El documento describe una auditoría de seguridad de la red de datos realizada en la empresa ACME XXX. La auditoría evaluó medidas de control interno, planes de contingencia y la información de seguridad de la red durante el período de auditoría con el objetivo de presentar un informe del proceso. La auditoría usó entrevistas, encuestas, listas de verificación y una herramienta de auditoría para analizar la información recopilada.
1. Auditoria
Informática
de Redes
Seguridad de la Red de
Datos
Diciembre, 2012
2. Área Auditada
Seguridad de la red de datos, departamento de telecomunicaciones de la gerencia de
tecnología de información de la empresa ACME XXX
Alcance de la Auditoria
Auditoría informática de la seguridad de la red datos en la gerencia de tecnología de
información de la empresa ACME XXX en un lapso aproximado del 14-11-2012 al 14-12-2012
Objetivos de la Auditoria
a. Generales: Efectuar una auditoria informática de la seguridad de la red de datos
b. Específicos:
-Evaluar las medidas de control interno, para la seguridad de la red de datos.
-Evaluar Planes de contingencia
-Analizar la información suministrada de la seguridad de la red de datos durante el periodo de
auditoría.
-Presentar informe del proceso de auditoría informática, de seguridad de la red de datos.
3. PROGRAMA DE AUDITORIA
Hoja Nº 1/1
Empresa: ACME XXX Fecha: 14/11/2012
Fase Actividad Horas Estimadas Encargados
Etapa Preliminar:
-Entrevista con el cliente
-Levantamiento inicial de información
-Definición de alcance y objetivos de la
auditoría.
-Elaboración de la matriz de análisis de
auditoría.
I -Elaboración de la matriz de evaluación 30 Equipo Nro 4
de auditoría
-Elaboración del programa de auditoría
-Elaboración de los procedimientos de
auditoría.
-Elaboración de entrevistas
-Elaboración de cuestionarios
-Elaboración de pruebas de
Desarrollo de la Auditoria:
-Entrevistas con el personal encargado
de la gerencia de tecnología de
información y departamento de
telecomunicaciones
-Aplicación de encuesta y listas de
chequeo cuestionarios al encargado de
la gerencia de tecnología de información
-Aplicación de entrevista al encargado
del departamento de
telecomunicaciones
II -Aplicar herramienta de auditoria 360 (15 días) Equipo Nro 4
NSAuditor
-Recopilación de información y
documentación de políticas de
seguridad, control de registros de
vulnerabilidades y modificaciones,
manuales, contratos de seguro, reportes
de la herramienta de auditoría
NSAuditor
-Análisis de la información recopilada en
entrevistas, encuestas, lista de chequeos
y la observación directa.
4. -Determinación y tabulación de
resultados (Hallazgos, observaciones,
recomendaciones y conclusiones).
- Revisión general de los resultados. 120
III
- Elaboración del Pre-Informe.
- Elaboración de informe final. 168
IV
- Presentación del informe.
5. MATRIZ DE ANALISIS
CODIGO MASLF-01
MATRIZ DE ANALISIS DE AUDITORIA INFORMATICA DE REDES
OBJETIVOS
GENERAL ESPECIFICO DIMENSION INDICADOR INSTRUMENTO
Control de acceso a
redes
Responsabilidades
del usuario (talleres
de divulgación
sobre uso de la
clave, etc )
Administración y el
análisis de los
archivos de registro
(archivos log) Entrevista
Efectuar una
auditoria Evaluar las medidas Personal calificado Lista de chequeo
informática de la de control interno, para el cargo
Seguridad Lógica Encuesta
seguridad de la red para la seguridad de concerniente a la
de datos en la la red de datos gestión de la red de Matriz de Evaluación
empresa ACME XXX datos
Método de
encriptación
utilizado para la
trasmisión y
recepción en la red
de datos
Revisión periódica
de las políticas
utilizadas para la
seguridad de la red
de datos
6. Planes de
contingencia y
recuperación ante
hechos externos o
ambientales Entrevista
Evaluar aplicación de Mecanismos de Lista de chequeo
barreras físicas y seguridad dentro y
Matriz de Evaluación
procedimientos de alrededor del
control, como Seguridad Física Centro de Cómputo Observación Directa
medidas de Métodos Contratos de seguro,
seguridad de la red preventivos a proveedores, y
de datos riesgos por mantenimiento.
ubicación.
Tiempo de
actividad de los
servicios de la red
de datos
Analizar la
información
suministrada de la Análisis de la Resultados
seguridad de la red Información Obtenidos
de datos durante el
periodo de auditoría
Presentar informe
del proceso de
auditoría Presentación de
Informes
informática, de Informes
seguridad de la red
de datos
7. INSTRUMENTOS Y TECNICAS
ENCUESTA
CODIGO ESLF-01
01 ¿Existe un plan estratégico de seguridad? Si la respuesta es afirmativa indique en qué estatus se
encuentra.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
02 ¿Se encuentra definido la gestión de usuarios y perfiles de acceso a la red dependiendo del rol
que desempeñan estos en la organización? Si la respuesta es afirmativa, especifique.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
03 ¿Utilizan herramientas para el monitoreo de los servicios de red? Si la respuesta es afirmativa,
especifique.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
04 ¿Existe Gestión de actualización o revisión de las políticas implementadas en la red?
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
05 ¿Se controla el acceso a la red de datos fuera del horario laboral? Si la respuesta es afirmativa,
especifique
SI NO
8. Especifique____ _______________________________________________________________
_____________________________________________________________________________
06 ¿Existe control en el acceso al centro de dato? Si la respuesta es afirmativa indique él mecanismo
utilizado.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
07 ¿Cuenta con planes de contingencia? Explique
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
08 ¿Existe un procedimiento de selección de personal calificado? Explique
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
09 ¿El personal responsable de la administración de la red de datos fue notificado de forma escrita
de las funciones inherentes al cargo? Explique
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
10 ¿Existe personal encargado para realizar el monitoreo de los servicios de red? Si la respuesta es
afirmativa, especifique.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
9. LISTA DE CHEQUEO
CODIGO LCSLF-01
CODIGO LCSLF-01
Nro LISTA DE CHEQUEO SI NO
Se cuenta con políticas documentadas y probadas por la gerencia de tecnología
1
de informacíon para prevenir ataques a la red datos
2 Se cuenta con registro de las caídas de los servicios de red
Los empleados tienen conocimiento de la existencia de los controles de
3
seguridad establecidos en la red
4 Se llevan registro de incidentes ocurridos y la solución implementada
5 Realizan monitoreo de los servicios de la red
6 efectúan gestión a los archivos de registro
cuentan con planes de contingencia que permita recuperar los servicios de la red
7
al momento de acontecer un incidente
8 existe personal capacitado para realizar la administración de la red
Cuenta con registro del tiempo en que se encuentran en funcionamiento los servicios de
9
red
10 Cuentan tecnologías de video vigilancia dentro y alrededor del centro de computo
Cuentan con algún mecanismo de acceso al centro de computo (guardias de seguridad,
11 carnet de identificación automática con códigos de barras, banda magnética, tarjetas de
proximidad por radio frecuencia, sistemas biométricos)
ENTREVISTA
CODIGO ENSLF-01
1. ¿Tiene definida las responsabilidades de su cargo?
2. ¿Existe un encargado del monitoreo de los servicios de la red de datos?
3. ¿Cuenta con políticas escritas y aprobados por la gerencia de tecnología de informacíon para
realizar la gestión de seguridad de la red de datos?
10. 4. ¿Tiene conocimientos de planes documentados que permitan a la organización recuperar y
restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo
estimado?
5. ¿Al ocurrir alguna anomalía en la red de datos es reportada a sus superiores inmediatamente?
6. ¿Realiza gestión sobre los archivos de registro y utiliza alguna herramienta para ello?
7. ¿Cuenta con adiestramiento continuo para realizar la gestión de seguridad de la red de datos?
8. ¿Realiza revisión periódica de las políticas utilizadas para la seguridad de la red de datos?
9. ¿Participa en el diseño de las políticas de la seguridad de la red de datos?
10. ¿Los incidentes ocurridos en la red de datos y sus soluciones se encuentran documentos?
MATRIZ DE EVALUACION
CODIGO MESLF-01
MATRIZ DE EVALUACION CODIGO MESLF-01
EVALUAR Y CALIFICAR EL
CUMPLIMIENTO DE LOS EXCELENTE BUENO SUFICIENTE REGULAR DEFICIENTE
SIGUIENTES ASPECTOS
SI DISPONEN DE SE DISPONEN SI DISPONEN NO DISPONEN NO DISPONEN
SERVIDOR DE DE SERVIDOR DE SERVIDOR DE SERVIDOR
CONTROLADOR DE CONTROLADO CONTROLADO CONTROLADO CONTROLADO
DOMINIO PARA LA R DE R DE R DE R DE DOMINIO
AUTENTICACION DOMINIO DOMINIO DOMINIO PARA LA
DE LOS USUARIOS PARA LA PARA LA PARA LA AUTENTICACIO
DE LA RED, AUTENTICACI AUTENTICACI AUTENTICACI N DE LOS
CONTROL DE ACCESO Y DEFINIDOS EN ON DE LOS ON DE LOS ON DE LOS USUARIOS DE
AUTENTICACION GRUPOS, ROLES O USUARIOS DE USUARIOS DE USUARIOS DE LA RED, NO
PERFILES, LA RED, LA RED, NO LA RED, SOLO CUENTAN CON
HORARIOS DE DEFINIDOS EN CUENTAN CUENTA CO PERFILES
ACCESO, GRUPOS, NO CON GRUPOS, PERFILES LOCALES, LOS
CADUCIDAD DE LA CUENTAN NI PERFILES DEFINIDOS USUARIOS
CLAVE CON DEFINIDOS. LOCALMENTE TIENEN
POLITICAS PRIVILEGIOS
BIEN ADMINISTRATI
11. ESTABLECIDA VOS
S PARA LOS
PERFILES
CUANDO CUANDO CUANDO CUANDO CUANDO NO
REALIZAN REALIZAN REALIZAN REALIZAN SE HACE
GESTION DE LOS GESTION DE GESTION DE GESTION DE GESTION
ARCHIVOS DE LOS LOS LOS SOBRE LOS
REGISTRO Y ARCHIVOS DE ARCHIVOS DE ARCHIVOS DE ARCHIVOS DE
ADEMAS REGISTRO Y REGISTRO Y REGISTRO REGISTRO
DISPONEN DE UN ADEMAS SI SE NO SE EVENTUALME
SERVIDOR DISPONE DE DISPONE DE NTE
EXCLUSIVO PARA UN SERVIDOR UN SERVIDOR
GESTION DE LOS ARCHIVOS DE ALMANCENMIENT EXCLUSIVO PARA
REGISTROS O Y LOS ARCHIVOS PARA ALMANCENM
SON GUARDADOS ALMANCENM IENTO
POR UN PERIODO IENTO Y LOS
DE TIEMPO ENTRE ARCHIVOS
1 Y 2 AÑOS SON
GUARDADOS
POR UN
PERIODO DE
TIEMPO DE
UN AÑOS
CUANDO EL 100% CUANDO EL CUANDO EL CUANDO EL CUANDO ES
DEL TIEMPO LOS 90% DEL 80% DEL 60% DEL MENOR AL
SERVICIOS SE TIEMPO LOS TIEMPO LOS TIEMPO LOS 60% DEL
TIEMPO DE ACTIVIDAD DE LOS
ENCUENTRAN SERVICIOS SE SERVICIOS SE SERVICIOS SE TIEMPO LOS
SERVICIOS DE LA RED DE DATOS
ACTIVOS ENCUENTRAN ENCUENTRAN ENCUENTRAN SERVICIOS SE
ACTIVOS ACTIVOS ACTIVOS ENCUENTRAN
ACTIVOS
SI DISPONEN DE SI DISPONEN SI DISPONEN SI DISPONEN SI NO
MECANISMOS QUE DE DE DE DISPONEN DE
PERMITAN MECANISMOS MECANISMOS MECANISMOS MECANISMOS
RESGUARDAR LA QUE QUE QUE QUE
SEGURIDAD PERMITAN PERMITAN PERMITAN PERMITAN
PERIMETRAL Y EL RESGUARDAR RESGUARDAR RESGUARDAR RESGUARDAR
ACCESO AL LA LA LA LA SEGURIDAD
CENTRO DE SEGURIDAD SEGURIDAD SEGURIDAD PERIMETRAL Y
MECANISMOS DE SEGURIDAD COMPUTOS, PERIMETRAL PERIMETRAL PERIMETRAL EL ACCESO AL
UTILIZACIÓN DE Y EL ACCESO Y EL ACCESO Y EL ACCESO CENTRO DE
DENTRO Y ALREDEDOR DEL CENTRO
GUARDIAS, AL CENTRO AL CENTRO AL CENTRO COMPUTOS.
DE CÓMPUTO UTILIZACIÓN DE DE DE DE
SISTEMAS COMPUTOS, COMPUTOS, COMPUTOS,
BIOMÉTRICOS, UTILIZACIÓN UTILIZACIÓN UTILIZACIÓN
CIRCUITOS DE SISTEMAS DE CIRCUITOS DE TARJETAS
CERRADOS, BIOMÉTRICOS CERRADOS, DE
TARJETAS DE , CIRCUITOS DE TARJETAS PROXIMIDAD
PROXIMIDAD POR CERRADOS, DE POR RADIO
RADIO TARJETAS DE PROXIMIDAD FRECUENCIA
FRECUENCIA PROXIMIDAD POR RADIO
POR RADIO FRECUENCIA
FRECUENCIA
PLANES DE CONTINGENCIA Y SI CUENTAN CON SI CUENTAN SI CUENTAN SI CUENTAN SI CUENTAN
12. RECUPERACIÓN ANTE HECHOS PLANES QUE CON PLANES CON PLANES CON PLANES CON PLANES
EXTERNOS O AMBIENTALES PERMITAN A LA QUE QUE QUE QUE
ORGANIZACIÓN PERMITAN A PERMITAN A PERMITAN A PERMITAN A
RECUPERAR Y LA LA LA LA
RESTAURAR SUS ORGANIZACIÓ ORGANIZACIÓ ORGANIZACIÓ ORGANIZACIÓ
FUNCIONES N RECUPERAR N RECUPERAR N RECUPERAR N RECUPERAR
CRÍTICAS PARCIAL Y RESTAURAR Y RESTAURAR Y RESTAURAR Y RESTAURAR
O TOTALMENTE SUS SUS SUS SUS
INTERRUMPIDAS FUNCIONES FUNCIONES FUNCIONES FUNCIONES
DENTRO DE UN CRÍTICAS CRÍTICAS CRÍTICAS CRÍTICAS
TIEMPO MENOR A PARCIAL O PARCIAL O PARCIAL O PARCIAL O
UNA HORA TOTALMENTE TOTALMENTE TOTALMENTE TOTALMENTE
DESPUÉS DE UNA INTERRUMPI INTERRUMPI INTERRUMPI INTERRUMPID
INTERRUPCIÓN NO DAS DENTRO DAS DENTRO DAS DENTRO AS DENTRO DE
DESEADA O DE UN DE UN DE UN UN TIEMPO
DESASTRE TIEMPO TIEMPO TIEMPO MAYOR A
ENTRE UNA ENTRE DOS Y ENTRE OCHO HORAS
Y DOS HORAS CUATRO CUATRO Y DESPUÉS DE
DESPUÉS DE HORAS OCHO HORAS UNA
UNA DESPUÉS DE DESPUÉS DE INTERRUPCIÓ
INTERRUPCIÓ UNA UNA N NO
N NO INTERRUPCIÓ INTERRUPCIÓ DESEADA O
DESEADA O N NO N NO DESASTRE
DESASTRE DESEADA O DESEADA O
DESASTRE DESASTRE
13. PROCEDIMIENTOS ESPECIFICOS
Código PESLF-01
Programa de Auditoría Sección de Trabajo: Página: 1/1
Informática
Empresa: ACME XXX
Unidad y/o Departamento: Gerencia de tecnología de información
Dimensión: Seguridad Logica
Periodo de revision Desde: 14/11/2012 Hasta: 14/12/2012
Nº Procedimientos Ref. P/T
Reunirse con el encargado de la gerencia de tecnología de
1
informacíon
2 Solicitar las políticas de seguridad de la información.
Indagar acerca de las estrategias de seguridad de
3
información que están siendo aplicadas.
4 Aplicar encuesta ESLF-01
5 Aplicar lista de chequeo LCSLF-01
Constatar mediante observación directa algunas de las
6
respuestas arrojadas en la encuesta.
7 Registrar las observaciones encontradas.
14. Código PESLF-02
Programa de Auditoría Sección de Trabajo: Página: 1/1
Informática
Empresa: ACME XXX
Unidad y/o Departamento: Departamento de Telecomunicaciones
Dimensión: Seguridad Fisica
Periodo de revision Desde: 14/11/2012 Hasta: 14/12/2012
Nº Procedimientos Ref. P/T
Reunirse con el encargado del departamento de
1
telecomunicaciones
Realizar entrevista al encargado del departamento de
2
telecomunicaciones ENSLF-01
3 Aplicar encuesta
ESLF-01
Constatar mediante observación directa algunas de las
4
respuestas arrojadas en la entrevista.
5 Utilizar herramienta de auditoria nsauditor
Solicitar planes de contingencia al encargado del
6
departamento de telecomunicaciones
7 Registrar las observaciones encontradas.
15. RESULTADOS
Después de realizadas las pruebas establecidas para la auditoria informática de redes
de datos se obtuvieron los siguientes resultados
ENCUESTA
CODIGO ESLF-01
01 ¿Existe un plan estratégico de seguridad? Si la respuesta es afirmativa indique en qué estatus se
encuentra.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
02 ¿Se encuentra definido la gestión de usuarios y perfiles de acceso a la red dependiendo del rol
que desempeñan estos en la organización? Si la respuesta es afirmativa, especifique.
SI NO
Especifique: para la gestión de usuarios se realiza a través del active directory en el cual se
encuentran usuarios divididos en grupos o unidas organizativas donde se le aplican políticas de
grupos, diferentes según el rol que desempeñan en la organización ____________________________
03 ¿Utilizan herramientas para el monitoreo de los servicios de red? Si la respuesta es afirmativa,
especifique.
SI NO
Especifique: se cuenta con una herramienta llamada Nagios el cual es un sistema de monitorización
de redes de código abierto que inspecciona los equipos (hardware) y servicios (software) que se
especifiquen
04 ¿Existe Gestión de actualización o revisión de las políticas implementadas en la red?
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
05 ¿Se controla el acceso a la red de datos fuera del horario laboral? Si la respuesta es afirmativa,
especifique
SI NO
16. Especifique: a través del active directory se establecen los horarios de acceso de los diferentes grupos
de usuarios_______________________________________________________________________
06 ¿Existe control en el acceso al centro de dato? Si la respuesta es afirmativa indique él mecanismo
utilizado.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
07 ¿Cuenta con planes de contingencia? Explique
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
08 ¿Existe un procedimiento de selección de personal calificado? Explique
SI NO
Especifique: pero no se adapta a los requerimientos actuales de exigidos por la organización
_____________________________________________________________________________
09 ¿El personal responsable de la administración de la red de datos fue notificado de forma escrita
de las funciones inherentes al cargo? Explique
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
10 ¿Existe personal encargado para realizar el monitoreo de los servicios de red? Si la respuesta es
afirmativa, especifique.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
17. LISTA DE CHEQUEO
CODIGO LCSLF-01
CODIGO LCSLF-01
Nro LISTA DE CHEQUEO SI NO
Se cuenta con políticas documentadas y probadas por la gerencia de tecnología
1 X
de informacíon para prevenir ataques a la red datos
2 Se cuenta con registro de las caídas de los servicios de red X
Los empleados tienen conocimiento de la existencia de los controles de
3 X
seguridad establecidos en la red
4 Se llevan registro de incidentes ocurridos y la solución implementada X
5 Realizan monitoreo de los servicios de la red X
6 efectúan gestión a los archivos de registro X
cuentan con planes de contingencia que permita recuperar los servicios de la red
7 X
al momento de acontecer un incidente
8 existe personal capacitado para realizar la administración de la red X
Cuenta con registro del tiempo en que se encuentran en funcionamiento los servicios de
9 X
red
10 Cuentan tecnologías de video vigilancia dentro y alrededor del centro de computo X
Cuentan con algún mecanismo de acceso al centro de computo (guardias de seguridad,
11 carnet de identificación automática con códigos de barras, banda magnética, tarjetas de X
proximidad por radio frecuencia, sistemas biométricos)
ENTREVISTA
CODIGO ENSLF-01
1. ¿Tiene definida las responsabilidades de su cargo?
R. No están definidas las responsabilidades del cargo
2. ¿Existe un encargado del monitoreo de los servicios de la red de datos?
R. No existe personal responsable que realice esa función
3. ¿Cuenta con políticas escritas y aprobados por la gerencia de tecnología de información para
realizar la gestión de seguridad de la red de datos?
R. Existen políticas pero no están documentadas ni para su implementación fueron aprobadas
por la gerencia de tecnología de información
18. 4. ¿Tiene conocimientos de planes documentados que permitan a la organización recuperar y
restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo
estimado?
R. Existen planes que permitan realizar dicha labor
5. ¿Al ocurrir alguna anomalía en la red de datos es reportada a sus superiores inmediatamente?
R. Solo verbalmente
6. ¿Realiza gestión sobre los archivos de registro y utiliza alguna herramienta para ello?
R. No se realiza gestión sobre los archivos de registros
7. ¿Cuenta con adiestramiento continuo para realizar la gestión de seguridad de la red de datos?
R. No se cuenta con adiestramiento para el personal
8. ¿Realiza revisión periódica de las políticas utilizadas para la seguridad de la red de datos?
R. Sí, pero no se encuentre documentado dicho procedimiento
9. ¿Participa en el diseño de las políticas de la seguridad de la red de datos?
R. Si
10. ¿Los incidentes ocurridos en la red de datos y sus soluciones se encuentran documentos?
No se lleva documentación sobre los incidentes ocurridos ni de la solución implementada
MATRIZ DE EVALUACION
CODIGO MESLF-01
MATRIZ DE EVALUACION CODIGO MESLF-01
EVALUAR Y CALIFICAR EL
CUMPLIMIENTO DE LOS EXCELENTE BUENO SUFICIENTE REGULAR DEFICIENTE
SIGUIENTES ASPECTOS
CONTROL DE ACCESO Y
AUTENTICACION
X O O O O
GESTION DE LOS ARCHIVOS DE
REGISTROS
O O O X O
TIEMPO DE ACTIVIDAD DE LOS
SERVICIOS DE LA RED DE DATOS
O O X O O
MECANISMOS DE SEGURIDAD O O O O X
19. DENTRO Y ALREDEDOR DEL CENTRO
DE CÓMPUTO
PLANES DE CONTINGENCIA Y
RECUPERACIÓN ANTE HECHOS
EXTERNOS O AMBIENTALES O O O O X
MATRIZ DE EVALUACION CODIGO MESLF-02
EVALUAR Y CALIFICAR EL
CUMPLIMIENTO DE LOS EXCELENTE BUENO REGULAR DEFICIENTE
SIGUIENTES ASPECTOS
-Pc actualizados de
marcas
reconocidas(lenovo)
-Switch de marcar
reconocidas (cisco) y
modelos actuales
-Servidores marca
IBM con
características
superiores a la
PLATAFORMA TECNOLOGICA DE LA estándar de fabrica
O O O
RED -Router de marca
reconocida (cisco) y
modelo actual
-Firewall de marca
reconocida con
soporte de
actualización de los
servicios
-Antivirus corporativo
y soporte de
actualización
-No se cuenta
con
segmentación
de la red de
DESEMPEÑO DE LA RED O O O
datos
-Crecimiento
no planificado
de puntos de
20. red (entrada
de nuevo
personal a la
organización)
-Servicios de
red no
optimizados
-Cableado
inadecuado en
algunas
unidades de la
organización
-No se cuenta
con personal
para dicha tarea
-No existen
GESTION DE SEGURIDAD O O O políticas acorde a
los
requerimientos
de la
organización
No se cuenta con
procedimientos
DOCUMENTACION Y ESTANDARES documentados
O O O
para la gestión de
la seguridad de la
red de datos
21. OBSERVACIONES DE LOS HALLAZGOS
Inadecuada gestión sobres los archivos de registro
No hay difusión de las políticas de seguridad de la red a los usuarios
No se llevan registro de incidentes ocurridos y la solución implementada
No cuentan con personal capacitado para realizar gestión de seguridad de la red de datos
No cuentan con planes que permitan a la organización recuperar y restaurar sus funciones
críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial
Deficiencia en los métodos preventivos a riesgos por ubicación
No poseen mecanismos de seguridad dentro y alrededor del centro de computo
No existe personal encargado del monitoreo de los servicios de la red de datos
No llevan registro documentado sobre los incidentes en la red de datos y las soluciones
implementadas
Deficiencia en el adiestramiento al personal que realiza la gestión de la red de datos
Algunas políticas no están acorde a los requerimientos de la organización
Cableado estructura que no cumple con los estándares
No existe segmentación de la red
No se realizan mantenimientos preventivos a los servidores
RECOMENDACIONES
Establecer y hacer uso de políticas de seguridad
Realizar planes estratégicos que involucren la seguridad de la red
Se debe implementar un procedimiento y documentarlo para llevar la administración y el
análisis de los archivos de registro
Se sugiere desarrollar un procedimiento documentado que permita registrar de la forma más
expedita los incidentes ocurridos en la red de datos y la solución realizada
Realizar talleres con todo el personal como medio de difusión de las políticas de seguridad
Realizar monitoreo minucioso de la red para mitigar las posibles causa de los servicios de red
Definir funciones especificas al personal encargado de la gestión de red
Realizar un plan de contingencia que permitan a la organización recuperar y restaurar sus
funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial
Capacitar al personal en las funciones a desempeñar
Documentar las políticas a implementar en la red de datos y las mismas deben contar con la
aprobación del comité gerencial
CONCLUSION
La seguridad de la red de datos cada día cobra más importancia dentro de las organizaciones
debido a que la red es la que soporta la conectividad entre los diferentes dispositivos que la integran
además siendo un factor determinante en la gestión del activo más importante para toda empresa
que es la información.
Es de vital importancia para la organización contar con planes que permitan recuperar y
22. restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial,
ya que una infracción de seguridad puede causar un daño irreparable a la reputación o la imagen de
marca de la compañía.
Educando a los usuarios en el uso de las mejores prácticas, la organización debe estipular
métodos preventivos para la seguridad interna de la red de datos para ello debe fomentar la
conciencia entre los usuarios de la importancia que tiene para todos los empleados el buen
funcionamiento de la red, para lo cual los usuarios finales deben ser participes en el cumplimientos
de las políticas implementadas para la seguridad de la red de datos.
Para el establecimiento de políticas acorde con los requerimientos de la organización se deben
llegar registros detallados de los incidentes ocurridos anexando las evidencias encontradas y además
las soluciones implementadas en los casos.
Para mitigar los riesgos es indispensable la concientización de la directiva en el rol
fundamental que desempeña la correcta aplicación de políticas de seguridad de la red de datos en el
buen desempeño de la organización.