CATEDRATICO:

Ing. Demmsshill Coutiño

CURSO:

AUDITORIA.

TEMA:

Auditoria de Redes.

CARNE:
0906-06-6820 Julio Gabriel Gramajo de León

0906-06-6816 Jesús Valentín Mora

XII Semestre De Ingeniería En Sistemas.

FECHA: 14/11/2015

1
CONTENIDO

Auditoria de redes ........................................................................................................................................................4

Introducción ..............................................................................................................................................................4
Auditoria de comunicaciones: ...................................................................................................................................6
Auditoria De La Red Física .........................................................................................................................................7
Auditoria De La Red Lógica ........................................................................................................................................7
Alcance ........................................................................................................................................................................9
Objetivos principales .............................................................................................................................................10
Objetivos específicos ............................................................................................................................................10
PROGRAMA DE AUDITORÍA INFORMÁTICA DE REDES .............................................................................11
CRONOGRAMA DE ACTIVIDADES ...............................................................................................................................12
MATRIZ DE AUDITORIA INFORMÁTICA DE REDES .......................................................................................................13
Metodología..............................................................................................................................................................14
Diagnostico Preliminar .........................................................................................................................................14
Procesos a evaluar .................................................................................................................................................15
General ......................................................................................................................................................................18
Internet ......................................................................................................................................................................18
Controles físicos .....................................................................................................................................................19
Capacitación de empleados .................................................................................................................................19
Seguridad firewall ...................................................................................................................................................20
Seguridad de correo electrónico ........................................................................................................................21
Verificación de instalaciones ..............................................................................................................................22
Análisis de Vulnerabilidad....................................................................................................................................22
Plan de contingencias ..............................................................................................................................................23
Reportes recomendados .........................................................................................................................................23
Prevención y bloqueo de acceso/ataques ...............................................................................................................23
Auditoría y monitoreo de usuarios y aplicaciones ...................................................................................................23
Requerimientos de operación .................................................................................................................................23
Beneficios y riesgos..................................................................................................................................................23
Rendimiento del precio ...........................................................................................................................................23
Proveedores de tecnología ......................................................................................................................................23
CONCLUSIONES .....................................................................................................................................................24
OBSERVACION 1.......................................................................................................................................................26

2
 RIESGO..............................................................................................................................................................26
RECOMENDACIÓN .........................................................................................................................................26
OBSERVACION 2.......................................................................................................................................................26
RIESGO..............................................................................................................................................................26
RECOMENDACIÓN .........................................................................................................................................27
OBSERVACION 3.......................................................................................................................................................27
RIESGO..............................................................................................................................................................27
RECOMENDACIÓN .........................................................................................................................................27
OBSERVACION 4.......................................................................................................................................................28
RIESGO..............................................................................................................................................................28
RECOMENDACIÓN .........................................................................................................................................28
OBSERVACION 5.......................................................................................................................................................28
RIESGO..............................................................................................................................................................28
RECOMENDACIÓN .........................................................................................................................................29
OBSERVACION 6.......................................................................................................................................................29
RIESGO..............................................................................................................................................................29
RECOMENDACIÓN .........................................................................................................................................29
ANEXOS ....................................................................................................................................................................31
LISTA DE CHEQUEO ..................................................................................................................................................31
INSTRUMENTOS DE LA AUDITORIA .......................................................................................................................32
FOTOS DE LAS INSTALACIONES DEL ÁREA DE INFORMATICA DE LA MUNICIPALIDAD DE COATEPEQUE ................36

3
 AUDITORIA DE REDES

INTRODUCCIÓN
El objetivo de una auditoria de redes es determinar la situación actual, fortalezas y
debilidades, de una red de datos. Una empresa necesita saber en qué situación está la
red para tomar decisiones sustentadas de reemplazo o mejora.

La organización en la parte de las redes de comunicaciones de computadores es un

punto de viraje bastante importante; es por ello, que uno de los modelos de red más
conocidos, es el modelo OSI.
A grandes rasgos, el modelo OSI, dado por capas, está dividido en:

Capa física:

Se encarga de garantizar la integridad de la información transmitida por la red; por

ejemplo, si se envía un 0, que llegue un 0.
Esta contiene todas los estándares de conexión en cuanto al cableado, tipo de cable,
todo acerca de lo que se usas para conexiones de equipos en informática.

Capa de enlace:
Garantiza que la línea o canal de transmisión, esté libre de errores.
Capa de red:
Determina como se encaminan los paquetes, de la fuente al destino.
Igualmente, debe velar por el tráfico de la red, evitando al máximo las congestiones. Para
ello, debe llevar un registro contable de los paquetes que transitan.

Capa de transporte:
Divide los datos en unidades más pequeñas y garantiza que tal información transmitida,
llegue correctamente a su destino.
De igual forma, crea una conexión de red distinta para cada conexión de transporte
requerida, regulando así el flujo de información.
Analiza también, el tipo de servicio que proporcionará la capa de sesión y finalmente a
los usuarios de red.

Capa de sesión:
Maneja el sentido de transmisión de los datos y la sincronización de operaciones; es
decir, si uno transmite, el otro se prepare para recibir y viceversa o
Situaciones Commit, donde tras algún problema, se sigue tras último punto de
verificación.

4
Capa de presentación:
Se encarga de analizar si el mensaje es semántica y sintácticamente correcto.

Capa de aplicación:
Implementación de protocolos y transferencia de archivos.
Lo anterior, nos permite describir 3 tipos de fallos en la seguridad de la red:

Alteración de bits: Se corrige por código de redundancia cíclico.

Ausencia de tramas: Las tramas se desaparecen por el ambiente o una sobrecarga del
sistema; para ello, se debe tener un número de secuencia de tramas.
Alteración de la secuencia en la cual el receptor reconstruye mensaje.

Otro de los tipos de modelos de referencia más conocidos, es el TCP/IP, hoy día, con
algunas variaciones, como el de encapsular varios protocolos, como el Netbios; el
TCP/IP da replicación de los canales para posibles caídas del sistema.
Bajo ésta política, entonces se ha definido como clases de redes:
- Intranet = Red interna de la empresa.
- Extranet = Red externa pero directamente relacionada a la empresa.
- Internet = La red de redes.

El problema de tales implementaciones, es que por los puertos de estandarización

pública de TCP/IP, se puede entrar cualquier tercero para afectar la red de la compañía
o su flujo de información
Tal cuestión, es recurrente sobretodo en el acceso de la red interna de la compañía a la
Internet, para lo cual, y como medida de protección, se usan Firewall ( cortafuegos ) que
analizan todo tipo de información que entra por Internet a la compañía, activando una
alarma, en caso de haber algún intruso o peligro por esa vía a la red.
La compañía puede definir 2 tipos extremos de políticas de seguridad:
- Políticas paranoicas: Toda acción o proceso está prohibido en la red.
- Políticas promiscuas: No existe la más mínima protección o control a las acciones
de los usuarios en la red.

No importa lo que haga la empresa, siempre va a haber un punto de fallo, para

adelantarse a intrusos, entonces se han ideado algunas herramientas para probar la
eficacia de las políticas de seguridad en red de la empresa, algunas de tales
herramientas, son: SAFEsuite y COPS. Estas empiezan probando la fiabilidad de las
contraseñas de usuario usando algunas técnicas de indagación como es el leer el tráfico
de la red buscando en tal información sobre nombres de usuarios y contraseñas
respectivas, probar la buena fé de los usuarios mandándoles mensajes de la
administración solicitando su contraseña a una especificada por la herramienta o
probando contraseñas comunes o por defecto en muchos sistemas.

5
AUDITORIA DE COMUNICACIONES:

Ha de verse:

La gestión de red = los equipos y su conectividad.

La monitorización de las comunicaciones.
La revisión de costes y la asignación formal de proveedores.
Creación y aplicabilidad de estándares.

Cumpliendo como objetivos de control:

- Tener una gerencia de comunicaciones con plena autoridad de voto y acción.

- Llevar un registro actualizado de módems, controladores, terminales, líneas y todo
equipo relacionado con las comunicaciones.
- Mantener una vigilancia constante sobre cualquier acción en la red.
- Registrar un coste de comunicaciones y reparto a encargados.
- Mejorar el rendimiento y la resolución de problemas presentados en la red.

Para lo cual se debe comprobar:

- El nivel de acceso a diferentes funciones dentro de la red.

- Coordinación de la organización de comunicación de datos y voz.
- Han de existir normas de comunicación en:
o Tipos de equipamiento como adaptadores LAN.
o Autorización de nuevo equipamiento, tanto dentro, como fuera de las horas
laborales.
o Uso de conexión digital con el exterior como Internet.
o Instalación de equipos de escucha como Sniffers (exploradores físicos) o
Traceadores (exploradores lógicos).
- La creación de estrategias de comunicación a largo plazo.
- Los planes de comunicación a alta velocidad como fibra óptica y ATM ( técnica de
conmutación de paquetes usada en redes MAN e ISDN).
- Planificación de cableado.
- Planificación de la recuperación de las comunicaciones en caso de desastre.
- Ha de tenerse documentación sobre el diagramado de la red.
- Se deben hacer pruebas sobre los nuevos equipos.
- Se han de establecer las tasas de rendimiento en tiempo de respuesta de las
terminales y la tasa de errores.
- Vigilancia sobre toda actividad on-line.
- La facturación de los transportistas y vendedores ha de revisarse regularmente.

6
AUDITORIA DE LA RED FÍSICA

Se debe garantizar que exista:

- Áreas de equipo de comunicación con control de acceso.
- Protección y tendido adecuado de cables y líneas de comunicación para evitar
accesos físicos.
- Control de utilización de equipos de prueba de comunicaciones para monitorizar
la red y el trafico en ella.
- Prioridad de recuperación del sistema.
- Control de las líneas telefónicas.

Comprobando que:
- El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso
limitado.
- La seguridad física del equipo de comunicaciones sea adecuada.
- Se tomen medidas para separar las actividades de los electricistas y de cableado
de líneas telefónicas.
- Las líneas de comunicación estén fuera de la vista.
- Se dé un código a cada línea, en vez de una descripción física de la misma.
- Haya procedimientos de protección de los cables y las bocas de conexión para
evitar pinchazos a la red.
- Existan revisiones periódicas de la red buscando pinchazos a la misma.
- El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones
específicas.
- Existan alternativas de respaldo de las comunicaciones.
- Con respecto a las líneas telefónicas: No debe darse el número como público y
tenerlas configuradas con retro llamada, código de conexión o interruptores.

AUDITORIA DE LA RED LÓGICA

En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que
empieza a enviar mensajes hasta que satura por completo la red.
Para éste tipo de situaciones:

- Se deben dar contraseñas de acceso.

- Controlar los errores.
- Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para
esto, regularmente se cambia la ruta de acceso de la información a la red.
- Registrar las actividades de los usuarios en la red.
- Encriptar la información pertinente.

7
 - Evitar la importación y exportación de datos.
Que se comprueban si:
- El sistema pidió el nombre de usuario y la contraseña para cada sesión:
- En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin
autorización, ha de inhabilitarse al usuario que tras un número establecido de
veces erra en dar correctamente su propia contraseña, se debe obligar a los
usuarios a cambiar su contraseña regularmente, las contraseñas no deben ser
mostradas en pantalla tras digitarlas, para cada usuario.
- Inhabilitar el software o hardware con acceso libre.
- Generar estadísticas de las tasas de errores y transmisión.
- Crear protocolos con detección de errores.
- Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
- El software de comunicación, ha de tener procedimientos correctivos y de control
ante mensajes duplicados, fuera de orden, perdidos o retrasados.
- Los datos sensibles, solo pueden ser impresos en una impresora especificada y
ser vistos desde una terminal debidamente autorizada.
- Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
- Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión
entre diferentes organizaciones.
- Asegurar que los datos que viajan por Internet vayan cifrados.
- Si en la LAN hay equipos con modem entonces se debe revisar el control de
seguridad asociado para impedir el acceso de equipos foráneos a la red.
- Deben existir políticas que prohíban la instalación de programas o equipos
personales en la red.
- Los accesos a servidores remotos han de estar inhabilitados.
- La propia empresa generará propios ataques para probar solidez de la red y
encontrar posibles fallos en cada una de las siguientes facetas:
o Servidores = Desde dentro del servidor y de la red interna.
o Servidores web.
o Intranet = Desde dentro.
o Firewall = Desde dentro.
o Accesos del exterior y/o Internet.

8
ALCANCE

La auditoría realizada fue aplicada a la entidad Municipal de Coatepeque en su totalidad,

y con un enfoque especifico en las redes, que permitirá comprobar su seguridad y
vulnerabilidades, así como, determinar que la función de redes esté claramente definida.

Por lo cual nos enfocamos en seguridad de los sistemas, sin olvidar la estructura física
del cableado lo cual nos brindara una conexión eficaz para minimizar el riesgo de
pérdidas de paquetes en la conexión de los usuarios que juegan el rol de clientes del
sistema.

9
OBJETIVOS PRINCIPALES

Desarrollar un estudio completo de la metodología utilizada actualmente en el área

de redes y comunicaciones en la Municipalidad de Coatepeque para dar a conocer las
vulnerabilidades que tengan respecto a su red informática.

OBJETIVOS ESPECÍFICOS

- Identificar los riesgos más comunes en el área de Redes.

- Definir la minimización de riesgos mediante la utilización de la auditoría de redes.

- Describir los estándares existentes para la auditoría de Redes.

- Dar a conocer los puntos vulnerables que tienen respecto a su seguridad en la

red.

- Especificar claramente los roles de seguridad.

- Comprobar que las políticas actuales se cumplen conforme a lo establecido.

10
PROGRAMA DE AUDITORÍA INFORMÁTICA DE REDES

PROGRAMA DE AUDITORÍA INFORMÁTICA DE REDES EN LA MUNICIPALIDAD DE COATEPEQUE

CODIGO: PAR 001 HOJA Nº 1/1
EMPRESA: LPA1
HORAS ESTIMADAS
FASE ACTIVIDAD RESPONSABLES

ETAPA PRELIMINAR:
• Contacto inicial con el cliente 02 Hrs.
• Entrevista con el personal de T.I. 02 Hrs. Estudiantes de Ing.
• Solicitud de información sobre los factores a auditar en la red. 02 Hrs. Sistemas
I • Definición del Alcance, Objetivos Generales y Específicos de la Auditoria. 02 Hrs.
• Elaboración de Matriz de Análisis. 04 Hrs.
• Diseño de Instrumentos y técnicas de auditoría. 02 Hrs.

DESARROLLO DE LA AUDITORÍA:
• Elaboración y Aplicación de Cuestionarios al personal T.I. y Administrador de la Red. 4 Hrs.
• Observación directa de los factores considerados en la auditoría. 2 Hrs. Estudiantes de Ing.
II • Aplicación de técnicas y Recopilación de información. 4 Hrs. Sistemas
• Análisis de la información. 4 Hrs.

INFORME FINAL: Estudiantes de Ing.

III • Elaboración del Informe de Auditoria 4 Hrs. Sistemas
• Presentación del Informe 01 Hrs.

11
CRONOGRAMA DE ACTIVIDADES

AUDITORIA INFORMÁTICA DE REDES DE MUNICIPALIDAD DE COATEPEQUE

SEMANAS
ACTIVIDADES HORAS
1 2 3 4 5 6 7 8 9 10
Contacto inicial con el cliente 02 X
Entrevista con el personal de T.I. y Administrador de Redes 02 X
Solicitud de información sobre los factores a auditar. 02 X
Definición del Alcance, Objetivos Generales y Específicos de la Auditoria. 02 X
Elaboración de Matriz de Análisis 04 X
Diseño de Instrumentos y técnicas de auditoría. 02 X
Elaboración y aplicación de entrevistas y Cuestionarios al personal T.I. y
Administrador de la Red.
04 X
Observación directa y pruebas sobre los factores considerados en la auditoría. 02 X

Aplicación de técnicas, Recopilación de información y Análisis de la 04 X

información.
Elaboración del Informe de Auditoria 04 X

Presentación del Informe 01 X

12
MATRIZ DE AUDITORIA INFORMÁTICA DE REDES

Código: MR-0001
MATRIZ DE ANÁLISIS DE AUDITORIA INFORMÁTICA DE REDES Página: 1/ 1

OBJETIVOS
DIMENSIÓN INDICADORES INSTRUMENTOS
GENERALES ESPECÍFICOS

Cantidad de Nodos
Realizar Auditoria Evaluar el Desempeño Tráfico Observación directa;
Informática de Redes de la Red Volumen de Información
para evaluar el Analizadores de Red;
desempeño de la Ancho de Banda
plataforma de la
empresa LPA1 Tasa de Transferencia
Velocidad
Pérdida de paquetes

Topología de Red
Conectividad
Dispositivos de Comunicaciones

Analizar la información
Análisis de la
recolectada durante el
Información
proceso de auditoría

Presentar informe con

la conclusión de la Presentación
Informe Final
auditoria y las de Informe
Recomendaciones

13
METODOLOGÍA

La metodología se basa principalmente en el modelo de referencia OSI, que es un

estándar de referencia para conexión en intercambio de paquetes, estándares como el
TIA-942 que es utilizado para la implementación de datacentes, Tier, norma de cableado
estructurado ANSI/TIA/EIA-568-B, ANSI/TIA/EIA-569-A, y también el estándar TCP/IP y
las mejores prácticas en el mercado.

DIAGNOSTICO PRELIMINAR
Tras tener nuestra primera entrevista con el encargado del departamento de TI de la
Municipalidad nos ha comentado acerca de varias deficiencias que tienen en la red
interna tal como:

- Cable UTP sin organizar y sin canaletas

- Cables sin código ni etiquetas de identificación

- Sin dados de red incrustados a la pared

- No tiene control de acceso a las terminales de todos los usuarios

- No tienen filtros de MAC

- no utilizan subredes

- No manejan el ancho de banda

- El personal de TI no reciben capacitación

- No tienen políticas ni procedimientos

14
PROCESOS A EVALUAR

Estado general de las redes y comunicación

Según el estudio realizado en las instalaciones de la Municipalidad de

Coatepeque hemos podido verificar que la estructura física de la red la cual
está muy mal implementada, ya que no cuenta con ninguna estandarización
acerca de cómo debe estar el cableado, y ninguna política para poder
optimizar el servicio de comunicación en el edificio.

Descripción
Se han revisado las auditorias de etapas físicas, lógicas y en la
comunicación de datos, y hemos podido darnos cuenta del poco interés que
le han dado al área de TI de parte de la entidad municipal, no cuentan con
un presupuesto anual para poder invertir en equipos.

Objetivos
 Dar a conocer la importancia que tiene el departamento de TI para
el funcionamiento de la Municipalidad
 Especificar cuáles son las vulnerabilidades.
 Brindar opciones para dar una solución a los problemas de
comunicaciones y seguridad de sistemas en el edificio.

15
PROCEDIMIENTOS

N° PROCEDIMIENTOS REF. P/T

1 Aplicar la observación directa para evaluar los componentes y dispositivos de red.

2 Aplicar instrumentos para evaluar el rendimiento y desempeño de la red.

Utilizar monitores de red, herramientas propietarias y utilitarios del sistema

3
operativo para validar el rendimiento y comportamiento de la red.

4 Presentar resultados y observaciones. ISO 27033‐1:2009

5 Ofrecer conclusiones y recomendaciones basadas en los resultados obtenidos. ISO 27033‐1:2009

Obtener información preliminar

Según lo que recabamos en la visita preliminar, la situación actual de las redes de comunicación es muy mala, la
seguridad es muy baja y las capacitaciones están olvidadas y necesitan una implementación de políticas
informáticas para que el funcionamiento de las redes y comunicaciones cumplan siempre con lo que el usuario
necesite, teniendo siempre disponibilidad, integridad y confidencialidad.

16
Cuestionario de control interno

N° CARACTERÍSTICA A EVALUAR SI NO

1 ¿Se comprobaron los elementos y dispositivos físicos de la plataforma de red? X

¿La cantidad de equipos o nodos está acorde con el diseño y configuración de

2
red? X

¿Existe alguna aplicación cliente‐servidor en particular que demande recursos y

3
comprometa el desempeño de red? X

4 ¿Se verificó el ancho de banda de la Red? X

5 ¿Se analizó la tasa de transferencia en la red? X

6 ¿Se comprobó la existencia de pérdidas de paquetes en la red? X

¿Se verificó que la topología estuviese acorde al diseño y requerimientos propios

7
de la red? X

17
GENERAL

Redes y planes de contingencia

Por medio de las visitas nos hemos podido observar que el Departamento
de TI no ha generado ninguna política ni planes de contingencia, ni planes
de recuperación a desastres

INTERNET

Descripción

Actualmente están utilizando el programa WebBlock en cada cliente el cual

prohíbe la navegación en ciertas páginas de internet, tales como las redes
sociales o YouTube.

Objetivos

Minimizar el consumo de ancho de banda al navegar por internet

Evitar perdida de paquetes
Disponibilidad de ancho de banda

Procedimientos

Instalar WebBlock
Definir un password para que solo el administrador pueda gestionarlo
Agregar páginas al blackList

Objetivos de información

Evitar saturación
Tener ancho de banda disponible
Evitar el riesgo de pérdida de paquetes

Verificación de estados de Router

La seguridad que el departamento de TI utiliza para los clientes es

deshabilitar el Servidor de DHCP del Router para que los nuevos clientes
no puedan conectarse libremente

18
CONTROLES FÍSICOS

Descripción

Actualmente según el encargado de seguridad en el área de informática, el

único control físico que tienen es el del cuarto de comunicaciones que cuenta
con cerradura y solo el encargado de seguridad tiene la llave, por otro lado
no tienen sensores detectores de humo, agua, fuego, incluso los extintores de
fuego que tienen en el edificio no se han rellenado.

Tampoco cuenta con vigilancia en ninguna parte del cuarto de

comunicaciones y en ninguna parte del edificio.

Objetivos

- Dar a conocer la importancia que tienen los controles físicos

- Informar de las áreas en las cuales son indispensables los controles físicos

- Listar los controles que están utilizando y dar la opción de implementar otros.

Procedimientos

Actualmente no tienen ninguna clase de procedimientos en el área de

controles físicos.

CAPACITACIÓN DE EMPLEADOS

Descripción

Por medio de una visita realizada a las instalaciones de Informática de la

Municipalidad de Coatepeque, pudimos entrevistar a unos empleados ya que ellos
son los que utilizan el sistema. Nos comentaban que ellos no han recibido alguna
capacitación sobre como el uso adecuado de una computadora, solo tienen el
conocimiento básico par a utilizar el Sistema que manejan en la municipalidad,
referente a su área de trabajo.

19
 Objetivos

- Capacita al personal sobre el uso adecuado de las páginas de internet.

- Dar a conocer la importancia de restringir el uso de internet y ciertas páginas

según el área de labor en la Municipalidad.

- Buscar mejor el trabajo de cada empleado, en función de las necesidades de la

Municipalidad.

Procedimientos

Ejecución de los diferentes instrumentos (observación, entrevistas, revisión

documental)

SEGURIDAD FIREWALL

Descripción

Tras estudiar la forma en la que todo el departamento está trabajando hemos

podido establecer que le nivel de seguridad es muy bajo, y el firewall no lo utilizan,
no tienen otra modificación que no sea la del sistema operativo.

Objetivos

- Dar a conocer la importancia que tiene el uso de firewall para el sistema.

- Definir el riesgo que tiene el sistema al no utilizar un firewall

- Establecer un servidor de firewall.

Procedimientos

Sin procedimientos.

20
 Equipos

Actualmente el único firewall que utilizan es el del sistema operativo, no tienen un

hardware de firewall que proteja la salida a internet.

SEGURIDAD DE CORREO ELECTRÓNICO

Descripción

En una de la entrevistas con el personal del departamento de TI, nos informan que
tienen políticas y procedimiento acerca de lo que es el uso de correo electrónico
interno las cuales es para asignar responsabilidades a los usuarios, y esto tiene
un procedimiento para poder asignar una dirección de correo con el dominio de la
municipalidad.

Objetivos

o Mantener la confidencialidad en los envíos de correos internos.

o Tener control sobre el dominio y poder restablecerla contraseña de los

usuarios.

o Evitar él envió de cadenas de mensajes los cuales son penalizados.

Procedimientos

o Solicitud por escrito al secretario municipal para asignar una dirección del
dominio del municipalidad.

o Se le informa por escrito al usuario del dominio las responsabilidades y las

penalizaciones que conlleva el uso del correo electrónico interno.

o Se hace firmar al usuario un informe completo de las penalizaciones y

responsabilidades y al mismo tiempo se le da a conocer su correo
electrónico.

o Aceptada la solicitud un encargado de seguridad del departamento de TI

agrega la dirección de correo electrónico al dominio.

o Agregada la dirección al dominio está listo para ser utilizada.

21
VERIFICACIÓN DE INSTALACIONES

Descripción

La verificación de instalaciones es un proceso que se realiza cada vez que un

usuario tiene un fallo, por lo cual las conexiones está en mal estado, no cuentan
con ningún orden, lo que hace que la solución de problemas sea muy tardado y
muy poco predictivo a la hora que suceda un problema en otro lugar no usan
ninguna metodología para solucionar problemas y no tienen una biblioteca de
soluciones como ITIL para documentar fallas y soluciones.

Objetivos

- Facilitar opciones que serán útiles para las soluciones de problemas

concernientes a las instalaciones físicas de la red.

- Dar a conocer uso de metodologías para documentar los problemas en las

instalaciones.

- Informar de los beneficios que tiene la verificación de instalaciones del edificio.

Procedimientos
Actualmente no cuentan con ningún procedimiento, pero en las observaciones
aremos énfasis en la aplicación de verificaciones de instalaciones físicas de lo
que es la infraestructura de la red.

ANÁLISIS DE VULNERABILIDAD

La importancia de esta etapa es grande, ya que nos mostrara las entradas disponibles
para cualquiera que quiera entrar a nuestra red, incluso a nuestro sistema, para ello lo
más utilizado es Nesus el cual nos da una matriz de vulnerabilidades que utilizamos para
saber cuál es la que más necesita atención y también nos da una de las posibles
soluciones para terminar con la vulnerabilidad.

22
Cuando terminamos de analizar nuestra todas la vulnerabilidades que nuestro equipo
tiene, entran las pruebas de caja negra y caja blanca, que el auditor de una red tiene que
realizar para poder comprobar la seguridad que nuestro sistema tiene.

Lo más común es aplicar hardening y documentar en una biblioteca de conocimiento

para que sirve cada puerto abierto, ya que sería una de las opciones para poder entrar
a nuestro sistema.

PLAN DE CONTINGENCIAS
No cuentan con plan de contingencia

REPORTES RECOMENDADOS
No lo tienen

PREVENCIÓN Y BLOQUEO DE ACCESO/ATAQUES

No lo tienen

AUDITORÍA Y MONITOREO DE USUARIOS Y APLICACIONES

No lo tienen

REQUERIMIENTOS DE OPERACIÓN
No lo tienen

BENEFICIOS Y RIESGOS
No lo tienen

RENDIMIENTO DEL PRECIO

No lo tienen

PROVEEDORES DE TECNOLOGÍA
No lo tienen

23
CONCLUSIONES

CONCLUSIÓN # 1
Al evaluar el área física nos podemos dar cuenta que las oficinas necesitan ser
remodeladas y que el mobiliario no es el adecuado para los equipo de cómputo
con que se cuentan.

El cableado de red necesita ser reestructurado y cambiado ya que por la falta de

mantenimiento del mismo y por los diversos problemas ocasiona problemas de
conexión.

La evaluación del cableado de energía eléctrica es necesarios para poder evitar

problemas de cortos circuitos u otra índole.

CONCLUSIÓN # 2

El equipo de red no se ha protegido adecuadamente Por lo que puede seguir

ocasionando problemas, ya que al dañarse el mismo se pierde la comunicación
del equipo, generando problemas para la realización de las diferentes actividades
del personal.

Los punto de red que fueron instalados cuentan con su respectivo dado para la
conexión de las computadoras pero en algunos casos se ha tenido la necesidad
de poder eliminar los mismo para improvisar conexiones que hacen más inestable
la red.

CONCLUSIÓN # 3

Se deben de colocar los switches necesarios para que se distribuya internet en

lugares adecuados. Que los mismos cuenten con la protección necesaria y así
evitar estar cambiándolos de lugar.

24
CONCLUSIÓN # 4

Es necesario que los controles sobre los recursos de la red de área local de la
empresa deben ser mejorados puesto que presenta importantes dificultades. Esto
se debe a la ausencia de lineamientos claros para su gestión.

CONCLUSIÓN # 5
Se debe de capacitar al personal en los aspectos referidos a la seguridad de la
red física, uso de la computadora, y aprovechamiento de los recursos del internet.

25
OBSERVACION 1
Al entrevistar al encargado del departamento de TI y preguntar acerca de los manuales,
políticas o planes de recuperación, nos hemos encontrado con que no se cuenta con
tales.

RIESGO

Existen muchos riesgos al no contar con estos documentos, ya que muchos de estos
dan una idea clara de cómo solucionar la mayor parte de problemas a los que la empresa
está expuesta.

También que sin importar el personal que se encuentre laborando la empresa podrá
resolver los problemas sin prescindir de una persona en especial. Ya que podrán saber
los pasos exactos a seguir para llevar un procedimiento a cabalidad haciéndolo de una
manera eficaz y eficientemente.

RECOMENDACIÓN
Ya existen procedimientos que se realizan en la municipalidad por el encargado de TI y
los técnicos, pero estos procesos no se encuentran documentados ni autorizados. Por
eso mismo se recomienda empezar con la creación de los mismos.

OBSERVACION 2
Al verificar el método de bloqueo a las páginas web no autorizadas por la administración
se observó que es un método vulnerable ya que el programa es únicamente una
abstracción visual del archivo “host”, el inconveniente es que si uno se dirige
directamente a la ruta de ese archivo a modifícalo, el programa no lo bloquea y este
puede ser alterado sin necesidad de contraseña.

RIESGO
El riesgo más importante de dejar sin bloqueo de sitios web son los virus, ya que muchas
de las páginas para descargas tienen archivos mal intencionado poniendo en riesgo la
seguridad de la municipalidad.

También existen puntos de acta dentro de la institución donde se solicita el bloqueo de

las redes sociales (Facebook, Twitter, Intagram, etc.) y páginas de ocio (Youtube, Spotify,
etc.) y este entra en incumplimiento al dejar vulnerable el método de bloqueo.

26
RECOMENDACIÓN
Se recomienda crear un servidor de DNS el cual filtre las webs, también crear políticas y
roles dentro del servidor que puedan denegar o autorizar acceso a los usuarios
dependiendo de su cargo ya que en el punto de acta mencionado con anterioridad aclara
que los jefes de dependencia no contaran con esas restricciones.

OBSERVACION 3
Al verificar el estado del ancho de banda del internet se pudo notar que existía una
pérdida considerable del mismo, en el recibo de claro se puede observar que lo que se
tiene contratado es 5mb pero al realizar el test:

Esto depende de que no existe un control de ancho de banda de los equipos, todos
pueden tomar lo que a ellos le parezca conveniente.

Al momento de entrevistar a los cajeros se nos informó que por ratos el sistema se ponía
“lento” pero ya que los cajeros utilizan el sistema ServiciosGL que es en línea, se llegó a
la conclusión de que el sistema se tornaba lento por que algún usuario estaba
acaparando el ancho de banda.

RIESGO

El riesgo dentro de esto consiste en que no se aprovechas nos recursos adecuadamente,

dentro de la institución existen personas que utilizan programas gubernamentales en
línea a los cuales se les tendría que dar prioridad con el ancho de banda. En el caso de
los cajeros cuando el sistema tiende a ir demasiado lento las transacciones pasan de ser
de 5 minutos a 15 minutos poniendo a los contribuyentes en espera y brindando un mal
servicio.

RECOMENDACIÓN
Se recomienda distribuir equitativamente el ancho de banda a través de los Router con
los que ya se cuentan ya que estos puede regular el ancho de banda a través de un
filtrado por dirección MAC, con esto se lograr un mejor servicio y una mejor estabilidad
en los sistemas en línea.

27
OBSERVACION 4
Al observar el cuarto de comunicaciones se observa que si tiene seguridad de acceso,
pero no cuenta con registros de acceso al mismo, tampoco con ningún tipo de sensor,
el servidor se encuentra en el interior de la oficina que también alberga al encargado de
los cajeros municipales el cual ocupa la mayor parte de la misma. Esta habitación no
cuenta con aire acondicionado, la habitación adyacente si cuenta con este y un ventilador
ubicado en un agujero que conecta con esta enfría la habitación.

RIESGO
Hay riesgos inminentes de que una persona comparta espacio dentro del cuarto de
comunicaciones, tales como la falla de comunicación por algún error humano ya pueda
ser que se desconecte un equipo de algún switch o algún cable de corriente de los ups.

El paso de energía a través de los conductores produce calor. Cada uno de los
componentes de la computadora, ya sean cables, chips, discos duros, etc, requieren de
energía para funcionar. En especial los servidores son máquinas diseñadas para
funcionar sin interrupciones, por lo tanto generan gran cantidad de calor. Ese calor
generado afecta principalmente al microprocesador, pues a mayor temperatura, menor
conductividad existe en un conductor, si el procesador llega a cierta temperatura, la
computadora indudablemente se apagara por protección.

RECOMENDACIÓN
Se recomienda aislar el cuarto de comunicaciones, también que la única persona con
acceso sea el encargado de TI y que al accesar a esa habitación se lleve un registro de
acceso para tener un mejor control y seguridad de la información.
También se recomienda la instalación de un aire acondicionado dentro de la habitación,
ya que aunque el ventilador brinde aire a una temperatura aceptable la habitación se
mantiene a una temperatura muy alta.

OBSERVACION 5
Al revisar la infraestructura de red, se observó que no cuenta con ninguna tipo de
topología, también no se observaron etiquetas en los cables de red y estos no se
encuentran dentro de canaletas, también existen muy pocos puntos de acceso en pared,
la mayoría de computadoras se encuentran conectadas directamente de la NIC a el
switch o pasando por un puente (switch) el cual permite conectar más terminales.

RIESGO

28
Al no contar con un a topología de red, no se tiene control de la misma y esta crece y se
crea una telaraña que ni Spiderman podría entender.

En caso de un fallo de red no se podrá solucionar con eficiencia ni eficacia ya que se

tendrá que seguir el cable y buscar entre todos cual es el que conecta con el terminal
que se está comprobando.

Al quedar el cable expuesto queda vulnerable a ataques de personas mal intencionadas

o errores humanos.

Al no contar con puntos de accesos en pared y se decide mover una computadora se

tendrá que hacer un puente ya sea un switch, empalmar o extensión.

RECOMENDACIÓN
Se recomienda crear una topología de red y aplicarla de 0 dentro de la empresa.
Se recomienda etiquetar los cables en cada extremo de ellos y así tener un mejor control
de los mismos.
Se recomienda instalar canaletas por donde se distribuya el cable he instalar puntos de
acceso a través de ellas.

OBSERVACION 6
Los switches, Router, y AP se encuentran al alcance de los empleados, y varios se
encuentran colgando o conectados a tomacorrientes muy alcance de cualquiera.

RIESGO

Existe el riesgo de que alguna persona ya sea interna o externa tenga la mala intención
de estropear la red y al estar estos en puntos accesibles ese objetivo sería fácil de llevar
a cabo.

También cualquier error humano podría afectar estos dispositivos.

RECOMENDACIÓN
Se recomienda restringir el acceso a los mismos, ya sea en algún lugar elevado, sobre
una repisa o dentro del cielo falso, así se reducirá el riesgo de algún tipo de falla.

29
30
ANEXOS
LISTA DE CHEQUEO

LISTA DE CHEQUEO LC‐0001 Página: 1/1

Empresa: LPA1
Unidad: Tecnología de la Información
Área: DESEMPEÑO DE LA RED
Período Desde: 30 10 2015 Hasta: 05 11 2015
N° CARACTERÍSTICA A EVALUAR SI NO
1 ¿Se comprobaron los elementos y dispositivos físicos de la plataforma de red? X
¿La cantidad de equipos o nodos está acorde con el diseño y configuración de
2
red? X
¿Existe alguna aplicación cliente‐servidor en particular que demande recursos y
3
comprometa el desempeño de red? X

4 ¿Se verificó el ancho de banda de la Red? X

5 ¿Se analizó la tasa de transferencia en la red? X

6 ¿Se comprobó la existencia de pérdidas de paquetes en la red? X

¿Se verificó que la topología estuviese acorde al diseño y requerimientos
7
propios de la red? X

31
 INSTRUMENTOS DE LA AUDITORIA
Código: EAR- 0001
Tipo de Documento: Guía de Evaluación Página: 1/2
Auditor: Semi Senior / Junior Fecha : 20/10/2015
Empresa: LPA1

Ref. Actividad Procedimiento Herramientas Observación

Evaluar los equipos y
A1 Evaluar si los dispositivos de comunicación - Observación Directa Luego de la observación y evaluación
componentes de Red utilizados de los componentes, se determinó
utilizados son de calidad que los componentes utilizados
y garantizan un buen facilitan un excelente desempeño de
rendimiento Verificar la correcta la red.
instalación de los dispositivos
de comunicación

La revisión realizada nos permite

inferir que la cantidad de estaciones o
Verificar la cantidad de Determinar si la cantidad de
nodos incluidos en la red, no exceden
A2 Nodos incluidos en la equipos está acorde con la - Observación directa
ni interfieren en el rendimiento de la
Red estructura y diseño de la red
red, por lo que la misma se encuentra
suficientemente dimensionadas.

Luego de la evaluación, se determinó

Evaluar si el flujo o cantidad
- Revisión de aplicativos que no existen herramientas o
de información manejada en
Identificar el flujo o cliente- servidor instalados sistemas clienteservidor que
las estaciones de trabajo
A3 cantidad de información y demás recursos de demanden una gran cantidad de
pudiese interferir en el normal
que viaja por la red. software. ancho de banda, por lo que no se
desenvolvimiento y
afecta el rendimiento ni el desempeño
desempeño de la red.
de la red.

32

Tipo de Documento: Guía de Evaluación
Auditor: Semi Senior / Junior
Empresa: LPA1
Ref. Actividad Procedimiento
Verificar a través de
herramientas o aplicativos,
Verificar el Ancho de que el ancho de banda
A4
Banda de la Red efectivo de la red se
encuentre alineado con el
teórico
Determinar si la tasa de
transferencia es la adecuada
Analizar la tasa de como para mantener el
A5 desempeño de la red,
transferencia de la Red
utilizando herramientas de
monitoreo y análisis
Determinar si existe algún
indicio de pérdida de Ejecutar herramientas de
paquetes que genere análisis y monitoreo para
A6
retardo y errores en la determinar si existen o no
red. pérdida de paquetes.
Comprobar que la Cotejar a través de la
topología de red sea la observación directa el tipo de
apropiada y se encuentre topología y que la misma sea
A7 alineada con el diseño la aprobada en el diseño
originalmente aprobado. original documentado por la
empresa.
Código: EAR- 0001
Página: 2/2
Fecha : 24/10/2015
Herramientas Observación
Luego de ejecutar la evaluación a
través de las herramientas de análisis,
- Herramientas para el tanto del sistema operativo como
análisis y monitoreo de propietarias, se determino que la red
trabaja en su ancho de banda teórico
redes (NSAuditor y
NViewer) de 100 mbps, alineado con los que
son los componentes de red
utilizados.
Por medio de los resultados
- Herramientas para el obtenidos, inferimos que la tasa de
análisis y monitoreo de transferencia tiene un
comportamiento normal no se
redes (NSAuditor y
NViewer; PING; Tracert) encontraron evidencias que aseveren
algún problema
- Herramientas para el
análisis y monitoreo de No se detectó ninguna anomalía en lo
redes (NSAuditor y que respecta a la pérdida de paquetes
NViewer; PING; Tracert)
La topología utilizada es “Estrella”.
Las estaciones de trabajo están
- Observación directa. -
conectadas a un punto central o
Revisión de plano de
switch de alto rendimiento tal y como
red, documentos y
fue indicado en la documentación y el
diseños.
diseño.
33
 Código: EAR- 0001
Tipo de Documento: Encuesta Página: 1/1
Auditor: Semi Senior / Junior Fecha : 27/11/2015
Empresa: LPA1

Preguntas (B)ueno / (R)egular / (M)alo

¿Considera que la velocidad para mover/consultar archivos en la red es? B

¿La velocidad de descarga de información, videos, imágenes, etc. de la red es? B

¿Cómo considera la velocidad de la conexión? B

¿La velocidad para enviar/recibir correos es? B

¿Cómo evalúa la disponibilidad de la red? B

¿La disponibilidad de los dispositivos o recursos compartidos es? B

¿El acceso a internet habitualmente es? B

34
 Código: CAR-0001
Tipo de Documento: Cuestionario Página: 1/1
Auditor: Semi Senior / Junior Fecha : 28/10/2015
Empresa: LPA1

Preguntas Si (S) - No (N) - No Observa(N/O)

¿Se observan problemas de pérdida de información? N

¿Existen intermitencias en la red? N

¿Ha observado problemas de conexión con equipos u otros dispositivos de red? N

¿La impresión en red mantiene una velocidad apropiada? S

¿Considera que los usuarios que concurren a los servicios de la red afectan el N/O
rendimiento?
¿Las aplicaciones o sistema ERP se encuentra siempre disponible? S

¿Ha observado algún tipo de error al almacenar o registrar su información? N

35
FOTOS DE LAS INSTALACIONES DEL ÁREA DE INFORMATICA DE
LA MUNICIPALIDAD DE COATEPEQUE

36
37
38
39
40
41
42
43