Auditora de Redes

AUD 721
Mdulo 7

Carmen R. Cintrn Ferrer - 2004, Derechos Reservados

Contenido Temtico

Tecnologa de redes
Planificacin y evaluacin de redes
Seguridad y proteccin de redes
Integracin de peritos tcnicos
Proceso de auditora de redes
Informe de auditora de redes

Proceso de auditora de redes

Informe de auditora
Sptimo mdulo

Proyecto final
Componentes de auditora de redes
Introduccin
Descripcin del proceso
Hallazgos
Clasificacin de Hallazgos
Recomendaciones

Proyecto final
Introduccin:
mbito de la auditora y tipo
Equipo de trabajo
Estimado de tiempo
Requerimientos de compromiso
organizacional

Proyecto final
Carta de presentacin:

mbito de la auditora y tipo

Equipo de trabajo
Estimado de tiempo
Requerimientos de compromiso organizacin

Anejos:
Resums del personal en equipo de trabajo
Acuerdo de confidencialidad
Itinerario preliminar propuesto

Proyecto final
Proceso Fase I:
Documentos a solicitar
reas a visitar
Procesos y servicios crticos
Identificar procesos y servicios de acuerdo al tipo de auditora
Establecer nivel de profundidad en examen
Afinar expectativas del proceso de auditora

Personas a entrevistar:

Enumerar personas a entrevistar

Documentos a examinar con entrevistado
Tipo de preguntas para cada entrevista
Listas de cotejo aplicable a cada rea a examinar

Proyecto final
Proceso Fase II:
Riesgos que debo esperar (centrar investigacin):

Fsicos
Entorno
Conexin
Equipos de la red y servidores, otros equipos
Personas: interno y externo
Sistemas: basados en la red, que apoyan la red
Ingeniera social
Otros

Agrupar riesgos:
Internos/externos
Nivel de impacto estimado

Proyecto final
Proceso Fase II (Continuacin):
Pasos a seguir:

Proveedor(es) de Internet
Otra(s) conexin(es) al exterior
Polticas y procedimientos de acceso a Internet
Controles de acceso y de seguridad
Controles sobre la presencia ciberntica y archivos en el Web
Infraestructura de la red
Segmentacin y control sobre las direcciones IP
Autenticacin, autorizacin y acceso

Proyecto final
Proceso Fase II (Continuacin):
Pasos a seguir:

Medir amenazas a la estructura de la red

Examen de configuracin: Router(s), Firewall(s) y Switchs
Examen de configuracin: VLANs, VPNs y Proxies
Vas permiten obviar controles existentes (vulnerabilidades)
Control sobre transacciones y servicios basados en Internet
Acuerdos con colaboradores externos
Evaluar seguridad de transacciones basadas en Internet
Evaluar seguridad de servidores y servicios
Evaluar seguridad de depsitos de llaves (password crack)

Proyecto final
Proceso Fase II (Continuacin):
Personal a integrar:

Respaldo organizacional
Contactos con proveedores o colaboradores
Tcnicos para hacer las pruebas
Especialista en BCP y DSS
Asesor legal (Compliance)
Otros

Proyecto final
Proceso Fase II (Continuacin):
Medidas de mitigacin:

Manejo de procesos de backup-restore

Business Process Continuity Plan
Disaster Recovery Plan
Seguros

Verificacin de mecanismos para:

Implantacin
Divulgacin (Awareness)
Revisin peridica

Proyecto final
Tipo de Hallazgos Esperados:
Clasificacin de hallazgos
Categorizacin
Estimacin de impacto y recursos

Proyecto final
Conclusiones:
Generales
Particulares
Especiales

Recomendaciones y plan de accin

Entrega del informe (describir proceso):
Entrevistas previas a entrega del informe
Presentacin y discusin las recomendaciones
Informe final