Professional Documents
Culture Documents
AUD 721
Módulo 6a
Tecnología de redes
Planificación y evaluación de redes
Seguridad y protección de redes
Integración de peritos técnicos
Proceso de auditoría de redes
Informe de auditoría de redes
Proceso de auditoría de redes
Sexto módulo
Ámbito de la auditoría
Expectativas
Personal asignado
Colaboración requerida
Itinerario
Proceso de auditoría de redes
Procesos preliminares
Definir el ámbito de la auditoría:
Tipo de auditoría:
o Periódica interna
o De Cumplimiento o Verificación
o Reacción a evento incidental o de emergencia
Servicios de:
o Comunicación de voz
o Comunicación de datos
o Conexión a Internet y/o VPN
Infraestructura de Red:
o Amplia (WAN)
o Local (LAN)
o Inalámbrica (WLAN)
o Servidores y servicios en la red
Proceso de auditoría de redes
Procesos preliminares
Determinar o afinar expectativas:
Nivel de inversión:
o Tiempo
o Recursos
o Esfuerzos
Liderazgo y compromiso organizacional:
o Líder de projecto y contactos
o Canales de comunicación internos y externos
o Enfoque colaborativo / de no confrontación
Ajuste o modificación de expectativas:
o Definición de premisas
o Establecer y ajustar prioridades
o Identificar áreas de responsabilidad: seguros/legislación
Proceso de auditoría de redes
Procesos preliminares
Determinar personal a asignar o solicitar:
Interno:
o Coordinador o enlace
o Gerencial
o Unidades críticas
o Tecnología informática
o Técnicos internos
o Asesor legal
Externo:
o Consultores o técnicos externos
o Especialista en documentación de seguridad
o Contacto en proveedores de servicios
o Contacto entidades asociadas (EDI)
Proceso de auditoría de redes
Procesos preliminares
Colaboración requerida:
Acceso a equipo, documentos y archivos, procesos
Personal Redes, de respaldo, usuarios
Respaldo de la gerencia
Contactos externos:
o Otras organizaciones integradas
o Proveedores de servicios
o Aseguradoras
o Auditores externos
o Consultores
Comunicar progreso en el proceso
Proceso de auditoría de redes
Procesos preliminares
Itinerario:
Definir aspectos fundamentales (“milestones”)
Ajustar a expectativas / requerimientos cliente
Integrar disponibilidad de recursos internos/externos
Proveer margen para ajustes
Consideraciones de costos (tiempo recursos)
Proceso de auditoría de redes
Procesos preliminares
“Best Practices”:
Definir y acordar requerimientos (“scope”)
Comprender las restricciones del cliente:
o Recursos técnicos y económicos disponibles que afectarán las
recomendaciones a implantar
o Documentar adecuadamente el proceso de avalúo preliminar
o Evitar proyección de esfuerzos inadecuada (“under/over” )
Identificar y asignar los recursos idóneos:
o Líderes y técnicos
o Identificar otros recursos para reemplazo o ampliación del equipo
Lograr consenso sobre las expectativas:
o Identificarlas y comprenderlas e incluirlas en proceso e informes
o Confirmar si se está cumpliendo con éstas
Proceso de auditoría de redes
Proceso de auditoría
Avalúo previo a la visita
Determinación de procesos y sistemas críticos
Examen del entorno de seguridad de sistemas
Avalúo técnico
Proceso de auditoría de redes
Proceso de auditoría
Procesos previos al avalúo:
Reunión preliminar y presentación de itinerario
Confirmar expectativas y dimensión del proceso:
o Verificación (”Assessment”) o Auditoría
o Profundidad en la investigación e interferencia en operaciones
Afinar roles y responsabilidades de parte del cliente:
o Gerente con capacidad decisoria
o Cliente primario
o Líder del proyecto
o Personal técnico a integrar
o Usuarios a integrar
Proceso de auditoría de redes
Proceso de auditoría
Procesos previos al avalúo (continuación):
Recopilación de datos:
o Entrevistas
o Cuestionarios
o Documentación y archivos
Plan de avalúo y actividades:
o Misíon, visión y objetivos de la organización/unidad
o Prioridades
o Sistemas críticos
o Objetivos específicos
o Nivel de esfuerzo acordado
o Respaldo requerido
o Protocolo de operación y de modificación
o Itinerario del proyecto
Proceso de auditoría de redes
Proceso de auditoría
Procesos previos al avalúo (continuación):
Definir y diagramar entorno de red
Documentar infrestructura de seguridad
Presentar resúmenes de documentación y afinar
Presentar equipo de avalúo
Ajustar Plan, actividades y prioridades
Acordar dimensión del informe y sus implicaciones
Proceso de auditoría de redes
Proceso de auditoría
Identificación del entorno de seguridad :
Arquitectura de seguridad (“Information security architecture”)
Programa y personal de seguridad
Divulgación de Plan de seguridad (“Security awareness”)
Controles del entorno:
o Energía eléctrica
o Fuego / Humedad /Temperatura
o Mantenimiento
Controles de acceso físico
Recursos de seguridad disponibles
Proceso de auditoría de redes
Proceso de auditoría
Determinación de procesos y sistemas críticos :
Configuración de servidores y servicios en la red
Cuentas de usuarios con acceso a la red
Configuración de Routers
Configuración de Firewalls
Configuración del DMZ
Configuración de Proxies
Configuración de VPN’s
Conexiones de terceros
Proveedores de servicios
Proceso de auditoría de redes
Proceso de auditoría
Determinación de procesos y sistemas críticos :
Aplicaciones:
o Control de acceso y modificación a servidor(es) WEB
o Control de acceso y modificación a servidor(es) de Correo
o Control de acceso y modificación a servidor(es) Databases
o Control de acceso a servidor(es) de archivos, impresión, etc.
Protección contra virus
Fiscalización de:
o “Logging”
o “Network Intrussion (IDS)”
o “Security monitoring and testing”
Respuesta a incidentes (“Incident response procedures”)
Proceso de auditoría de redes
Proceso de auditoría
Determinación de procesos y sistemas críticos :
Aplicaciones:
o Control de acceso y modificación a servidor(es) WEB
o Control de acceso y modificación a servidor(es) de Correo
o Control de acceso y modificación a servidor(es) Databases
o Control de acceso a servidor(es) de archivos, impresión, etc.
Protección contra virus
Fiscalización de:
o “Logging”
o “Network Intrussion (IDS)”
o “Security monitoring and testing”
Respuesta a incidentes (“Incident response procedures”)
Proceso de auditoría de redes
Proceso de auditoría
Limitaciones atribuibles al cliente:
Períodos o tiempo crítico (pico) de la red
Horario regular de operaciones
Actividades especiales que pueden afectar el avalúo
Consideraciones de OSHA / Entorno aplicables
“Staffing”
Plan de seguridad de la Red
SOP’s (“Standard Operating Procedures”)
Documentación provista:
o Medio y versión
o Verificada y certificada por el equipo de usuarios del cliente
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:
Documentos a examinar:
o Los identificados en procesos y sistemas críticos
o Plan de Seguridad de sistemas y de la red
o Plan de continuidad de operaciones de sistemas y de la red
o Plan de contingencia de operación de sistemas y de la red
o Políticas y procedmientos
o Proceso para responder a eventos de interrupción en la red
Entrevistar:
o Gerente a cargo de la red
o Gerente u oficial de seguridad
o Técnicos de redes, seguridad y de sistemas operativos
o Administradores y usuarios de sistemas en la red
o “Information owners” de depósitos respalda la red
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:
Evaluar seguridad de los servidores (“host based”):
o Versiones y parchos
o Servicios mínimos necesarios disponibles
o Fijar nuevos códigos de usarios y claves (“reset defaults”)
o Reasignar puertos cuando sea posible
o Integrar encifrado (“encryption”)
o Activar bitácoras de acceso
o Revisar bitácoras para identificar discrepancias
o Integrar restricciones de acceso y claves sólidas
o Procesos de “backup/restore”
o Limitar el acceso del personal técnico
o Integrar controles de acceso físico
o Integrar protección contra virus
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:
Evaluar controles sobre estaciones fijas y portátiles:
o Acceso a disco fijo y unidades removibles
o Configuración estándar (comparar contra funciones usuario)
o Capacidad de quemar CD’s
o Revisar control de virus, juegos, “background/screen saver”
o Conexión a Internet
o Capacidad de bajar archivos de Internet
o Acceso a “modems”
o Autorización para instalar/modificar programación
o #IP asignado fijo o variable (DHCP)
o Contrastar configuración y uso con políticas aplicables
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:
Evaluar componentes y servicios de la red:
o Cotejo de contratos
o Cotejo de servicios
o Revisión de proceso de selección y contratación
o Revisión de proceso de fiscalización cumplimiento
o Analizar condiciones del “Service Level Agreement”
o Revisar estadísticas de servicio del proveedor
o Identificar servicios sobre/sub utilizados
o Verificar licencias de programación provista
o Verificar inventario de equipo adquirido, prestado
o Identificar servicios críticos que respalda
o Determinar cubiertas de seguro aplicables
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:
Evaluar componentes y servicios de la red:
o Identificar los distintos tipos de conexión disponibles
o Identificar los “modems” activos o accequibles
o Verificar documentación
o Revisar procedimientos para atender problemas
o Avalar Plan (DRP) desde la perspectiva de conexiones
o Revisar y documentar controles en operación
o Verificar sistemas de cifrar en uso