa de red.
24. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
No posee catálogos de amenazas de la red la organización.
No se encuentran registradas las amenazas de la red dentro de la organización.
Ausencia de la documentación de las vulnerabilidades de la red de la empresa.
La empresa carece de medidas de seguridad para resguardar las contraseñas de la misma.
La organización carece procedimiento automático para que realice el cambio periódico de contraseñas
Posible acceso indebido a la red de área local de la organización.
Fallas importantes de seguridad en la red de área local.
La red no cuenta con protocolos seguros para la codificación y encriptación de los datos.
La seguridad de acceso al servidor y dispositivos de red es baja.
El estado lógico de la red es riesgoso, debido a la falta de protocolos seguros para la red.
Recomendaciones:
25. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
1) Se recomienda al gerente de Sistemas la elaboración de un mapa de la red de la empresa para poder obtener un
registro de los componentes y sus funciones dentro de la red.
2) Se recomienda al gerente de sistemas la elaboración de un documento firmado por los trabajadores, donde se
comprometa el resguardo de las contraseñas.
3) Se recomienda al gerente de sistemas la elaboración de un procedimiento automático para que realice el cambio
periódico las claves secretas de los usuarios.
4) Se recomienda al gerente de sistemas crear un registro de usuarios para obtener la lista de acceso de los usuarios
que se conecten a la red.
5) Se recomienda al gerente de sistemas configurar los routers inalámbricos para solo permitir el acceso a la red a los
equipos de la empresa.
6) Se recomienda al gerente de sistemas la elaboración de acciones de seguridad relevantes para la red.
7) Se recomienda al gerente de sistemas aplicar protocolos seguros para la codificación y encriptación de los datos.
8) Se recomienda al gerente de sistemas la creación de los controles correspondientes para la autenticación de los
servicios de la red.
9) Se recomienda al gerente de sistemas la inclusión de protocolos de comunicación seguros dentro de la red.
Conclusiones:
26. Auditoría Informática de Red Inversiones Uzcarguin C.A
URBANIZACIÓN JOSE ANTONIO PAEZ SECTOR 1 CALLE PRINCIPAL
LOCAL 4 AL FRENTE DE TANQUE DE AGUA (HIDRO-ANDES) DE LOS POZONES
Al examinar con detenimiento la Red de Área Local de la empresa OXFORD C.A, hemos determinado que se
deben implementar técnicas para optimización de la red, así mismo mejorar los controles existentes dentro de la red de
área local de la misma para brindar una mayor seguridad en la red y así mismo definiendo métodos de acceso a la red,
evitan el acceso indebido a la misma. Por otra parte, se observa la carencia de documentación de la red, dando
oportunidad a la caída de la misma por un largo lapso de tiempo hasta que se logre detectar la falla. Así mismo las
políticas de seguridad de la organización deben desarrollar protocolos que permitan el resguardo de las contraseñas por
parte de los empleados.
La recomendación dada para la organización OXFORD C.A, es que, se deben adaptar la red de área local
existentes, a los requerimientos actuales del mercado, con protocolos estrictos de codificación y encriptamiento de los
datos que circulan a través de la misma. Al mismo tiempo es necesario documentar toda la red para actuar antes casos
inesperados.
Por todos los elementos antes expuestos, se ha logrado cumplir con los objetivos planteados para el desarrollo de
la auditoría informática en el área de redes, a la empresa OXFORD C.A, para la detección de vulnerabilidades que
presenta la infraestructura de la organización, logrando detectar las amenazas y vulnerabilidades de la red de área local
de la organización. Para concluir se exponen los siguientes puntos, que se recomiendo abordar a la brevedad:
Se manifiesta acceso al servidor y demás dispositivos de red de forma indebida.
Es necesario aplicar protocolos seguros en la red de área local.