Académique Documents
Professionnel Documents
Culture Documents
Auditora Informtica de Redes Primera tarea: Fase de Planeacin. rea a auditar en la Red: Documentacin.
Auditora Informtica de Redes - mbito de Documentacin. 2. Determinar el objetivo general y los especficos. General: Realizar una auditora informtica de redes-mbito de documentacin, en la empresa XYZ. Especficos:
Diagnosticar la situacin actual de la documentacin del entorno de red. Evaluar el estatus de la documentacin del entorno de red. Analizar la informacin recolectada durante el proceso de auditora informtica de redes. Presentar informe del proceso de auditora informtica de redes-rea documentacin.
Objetivos de la red. Personal que administra la red. Polticas de Seguridad de red Servicios que proporciona la red Planes de Contingencia. Mapas o Diagramas Planos de la Red y Topologa Configuraciones y Conexiones Estndares y Normativas Convenios y/o contratos con el ISP (Proveedor de Servicios de Internet)
4.
Elaborar el anlisis de la matriz de evaluacin para auditar la red indicando su objetivo especfico, dimisin e indicadores. CODIGO OBJETIVOS MAIR-01
MATRIZ DE ANALISIS DE AUDITORIA INFORMATICA DE REDES-REA DOCUMENTACIN, EN LA EMPRESA XYZ. General Realizar una auditora informtica de redes-rea documentacin, en la empresa XYZ. Especficos Diagnosticar la situacin actual de la documentacin del entorno de red. DIMENSIN INDICADORES Documentacin de los objetivos de la red. Polticas y normas de redes en la empresa. Organizacin Entrevistas. Cuestionarios. Definiciones de cargos y perfiles de los administradores de red. Observacin directa. Segregacin de funciones en el rea de tecnologa Polticas de seguridad de redes. Entrevistas. Servicios que proporciona la red. Gestin de redes Conectividad y comunicaciones de la red Monitoreo de la red Lista de Chequeo Manejo de control de acceso. Administracin robustas de claves y contraseas Cuestionarios. Observacin directa. INSTRUMENTOS
Planes de recuperacin Especificacin de la infraestructura de red. Especificacin de la topologa de red Infraestructura Descripcin del cableado Entrevistas. Cuestionarios.
Especificacin de las conexiones entre los Observacin equipos directa. Existencia de inventario de equipos de redes Control Externo Analizar informacin recolectada durante proceso auditora informtica redes. la Existencia de documentacin del contrato con el proveedor del servicio de internet. Lista de Chequeo
el de de
Anlisis de la informacin
Resultados obtenidos.
Informe
DOCUMENTOS A SOLICITAR
Polticas, estndares, normas y procedimientos. Plan de redes. Planos o diagramas de la topologa de red Conexiones y cableado Planes de seguridad de la red Facturas de los equipos que componen la red. Garanta de los equipos de la red Autorizaciones de traslado de equipos de un lugar a otro. Organigrama y manual de funciones. Manuales de redes Contrato con el ISP
5.
Diseos Instrumentos y Tcnicas para la aplicacin de la auditora: Cuestionario, ponderacin, lista de chequeo, gua de auditora, matriz de evaluacin, acta testimonial. SECCION DE TRABAJO: Pg. 1 de 1
EMPRESA: XYZ Unidad y/o Departamento: Redes rea: Organizacin (objetivos, polticas y normas, cargos y perfiles, funciones) PERIODO DE REVISION 15 11 12 HASTA: 15 12 12 DESDE: N PROCEDIMIENTOS REF.P/T 1 Identificarse y dirigirse al Jefe del Departamento Redes de la Gerencia TI. Solicitar documentos como: - Polticas, estndares, normas y procedimientos. - Plan de redes. 2 - Planes de seguridad y continuidad - Contratos, plizas de seguros. - Organigrama y manual de funciones. 3 Obtener e identificar los objetivos del Departamento de Redes. Aplicar las preguntas N 1, 2 y 3 del cuestionario al Jefe del Departamento 4 CAIR-01 de Redes. En la columna observaciones del cuestionario, anotar: Informacin relevante que se nos diga. 5 Dejar sentado todo documento a solicitar si responden que tienen lo que se le pregunta. 6 Analizar informacin entregada por el Departamento de Redes. 7 Determinar hallazgos, observaciones basadas en el anlisis anterior. HECHO POR: REVISADO POR:
rea: Gestin (Especificacin de la documentacin de la infraestructura de red y de la existencia de inventario de equipos de redes.) PERIODO DE REVISION 15 11 12 HASTA: 15 12 12 DESDE: N PROCEDIMIENTOS REF.P/T 1 Identificarse y dirigirse al Jefe del Departamento Redes de la Gerencia TI. Solicitar documentos como: - Diagramado de la infraestructura de la red. 2 - Inventario de equipos de redes. - Manuales de redes. Aplicar las preguntas N 4, 5, 6 y 7 del cuestionario al Jefe del 3 CAIR-01 Departamento de Redes. En la columna observaciones del cuestionario, anotar: Informacin relevante que se nos diga. 4 Dejar sentado todo documento a solicitar si responden que tienen lo que se le pregunta. 5 Analizar informacin entregada por el Departamento de Redes. 6 Determinar hallazgos, observaciones basadas en el anlisis anterior. HECHO POR: REVISADO POR:
CUESTIONARIO DESCRIPCIN N
1. Existe la documentacin de los objetivos
SI
NO
N/A
OBSERVACIONES
de red?
2. Existen documentos con la misin, visin,
3.
4.
5.
6.
7.
valores, objetivos y metas del departamento de redes? Existen manuales que definan las funciones, cargos y perfiles de los puestos de trabajo? Poseen una documentacin sobre el diagramado de la red? Poseen la documentacin de la infraestructura capaz de soportar el crecimiento de la red a largo plazo teniendo en cuenta los posibles cambios tecnolgicos o en la organizacin? Existe la documentacin actual de la topologa de red? Poseen informes de las conexiones entre
los equipos de la red? 8. Existen el diagrama del cableado utilizado, la categora y su recorrido en la infraestructura de la red? 9. Existe documentacin del inventario de equipos asociados a las de redes? 10. Cuentan con una proteccin y tendido adecuado de cables y lneas de comunicaciones? 11. Existe documentacin de medidas, controles, procedimientos, normas y estndares de seguridad? 12. Existe documentado los procedimientos de proteccin de los cables y las bocas de conexin? 13. Est documentada la jerarqua en la asignacin de permiso a las cuentas de usuarios? 14. Existe documentacin de las polticas de restriccin de acceso (de personas de la organizacin y de las que no lo son) a los programas, aplicaciones y archivos? 15. Existen polticas para el manejo de cuentas y contrasea de usuario de red (nmero mximo de intentos de conexin y perodo mximo de vigencia)? 16. Estn documentados los planes de emergencia alternativos de transmisin entre diferentes sedes? 17. En caso de desastre poseen planes de seguridad por escrito para asegurar la integridad de los datos? 18. Implantan la ejecucin de planes de contingencia y la simulacin de posibles accidentes? 19. El departamento de redes conoce del contrato con el proveedor de servicio de internet?
modificaciones en la red o de algn equipo la documentan? 2. La documentacin de la topologa de red esta actualizada? 3. Documentan cuando realizan algn traslado de equipos de red de un lugar a otro? 4. Cuentan con Antivirus, antispyware por seguridad de la red? 5. Qu tipo de herramienta utilizan para monitorear la red? 6. Cada cuanto tiempo realizan un anlisis del trfico de la red? 7. Qu equipos de prueba de comunicaciones utilizan para monitorear la red y el trfico en ella? 8. Qu procedimientos llevan para la notificacin y gestin de incidencias y son documentadas? 9. Poseen las facturas de todos los equipos que componen la red? 10. Conocen cules son los equipos que aun poseen garanta y cuales no? 11. Cmo hacen para darle mantenimiento preventivo y correctivo a los equipos que no poseen garanta? 12. Qu procedimientos llevan las solicitudes de modificaciones y cambios? 13. Cmo jerarquizan o qu se basan los
permisos de las cuentas de usuarios? 14. Cada cuanto tiempo revisan las polticas para el manejo de cuentas y contraseas? 15. Existe un control de acceso por Contraseas de Sesin de usuarios con renovacin? 16. Cmo son los planes alternativos de transmisin entre diferentes sedes para casos de emergencias? 17. Cmo es tiempo de respuesta del proveedor de servicios de internet en caso de fallas?
LISTA DE CHEQUEO Nro . 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. CARACTERISTICAS A CHEQUEAR El rea de servidores contiene solamente el equipo relacionado directamente con informtica Est el rea de servidores situado lejos de interferencias electromagnticas Se mantiene el rea de servidores en un rango de temperaturas permitidas Tiene el rea de servidores una altura mnima adecuada Tiene el rea de servidores una salida de emergencia identificada Existe un mecanismo contra incendio Es el techo del rea de servidores impermeable para evitar el paso de agua desde niveles superiores Existe un control de acceso con notificacin en la entrada del departamento Existe una bitcora de las visitas e ingresos al rea de servidores Se controla el trabajo fuera de horario Tienen instalado equipos como reguladores de voltaje, supresores pico, UPS, generadores de energa, que protejan los equipos de redes en caso de variacin de voltaje o falla en el suministro de energa elctrica Cuenta el rea de servidores con CCTV Las personas de limpieza realizan sus funciones dentro del rea de redes acompaadas de ustedes Cuentan las puertas de rea de servidores con cerraduras de seguridad adecuadas Tienen instalado cortafuegos, sistema de deteccin de intrusos- antispyware, antivirus, llaves para proteccin de software, etc.? Existe un seguro de los activos de redes y comunicaciones SI NO CUMPLE CUMPLE
6. Identificar las herramientas informticas que sern empleadas para evaluar los indicadores de la auditoria. OCS Inventory. NetSupport. Nsauditor. NVision. KeePass Password Safe.
HASTA 15/11/12
HR. 4
1 X
16/11/12 2 18/11/12 19/11/12 2 20/11/12 4 21/11/12 4 22/11/12 4 23/11/12 6 24/11/12 4 25/11/12 2 27/11/12 8 X X X X X X X X X
Aplicacin de cuestionarios y listas de chequeo al personal objeto de auditora Observacin directa sobre los procesos auditados en la organizacin Recopilacin de informacin y documentacin relevante al proceso de auditora Anlisis de la informacin recopilada y de ser necesario, utilizar herramientas automatizadas para la organizacin de los datos. Determinacin de resultados: Hallazgos, observaciones, recomendaciones y conclusiones. Revisin general de los resultados. Elaboracin del PreInforme
Lista de chequeo y cuestionario realizado, grabador, Lpiz, hojas de papel. Lpiz, hojas de papel, borrador, grabador, Lpiz, hojas de papel, borrador, grabador, computador, impresora. Herramientas para organizar datos, Lpiz, hojas de papel, borrador, computador, impresora. Lpiz, hojas de papel, borrador, estadsticas de entrevistas, computador, impresora. Computador, impresora. Lpiz, hojas de papel, borrador, estadsticas de entrevistas, computador, impresora. Lpiz, hojas de papel, borrador, estadsticas de entrevistas, computador, impresora. Lpiz, hojas de papel, borrador, computador, estadsticas de entrevistas, video beam.
28/11/12
29/11/12 8 X
29/11/12
01/12/12 16 X X
01/12/12
02/12/12 15 X
03/12/12
04/12/12 10 X
05/12/12
07/12/12 20 X X
08/12/12 11/12/12
10/12/12 11/12/12
22
12/12/12
14/12/12 26 X
15/12/12
15/12/12 4 X