Auditoría de Redes

AUD 721
Módulo 6a

Carmen R. Cintrón Ferrer - 2004, Derechos

Reservados
 Contenido Temático

Tecnología de redes
Planificación y evaluación de redes
Seguridad y protección de redes
Integración de peritos técnicos
Proceso de auditoría de redes
Informe de auditoría de redes
Proceso de auditoría de redes
Sexto módulo

Procesos preliminares a la auditoría

Proceso de auditoría
Procesos luego de concluir la auditoría
Proceso de auditoría de redes
Sexto módulo
Procesos preliminares a la auditoría:

Ámbito de la auditoría

Expectativas

Personal asignado

Colaboración requerida

Itinerario
Proceso de auditoría:

Avalúo previo a la visita

Determinación de procesos y sistemas críticos

Examen del entorno de seguridad de sistemas

Avalúo técnico
Procesos luego de concluir la auditoría:

Análisis de hallazgos

Entrevistas y presentaciones

Informe de auditoría
Proceso de auditoría de redes
Procesos preliminares a la auditoría

Ámbito de la auditoría
Expectativas
Personal asignado
Colaboración requerida
Itinerario
 Proceso de auditoría de redes
Procesos preliminares
Definir el ámbito de la auditoría:

Tipo de auditoría:
o Periódica interna
o De Cumplimiento o Verificación
o Reacción a evento incidental o de emergencia

Servicios de:
o Comunicación de voz
o Comunicación de datos
o Conexión a Internet y/o VPN

Infraestructura de Red:
o Amplia (WAN)
o Local (LAN)
o Inalámbrica (WLAN)
o Servidores y servicios en la red
Proceso de auditoría de redes
Procesos preliminares
Determinar o afinar expectativas:

Nivel de inversión:
o Tiempo
o Recursos
o Esfuerzos

Liderazgo y compromiso organizacional:
o Líder de projecto y contactos
o Canales de comunicación internos y externos
o Enfoque colaborativo / de no confrontación

Ajuste o modificación de expectativas:
o Definición de premisas
o Establecer y ajustar prioridades
o Identificar áreas de responsabilidad: seguros/legislación
Proceso de auditoría de redes
Procesos preliminares
Determinar personal a asignar o solicitar:

Interno:
o Coordinador o enlace
o Gerencial
o Unidades críticas
o Tecnología informática
o Técnicos internos
o Asesor legal

Externo:
o Consultores o técnicos externos
o Especialista en documentación de seguridad
o Contacto en proveedores de servicios
o Contacto entidades asociadas (EDI)
Proceso de auditoría de redes
Procesos preliminares
Colaboración requerida:

Acceso a equipo, documentos y archivos, procesos

Personal Redes, de respaldo, usuarios

Respaldo de la gerencia

Contactos externos:
o Otras organizaciones integradas
o Proveedores de servicios
o Aseguradoras
o Auditores externos
o Consultores

Comunicar progreso en el proceso
Proceso de auditoría de redes
Procesos preliminares
Itinerario:

Definir aspectos fundamentales (“milestones”)

Ajustar a expectativas / requerimientos cliente

Integrar disponibilidad de recursos internos/externos

Proveer margen para ajustes

Consideraciones de costos (tiempo recursos)
Proceso de auditoría de redes
Procesos preliminares
“Best Practices”:

Definir y acordar requerimientos (“scope”)

Comprender las restricciones del cliente:
o Recursos técnicos y económicos disponibles que afectarán las
recomendaciones a implantar
o Documentar adecuadamente el proceso de avalúo preliminar
o Evitar proyección de esfuerzos inadecuada (“under/over” )

Identificar y asignar los recursos idóneos:
o Líderes y técnicos
o Identificar otros recursos para reemplazo o ampliación del equipo

Lograr consenso sobre las expectativas:
o Identificarlas y comprenderlas e incluirlas en proceso e informes
o Confirmar si se está cumpliendo con éstas
Proceso de auditoría de redes
Proceso de auditoría
Avalúo previo a la visita
Determinación de procesos y sistemas críticos
Examen del entorno de seguridad de sistemas
Avalúo técnico
Proceso de auditoría de redes
Proceso de auditoría
Procesos previos al avalúo:

Reunión preliminar y presentación de itinerario

Confirmar expectativas y dimensión del proceso:
o Verificación (”Assessment”) o Auditoría
o Profundidad en la investigación e interferencia en operaciones

Afinar roles y responsabilidades de parte del cliente:
o Gerente con capacidad decisoria
o Cliente primario
o Líder del proyecto
o Personal técnico a integrar
o Usuarios a integrar
Proceso de auditoría de redes
Proceso de auditoría
Procesos previos al avalúo (continuación):

Recopilación de datos:
o Entrevistas
o Cuestionarios
o Documentación y archivos

Plan de avalúo y actividades:
o Misíon, visión y objetivos de la organización/unidad
o Prioridades
o Sistemas críticos
o Objetivos específicos
o Nivel de esfuerzo acordado
o Respaldo requerido
o Protocolo de operación y de modificación
o Itinerario del proyecto
Proceso de auditoría de redes
Proceso de auditoría
Procesos previos al avalúo (continuación):

Definir y diagramar entorno de red

Documentar infrestructura de seguridad

Presentar resúmenes de documentación y afinar

Presentar equipo de avalúo

Ajustar Plan, actividades y prioridades

Acordar dimensión del informe y sus implicaciones
Proceso de auditoría de redes
Proceso de auditoría
Identificación del entorno de seguridad :

Arquitectura de seguridad (“Information security architecture”)

Programa y personal de seguridad

Divulgación de Plan de seguridad (“Security awareness”)

Controles del entorno:
o Energía eléctrica
o Fuego / Humedad /Temperatura
o Mantenimiento

Controles de acceso físico

Recursos de seguridad disponibles
Proceso de auditoría de redes
Proceso de auditoría
Determinación de procesos y sistemas críticos :

Configuración de servidores y servicios en la red

Cuentas de usuarios con acceso a la red

Configuración de Routers

Configuración de Firewalls

Configuración del DMZ

Configuración de Proxies

Configuración de VPN’s

Conexiones de terceros

Proveedores de servicios
Proceso de auditoría de redes
Proceso de auditoría
Determinación de procesos y sistemas críticos :

Aplicaciones:
o Control de acceso y modificación a servidor(es) WEB
o Control de acceso y modificación a servidor(es) de Correo
o Control de acceso y modificación a servidor(es) Databases
o Control de acceso a servidor(es) de archivos, impresión, etc.

Protección contra virus

Fiscalización de:
o “Logging”
o “Network Intrussion (IDS)”
o “Security monitoring and testing”

Respuesta a incidentes (“Incident response procedures”)
Proceso de auditoría de redes
Proceso de auditoría
Determinación de procesos y sistemas críticos :

Aplicaciones:
o Control de acceso y modificación a servidor(es) WEB
o Control de acceso y modificación a servidor(es) de Correo
o Control de acceso y modificación a servidor(es) Databases
o Control de acceso a servidor(es) de archivos, impresión, etc.

Protección contra virus

Fiscalización de:
o “Logging”
o “Network Intrussion (IDS)”
o “Security monitoring and testing”

Respuesta a incidentes (“Incident response procedures”)
Proceso de auditoría de redes
Proceso de auditoría
Limitaciones atribuibles al cliente:

Períodos o tiempo crítico (pico) de la red

Horario regular de operaciones

Actividades especiales que pueden afectar el avalúo

Consideraciones de OSHA / Entorno aplicables

“Staffing”

Plan de seguridad de la Red

SOP’s (“Standard Operating Procedures”)

Documentación provista:
o Medio y versión
o Verificada y certificada por el equipo de usuarios del cliente
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:

Documentos a examinar:
o Los identificados en procesos y sistemas críticos
o Plan de Seguridad de sistemas y de la red
o Plan de continuidad de operaciones de sistemas y de la red
o Plan de contingencia de operación de sistemas y de la red
o Políticas y procedmientos
o Proceso para responder a eventos de interrupción en la red

Entrevistar:
o Gerente a cargo de la red
o Gerente u oficial de seguridad
o Técnicos de redes, seguridad y de sistemas operativos
o Administradores y usuarios de sistemas en la red
o “Information owners” de depósitos respalda la red
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:

Evaluar seguridad de los servidores (“host based”):
o Versiones y parchos
o Servicios mínimos necesarios disponibles
o Fijar nuevos códigos de usarios y claves (“reset defaults”)
o Reasignar puertos cuando sea posible
o Integrar encifrado (“encryption”)
o Activar bitácoras de acceso
o Revisar bitácoras para identificar discrepancias
o Integrar restricciones de acceso y claves sólidas
o Procesos de “backup/restore”
o Limitar el acceso del personal técnico
o Integrar controles de acceso físico
o Integrar protección contra virus
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:

Evaluar controles sobre estaciones fijas y portátiles:
o Acceso a disco fijo y unidades removibles
o Configuración estándar (comparar contra funciones usuario)
o Capacidad de quemar CD’s
o Revisar control de virus, juegos, “background/screen saver”
o Conexión a Internet
o Capacidad de bajar archivos de Internet
o Acceso a “modems”
o Autorización para instalar/modificar programación
o #IP asignado fijo o variable (DHCP)
o Contrastar configuración y uso con políticas aplicables
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:

Evaluar componentes y servicios de la red:
o Cotejo de contratos
o Cotejo de servicios
o Revisión de proceso de selección y contratación
o Revisión de proceso de fiscalización cumplimiento
o Analizar condiciones del “Service Level Agreement”
o Revisar estadísticas de servicio del proveedor
o Identificar servicios sobre/sub utilizados
o Verificar licencias de programación provista
o Verificar inventario de equipo adquirido, prestado
o Identificar servicios críticos que respalda
o Determinar cubiertas de seguro aplicables
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:

Evaluar componentes y servicios de la red:
o Identificar los distintos tipos de conexión disponibles
o Identificar los “modems” activos o accequibles
o Verificar documentación
o Revisar procedimientos para atender problemas
o Avalar Plan (DRP) desde la perspectiva de conexiones
o Revisar y documentar controles en operación
o Verificar sistemas de cifrar en uso