El documento presenta una auditoría de redes, sistemas y comunicaciones. Se describen los objetivos de auditar el mantenimiento, hardware, software y comunicaciones para verificar el cumplimiento de estándares, políticas de seguridad, procedimientos y controles. El documento también incluye las fases de una auditoría e información sobre auditar redes de área local, sistemas de información y elementos funcionales y no funcionales de una red.
3. El Personal del Mantenimiento
• Verificar el área de personal
• Aclaraciones sobre el cálculo de rendimiento
4. Mantenimiento PREVENTIVO y CORRECTIVO
• Disminución del número de incidencias en el sistema.
• Aumento de la vida útil de los equipos.
• Disminución de costos de tiempo y económicos en reparaciones.
• Detección de los puntos débiles del sistema.
5. Fines de la auditoria en el entorno de
hardware.
• El mantenimiento que se realice debe asegurar una vida útil para toda el área.
• Revisar los informes de la dirección sobre la utilización del hardware.
• Revisar si el equipo se utiliza por el personal autorizado.
• Examinar los estudios de adquisición, selección y evaluación del hardware.
• Comprobar las condiciones ambientales.
• Verificar los procedimientos de seguridad física.
• Examinar los controles de acceso físico.
• Revisar la seguridad física de los componentes de la red
6. Fines de la auditoria en el entorno de software.
• Revisar las librerías utilizadas por los programadores.
• Examinar que los programas realizan lo que realmente se espera de ellos.
• Revisar el inventario de software.
• Comprobar la seguridad de datos y software.
• Examinar los controles sobre los datos.
• Revisar los controles de entrada y salida.
• Supervisar el uso de las herramientas potentes al servicio de los usuarios.
• Comprobar la seguridad e integridad de la base de datos.
7. Auditoría de sistemas de información
•Es el estudio que comprende el análisis y gestión de
sistemas llevado a cabo por profesionales para
identificar, enumerar y posteriormente describir las
diversas vulnerabilidades que pudieran presentarse en
una revisión exhaustiva de las estaciones de trabajo,
redes de comunicaciones o servidores.
8. Auditoría de sistemas de información
• Una vez obtenidos los resultados, se detallan, archivan y
reportan a los responsables quienes deberán establecer medidas
preventivas de refuerzo y/o corrección siguiendo siempre un
proceso secuencial que permita a los administradores mejorar la
seguridad de sus sistemas aprendiendo de los errores cometidos
con anterioridad.
9. Fases de una auditoria
• Los servicios de auditoría constan de las siguientes fases:
• Enumeración de redes, topologías y protocolos
• Verificación del Cumplimiento de los estándares internacionales. (ISO)
• Identificación de los sistemas operativos instalados
• Análisis de servicios y aplicaciones
• Detección, comprobación y evaluación de vulnerabilidades
• Medidas específicas de corrección
• Recomendaciones sobre implantación de medidas preventivas.
11. •La red de área local (LAN por sus siglas en inglés)
como tal es un medio de comunicación
democrático, o al menos esa es la intención, sin
embargo, en ocasiones existen usuarios que
intentan aprovecharse de todos los recursos que
les proporciona la red para explotarla.
Red de área local
12.
13. •Las redes tienen un punto de demarcación que es hasta
donde llega la responsabilidad de nuestro ISP y comienza
la nuestra.
•Nuestra responsabilidad:
“Garantizar el acceso a la red, proveer de
mecanismos que ayuden a la seguridad en la red,
interoperabilidad entre sistemas, escalabilidad,
etc...”
14. Se pueden auditar 2 elementos principales:
• Elementos funcionales.
Configuración de los equipos, accesos, restricciones, vulnerabilidades
en los equipos, políticas de tráfico, etc.
• Elementos no funcionales
Velocidades constantes (tanto de subida como de bajada), tiempo de
convergencia de los routers en la red, señal intermitente, cobertura
de la señal inalámbrica, etc.
15. Cosas a auditar (elementos funcionales)
1.- Usuarios (equipos) no autorizados en nuestra red.
2.- El tráfico de nuestra red (para detectar tráfico sospechoso).
3.-Vulnerabilidad en nuestros usuarios (sobre todo en los
equipos de los jefes).
4.- En caso de tener servidores en nuestra red, se deberán
llevar a cabo auditorias específicas para cada servicio
(impresión, usuarios, datos, ect).
16. •La metodología se basa principalmente en el modelo de
referenciaOSI, estándares como elTIA-942,Tier, norma de
cableado estructurado ANSI/TIA/EIA-568-B,ANSI/TIA/EIA-
569-A y las mejores prácticas en el mercado.
•La auditoria de redes, se inicia evaluando la parte física de la
red, condiciones del cableado estructurado, mantenimiento
de la sala de servidores, gabinetes de comunicación,
etiquetado de los cables, orden , limpieza.Comparado con las
mejores practicas y referenciados con los estandares. En esta
parte, también se consideran el mantenimiento de los equipos
de comunicaciones, tener un inventario actualizado de los
equipos de red, garantías.
Sergio Untiveros
17. •Luego se realiza el levantamiento de información,
análisis y diagnostico de la configuración lógica de la
red, es decir; plan ip, tabla de vlans, diagrama de vlans,
diagrama topológico, situación del spaning-tree,
configuración de los equipos de red.
•Después de revisar toda esa información se procede a
realizar una evaluación cuantitativa de diversos
conceptos los cuales nos darán una valoración final
sobre la situación de la red. El resultado de la auditoria
de la red no es cualitativo sino cuantitativo, utilizando
una escala de likert.
Sergio Untiveros
18.
19. Analizar el tráfico que pasa por nuestra red -
Wireshark
Buscar vulnerabilidades – OpenVAS
Auditar de Redes - Autoscan
21. Auditoria en seguridad
informática
Una auditoría de seguridad consiste en apoyarse en un tercero de confianza
(generalmente una compañía que se especializada en la seguridad
informática) para validar las medidas de protección que se llevan a cabo, sobre
la base de la política de seguridad.
El objetivo de la auditoría es verificar que cada regla de la política de seguridad
se aplique correctamente y que todas las medidas tomadas conformen un
todo coherente.
Una auditoría de seguridad garantiza que el conjunto de disposiciones
tomadas por la empresa se consideren seguras.
22. Hardware
• Si hay políticas y procedimientos relativos al uso y protección del hardware.
• Equipo de soporte:
localización física (aire acondicionado, equipo no break, equipos contra
incendios u otros)
• Ubicación física del equipo de computo.
• Si hay procedimientos que garanticen la continuidad y disponibilidad del equipo
de computo
• si hay personal de seguridad encargada de salvaguarda de los equipos
23. Hardware
• si existen políticas relacionadas con el ingreso y salida
del hardware:
•Que la entrada y salida sea (revisada, justificada, aprobada , registrada y
devuelta)
•Si hay alguna función de investigación, auditoria o
seguridad que se dedique a la evaluación permanente de
software, métodos, procedimientos etc. Para la
implantación de nuevas acciones relativas a la seguridad
que brindan continuidad en la operación y cuidado de los
recursos relacionados con informática.
24. Software
• Si se tienen políticas y procedimientos relativos al uso y protección del
software
• Si poseen políticas relacionadas con el ingreso y salida del software
• En cuanto a las aplicaciones que se desarrollan en la empresa: si hay
controles y procedimientos necesarias para garantizar la seguridad
mínima requerida.
• Si existen procedimientos que verifiquen que la construcción, prueba e
implementación de los controles y procedimientos de seguridad sean
formalmente aprobados, antes de utilizarlo
• Si los controles aseguran que el sistema contemplen los procedimientos
necesarios para que la información manejada en el mismo sea total,
exacta, autorizada, mantenida y actualizada.
25. Software
• Si se cuenta con un procedimiento formal para mantenimiento de los
sistemas.
• Como se da seguimiento a los cambios de los sistemas sugeridos por la
función de informática.
• Si hay procedimientos que permiten identificar con claridad las
responsabilidades en cuanto al uso del sistema y computo donde será
implantado y operado.
• Procedimientos que se utilizan para liberar formalmente el sistema.
• Funciones que verifican los controles y procedimientos relativos a la
seguridad se cumplan de manera satisfactoria
• Si están bien definidos los responsables de modificar los programas fuente
del sistema
• Registros de los de los archivos existentes en cada sistema en operación
26. Software
•Si se cuenta con procedimientos de respaldo de los
programas fuentes
•Si el respaldo se encuentra en el mismo edificio
•Si hay controles para que solo personal autorizado tenga
acceso a respaldo.
27. Plan de contingencias y de recuperación
• Grado de importancia de los recurso (alta dirección) y que recursos tienen mayor
grado de protección.
• Analizar la tareas realizadas, pendientes, en desarrollo y quienes son responsables
en la planeación de contingencias y recuperación.
• función responsable de seguridad que verifique y de seguimiento a la actualización
formal de planes y procedimientos.
• Aprobación de planes
• Contemplación de contingencias o desastres en instalaciones de la organización.
• Procedimientos formal para efectuar todo el proceso de evaluación, selección y
contratación de los seguros.
28. • Clasificación de los elementos prioritarios para que la operación de los
sistemas básicos no se interrumpan por un desastre o contingencia.
30. Auditoria aTelecomunicaciones
Son una serie de mecanismos mediante los cuales se prueba una Red Informática,
evaluando su desempeño y seguridad, logrando una utilización mas eficiente y Segura de la
información.
• Asegurar la integridad, confidencialidad y confiabilidad de la información.
• Minimizar existencias de riesgos en el uso de Tecnología de información
• Brindar seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático.
• Incrementar la satisfacción de los usuarios de los sistemas informáticos.
• Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar
decisiones en cuanto a inversiones para la tecnología de información.
31. Administración
Verificar que los usuarios que acceden a la red tengan
asignado un rol y solo pueden acceder a información de su
jerarquía.
Verificar las políticas y normas de seguridad de
telecomunicaciones deben estar formalmente definidas,
documentadas y aprobadas.
Contar con un manuales de operación de la red de
comunicación
32. Contar con una bitácora de:
Usuarios que entraron a la red.
Operaciones realizadas en la red (envío/recepción).
Tiempos de conexión.
33. Verificar la existencia de controles en software y hardware
Asegurar la existencia de controles y procedimientos que
orienten a la satisfacción de la administración
Verificar que el software de comunicación sea efectivo y
controlado
Verificar que solo se encuentre software autorizado en la red
Evaluar las acciones que lleven a cabo para actualizar los
diferentes componentes de la red.
34. Instalación
• Protección de datos transmitidos a través de la red
• Protección a los componentes de la red
• Métodos para prevenir el monitoreo no autorizado
• Contraseñas que autoricen el acceso a la red y eviten la entrada a archivos no autorizados
• Se debe estar pendientes de lo que sucede para cubrir las nuevas brechas y hacer el trabajo
mas difícil a los atacantes.
• Se debe estar pendiente a los fallos que se presentan los cuales facilitan intrusión de los
sistemas.
• Verificar que se cuente con un plan de contingencia que permita a la empresa seguir sus
operaciones en caso de algo imprevisto como la perdida de conectividad
35. Operaciones/Seguridad
• Protección de datos transmitidos a través de la red
• Protección a los componentes de la red
• Métodos para prevenir el monitoreo no autorizado
• Contraseñas que autoricen el acceso a la red y eviten la entrada a archivos no
autorizados
• Se debe estar pendientes de lo que sucede para cubrir las nuevas brechas y
hacer el trabajo mas difícil a los atacantes.
• Se debe estar pendiente a los fallos que se presentan los cuales facilitan
intrusión de los sistemas.
• Verificar que se cuente con un plan de contingencia que permita a la
empresa seguir sus operaciones en caso de algo imprevisto como la
perdida de conectividad
38. Instalación
• Cableado estructurado.
• ANSI/TIA/EIA-568-B: Cableado de Telecomunicaciones en Edificios Comerciales
sobre como cómo instalar el Cableado: TIA/EIA 568-B1 Requerimientos
generales;TIA/EIA 568-B2: Componentes de cableado mediante par trenzado
balanceado;TIA/EIA 568-B3 Componentes de cableado, Fibra óptica.
• ANSI/TIA/EIA-569-A: Normas de Recorridos y Espacios de Telecomunicaciones en
EdificiosComerciales sobre cómo enrutar el cableado.
• ANSI/TIA/EIA-570-A: Normas de Infraestructura Residencial de
Telecomunicaciones.
• ANSI/TIA/EIA-606-A: Normas de Administración de Infraestructura de
Telecomunicaciones en Edificios Comerciales.
• ANSI/TIA/EIA-607: Requerimientos para instalaciones de sistemas de puesta a
tierra deTelecomunicaciones en Edificios Comerciales.
39. Cableado Horizontal
• No se permiten puentes, derivaciones y empalmes a lo largo de todo el trayecto del
cableado.
• Se debe considerar su proximidad con el cableado eléctrico que genera altos niveles de
interferencia electromagnética (motores, elevadores, transformadores, etc.)
• La máxima longitud permitida independientemente del tipo de medio de utilizado es 100m
= 90 m + 3 m usuario + 7 m patchpannel.
43. Operación
• Operar el Hardware de acuerdo a las especificaciones técnicas
del fabricante y las normas de higiene y seguridad de la
empresa.
IMPRESO
• Normas de seguridad e higiene de la empresa.
• Manual de operaciones.
• Manual de especificaciones técnicas y diagramas de conexión
del fabricante.