1. UNIVERSIDAD CENTROCCIDENTAL “LISANDRO ALVARADO”
DECANATO DE CIENCIAS Y TECNOLOGÍA
2º DIPLOMADO DE AUDITORÍA INFORMÁTICA
Auditoría Informática de Redes
Primera tarea: Fase de Planeación.
Área a auditar en la Red: Documentación.
Integrantes:
Carlos Cordero
Naylet Macea
Tibisay Matos
Prof.: Luzneida Matute
Barquisimeto, Diciembre 2012
2. 1. Identificar el área a auditar en la red.
Auditoría Informática de Redes - ámbito de Documentación.
2. Determinar el objetivo general y los específicos.
General: Realizar una auditoría informática de redes-ámbito de documentación,
en la empresa XYZ.
Específicos:
Diagnosticar la situación actual de la documentación del entorno de red.
Evaluar el estatus de la documentación del entorno de red.
Analizar la información recolectada durante el proceso de auditoría
informática de redes.
Presentar informe del proceso de auditoría informática de redes-área
documentación.
3. Describir los puntos del área a auditar.
Objetivos de la red.
Personal que administra la red.
Políticas de Seguridad de red
Servicios que proporciona la red
Planes de Contingencia.
Mapas o Diagramas
Planos de la Red y Topología
Configuraciones y Conexiones
Estándares y Normativas
Convenios y/o contratos con el ISP (Proveedor de Servicios de Internet)
3. 4. Elaborar el análisis de la matriz de evaluación para auditar la red indicando su objetivo
específico, dimisión e indicadores.
CODIGO MAIR-01
MATRIZ DE ANALISIS DE AUDITORIA INFORMATICA DE REDES-ÁREA DOCUMENTACIÓN, EN LA EMPRESA XYZ.
OBJETIVOS
DIMENSIÓN INDICADORES INSTRUMENTOS
General Específicos
Documentación de los objetivos de la red.
Entrevistas.
Políticas y normas de redes en la empresa.
Cuestionarios.
Organización Definiciones de cargos y perfiles de los
administradores de red. Observación
directa.
Realizar una Diagnosticar la Segregación de funciones en el área de
auditoría situación actual tecnología
informática de Políticas de seguridad de redes.
de la
redes-área
documentación Servicios que proporciona la red.
documentación, Entrevistas.
en la empresa del entorno de
XYZ. red. Conectividad y comunicaciones de la red
Cuestionarios.
Monitoreo de la red
Gestión de Observación
directa.
redes Manejo de control de acceso.
Lista de Chequeo
Administración de claves y contraseñas
robustas
4. Cambio periódico de niveles, privilegios y
contraseñas de acceso al sistema
Planes de recuperación
Especificación de la infraestructura de red.
Especificación de la topología de red Entrevistas.
Infraestructura Descripción del cableado Cuestionarios.
Especificación de las conexiones entre los Observación
equipos directa.
Existencia de inventario de equipos de redes Lista de Chequeo
Control
Existencia de documentación del contrato con
Externo el proveedor del servicio de internet.
Analizar la
información
recolectada
durante el Análisis de la
proceso de información Resultados obtenidos.
auditoría
informática de
redes.
Presentar informe
del proceso de Presentación
auditoría del informe. Informe
informática de
redes-área
5. documentación.
DOCUMENTOS A SOLICITAR
Políticas, estándares, normas y procedimientos.
Plan de redes.
Planos o diagramas de la topología de red
Conexiones y cableado
Planes de seguridad de la red
Facturas de los equipos que componen la red.
Garantía de los equipos de la red
Autorizaciones de traslado de equipos de un lugar a otro.
Organigrama y manual de funciones.
Manuales de redes
Contrato con el ISP
6. 5. Diseños Instrumentos y Técnicas para la aplicación de la
auditoría: Cuestionario, ponderación, lista de chequeo, guía de
auditoría, matriz de evaluación, acta testimonial.
SECCION DE TRABAJO:
PROGRAMA DE AUDITORÍA DE REDES
Pág. 1 de 1
EMPRESA: XYZ
Unidad y/o Departamento: Redes
Área: Organización (objetivos, políticas y normas, cargos y perfiles, funciones)
PERIODO DE REVISION
15 11 12 HASTA: 15 12 12
DESDE:
Nº PROCEDIMIENTOS REF.P/T
1 Identificarse y dirigirse al Jefe del Departamento Redes de la Gerencia TI.
Solicitar documentos como:
- Políticas, estándares, normas y procedimientos.
2 - Plan de redes.
- Planes de seguridad y continuidad
- Contratos, pólizas de seguros.
- Organigrama y manual de funciones.
3 Obtener e identificar los objetivos del Departamento de Redes.
4 Aplicar las preguntas Nº 1, 2 y 3 del cuestionario al Jefe del Departamento CAIR-01
de Redes.
En la columna observaciones del cuestionario, anotar:
5 Información relevante que se nos diga.
Dejar sentado todo documento a solicitar si responden que tienen lo
que se le pregunta.
6 Analizar información entregada por el Departamento de Redes.
7 Determinar hallazgos, observaciones basadas en el análisis anterior.
HECHO POR: REVISADO POR:
Ing. Pedro González Ing. Álvaro Martínez
7. SECCION DE TRABAJO:
PROGRAMA DE AUDITORÍA DE REDES
Pág. 1 de 1
EMPRESA: XYZ
Unidad y/o Departamento: Redes
Área: Gestión (Especificación de la documentación de la infraestructura de red y de la
existencia de inventario de equipos de redes.)
PERIODO DE REVISION
15 11 12 HASTA: 15 12 12
DESDE:
Nº PROCEDIMIENTOS REF.P/T
1 Identificarse y dirigirse al Jefe del Departamento Redes de la Gerencia TI.
Solicitar documentos como:
2 - Diagramado de la infraestructura de la red.
- Inventario de equipos de redes.
- Manuales de redes.
3 Aplicar las preguntas Nº 4, 5, 6 y 7 del cuestionario al Jefe del CAIR-01
Departamento de Redes.
En la columna observaciones del cuestionario, anotar:
4 Información relevante que se nos diga.
Dejar sentado todo documento a solicitar si responden que tienen lo
que se le pregunta.
5 Analizar información entregada por el Departamento de Redes.
6 Determinar hallazgos, observaciones basadas en el análisis anterior.
HECHO POR: REVISADO POR:
Ing. María Pérez Ing. Álvaro Martínez
CUESTIONARIO
DESCRIPCIÓN SI NO N/A OBSERVACIONES
Nº
1. ¿Existe la documentación de los objetivos X Solicitarlo
de red?
2. ¿Existen documentos con la misión, visión, X Solicitarlo
valores, objetivos y metas del
departamento de redes?
3. ¿Existen manuales que definan las X Se tienen los cargos
funciones, cargos y perfiles de los puestos específicos pero no
8. de trabajo? están
documentados.
4. ¿Poseen una documentación sobre el X Solicitarlo
diagramado de la red?
5. ¿Poseen la documentación de la X No se tiene
infraestructura capaz de soportar el documentación de la
crecimiento de la red a largo plazo infraestructura de la
teniendo en cuenta los posibles cambios red.
tecnológicos o en la organización?
6. ¿Existe la documentación actual de la X Solicitarlo
topología de red?
7. ¿Poseen informes de las conexiones entre X No se tiene
los equipos de la red? información de las
conexiones entre los
equipos de red.
8. ¿Existe el diagrama del cableado utilizado, X Solicitarlo
la categoría y su recorrido en la
infraestructura de la red?
9. ¿Existe documentación del inventario de X Solicitarlo
equipos asociados a las de redes?
10. ¿Cuentan con una protección y tendido X Solicitarlo
adecuado de cables y líneas de
comunicaciones?
11. ¿Existe documentación de medidas, X No se tiene
controles, procedimientos, normas y documentación de
estándares de seguridad? medidas, controles,
procedimientos,
normas y estándares
de seguridad
12. ¿Existe documentado los procedimientos X No se tiene
de protección de los cables y las bocas de documentado la
conexión? protección de los
cables y bocas de
conexión.
13. ¿Está documentada la jerarquía en la X Se tiene la jerarquía
asignación de permiso a las cuentas de de permisos mas no
usuarios? existe
documentación de
ello.
14. ¿Existe documentación de las políticas de X Se tiene políticas de
restricción de acceso (de personas de la acceso mas no
organización y de las que no lo son) a los existe
programas, aplicaciones y archivos? documentación de
las mismas.
15. ¿Existen políticas para el manejo de X Se tienen las
cuentas y contraseña de usuario de red políticas mas no se
(número máximo de intentos de conexión y tienen
9. período máximo de vigencia)? documentadas.
16. ¿Están documentados los planes de X No se tiene
emergencia alternativos de transmisión documentado los
entre diferentes sedes? planes de
emergencia.
17. ¿En caso de desastre poseen planes de X No se tiene
seguridad por escrito para asegurar la documentado los
integridad de los datos? planes para la
integridad de los
datos.
18. ¿Implantan la ejecución de planes de X Se implantan planes
contingencia y la simulación de posibles de contingencia y
accidentes? simulación de
accidentes pero no
existe
documentación de
ello.
19. ¿El departamento de redes conoce del X Solicitarlo
contrato con el proveedor de servicio de
internet?
ENTREVISTA
MATRIZ DE ANALISIS DE CONTENIDO- ENTREVISTA EAIR-01
Nro. Pregunta Respuesta Recomendación
1. ¿Cuándo realizan Estos procedimientos no Documentar todo tipo de
modificaciones en la red se documentan. cambio en la red y de los
o de algún equipo la equipos.
documentan?
2. ¿La documentación de Se mantiene actualizada la
la topología de red esta documentación de la
actualizada? topología de red.
3. ¿Documentan cuando No se documenta el Documentar todo tipo de
realizan algún traslado traslado de los equipos de traslado de los equipos de
de equipos de red de un un lugar a otro. un lugar a otro.
lugar a otro?
4. ¿Cuentan con Antivirus, Se mantienen actualizadas
antispyware por estás herramientas de
seguridad de la red? protección.
5. ¿Qué tipo de nVision, NetSupprt, entre
herramienta utilizan otros.
para monitorear la red?
6. ¿Cada cuanto tiempo No se ha establecido un Definir la frecuencia de
realizan un análisis del tiempo específico para revisión.
tráfico de la red? ello.
10. 7. ¿Qué equipos de Se utiliza PC servidor
prueba de dedicado ubicado en
comunicaciones utilizan oficina de personal de
para monitorear la red y redes.
el tráfico en ella?
8. ¿Qué procedimientos Se realiza la notificación Documentar formalmente
llevan para la vía telefónica y van al sitio las notificaciones de
notificación y gestión de para solventar la falla, no incidencias y el
incidencias y son se tiene documentación procedimiento para
documentadas? formal de este resolverlas.
procedimiento.
9. ¿Poseen las facturas de Se tienen todas las
todos los equipos que facturas.
componen la red?
10. ¿Conocen cuáles son No se conocen con
los equipos que aun exactitud, pero ubicando
poseen garantía y las facturas se puede
cuales no? determinar.
11. ¿Cómo hacen para Se contrata un proveedor Documentar formalmente el
darle mantenimiento para realizar este servicio. procedimiento realizado
preventivo y correctivo a para el mantenimiento
los equipos que no preventivo.
poseen garantía?
12. ¿Qué procedimientos Mediante correos Determinar políticas y
llevan las solicitudes de electrónicos o vía procedimientos para el
modificaciones y telefónica. control de cambios.
cambios?
13. ¿Cómo jerarquizan o Considerando las
qué se basan los responsabilidades y áreas
permisos de las cuentas de acción del usuario
de usuarios? dentro de la organización.
14. ¿Cada cuanto tiempo No se tiene tiempo Documentar formalmente
revisan las políticas definido, se realiza cuando este procedimiento.
para el manejo de se notifica algún incidente
cuentas y contraseñas? por un usuario.
15. ¿Existe un control de No existe formalmente el Realizar y documentar
acceso por Contraseñas control de acceso para formalmente el control de
de Sesión de usuarios usuarios con renovación. acceso a sesiones para
con renovación? usuarios con renovación.
16. ¿Cómo son los planes No existe un plan
alternativos de especificado, es muy
transmisión entre limitado y puntual, solo
diferentes sedes para ocurre en caso de
casos de emergencias? emergencia.
17. ¿Cómo es el tiempo de En oportunidades
respuesta del proveedor demoran en reestablecer
de servicios de internet el servicio, y no informan
11. en caso de fallas? con exactitud el origen de
la falla y la solución de la
misma.
12. LISTA DE CHEQUEO
Nro. CARACTERISTICAS A CHEQUEAR SI NO
CUMPLE CUMPLE
1. El área de servidores contiene solamente el equipo X
relacionado directamente con informática
2. Está el área de servidores situado lejos de interferencias X
electromagnéticas
3. Se mantiene el área de servidores en un rango de X
temperaturas permitidas
4. Tiene el área de servidores una altura mínima adecuada X
5. Tiene el área de servidores una salida de emergencia X
identificada
6. Existe un mecanismo contra incendio X
7. Es el techo del área de servidores impermeable para X
evitar el paso de agua desde niveles superiores
8. Existe un control de acceso con notificación en la entrada X
del departamento
9. Existe una bitácora de las visitas e ingresos al área de X
servidores
10. Se controla el trabajo fuera de horario X
11. Tienen instalado equipos como reguladores de voltaje, X
supresores pico, UPS, generadores de energía, que
protejan los equipos de redes en caso de variación de
voltaje o falla en el suministro de energía eléctrica
12. Cuenta el área de servidores con CCTV X
13. Las personas de limpieza realizan sus funciones dentro X
del área de redes acompañadas por ustedes
14. Cuentan las puertas de área de servidores con X
cerraduras de seguridad adecuadas
15. ¿Tienen instalado cortafuegos, sistema de detección de X
intrusos- antispyware, antivirus, llaves para protección de
software, etc.?
16. Existe un seguro de los activos de redes y X
comunicaciones
6. Identificar las herramientas informáticas que serán empleadas
para evaluar los indicadores de la auditoria.
OCS Inventory.
NetSupport.
Nsauditor.
NVision.
KeePass Password Safe.
13. 7. Elaborar el plan para la aplicación de la auditoria.
PLAN DE AUDITORIA SEMANAS
ACTIVIDADES RECURSOS DESDE HASTA HR. 1 2 3 4 5 6 7 8
Planificación de Lápiz, hojas de 15/11/12 15/11/12
actividades papel,
borrador, 4 X
computador,
impresora.
Entrevista con el Entrevista 16/11/12 16/11/12
cliente realizada,
grabador, 2 X
Lápiz, hojas de
papel.
Levantamiento inicial Documentos 17/11/12 18/11/12
8 X
de información solicitados.
Definición de alcance Lápiz, hojas de 19/11/12 19/11/12
y objetivos de la papel,
auditoría borrador, 2 X
computador,
impresora.
Elaboración de la Lápiz, hojas de 20/11/12 20/11/12
matriz de análisis de papel,
auditoría borrador, 4 X
computador,
impresora.
Elaboración del Lápiz, hojas de 21/11/12 21/11/12
programa de auditoría papel,
borrador, 4 X
computador,
impresora.
Elaboración de los Lápiz, hojas de 22/11/12 22/11/12
procedimientos de papel,
auditoría borrador, 4 X
computador,
impresora.
Elaboración de Lápiz, hojas de 23/11/12 23/11/12
entrevistas papel,
borrador, 6 X
computador,
impresora.
Elaboración de Lápiz, hojas de 24/11/12 24/11/12
cuestionarios papel,
borrador, 4 X
computador,
impresora.
Elaboración de Lápiz, hojas de 25/11/12 25/11/12
pruebas de redes papel,
borrador, 2 X
computador,
impresora.
Entrevistas con el Entrevista 26/11/12 27/11/12
personal objeto de realizada,
auditoría grabador, 8 X
Lápiz, hojas de
papel.
14. Aplicación de Lista de 28/11/12 29/11/12
cuestionarios y listas chequeo y
de chequeo al cuestionario
personal objeto de realizado, 8 X
auditoría grabador,
Lápiz, hojas de
papel.
Observación directa Lápiz, hojas de 29/11/12 01/12/12
sobre los procesos papel,
16 X X
auditados en la borrador,
organización grabador,
Recopilación de Lápiz, hojas de 01/12/12 02/12/12
información y papel,
documentación borrador,
15 X
relevante al proceso grabador,
de auditoría computador,
impresora.
Análisis de la Herramientas 03/12/12 04/12/12
información recopilada para organizar
y de ser necesario, datos, Lápiz,
utilizar herramientas hojas de papel, 10 X
automatizadas para la borrador,
organización de los computador,
datos. impresora.
Determinación de Lápiz, hojas de 05/12/12 07/12/12
resultados: Hallazgos, papel,
observaciones, borrador,
recomendaciones y estadísticas de 20 X X
conclusiones. entrevistas,
computador,
impresora.
Revisión general de Computador, 08/12/12 10/12/12
22 X
los resultados. impresora.
Elaboración del Pre- Lápiz, hojas de 11/12/12 11/12/12
Informe papel,
borrador,
estadísticas de 8 X
entrevistas,
computador,
impresora.
Elaboración de Lápiz, hojas de 12/12/12 14/12/12
informe final papel,
borrador,
estadísticas de 26 X
entrevistas,
computador,
impresora.
Presentación del Lápiz, hojas de 15/12/12 15/12/12
informe papel,
borrador,
computador, 4 X
estadísticas de
entrevistas,
video beam.
15. 8. Hallazgos de Auditoria
La empresa posee una documentación donde especifican algunas normas y
políticas.
La empresa XYZ no posee documentado procedimientos alternos en caso de
falla de la infraestructura de red.
No se documenta el procedimiento para realizar modificaciones en la red o de
algún equipo.
No cuentan con un procedimiento de control de acceso de usuarios
documentado formalmente.
No se evidencia ningún mecanismo de control de acceso a las salas de
servidores.
No se evidencia sistema de control de incendio en las salas de servidores.
No documentan cuando realizan algún traslado de equipos de red de un lugar a
otro.
No existe un mecanismo de control para el registro de las personas que ingresan
a la sala donde residen los servidores de la empresa.
No se encuentran habilitados los mecanismos para el registro de eventos de
auditoría en los servidores.
No observaron procedimientos formales relacionados con la definición de
responsabilidades, frecuencia y documentación para la revisión de registros de
auditoría.
No se tiene definido las características de las políticas de contraseñas con las
pautas necesarias para unificar los mecanismos manuales y automáticos
ofrecidos por el sistema operativo.
No se generan contraseña de acceso con características robustas, tomando en
cuenta que no se encuentra configurado el parámetro de configuración
“Passwords must meet complexity requirements”.
No existe un calendario de mantenimiento de rutina periódico del hardware
definido por el departamento de redes.
16. No existe un plan proactivo de tareas a fin de anticipar los problemas y
solucionarlos antes de que los mismos afecten el desempeño de la red.
Carecen de indicadores precisos que apoyen a la evaluación objetiva de la
gestión del departamento.
No cuentan con mecanismos para la asistencia del personal de redes a jornadas
y cursos de actualización en el área de competencia.
9. Conclusiones.
Como resultado de la Auditoria podemos manifestar que hemos cumplido
con evaluar cada uno de los objetivos contenidos en el programa de auditoría.
El área de redes presenta deficiencias sobre todo en el debido
cumplimiento de documentar normas de redes, funciones, procesos, accesos,
monitoreo de red, entre otros.
Las empresas mejoran la administración del ambiente de redes,
fortaleciendo y ampliando la definición de su manual de políticas y procedimientos,
facilitándose así la aplicación de normas y mecanismos de control, como también la
documentación (base para la creación de una base de datos de conocimientos),
disminuyendo la dependencia del personal al realizar actividades específicas.
Las empresas que buscan evitar improvisar soluciones que pudieran
retrasar la reanudación de las operaciones, trabajan en tener formalmente definido
y mantener procedimientos alternos en caso de falla de la infraestructura de redes,
que les permitan proveer la continuidad de los servicios en caso de ocurrir una
contingencia que pueda afectar sus equipos, y faciliten la coordinación eficaz en los
pasos a seguir para restablecer los procesos operativos en función al evento
presentado.
Las empresas que conocen el valor de los equipos de redes y la
importancia de los mismos como habilitador del servicio de los procesos de la
empresa, documentan todo lo relacionado con ello, y refuerzan la seguridad física
de los cuartos de cómputo, de las localidades de convergencia de cableado
intermedio, e implementan mejoras en la distribución e identificación del cableado
estructurado, y acondicionan estos lugares con sistema de protección contra
incendios, carga eléctrica, etc.
Las empresas para disminuir acciones que puedan afectar la operatividad
de los equipos ubicados en las salas de servidores de la empresa, llevan un
registro y control de las personas que ingresas a estas aéreas restringidas.
17. Las empresas buscan llevar la buena práctica de habilitar mecanismos de
auditoría en los servidores, para registro de eventos regulares en la infraestructura,
que le facilitan la detección a tiempo de fallas o actividades irregulares, y
documentan estos eventos para aminorar la dependencia del personal encargado
en llevar dichas las actividades.
Para mitigar el acceso no autorizado, las empresas en sus políticas de
contraseñas de accesos a los servidores de la empresa, implementan la unificación
de los mecanismos de seguridad ofrecidos por los sistemas (la longitud máxima de
contraseña, el bloqueo de cuantas por intentos fallidos de conexión, numero de
intentos fallidos, etc.).
Las contraseñas de acceso constituyen un elemento importante que
ayudan a preservar la identidad de los usuarios, la integridad y privacidad de la
información, por lo que su definición debe estar enmarcada bajo criterios que
permitan producir claves de acceso robustas. El no tenerlo puede traer como
consecuencia que se produzcan ingresos por parte de personas no autorizadas,
existiendo la posibilidad de que sean realizadas operaciones indebidas que afecten
al manejo de la información y recursos de la empresa.
10. Recomendaciones
Fortalecer y ampliar la documentación de políticas y procedimientos.
Establecer y documentar procedimientos alternos en caso de falla de la
infraestructura.
Establecer mecanismo que permiten el registro de las personas que ingresan a la
sala donde residen los servidores de la empresa.
Evaluar la posibilidad de activar mecanismos de auditoría en los servidores de la
empresa.
Optimizar esquema de seguridad para el control de acceso al servidor.
Definir y documentar formalmente mecanismos de control para la creación de
contraseñas robustas, y así definir de manera segura controles de acceso.
Elaborar toda la documentación técnica correspondiente a los sistemas de redes.
Implementar y documentar un plan que permita modificar en forma oportuna el plan
a largo plazo de tecnología de redes.