SlideShare una empresa de Scribd logo

auditoria de Seguridad de redes

Descargar como DOCX, PDF
Jerich Chavarry
Jerich Chavarry

El informe de auditoría analiza la seguridad de la red de Transporte Feliz Viaje S.A. y encuentra varias debilidades como falta de actualizaciones antivirus, acceso físico no autorizado a hardware, ausencia de identificaciones de empleados y falta de planes de contingencia. Se recomienda implementar esquemas robustos de antivirus, restringir accesos, dar mantenimiento a hardware, establecer planes de contingencia y políticas de seguridad informática.

Software
1 de 5
INFORME DE AUDITORIA Fecha del Informe: 29 / 04 / 2014 Nombre de la Entidad: Transporte Feliz Viaje S.A Auditoria de Seguridad de Redes Objetivo  Análisis del Estado actual de la red, incluyendo controles físicos y lógicos, detección de usuarios no autorizados, hardware de comunicaciones, tipos de tráfico de red, esquema de antivirus, acceso a Internet, esquema y pruebas de respaldo.  Análisis de Políticas de seguridad actuales, que incluye verificación de políticas de claves, control de personal, perfiles de usuario, sistemas operativos de red, esquema de licencias de software.  Análisis de protección de recursos informáticos y establecimiento de un plan de capacitación en las políticas de seguridad.  Elaborar un plan de respaldo y contingencia que garantice la disponibilidad de los recursos tanto en la parte de servidores y equipos de comunicación, enlaces de transmisión, aplicaciones y datos en general Lugar de la Auditoría: Área de Sistemas de la referida empresa. Grupo de Trabajo de Auditoría:  Integrantes Fecha de Inicio de la Auditoría: 27 / 04 / 2014 Tiempo estimado del proceso de revisión: 30 hs Fecha de Finalización de la Auditoría: 29 / 04 / 2014 Herramientas utilizadas Metodología de auditoría de objetivos de control - Utilitarios estándar 1. Entrevistas 2. Cheklist Alcance Controlar los accesos no autorizados al software, así también como el cuidado y mantenimiento del hardware. Manejar el acceso de la red de tal manera que se utilice sólo para uso de trabajo.
Procedimientos a aplicar: Objetos ¿Existen actualizaciones de los programas? ¿Los sistemas están protegidos contra virus? ¿La información es clara? ¿Existen plan en caso de terremotos u otros? ¿Hay personal de seguridad en la Institución? ¿Los equipos tienen un mantenimiento continuo por parte de personal calificado? Datos - ¿Con qué frecuencia se realiza una copia de resguardo (backup)? - ¿Cada cuánto tiempo se realiza una actualización de lo programas? - ¿existen inventario de las maquinas? ¿Diversos extintores? Usuarios ¿Todos los usuarios tienen definido un rol determinado? ¿Todos los usuarios tienen permiso para instalar aplicaciones? ¿Se cuenta con registro de los empleados?
Informe de las debilidades detectadas Situación Actual Recomendación Comentario de la Gerencia de Sistemas Las actualizaciones de las definiciones de virus y en general del antivirus no se realizan periódicamente, es decir no hay un procedimiento establecido para la ejecución y actualización de los antivirus. Es necesario estandarizar el software de antivirus en todas las estaciones de trabajo y servidores. Es aconsejable tener un proveedor de software antivirus para las estaciones y otro diferente para el servidor, para reducir la probabilidad de que un virus que no esté en la lista de actualización, se filtre en toda la red. El servidor principal de la empresa se encuentra actualmente sin antivirus, lo que representa un grave peligro frente a cualquier programa no deseado que ingrese desde la misma red o de la Internet. Se sugiere que en las estaciones de trabajo se siga con la línea de Symantec (Norton Antivirus) y en el servidor central instalar McAfee. Es recomendable instalar el McAfee por la funcionalidad que brinda la consola de administración de la versión para servidores. Si no se opta por alguno de estos productos se tendría que analizar que el producto que se escoja no afecte el software instalado para las actividades que realiza la empresa. Como parte de esta evaluación se procedió a verificar las conexiones de los cables del HUB, los cables del servidor de base de datos, quedó en evidencia el libre acceso físico que existe hacia el hardware de comunicaciones, puesto que el HUB está almacenado en un armario donde también se guarda documentación física de la empresa.  El servidor de archivos no debe ser accesible físicamente a cualquier persona. Ausencia de un área de recepción donde se solicite una identificación a los empleados como a los visitantes que deseen ingresar al área de cómputo. Colocar seguridad o personal de la empresa para la entrada del personal ajeno o de la empresa así controlar en ingreso.
Los colaboradores de la empresa carecen de una medio de identificación, llámese tarjeta de Id o alguna otro forma de identificación. Se solicita tener identificaciones y estar en registradas para evitar cualquier entrada de personal ajena a la empresa Ausencia de extintores de incendios. Colocar extintores en zonas claves para permitir el acceso rápido en caso de incendio La caja de los medidores de energía eléctrica se encuentra sin ningún tipo de protección, estando a la intemperie y a simple vista del público en general. Todo contacto o interruptor debe tener siempre su tapa debidamente aislada. Existe una diversa cantidad de programas en las estaciones de trabajo, muchos de estos que no tienen relación directa con la actividad de la empresa. Esto se debe a que los colaboradores suelen instalar software usando el usuario administrador de la máquina, el cual es el mismo en todas las estaciones Solo está permitido instalar en las computadoras el software requerido para el desarrollo de las actividades de la empresa, para esto se contará con un listado de dicho software, el cual deberá ser seleccionado por la Gerencia y jefes de área. No existe un mantenimiento de programas y procedimientos de detección e inmunización de virus. Se debe realizar actualizaciones de los diferentes programa que intervienen en las diferentes computadoras (ejm. Adobe Reader) No se tiene en inventario a la computadoras Se deberá realizar una señalización o etiquetado de los Computadores de acuerdo a la importancia de su contenido, para ser priorizados en caso de evacuación. El procedimiento de respaldo que actualmente consiste en efectuar Backus cada semana, los días viernes, almacenando en CD la información importante de la empresa que reside en el servidor central La realización de copias de seguridad ha de ejecutarse diariamente, éste es el principio que debe regir la planificación de las copias. No se cuenta con área de seguridad de usuarios, para evitar accesos no autorizados mediante contraseñas confiables y seguras. Concienciar a los usuarios de la red, se deberá concienciar a los usuarios de la red, acerca de una política mínima de seguridad, por ejemplo, evitar las claves fácilmente descifrables.
CONCLUSIONES El equipo de auditores considera que la empresa NO realiza las tareas de actualización y mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas áreas de la empresa. Luego de haber realizado el análisis de las seguridades en la red local, podemos concluir que no existen controles adecuados en los siguientes aspectos: acceso físico a instalaciones, accesos lógicos, plan de contingencias, políticas de seguridades informáticas y esquema de antivirus. Consideramos que los puntos mencionados anteriormente son indispensables para el correcto funcionamiento de las actividades de la empresa, ya que según lo expuesto en la parte sobre análisis de riesgos, una empresa que detenga sus actividades por fallas en la disponibilidad de su red, corre el riesgo de nunca poder recuperarse y desaparecer del mercado. RECOMENDACIONES: Por esta razón, recomendamos que se sigan los siguientes pasos: implementar un esquema robusto contra virus informáticos, restringir los accesos físicos a la empresa y a los equipos de cómputo, dar mantenimiento preventivo y correctivo al hardware de la empresa, tener un plan de contingencias que garantice la recuperación de la actividad normal de la empresa en caso de ocurrir algún desastre y por último, establecer un esquema de políticas de seguridad informática de acuerdo a las necesidades planteadas. Se aconseja que las sugerencias hechas en este documento junto con el esquema de políticas de seguridad propuesto, deban ser evaluadas con la mayor prontitud posible, entendiendo que ningún esfuerzo, sea este económico o humano, es demasiado cuando está en juego información confidencial y vital para el normal funcionamiento del negocio.

Recomendados

Gestion De Seguridad De La Red
Gestion De Seguridad De La RedGestion De Seguridad De La Red
Gestion De Seguridad De La RedRandolph Avendaño
 
Fundamentos de inteligencia de negocios
Fundamentos de inteligencia de negociosFundamentos de inteligencia de negocios
Fundamentos de inteligencia de negocios
Vivian Paz
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticos
Diana Alfaro
 
Perfil y funciones de un auditor informatico
Perfil y funciones de un auditor informaticoPerfil y funciones de un auditor informatico
Perfil y funciones de un auditor informaticoStephany Méndez Gordillo
 
Redes lan y wan
Redes lan y wanRedes lan y wan
Redes lan y wan
marcelo yañez rodriguez
 
Auditoría de Redes
Auditoría de RedesAuditoría de Redes
Auditoría de Redes
Jonathan Muñoz Aleman
 
Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo
1416nb
 

Recomendados

Gestion De Seguridad De La Red
Gestion De Seguridad De La RedGestion De Seguridad De La Red
Gestion De Seguridad De La RedRandolph Avendaño
 
Fundamentos de inteligencia de negocios
Fundamentos de inteligencia de negociosFundamentos de inteligencia de negocios
Fundamentos de inteligencia de negocios
Vivian Paz
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNSEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓNFinancieros2008
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticos
Diana Alfaro
 
Perfil y funciones de un auditor informatico
Perfil y funciones de un auditor informaticoPerfil y funciones de un auditor informatico
Perfil y funciones de un auditor informaticoStephany Méndez Gordillo
 
Redes lan y wan
Redes lan y wanRedes lan y wan
Redes lan y wan
marcelo yañez rodriguez
 
Auditoría de Redes
Auditoría de RedesAuditoría de Redes
Auditoría de Redes
Jonathan Muñoz Aleman
 
Auditoria en un Centro de Computo
Auditoria en un Centro de ComputoAuditoria en un Centro de Computo
Auditoria en un Centro de Computo
1416nb
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgosUniversidad Tecnológica
 
Planteamiento del problema
Planteamiento del problemaPlanteamiento del problema
Planteamiento del problemajuanpablojoanvictor
 
Informe auditoria informatica
Informe auditoria informaticaInforme auditoria informatica
Informe auditoria informatica
Leonel Ibarra
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
Barbara brice?
 
Crear un centro de cómputo
Crear un centro de cómputoCrear un centro de cómputo
Crear un centro de cómputoebm89
 
Manual de mantenimiento para un centro de cómputo
Manual de mantenimiento para un centro de cómputoManual de mantenimiento para un centro de cómputo
Manual de mantenimiento para un centro de cómputo
Mochiteko
 
Auditoria Sistemas
Auditoria SistemasAuditoria Sistemas
Auditoria Sistemas
Solution´s System
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaRoberto Porozo
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
Rosmery Banr
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Ubaldin Gómez Carderón
 
ADMINISTRACION DE CENTRO DE COMPUTO
ADMINISTRACION DE CENTRO DE COMPUTOADMINISTRACION DE CENTRO DE COMPUTO
ADMINISTRACION DE CENTRO DE COMPUTOguest879616
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
Elvin Hernandez
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
Willian Yanza Chavez
 
Diseño y normas en un centro de cómputo
Diseño y normas en un centro de cómputoDiseño y normas en un centro de cómputo
Diseño y normas en un centro de cómputo
Martin Pacheco Chávez
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecución
g_quero
 
Diseño Data center
Diseño Data centerDiseño Data center
Diseño Data center
Yohany Acosta
 
Controles
ControlesControles
Controlesfbogota
 
Configuración de equipos de comunicación
Configuración de equipos de comunicaciónConfiguración de equipos de comunicación
Configuración de equipos de comunicación
Diana Amaya
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasAna Julieta Gonzalez Garcia
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De Redes
Cristian Paul
 
Clipping cnc 03032015 versão de impressão
Clipping cnc 03032015 versão de impressãoClipping cnc 03032015 versão de impressão
Clipping cnc 03032015 versão de impressão
Paulo André Colucci Kawasaki
 
Trabajo final postitulo
Trabajo final postituloTrabajo final postitulo
Trabajo final postitulo
Nancy Wietig
 

Más contenido relacionado

La actualidad más candente

Informe auditoria informatica
Informe auditoria informaticaInforme auditoria informatica
Informe auditoria informatica
Leonel Ibarra
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
Barbara brice?
 
Crear un centro de cómputo
Crear un centro de cómputoCrear un centro de cómputo
Crear un centro de cómputoebm89
 
Manual de mantenimiento para un centro de cómputo
Manual de mantenimiento para un centro de cómputoManual de mantenimiento para un centro de cómputo
Manual de mantenimiento para un centro de cómputo
Mochiteko
 
Auditoria Sistemas
Auditoria SistemasAuditoria Sistemas
Auditoria Sistemas
Solution´s System
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaRoberto Porozo
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
Rosmery Banr
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Ubaldin Gómez Carderón
 
ADMINISTRACION DE CENTRO DE COMPUTO
ADMINISTRACION DE CENTRO DE COMPUTOADMINISTRACION DE CENTRO DE COMPUTO
ADMINISTRACION DE CENTRO DE COMPUTOguest879616
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
Elvin Hernandez
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
Willian Yanza Chavez
 
Diseño y normas en un centro de cómputo
Diseño y normas en un centro de cómputoDiseño y normas en un centro de cómputo
Diseño y normas en un centro de cómputo
Martin Pacheco Chávez
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecución
g_quero
 
Diseño Data center
Diseño Data centerDiseño Data center
Diseño Data center
Yohany Acosta
 
Controles
ControlesControles
Controlesfbogota
 
Configuración de equipos de comunicación
Configuración de equipos de comunicaciónConfiguración de equipos de comunicación
Configuración de equipos de comunicación
Diana Amaya
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De Redes
Cristian Paul
 

La actualidad más candente (20)

Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgos
 
Planteamiento del problema
Planteamiento del problemaPlanteamiento del problema
Planteamiento del problema
 
Informe auditoria informatica
Informe auditoria informaticaInforme auditoria informatica
Informe auditoria informatica
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
 
Crear un centro de cómputo
Crear un centro de cómputoCrear un centro de cómputo
Crear un centro de cómputo
 
Manual de mantenimiento para un centro de cómputo
Manual de mantenimiento para un centro de cómputoManual de mantenimiento para un centro de cómputo
Manual de mantenimiento para un centro de cómputo
 
Auditoria Sistemas
Auditoria SistemasAuditoria Sistemas
Auditoria Sistemas
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
ADMINISTRACION DE CENTRO DE COMPUTO
ADMINISTRACION DE CENTRO DE COMPUTOADMINISTRACION DE CENTRO DE COMPUTO
ADMINISTRACION DE CENTRO DE COMPUTO
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
 
Diseño y normas en un centro de cómputo
Diseño y normas en un centro de cómputoDiseño y normas en un centro de cómputo
Diseño y normas en un centro de cómputo
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecución
 
Diseño Data center
Diseño Data centerDiseño Data center
Diseño Data center
 
Controles
ControlesControles
Controles
 
Configuración de equipos de comunicación
Configuración de equipos de comunicaciónConfiguración de equipos de comunicación
Configuración de equipos de comunicación
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de Sistemas
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De Redes
 

Destacado

Clipping cnc 03032015 versão de impressão
Clipping cnc 03032015 versão de impressãoClipping cnc 03032015 versão de impressão
Clipping cnc 03032015 versão de impressão
Paulo André Colucci Kawasaki
 
Trabajo final postitulo
Trabajo final postituloTrabajo final postitulo
Trabajo final postitulo
Nancy Wietig
 
Stock Market Lesson Sequence
Stock Market Lesson SequenceStock Market Lesson Sequence
Stock Market Lesson SequenceVleporerox
 
IES MONTSERRAT ROIG
IES MONTSERRAT ROIGIES MONTSERRAT ROIG
IES MONTSERRAT ROIGdubigis
 
Lepore Unit 2 Self Assessment Rubric
Lepore Unit 2 Self Assessment RubricLepore Unit 2 Self Assessment Rubric
Lepore Unit 2 Self Assessment RubricVleporerox
 
17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec
17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec
17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec
CGT Tragsatec
 
1st Week of Stock Blog
1st Week of Stock Blog1st Week of Stock Blog
1st Week of Stock BlogVleporerox
 
Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...
Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...
Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...Felynov
 
História de São Luis de Montes Belos - GOIÁS
História de São Luis de Montes Belos - GOIÁSHistória de São Luis de Montes Belos - GOIÁS
História de São Luis de Montes Belos - GOIÁS
Vinícius Fagundes Dos Santos
 
Consumo de froita
Consumo de froitaConsumo de froita
Consumo de froitaMartaEL
 
Desintegracionfamiliar 110325082527-phpapp01
Desintegracionfamiliar 110325082527-phpapp01Desintegracionfamiliar 110325082527-phpapp01
Desintegracionfamiliar 110325082527-phpapp01Walter Fernandez
 
Clipping cnc 15e16072015 versão de impressão
Clipping cnc 15e16072015 versão de impressãoClipping cnc 15e16072015 versão de impressão
Clipping cnc 15e16072015 versão de impressão
Paulo André Colucci Kawasaki
 
Clipping cnc 10082015 versão de impressão
Clipping cnc 10082015 versão de impressãoClipping cnc 10082015 versão de impressão
Clipping cnc 10082015 versão de impressão
Paulo André Colucci Kawasaki
 
Enfoque cuantitativo.
Enfoque cuantitativo.Enfoque cuantitativo.
Enfoque cuantitativo.emybeya77
 
Clipping cnc 03022015 versão de impressão
Clipping cnc 03022015 versão de impressãoClipping cnc 03022015 versão de impressão
Clipping cnc 03022015 versão de impressão
Paulo André Colucci Kawasaki
 
nClipping cnc 18022015 versão de impressão
nClipping cnc 18022015 versão de impressãonClipping cnc 18022015 versão de impressão
nClipping cnc 18022015 versão de impressão
Paulo André Colucci Kawasaki
 
Clipping cnc 24032015 versão de impressão
Clipping cnc 24032015 versão de impressãoClipping cnc 24032015 versão de impressão
Clipping cnc 24032015 versão de impressão
Paulo André Colucci Kawasaki
 

Destacado (20)

Clipping cnc 03032015 versão de impressão
Clipping cnc 03032015 versão de impressãoClipping cnc 03032015 versão de impressão
Clipping cnc 03032015 versão de impressão
 
Trabajo final postitulo
Trabajo final postituloTrabajo final postitulo
Trabajo final postitulo
 
Stock Market Lesson Sequence
Stock Market Lesson SequenceStock Market Lesson Sequence
Stock Market Lesson Sequence
 
IES MONTSERRAT ROIG
IES MONTSERRAT ROIGIES MONTSERRAT ROIG
IES MONTSERRAT ROIG
 
Lepore Unit 2 Self Assessment Rubric
Lepore Unit 2 Self Assessment RubricLepore Unit 2 Self Assessment Rubric
Lepore Unit 2 Self Assessment Rubric
 
Resonancia magnetica.pdf
Resonancia magnetica.pdfResonancia magnetica.pdf
Resonancia magnetica.pdf
 
17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec
17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec
17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec
 
1st Week of Stock Blog
1st Week of Stock Blog1st Week of Stock Blog
1st Week of Stock Blog
 
Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...
Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...
Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...
 
História de São Luis de Montes Belos - GOIÁS
História de São Luis de Montes Belos - GOIÁSHistória de São Luis de Montes Belos - GOIÁS
História de São Luis de Montes Belos - GOIÁS
 
Biologia
BiologiaBiologia
Biologia
 
Consumo de froita
Consumo de froitaConsumo de froita
Consumo de froita
 
Desintegracionfamiliar 110325082527-phpapp01
Desintegracionfamiliar 110325082527-phpapp01Desintegracionfamiliar 110325082527-phpapp01
Desintegracionfamiliar 110325082527-phpapp01
 
Clipping cnc 15e16072015 versão de impressão
Clipping cnc 15e16072015 versão de impressãoClipping cnc 15e16072015 versão de impressão
Clipping cnc 15e16072015 versão de impressão
 
Clipping cnc 10082015 versão de impressão
Clipping cnc 10082015 versão de impressãoClipping cnc 10082015 versão de impressão
Clipping cnc 10082015 versão de impressão
 
Enfoque cuantitativo.
Enfoque cuantitativo.Enfoque cuantitativo.
Enfoque cuantitativo.
 
Clipping cnc 03022015 versão de impressão
Clipping cnc 03022015 versão de impressãoClipping cnc 03022015 versão de impressão
Clipping cnc 03022015 versão de impressão
 
nClipping cnc 18022015 versão de impressão
nClipping cnc 18022015 versão de impressãonClipping cnc 18022015 versão de impressão
nClipping cnc 18022015 versão de impressão
 
Clipping cnc 24032015 versão de impressão
Clipping cnc 24032015 versão de impressãoClipping cnc 24032015 versão de impressão
Clipping cnc 24032015 versão de impressão
 
Clipping cnc 24062014 versao de impressao
Clipping cnc 24062014 versao de impressaoClipping cnc 24062014 versao de impressao
Clipping cnc 24062014 versao de impressao
 

Similar a auditoria de Seguridad de redes

empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
CLARIBELVILLARREAL
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica
1803127313001
 
A3APSeguridad_soft_vision
A3APSeguridad_soft_visionA3APSeguridad_soft_vision
A3APSeguridad_soft_vision
UTZAC Unidad Académica de Pinos
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
Ximena Williams
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informáticoelperrojaime
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1
Andres1dz
 
Clase diecisiete 2011
Clase diecisiete 2011Clase diecisiete 2011
Clase diecisiete 2011
tecnodelainfo
 
Areas de la auditoria p1
Areas de la auditoria p1Areas de la auditoria p1
Areas de la auditoria p1
giseela_ledesma
 
SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...
SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...
SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...
Oscar Jaime Acosta
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutable
Bella Loor
 
77949106 seleccion-del-equipo-de-computo
77949106 seleccion-del-equipo-de-computo77949106 seleccion-del-equipo-de-computo
77949106 seleccion-del-equipo-de-computodjelektro
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
Manuel Medina
 
Ejemplo de-auditoria
Ejemplo de-auditoriaEjemplo de-auditoria
Ejemplo de-auditoria
Antonio Mtz
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
Jorge Pariasca
 
Trabajo De Centro Computo2
Trabajo De Centro Computo2Trabajo De Centro Computo2
Trabajo De Centro Computo2
MAKLG
 
Trabajo de centro computo2
Trabajo de centro computo2Trabajo de centro computo2
Trabajo de centro computo2
MAKLG
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
Sena Cedagro
 

Similar a auditoria de Seguridad de redes (20)

empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
 
Antivirus
AntivirusAntivirus
Antivirus
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica
 
A3APSeguridad_soft_vision
A3APSeguridad_soft_visionA3APSeguridad_soft_vision
A3APSeguridad_soft_vision
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informático
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1
 
Clase diecisiete 2011
Clase diecisiete 2011Clase diecisiete 2011
Clase diecisiete 2011
 
Areas de la auditoria p1
Areas de la auditoria p1Areas de la auditoria p1
Areas de la auditoria p1
 
SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...
SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...
SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutable
 
77949106 seleccion-del-equipo-de-computo
77949106 seleccion-del-equipo-de-computo77949106 seleccion-del-equipo-de-computo
77949106 seleccion-del-equipo-de-computo
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
Ejemplo de-auditoria
Ejemplo de-auditoriaEjemplo de-auditoria
Ejemplo de-auditoria
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
 
Trabajo De Centro Computo2
Trabajo De Centro Computo2Trabajo De Centro Computo2
Trabajo De Centro Computo2
 
Trabajo de centro computo2
Trabajo de centro computo2Trabajo de centro computo2
Trabajo de centro computo2
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 

Último

Introducción_a_las_APIs_y_Desarrollo_Back-end-Abbie Dominguez Girondo.pdf
Introducción_a_las_APIs_y_Desarrollo_Back-end-Abbie Dominguez Girondo.pdfIntroducción_a_las_APIs_y_Desarrollo_Back-end-Abbie Dominguez Girondo.pdf
Introducción_a_las_APIs_y_Desarrollo_Back-end-Abbie Dominguez Girondo.pdf
AbbieDominguezGirond
 
Maquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdfMaquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdf
juanjosebarreiro704
 
Caso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La SalleCaso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La Salle
Ecaresoft Inc.
 
Escaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipoEscaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipo
nicromante2000
 
CONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJE
CONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJECONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJE
CONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJE
SamuelGampley
 
PitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitalesPitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitales
juanorejuela499
 

Último (6)

Introducción_a_las_APIs_y_Desarrollo_Back-end-Abbie Dominguez Girondo.pdf
Introducción_a_las_APIs_y_Desarrollo_Back-end-Abbie Dominguez Girondo.pdfIntroducción_a_las_APIs_y_Desarrollo_Back-end-Abbie Dominguez Girondo.pdf
Introducción_a_las_APIs_y_Desarrollo_Back-end-Abbie Dominguez Girondo.pdf
 
Maquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdfMaquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdf
 
Caso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La SalleCaso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La Salle
 
Escaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipoEscaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipo
 
CONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJE
CONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJECONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJE
CONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJE
 
PitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitalesPitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitales
 

auditoria de Seguridad de redes

  • 1. INFORME DE AUDITORIA Fecha del Informe: 29 / 04 / 2014 Nombre de la Entidad: Transporte Feliz Viaje S.A Auditoria de Seguridad de Redes Objetivo  Análisis del Estado actual de la red, incluyendo controles físicos y lógicos, detección de usuarios no autorizados, hardware de comunicaciones, tipos de tráfico de red, esquema de antivirus, acceso a Internet, esquema y pruebas de respaldo.  Análisis de Políticas de seguridad actuales, que incluye verificación de políticas de claves, control de personal, perfiles de usuario, sistemas operativos de red, esquema de licencias de software.  Análisis de protección de recursos informáticos y establecimiento de un plan de capacitación en las políticas de seguridad.  Elaborar un plan de respaldo y contingencia que garantice la disponibilidad de los recursos tanto en la parte de servidores y equipos de comunicación, enlaces de transmisión, aplicaciones y datos en general Lugar de la Auditoría: Área de Sistemas de la referida empresa. Grupo de Trabajo de Auditoría:  Integrantes Fecha de Inicio de la Auditoría: 27 / 04 / 2014 Tiempo estimado del proceso de revisión: 30 hs Fecha de Finalización de la Auditoría: 29 / 04 / 2014 Herramientas utilizadas Metodología de auditoría de objetivos de control - Utilitarios estándar 1. Entrevistas 2. Cheklist Alcance Controlar los accesos no autorizados al software, así también como el cuidado y mantenimiento del hardware. Manejar el acceso de la red de tal manera que se utilice sólo para uso de trabajo.
  • 2. Procedimientos a aplicar: Objetos ¿Existen actualizaciones de los programas? ¿Los sistemas están protegidos contra virus? ¿La información es clara? ¿Existen plan en caso de terremotos u otros? ¿Hay personal de seguridad en la Institución? ¿Los equipos tienen un mantenimiento continuo por parte de personal calificado? Datos - ¿Con qué frecuencia se realiza una copia de resguardo (backup)? - ¿Cada cuánto tiempo se realiza una actualización de lo programas? - ¿existen inventario de las maquinas? ¿Diversos extintores? Usuarios ¿Todos los usuarios tienen definido un rol determinado? ¿Todos los usuarios tienen permiso para instalar aplicaciones? ¿Se cuenta con registro de los empleados?
  • 3. Informe de las debilidades detectadas Situación Actual Recomendación Comentario de la Gerencia de Sistemas Las actualizaciones de las definiciones de virus y en general del antivirus no se realizan periódicamente, es decir no hay un procedimiento establecido para la ejecución y actualización de los antivirus. Es necesario estandarizar el software de antivirus en todas las estaciones de trabajo y servidores. Es aconsejable tener un proveedor de software antivirus para las estaciones y otro diferente para el servidor, para reducir la probabilidad de que un virus que no esté en la lista de actualización, se filtre en toda la red. El servidor principal de la empresa se encuentra actualmente sin antivirus, lo que representa un grave peligro frente a cualquier programa no deseado que ingrese desde la misma red o de la Internet. Se sugiere que en las estaciones de trabajo se siga con la línea de Symantec (Norton Antivirus) y en el servidor central instalar McAfee. Es recomendable instalar el McAfee por la funcionalidad que brinda la consola de administración de la versión para servidores. Si no se opta por alguno de estos productos se tendría que analizar que el producto que se escoja no afecte el software instalado para las actividades que realiza la empresa. Como parte de esta evaluación se procedió a verificar las conexiones de los cables del HUB, los cables del servidor de base de datos, quedó en evidencia el libre acceso físico que existe hacia el hardware de comunicaciones, puesto que el HUB está almacenado en un armario donde también se guarda documentación física de la empresa.  El servidor de archivos no debe ser accesible físicamente a cualquier persona. Ausencia de un área de recepción donde se solicite una identificación a los empleados como a los visitantes que deseen ingresar al área de cómputo. Colocar seguridad o personal de la empresa para la entrada del personal ajeno o de la empresa así controlar en ingreso.
  • 4. Los colaboradores de la empresa carecen de una medio de identificación, llámese tarjeta de Id o alguna otro forma de identificación. Se solicita tener identificaciones y estar en registradas para evitar cualquier entrada de personal ajena a la empresa Ausencia de extintores de incendios. Colocar extintores en zonas claves para permitir el acceso rápido en caso de incendio La caja de los medidores de energía eléctrica se encuentra sin ningún tipo de protección, estando a la intemperie y a simple vista del público en general. Todo contacto o interruptor debe tener siempre su tapa debidamente aislada. Existe una diversa cantidad de programas en las estaciones de trabajo, muchos de estos que no tienen relación directa con la actividad de la empresa. Esto se debe a que los colaboradores suelen instalar software usando el usuario administrador de la máquina, el cual es el mismo en todas las estaciones Solo está permitido instalar en las computadoras el software requerido para el desarrollo de las actividades de la empresa, para esto se contará con un listado de dicho software, el cual deberá ser seleccionado por la Gerencia y jefes de área. No existe un mantenimiento de programas y procedimientos de detección e inmunización de virus. Se debe realizar actualizaciones de los diferentes programa que intervienen en las diferentes computadoras (ejm. Adobe Reader) No se tiene en inventario a la computadoras Se deberá realizar una señalización o etiquetado de los Computadores de acuerdo a la importancia de su contenido, para ser priorizados en caso de evacuación. El procedimiento de respaldo que actualmente consiste en efectuar Backus cada semana, los días viernes, almacenando en CD la información importante de la empresa que reside en el servidor central La realización de copias de seguridad ha de ejecutarse diariamente, éste es el principio que debe regir la planificación de las copias. No se cuenta con área de seguridad de usuarios, para evitar accesos no autorizados mediante contraseñas confiables y seguras. Concienciar a los usuarios de la red, se deberá concienciar a los usuarios de la red, acerca de una política mínima de seguridad, por ejemplo, evitar las claves fácilmente descifrables.
  • 5. CONCLUSIONES El equipo de auditores considera que la empresa NO realiza las tareas de actualización y mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas áreas de la empresa. Luego de haber realizado el análisis de las seguridades en la red local, podemos concluir que no existen controles adecuados en los siguientes aspectos: acceso físico a instalaciones, accesos lógicos, plan de contingencias, políticas de seguridades informáticas y esquema de antivirus. Consideramos que los puntos mencionados anteriormente son indispensables para el correcto funcionamiento de las actividades de la empresa, ya que según lo expuesto en la parte sobre análisis de riesgos, una empresa que detenga sus actividades por fallas en la disponibilidad de su red, corre el riesgo de nunca poder recuperarse y desaparecer del mercado. RECOMENDACIONES: Por esta razón, recomendamos que se sigan los siguientes pasos: implementar un esquema robusto contra virus informáticos, restringir los accesos físicos a la empresa y a los equipos de cómputo, dar mantenimiento preventivo y correctivo al hardware de la empresa, tener un plan de contingencias que garantice la recuperación de la actividad normal de la empresa en caso de ocurrir algún desastre y por último, establecer un esquema de políticas de seguridad informática de acuerdo a las necesidades planteadas. Se aconseja que las sugerencias hechas en este documento junto con el esquema de políticas de seguridad propuesto, deban ser evaluadas con la mayor prontitud posible, entendiendo que ningún esfuerzo, sea este económico o humano, es demasiado cuando está en juego información confidencial y vital para el normal funcionamiento del negocio.