UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGA 2 DIPLOMADO DE AUDITORA INFORMTICA

Auditora Informtica de Redes Primera tarea: Fase de Planeacin. rea a auditar en la Red: Documentacin.

Integrantes: Carlos Cordero Naylet Macea Tibisay Matos

Prof.: Luzneida Matute

1. Identificar el rea a auditar en la red.

Barquisimeto, Diciembre 2012

Auditora Informtica de Redes - mbito de Documentacin. 2. Determinar el objetivo general y los especficos. General: Realizar una auditora informtica de redes-mbito de documentacin, en la empresa XYZ. Especficos:

Diagnosticar la situacin actual de la documentacin del entorno de red. Evaluar el estatus de la documentacin del entorno de red. Analizar la informacin recolectada durante el proceso de auditora informtica de redes. Presentar informe del proceso de auditora informtica de redes-rea documentacin.

3. Describir los puntos del rea a auditar.

Objetivos de la red. Personal que administra la red. Polticas de Seguridad de red Servicios que proporciona la red Planes de Contingencia. Mapas o Diagramas Planos de la Red y Topologa Configuraciones y Conexiones Estndares y Normativas Convenios y/o contratos con el ISP (Proveedor de Servicios de Internet)

4.

Elaborar el anlisis de la matriz de evaluacin para auditar la red indicando su objetivo especfico, dimisin e indicadores. CODIGO OBJETIVOS MAIR-01

MATRIZ DE ANALISIS DE AUDITORIA INFORMATICA DE REDES-REA DOCUMENTACIN, EN LA EMPRESA XYZ. General Realizar una auditora informtica de redes-rea documentacin, en la empresa XYZ. Especficos Diagnosticar la situacin actual de la documentacin del entorno de red. DIMENSIN INDICADORES Documentacin de los objetivos de la red. Polticas y normas de redes en la empresa. Organizacin Entrevistas. Cuestionarios. Definiciones de cargos y perfiles de los administradores de red. Observacin directa. Segregacin de funciones en el rea de tecnologa Polticas de seguridad de redes. Entrevistas. Servicios que proporciona la red. Gestin de redes Conectividad y comunicaciones de la red Monitoreo de la red Lista de Chequeo Manejo de control de acceso. Administracin robustas de claves y contraseas Cuestionarios. Observacin directa. INSTRUMENTOS

Cambio peridico de niveles, privilegios y contraseas de acceso al sistema

Planes de recuperacin Especificacin de la infraestructura de red. Especificacin de la topologa de red Infraestructura Descripcin del cableado Entrevistas. Cuestionarios.

Especificacin de las conexiones entre los Observacin equipos directa. Existencia de inventario de equipos de redes Control Externo Analizar informacin recolectada durante proceso auditora informtica redes. la Existencia de documentacin del contrato con el proveedor del servicio de internet. Lista de Chequeo

el de de

Anlisis de la informacin

Resultados obtenidos.

Presentar informe del proceso de auditora informtica de redes-rea documentacin.

Presentacin del informe.

Informe

DOCUMENTOS A SOLICITAR

Polticas, estndares, normas y procedimientos. Plan de redes. Planos o diagramas de la topologa de red Conexiones y cableado Planes de seguridad de la red Facturas de los equipos que componen la red. Garanta de los equipos de la red Autorizaciones de traslado de equipos de un lugar a otro. Organigrama y manual de funciones. Manuales de redes Contrato con el ISP

5.

Diseos Instrumentos y Tcnicas para la aplicacin de la auditora: Cuestionario, ponderacin, lista de chequeo, gua de auditora, matriz de evaluacin, acta testimonial. SECCION DE TRABAJO: Pg. 1 de 1

PROGRAMA DE AUDITORA DE REDES

EMPRESA: XYZ Unidad y/o Departamento: Redes rea: Organizacin (objetivos, polticas y normas, cargos y perfiles, funciones) PERIODO DE REVISION 15 11 12 HASTA: 15 12 12 DESDE: N PROCEDIMIENTOS REF.P/T 1 Identificarse y dirigirse al Jefe del Departamento Redes de la Gerencia TI. Solicitar documentos como: - Polticas, estndares, normas y procedimientos. - Plan de redes. 2 - Planes de seguridad y continuidad - Contratos, plizas de seguros. - Organigrama y manual de funciones. 3 Obtener e identificar los objetivos del Departamento de Redes. Aplicar las preguntas N 1, 2 y 3 del cuestionario al Jefe del Departamento 4 CAIR-01 de Redes. En la columna observaciones del cuestionario, anotar: Informacin relevante que se nos diga. 5 Dejar sentado todo documento a solicitar si responden que tienen lo que se le pregunta. 6 Analizar informacin entregada por el Departamento de Redes. 7 Determinar hallazgos, observaciones basadas en el anlisis anterior. HECHO POR: REVISADO POR:

PROGRAMA DE AUDITORA DE REDES EMPRESA: XYZ Unidad y/o Departamento: Redes

SECCION DE TRABAJO: Pg. 1 de 1

rea: Gestin (Especificacin de la documentacin de la infraestructura de red y de la existencia de inventario de equipos de redes.) PERIODO DE REVISION 15 11 12 HASTA: 15 12 12 DESDE: N PROCEDIMIENTOS REF.P/T 1 Identificarse y dirigirse al Jefe del Departamento Redes de la Gerencia TI. Solicitar documentos como: - Diagramado de la infraestructura de la red. 2 - Inventario de equipos de redes. - Manuales de redes. Aplicar las preguntas N 4, 5, 6 y 7 del cuestionario al Jefe del 3 CAIR-01 Departamento de Redes. En la columna observaciones del cuestionario, anotar: Informacin relevante que se nos diga. 4 Dejar sentado todo documento a solicitar si responden que tienen lo que se le pregunta. 5 Analizar informacin entregada por el Departamento de Redes. 6 Determinar hallazgos, observaciones basadas en el anlisis anterior. HECHO POR: REVISADO POR:

CUESTIONARIO DESCRIPCIN N
1. Existe la documentacin de los objetivos

SI

NO

N/A

OBSERVACIONES

de red?
2. Existen documentos con la misin, visin,

3.

4.
5.

6.

7.

valores, objetivos y metas del departamento de redes? Existen manuales que definan las funciones, cargos y perfiles de los puestos de trabajo? Poseen una documentacin sobre el diagramado de la red? Poseen la documentacin de la infraestructura capaz de soportar el crecimiento de la red a largo plazo teniendo en cuenta los posibles cambios tecnolgicos o en la organizacin? Existe la documentacin actual de la topologa de red? Poseen informes de las conexiones entre

los equipos de la red? 8. Existen el diagrama del cableado utilizado, la categora y su recorrido en la infraestructura de la red? 9. Existe documentacin del inventario de equipos asociados a las de redes? 10. Cuentan con una proteccin y tendido adecuado de cables y lneas de comunicaciones? 11. Existe documentacin de medidas, controles, procedimientos, normas y estndares de seguridad? 12. Existe documentado los procedimientos de proteccin de los cables y las bocas de conexin? 13. Est documentada la jerarqua en la asignacin de permiso a las cuentas de usuarios? 14. Existe documentacin de las polticas de restriccin de acceso (de personas de la organizacin y de las que no lo son) a los programas, aplicaciones y archivos? 15. Existen polticas para el manejo de cuentas y contrasea de usuario de red (nmero mximo de intentos de conexin y perodo mximo de vigencia)? 16. Estn documentados los planes de emergencia alternativos de transmisin entre diferentes sedes? 17. En caso de desastre poseen planes de seguridad por escrito para asegurar la integridad de los datos? 18. Implantan la ejecucin de planes de contingencia y la simulacin de posibles accidentes? 19. El departamento de redes conoce del contrato con el proveedor de servicio de internet?

Nro . 1. Cundo realizan

ENTREVISTA MATRIZ DE ANALISIS DE CONTENIDO- ENTREVISTA EAIR-01 Pregunta Respuesta Recomendacin

modificaciones en la red o de algn equipo la documentan? 2. La documentacin de la topologa de red esta actualizada? 3. Documentan cuando realizan algn traslado de equipos de red de un lugar a otro? 4. Cuentan con Antivirus, antispyware por seguridad de la red? 5. Qu tipo de herramienta utilizan para monitorear la red? 6. Cada cuanto tiempo realizan un anlisis del trfico de la red? 7. Qu equipos de prueba de comunicaciones utilizan para monitorear la red y el trfico en ella? 8. Qu procedimientos llevan para la notificacin y gestin de incidencias y son documentadas? 9. Poseen las facturas de todos los equipos que componen la red? 10. Conocen cules son los equipos que aun poseen garanta y cuales no? 11. Cmo hacen para darle mantenimiento preventivo y correctivo a los equipos que no poseen garanta? 12. Qu procedimientos llevan las solicitudes de modificaciones y cambios? 13. Cmo jerarquizan o qu se basan los

permisos de las cuentas de usuarios? 14. Cada cuanto tiempo revisan las polticas para el manejo de cuentas y contraseas? 15. Existe un control de acceso por Contraseas de Sesin de usuarios con renovacin? 16. Cmo son los planes alternativos de transmisin entre diferentes sedes para casos de emergencias? 17. Cmo es tiempo de respuesta del proveedor de servicios de internet en caso de fallas?

LISTA DE CHEQUEO Nro . 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. CARACTERISTICAS A CHEQUEAR El rea de servidores contiene solamente el equipo relacionado directamente con informtica Est el rea de servidores situado lejos de interferencias electromagnticas Se mantiene el rea de servidores en un rango de temperaturas permitidas Tiene el rea de servidores una altura mnima adecuada Tiene el rea de servidores una salida de emergencia identificada Existe un mecanismo contra incendio Es el techo del rea de servidores impermeable para evitar el paso de agua desde niveles superiores Existe un control de acceso con notificacin en la entrada del departamento Existe una bitcora de las visitas e ingresos al rea de servidores Se controla el trabajo fuera de horario Tienen instalado equipos como reguladores de voltaje, supresores pico, UPS, generadores de energa, que protejan los equipos de redes en caso de variacin de voltaje o falla en el suministro de energa elctrica Cuenta el rea de servidores con CCTV Las personas de limpieza realizan sus funciones dentro del rea de redes acompaadas de ustedes Cuentan las puertas de rea de servidores con cerraduras de seguridad adecuadas Tienen instalado cortafuegos, sistema de deteccin de intrusos- antispyware, antivirus, llaves para proteccin de software, etc.? Existe un seguro de los activos de redes y comunicaciones SI NO CUMPLE CUMPLE

12. 13. 14. 15. 16.

6. Identificar las herramientas informticas que sern empleadas para evaluar los indicadores de la auditoria. OCS Inventory. NetSupport. Nsauditor. NVision. KeePass Password Safe.

7. Elaborar el plan para la aplicacin de la auditoria.

PLAN DE AUDITORIA RECURSOS DESDE Lpiz, hojas de 15/11/12 papel, borrador, computador, impresora. Entrevista con el Entrevista 16/11/12 cliente realizada, grabador, Lpiz, hojas de papel. Levantamiento inicial Documentos 17/11/12 de informacin solicitados. Definicin de alcance Lpiz, hojas de 19/11/12 y objetivos de la papel, auditora borrador, computador, impresora. Elaboracin de la Lpiz, hojas de 20/11/12 matriz de anlisis de papel, auditora borrador, computador, impresora. Elaboracin del Lpiz, hojas de 21/11/12 programa de auditora papel, borrador, computador, impresora. Elaboracin de los Lpiz, hojas de 22/11/12 procedimientos de papel, auditora borrador, computador, impresora. Elaboracin de Lpiz, hojas de 23/11/12 entrevistas papel, borrador, computador, impresora. Elaboracin de Lpiz, hojas de 24/11/12 cuestionarios papel, borrador, computador, impresora. Elaboracin de Lpiz, hojas de 25/11/12 pruebas de redes papel, borrador, computador, impresora. Entrevistas con el Entrevista 26/11/12 personal objeto de realizada, auditora grabador, Lpiz, hojas de papel. ACTIVIDADES Planificacin de actividades SEMANAS 4 5 6

HASTA 15/11/12

HR. 4

1 X

16/11/12 2 18/11/12 19/11/12 2 20/11/12 4 21/11/12 4 22/11/12 4 23/11/12 6 24/11/12 4 25/11/12 2 27/11/12 8 X X X X X X X X X

Aplicacin de cuestionarios y listas de chequeo al personal objeto de auditora Observacin directa sobre los procesos auditados en la organizacin Recopilacin de informacin y documentacin relevante al proceso de auditora Anlisis de la informacin recopilada y de ser necesario, utilizar herramientas automatizadas para la organizacin de los datos. Determinacin de resultados: Hallazgos, observaciones, recomendaciones y conclusiones. Revisin general de los resultados. Elaboracin del PreInforme

Elaboracin de informe final

Presentacin del informe

Lista de chequeo y cuestionario realizado, grabador, Lpiz, hojas de papel. Lpiz, hojas de papel, borrador, grabador, Lpiz, hojas de papel, borrador, grabador, computador, impresora. Herramientas para organizar datos, Lpiz, hojas de papel, borrador, computador, impresora. Lpiz, hojas de papel, borrador, estadsticas de entrevistas, computador, impresora. Computador, impresora. Lpiz, hojas de papel, borrador, estadsticas de entrevistas, computador, impresora. Lpiz, hojas de papel, borrador, estadsticas de entrevistas, computador, impresora. Lpiz, hojas de papel, borrador, computador, estadsticas de entrevistas, video beam.

28/11/12

29/11/12 8 X

29/11/12

01/12/12 16 X X

01/12/12

02/12/12 15 X

03/12/12

04/12/12 10 X

05/12/12

07/12/12 20 X X

08/12/12 11/12/12

10/12/12 11/12/12

22

12/12/12

14/12/12 26 X

15/12/12

15/12/12 4 X