Anda di halaman 1dari 25

Auditoría de Redes

AUD 721
Módulo 6a

Carmen R. Cintrón Ferrer - 2004, Derechos


Reservados
Contenido Temático

Tecnología de redes
Planificación y evaluación de redes
Seguridad y protección de redes
Integración de peritos técnicos
Proceso de auditoría de redes
Informe de auditoría de redes
Proceso de auditoría de redes
Sexto módulo

Procesos preliminares a la auditoría


Proceso de auditoría
Procesos luego de concluir la auditoría
Proceso de auditoría de redes
Sexto módulo
Procesos preliminares a la auditoría:
 Ámbito de la auditoría
 Expectativas
 Personal asignado
 Colaboración requerida
 Itinerario
Proceso de auditoría:
 Avalúo previo a la visita
 Determinación de procesos y sistemas críticos
 Examen del entorno de seguridad de sistemas
 Avalúo técnico
Procesos luego de concluir la auditoría:
 Análisis de hallazgos
 Entrevistas y presentaciones
 Informe de auditoría
Proceso de auditoría de redes
Procesos preliminares a la auditoría

Ámbito de la auditoría
Expectativas
Personal asignado
Colaboración requerida
Itinerario
Proceso de auditoría de redes
Procesos preliminares
Definir el ámbito de la auditoría:
 Tipo de auditoría:
o Periódica interna
o De Cumplimiento o Verificación
o Reacción a evento incidental o de emergencia
 Servicios de:
o Comunicación de voz
o Comunicación de datos
o Conexión a Internet y/o VPN
 Infraestructura de Red:
o Amplia (WAN)
o Local (LAN)
o Inalámbrica (WLAN)
o Servidores y servicios en la red
Proceso de auditoría de redes
Procesos preliminares
Determinar o afinar expectativas:
 Nivel de inversión:
o Tiempo
o Recursos
o Esfuerzos
 Liderazgo y compromiso organizacional:
o Líder de projecto y contactos
o Canales de comunicación internos y externos
o Enfoque colaborativo / de no confrontación
 Ajuste o modificación de expectativas:
o Definición de premisas
o Establecer y ajustar prioridades
o Identificar áreas de responsabilidad: seguros/legislación
Proceso de auditoría de redes
Procesos preliminares
Determinar personal a asignar o solicitar:
 Interno:
o Coordinador o enlace
o Gerencial
o Unidades críticas
o Tecnología informática
o Técnicos internos
o Asesor legal
 Externo:
o Consultores o técnicos externos
o Especialista en documentación de seguridad
o Contacto en proveedores de servicios
o Contacto entidades asociadas (EDI)
Proceso de auditoría de redes
Procesos preliminares
Colaboración requerida:
 Acceso a equipo, documentos y archivos, procesos
 Personal Redes, de respaldo, usuarios
 Respaldo de la gerencia
 Contactos externos:
o Otras organizaciones integradas
o Proveedores de servicios
o Aseguradoras
o Auditores externos
o Consultores
 Comunicar progreso en el proceso
Proceso de auditoría de redes
Procesos preliminares
Itinerario:
 Definir aspectos fundamentales (“milestones”)
 Ajustar a expectativas / requerimientos cliente
 Integrar disponibilidad de recursos internos/externos
 Proveer margen para ajustes
 Consideraciones de costos (tiempo recursos)
Proceso de auditoría de redes
Procesos preliminares
“Best Practices”:
 Definir y acordar requerimientos (“scope”)
 Comprender las restricciones del cliente:
o Recursos técnicos y económicos disponibles que afectarán las
recomendaciones a implantar
o Documentar adecuadamente el proceso de avalúo preliminar
o Evitar proyección de esfuerzos inadecuada (“under/over” )
 Identificar y asignar los recursos idóneos:
o Líderes y técnicos
o Identificar otros recursos para reemplazo o ampliación del equipo
 Lograr consenso sobre las expectativas:
o Identificarlas y comprenderlas e incluirlas en proceso e informes
o Confirmar si se está cumpliendo con éstas
Proceso de auditoría de redes
Proceso de auditoría
Avalúo previo a la visita
Determinación de procesos y sistemas críticos
Examen del entorno de seguridad de sistemas
Avalúo técnico
Proceso de auditoría de redes
Proceso de auditoría
Procesos previos al avalúo:
 Reunión preliminar y presentación de itinerario
 Confirmar expectativas y dimensión del proceso:
o Verificación (”Assessment”) o Auditoría
o Profundidad en la investigación e interferencia en operaciones
 Afinar roles y responsabilidades de parte del cliente:
o Gerente con capacidad decisoria
o Cliente primario
o Líder del proyecto
o Personal técnico a integrar
o Usuarios a integrar
Proceso de auditoría de redes
Proceso de auditoría
Procesos previos al avalúo (continuación):
 Recopilación de datos:
o Entrevistas
o Cuestionarios
o Documentación y archivos
 Plan de avalúo y actividades:
o Misíon, visión y objetivos de la organización/unidad
o Prioridades
o Sistemas críticos
o Objetivos específicos
o Nivel de esfuerzo acordado
o Respaldo requerido
o Protocolo de operación y de modificación
o Itinerario del proyecto
Proceso de auditoría de redes
Proceso de auditoría
Procesos previos al avalúo (continuación):
 Definir y diagramar entorno de red
 Documentar infrestructura de seguridad
 Presentar resúmenes de documentación y afinar
 Presentar equipo de avalúo
 Ajustar Plan, actividades y prioridades
 Acordar dimensión del informe y sus implicaciones
Proceso de auditoría de redes
Proceso de auditoría
Identificación del entorno de seguridad :
 Arquitectura de seguridad (“Information security architecture”)
 Programa y personal de seguridad
 Divulgación de Plan de seguridad (“Security awareness”)
 Controles del entorno:
o Energía eléctrica
o Fuego / Humedad /Temperatura
o Mantenimiento
 Controles de acceso físico
 Recursos de seguridad disponibles
Proceso de auditoría de redes
Proceso de auditoría
Determinación de procesos y sistemas críticos :
 Configuración de servidores y servicios en la red
 Cuentas de usuarios con acceso a la red
 Configuración de Routers
 Configuración de Firewalls
 Configuración del DMZ
 Configuración de Proxies
 Configuración de VPN’s
 Conexiones de terceros
 Proveedores de servicios
Proceso de auditoría de redes
Proceso de auditoría
Determinación de procesos y sistemas críticos :
 Aplicaciones:
o Control de acceso y modificación a servidor(es) WEB
o Control de acceso y modificación a servidor(es) de Correo
o Control de acceso y modificación a servidor(es) Databases
o Control de acceso a servidor(es) de archivos, impresión, etc.
 Protección contra virus
 Fiscalización de:
o “Logging”
o “Network Intrussion (IDS)”
o “Security monitoring and testing”
 Respuesta a incidentes (“Incident response procedures”)
Proceso de auditoría de redes
Proceso de auditoría
Determinación de procesos y sistemas críticos :
 Aplicaciones:
o Control de acceso y modificación a servidor(es) WEB
o Control de acceso y modificación a servidor(es) de Correo
o Control de acceso y modificación a servidor(es) Databases
o Control de acceso a servidor(es) de archivos, impresión, etc.
 Protección contra virus
 Fiscalización de:
o “Logging”
o “Network Intrussion (IDS)”
o “Security monitoring and testing”
 Respuesta a incidentes (“Incident response procedures”)
Proceso de auditoría de redes
Proceso de auditoría
Limitaciones atribuibles al cliente:
 Períodos o tiempo crítico (pico) de la red
 Horario regular de operaciones
 Actividades especiales que pueden afectar el avalúo
 Consideraciones de OSHA / Entorno aplicables
 “Staffing”
 Plan de seguridad de la Red
 SOP’s (“Standard Operating Procedures”)
 Documentación provista:
o Medio y versión
o Verificada y certificada por el equipo de usuarios del cliente
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:
 Documentos a examinar:
o Los identificados en procesos y sistemas críticos
o Plan de Seguridad de sistemas y de la red
o Plan de continuidad de operaciones de sistemas y de la red
o Plan de contingencia de operación de sistemas y de la red
o Políticas y procedmientos
o Proceso para responder a eventos de interrupción en la red
 Entrevistar:
o Gerente a cargo de la red
o Gerente u oficial de seguridad
o Técnicos de redes, seguridad y de sistemas operativos
o Administradores y usuarios de sistemas en la red
o “Information owners” de depósitos respalda la red
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:
 Evaluar seguridad de los servidores (“host based”):
o Versiones y parchos
o Servicios mínimos necesarios disponibles
o Fijar nuevos códigos de usarios y claves (“reset defaults”)
o Reasignar puertos cuando sea posible
o Integrar encifrado (“encryption”)
o Activar bitácoras de acceso
o Revisar bitácoras para identificar discrepancias
o Integrar restricciones de acceso y claves sólidas
o Procesos de “backup/restore”
o Limitar el acceso del personal técnico
o Integrar controles de acceso físico
o Integrar protección contra virus
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:
 Evaluar controles sobre estaciones fijas y portátiles:
o Acceso a disco fijo y unidades removibles
o Configuración estándar (comparar contra funciones usuario)
o Capacidad de quemar CD’s
o Revisar control de virus, juegos, “background/screen saver”
o Conexión a Internet
o Capacidad de bajar archivos de Internet
o Acceso a “modems”
o Autorización para instalar/modificar programación
o #IP asignado fijo o variable (DHCP)
o Contrastar configuración y uso con políticas aplicables
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:
 Evaluar componentes y servicios de la red:
o Cotejo de contratos
o Cotejo de servicios
o Revisión de proceso de selección y contratación
o Revisión de proceso de fiscalización cumplimiento
o Analizar condiciones del “Service Level Agreement”
o Revisar estadísticas de servicio del proveedor
o Identificar servicios sobre/sub utilizados
o Verificar licencias de programación provista
o Verificar inventario de equipo adquirido, prestado
o Identificar servicios críticos que respalda
o Determinar cubiertas de seguro aplicables
Proceso de auditoría de redes
Proceso de auditoría
Avalúo técnico:
 Evaluar componentes y servicios de la red:
o Identificar los distintos tipos de conexión disponibles
o Identificar los “modems” activos o accequibles
o Verificar documentación
o Revisar procedimientos para atender problemas
o Avalar Plan (DRP) desde la perspectiva de conexiones
o Revisar y documentar controles en operación
o Verificar sistemas de cifrar en uso