SlideShare une entreprise Scribd logo

Fase de Ejecucion

A
andersonrincones

El documento describe una auditoría de seguridad de la red de datos realizada en la empresa ACME XXX. La auditoría evaluó medidas de control interno, planes de contingencia y la información de seguridad de la red durante el período de auditoría con el objetivo de presentar un informe del proceso. La auditoría usó entrevistas, encuestas, listas de verificación y una herramienta de auditoría para analizar la información recopilada.

Technologie
1  sur  22
Télécharger pour lire hors ligne
Auditoria Informática de Redes Seguridad de la Red de Datos Diciembre, 2012
Área Auditada Seguridad de la red de datos, departamento de telecomunicaciones de la gerencia de tecnología de información de la empresa ACME XXX Alcance de la Auditoria Auditoría informática de la seguridad de la red datos en la gerencia de tecnología de información de la empresa ACME XXX en un lapso aproximado del 14-11-2012 al 14-12-2012 Objetivos de la Auditoria a. Generales: Efectuar una auditoria informática de la seguridad de la red de datos b. Específicos: -Evaluar las medidas de control interno, para la seguridad de la red de datos. -Evaluar Planes de contingencia -Analizar la información suministrada de la seguridad de la red de datos durante el periodo de auditoría. -Presentar informe del proceso de auditoría informática, de seguridad de la red de datos.
PROGRAMA DE AUDITORIA Hoja Nº 1/1 Empresa: ACME XXX Fecha: 14/11/2012 Fase Actividad Horas Estimadas Encargados Etapa Preliminar: -Entrevista con el cliente -Levantamiento inicial de información -Definición de alcance y objetivos de la auditoría. -Elaboración de la matriz de análisis de auditoría. I -Elaboración de la matriz de evaluación 30 Equipo Nro 4 de auditoría -Elaboración del programa de auditoría -Elaboración de los procedimientos de auditoría. -Elaboración de entrevistas -Elaboración de cuestionarios -Elaboración de pruebas de Desarrollo de la Auditoria: -Entrevistas con el personal encargado de la gerencia de tecnología de información y departamento de telecomunicaciones -Aplicación de encuesta y listas de chequeo cuestionarios al encargado de la gerencia de tecnología de información -Aplicación de entrevista al encargado del departamento de telecomunicaciones II -Aplicar herramienta de auditoria 360 (15 días) Equipo Nro 4 NSAuditor -Recopilación de información y documentación de políticas de seguridad, control de registros de vulnerabilidades y modificaciones, manuales, contratos de seguro, reportes de la herramienta de auditoría NSAuditor -Análisis de la información recopilada en entrevistas, encuestas, lista de chequeos y la observación directa.
-Determinación y tabulación de resultados (Hallazgos, observaciones, recomendaciones y conclusiones). - Revisión general de los resultados. 120 III - Elaboración del Pre-Informe. - Elaboración de informe final. 168 IV - Presentación del informe.
MATRIZ DE ANALISIS CODIGO MASLF-01 MATRIZ DE ANALISIS DE AUDITORIA INFORMATICA DE REDES OBJETIVOS GENERAL ESPECIFICO DIMENSION INDICADOR INSTRUMENTO Control de acceso a redes Responsabilidades del usuario (talleres de divulgación sobre uso de la clave, etc ) Administración y el análisis de los archivos de registro (archivos log) Entrevista Efectuar una auditoria Evaluar las medidas Personal calificado Lista de chequeo informática de la de control interno, para el cargo Seguridad Lógica Encuesta seguridad de la red para la seguridad de concerniente a la de datos en la la red de datos gestión de la red de Matriz de Evaluación empresa ACME XXX datos Método de encriptación utilizado para la trasmisión y recepción en la red de datos Revisión periódica de las políticas utilizadas para la seguridad de la red de datos
Planes de contingencia y recuperación ante hechos externos o ambientales Entrevista Evaluar aplicación de Mecanismos de Lista de chequeo barreras físicas y seguridad dentro y Matriz de Evaluación procedimientos de alrededor del control, como Seguridad Física Centro de Cómputo Observación Directa medidas de Métodos Contratos de seguro, seguridad de la red preventivos a proveedores, y de datos riesgos por mantenimiento. ubicación. Tiempo de actividad de los servicios de la red de datos Analizar la información suministrada de la Análisis de la Resultados seguridad de la red Información Obtenidos de datos durante el periodo de auditoría Presentar informe del proceso de auditoría Presentación de Informes informática, de Informes seguridad de la red de datos
INSTRUMENTOS Y TECNICAS ENCUESTA CODIGO ESLF-01 01 ¿Existe un plan estratégico de seguridad? Si la respuesta es afirmativa indique en qué estatus se encuentra. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 02 ¿Se encuentra definido la gestión de usuarios y perfiles de acceso a la red dependiendo del rol que desempeñan estos en la organización? Si la respuesta es afirmativa, especifique. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 03 ¿Utilizan herramientas para el monitoreo de los servicios de red? Si la respuesta es afirmativa, especifique. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 04 ¿Existe Gestión de actualización o revisión de las políticas implementadas en la red? SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 05 ¿Se controla el acceso a la red de datos fuera del horario laboral? Si la respuesta es afirmativa, especifique SI NO
Especifique____ _______________________________________________________________ _____________________________________________________________________________ 06 ¿Existe control en el acceso al centro de dato? Si la respuesta es afirmativa indique él mecanismo utilizado. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 07 ¿Cuenta con planes de contingencia? Explique SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 08 ¿Existe un procedimiento de selección de personal calificado? Explique SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 09 ¿El personal responsable de la administración de la red de datos fue notificado de forma escrita de las funciones inherentes al cargo? Explique SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 10 ¿Existe personal encargado para realizar el monitoreo de los servicios de red? Si la respuesta es afirmativa, especifique. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________
LISTA DE CHEQUEO CODIGO LCSLF-01 CODIGO LCSLF-01 Nro LISTA DE CHEQUEO SI NO Se cuenta con políticas documentadas y probadas por la gerencia de tecnología 1 de informacíon para prevenir ataques a la red datos 2 Se cuenta con registro de las caídas de los servicios de red Los empleados tienen conocimiento de la existencia de los controles de 3 seguridad establecidos en la red 4 Se llevan registro de incidentes ocurridos y la solución implementada 5 Realizan monitoreo de los servicios de la red 6 efectúan gestión a los archivos de registro cuentan con planes de contingencia que permita recuperar los servicios de la red 7 al momento de acontecer un incidente 8 existe personal capacitado para realizar la administración de la red Cuenta con registro del tiempo en que se encuentran en funcionamiento los servicios de 9 red 10 Cuentan tecnologías de video vigilancia dentro y alrededor del centro de computo Cuentan con algún mecanismo de acceso al centro de computo (guardias de seguridad, 11 carnet de identificación automática con códigos de barras, banda magnética, tarjetas de proximidad por radio frecuencia, sistemas biométricos) ENTREVISTA CODIGO ENSLF-01 1. ¿Tiene definida las responsabilidades de su cargo? 2. ¿Existe un encargado del monitoreo de los servicios de la red de datos? 3. ¿Cuenta con políticas escritas y aprobados por la gerencia de tecnología de informacíon para realizar la gestión de seguridad de la red de datos?
4. ¿Tiene conocimientos de planes documentados que permitan a la organización recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo estimado? 5. ¿Al ocurrir alguna anomalía en la red de datos es reportada a sus superiores inmediatamente? 6. ¿Realiza gestión sobre los archivos de registro y utiliza alguna herramienta para ello? 7. ¿Cuenta con adiestramiento continuo para realizar la gestión de seguridad de la red de datos? 8. ¿Realiza revisión periódica de las políticas utilizadas para la seguridad de la red de datos? 9. ¿Participa en el diseño de las políticas de la seguridad de la red de datos? 10. ¿Los incidentes ocurridos en la red de datos y sus soluciones se encuentran documentos? MATRIZ DE EVALUACION CODIGO MESLF-01 MATRIZ DE EVALUACION CODIGO MESLF-01 EVALUAR Y CALIFICAR EL CUMPLIMIENTO DE LOS EXCELENTE BUENO SUFICIENTE REGULAR DEFICIENTE SIGUIENTES ASPECTOS SI DISPONEN DE SE DISPONEN SI DISPONEN NO DISPONEN NO DISPONEN SERVIDOR DE DE SERVIDOR DE SERVIDOR DE SERVIDOR CONTROLADOR DE CONTROLADO CONTROLADO CONTROLADO CONTROLADO DOMINIO PARA LA R DE R DE R DE R DE DOMINIO AUTENTICACION DOMINIO DOMINIO DOMINIO PARA LA DE LOS USUARIOS PARA LA PARA LA PARA LA AUTENTICACIO DE LA RED, AUTENTICACI AUTENTICACI AUTENTICACI N DE LOS CONTROL DE ACCESO Y DEFINIDOS EN ON DE LOS ON DE LOS ON DE LOS USUARIOS DE AUTENTICACION GRUPOS, ROLES O USUARIOS DE USUARIOS DE USUARIOS DE LA RED, NO PERFILES, LA RED, LA RED, NO LA RED, SOLO CUENTAN CON HORARIOS DE DEFINIDOS EN CUENTAN CUENTA CO PERFILES ACCESO, GRUPOS, NO CON GRUPOS, PERFILES LOCALES, LOS CADUCIDAD DE LA CUENTAN NI PERFILES DEFINIDOS USUARIOS CLAVE CON DEFINIDOS. LOCALMENTE TIENEN POLITICAS PRIVILEGIOS BIEN ADMINISTRATI
ESTABLECIDA VOS S PARA LOS PERFILES CUANDO CUANDO CUANDO CUANDO CUANDO NO REALIZAN REALIZAN REALIZAN REALIZAN SE HACE GESTION DE LOS GESTION DE GESTION DE GESTION DE GESTION ARCHIVOS DE LOS LOS LOS SOBRE LOS REGISTRO Y ARCHIVOS DE ARCHIVOS DE ARCHIVOS DE ARCHIVOS DE ADEMAS REGISTRO Y REGISTRO Y REGISTRO REGISTRO DISPONEN DE UN ADEMAS SI SE NO SE EVENTUALME SERVIDOR DISPONE DE DISPONE DE NTE EXCLUSIVO PARA UN SERVIDOR UN SERVIDOR GESTION DE LOS ARCHIVOS DE ALMANCENMIENT EXCLUSIVO PARA REGISTROS O Y LOS ARCHIVOS PARA ALMANCENM SON GUARDADOS ALMANCENM IENTO POR UN PERIODO IENTO Y LOS DE TIEMPO ENTRE ARCHIVOS 1 Y 2 AÑOS SON GUARDADOS POR UN PERIODO DE TIEMPO DE UN AÑOS CUANDO EL 100% CUANDO EL CUANDO EL CUANDO EL CUANDO ES DEL TIEMPO LOS 90% DEL 80% DEL 60% DEL MENOR AL SERVICIOS SE TIEMPO LOS TIEMPO LOS TIEMPO LOS 60% DEL TIEMPO DE ACTIVIDAD DE LOS ENCUENTRAN SERVICIOS SE SERVICIOS SE SERVICIOS SE TIEMPO LOS SERVICIOS DE LA RED DE DATOS ACTIVOS ENCUENTRAN ENCUENTRAN ENCUENTRAN SERVICIOS SE ACTIVOS ACTIVOS ACTIVOS ENCUENTRAN ACTIVOS SI DISPONEN DE SI DISPONEN SI DISPONEN SI DISPONEN SI NO MECANISMOS QUE DE DE DE DISPONEN DE PERMITAN MECANISMOS MECANISMOS MECANISMOS MECANISMOS RESGUARDAR LA QUE QUE QUE QUE SEGURIDAD PERMITAN PERMITAN PERMITAN PERMITAN PERIMETRAL Y EL RESGUARDAR RESGUARDAR RESGUARDAR RESGUARDAR ACCESO AL LA LA LA LA SEGURIDAD CENTRO DE SEGURIDAD SEGURIDAD SEGURIDAD PERIMETRAL Y MECANISMOS DE SEGURIDAD COMPUTOS, PERIMETRAL PERIMETRAL PERIMETRAL EL ACCESO AL UTILIZACIÓN DE Y EL ACCESO Y EL ACCESO Y EL ACCESO CENTRO DE DENTRO Y ALREDEDOR DEL CENTRO GUARDIAS, AL CENTRO AL CENTRO AL CENTRO COMPUTOS. DE CÓMPUTO UTILIZACIÓN DE DE DE DE SISTEMAS COMPUTOS, COMPUTOS, COMPUTOS, BIOMÉTRICOS, UTILIZACIÓN UTILIZACIÓN UTILIZACIÓN CIRCUITOS DE SISTEMAS DE CIRCUITOS DE TARJETAS CERRADOS, BIOMÉTRICOS CERRADOS, DE TARJETAS DE , CIRCUITOS DE TARJETAS PROXIMIDAD PROXIMIDAD POR CERRADOS, DE POR RADIO RADIO TARJETAS DE PROXIMIDAD FRECUENCIA FRECUENCIA PROXIMIDAD POR RADIO POR RADIO FRECUENCIA FRECUENCIA PLANES DE CONTINGENCIA Y SI CUENTAN CON SI CUENTAN SI CUENTAN SI CUENTAN SI CUENTAN
RECUPERACIÓN ANTE HECHOS PLANES QUE CON PLANES CON PLANES CON PLANES CON PLANES EXTERNOS O AMBIENTALES PERMITAN A LA QUE QUE QUE QUE ORGANIZACIÓN PERMITAN A PERMITAN A PERMITAN A PERMITAN A RECUPERAR Y LA LA LA LA RESTAURAR SUS ORGANIZACIÓ ORGANIZACIÓ ORGANIZACIÓ ORGANIZACIÓ FUNCIONES N RECUPERAR N RECUPERAR N RECUPERAR N RECUPERAR CRÍTICAS PARCIAL Y RESTAURAR Y RESTAURAR Y RESTAURAR Y RESTAURAR O TOTALMENTE SUS SUS SUS SUS INTERRUMPIDAS FUNCIONES FUNCIONES FUNCIONES FUNCIONES DENTRO DE UN CRÍTICAS CRÍTICAS CRÍTICAS CRÍTICAS TIEMPO MENOR A PARCIAL O PARCIAL O PARCIAL O PARCIAL O UNA HORA TOTALMENTE TOTALMENTE TOTALMENTE TOTALMENTE DESPUÉS DE UNA INTERRUMPI INTERRUMPI INTERRUMPI INTERRUMPID INTERRUPCIÓN NO DAS DENTRO DAS DENTRO DAS DENTRO AS DENTRO DE DESEADA O DE UN DE UN DE UN UN TIEMPO DESASTRE TIEMPO TIEMPO TIEMPO MAYOR A ENTRE UNA ENTRE DOS Y ENTRE OCHO HORAS Y DOS HORAS CUATRO CUATRO Y DESPUÉS DE DESPUÉS DE HORAS OCHO HORAS UNA UNA DESPUÉS DE DESPUÉS DE INTERRUPCIÓ INTERRUPCIÓ UNA UNA N NO N NO INTERRUPCIÓ INTERRUPCIÓ DESEADA O DESEADA O N NO N NO DESASTRE DESASTRE DESEADA O DESEADA O DESASTRE DESASTRE
PROCEDIMIENTOS ESPECIFICOS Código PESLF-01 Programa de Auditoría Sección de Trabajo: Página: 1/1 Informática Empresa: ACME XXX Unidad y/o Departamento: Gerencia de tecnología de información Dimensión: Seguridad Logica Periodo de revision Desde: 14/11/2012 Hasta: 14/12/2012 Nº Procedimientos Ref. P/T Reunirse con el encargado de la gerencia de tecnología de 1 informacíon 2 Solicitar las políticas de seguridad de la información. Indagar acerca de las estrategias de seguridad de 3 información que están siendo aplicadas. 4 Aplicar encuesta ESLF-01 5 Aplicar lista de chequeo LCSLF-01 Constatar mediante observación directa algunas de las 6 respuestas arrojadas en la encuesta. 7 Registrar las observaciones encontradas.
Código PESLF-02 Programa de Auditoría Sección de Trabajo: Página: 1/1 Informática Empresa: ACME XXX Unidad y/o Departamento: Departamento de Telecomunicaciones Dimensión: Seguridad Fisica Periodo de revision Desde: 14/11/2012 Hasta: 14/12/2012 Nº Procedimientos Ref. P/T Reunirse con el encargado del departamento de 1 telecomunicaciones Realizar entrevista al encargado del departamento de 2 telecomunicaciones ENSLF-01 3 Aplicar encuesta ESLF-01 Constatar mediante observación directa algunas de las 4 respuestas arrojadas en la entrevista. 5 Utilizar herramienta de auditoria nsauditor Solicitar planes de contingencia al encargado del 6 departamento de telecomunicaciones 7 Registrar las observaciones encontradas.
RESULTADOS Después de realizadas las pruebas establecidas para la auditoria informática de redes de datos se obtuvieron los siguientes resultados ENCUESTA CODIGO ESLF-01 01 ¿Existe un plan estratégico de seguridad? Si la respuesta es afirmativa indique en qué estatus se encuentra. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 02 ¿Se encuentra definido la gestión de usuarios y perfiles de acceso a la red dependiendo del rol que desempeñan estos en la organización? Si la respuesta es afirmativa, especifique. SI NO Especifique: para la gestión de usuarios se realiza a través del active directory en el cual se encuentran usuarios divididos en grupos o unidas organizativas donde se le aplican políticas de grupos, diferentes según el rol que desempeñan en la organización ____________________________ 03 ¿Utilizan herramientas para el monitoreo de los servicios de red? Si la respuesta es afirmativa, especifique. SI NO Especifique: se cuenta con una herramienta llamada Nagios el cual es un sistema de monitorización de redes de código abierto que inspecciona los equipos (hardware) y servicios (software) que se especifiquen 04 ¿Existe Gestión de actualización o revisión de las políticas implementadas en la red? SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 05 ¿Se controla el acceso a la red de datos fuera del horario laboral? Si la respuesta es afirmativa, especifique SI NO
Especifique: a través del active directory se establecen los horarios de acceso de los diferentes grupos de usuarios_______________________________________________________________________ 06 ¿Existe control en el acceso al centro de dato? Si la respuesta es afirmativa indique él mecanismo utilizado. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 07 ¿Cuenta con planes de contingencia? Explique SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 08 ¿Existe un procedimiento de selección de personal calificado? Explique SI NO Especifique: pero no se adapta a los requerimientos actuales de exigidos por la organización _____________________________________________________________________________ 09 ¿El personal responsable de la administración de la red de datos fue notificado de forma escrita de las funciones inherentes al cargo? Explique SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 10 ¿Existe personal encargado para realizar el monitoreo de los servicios de red? Si la respuesta es afirmativa, especifique. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________
LISTA DE CHEQUEO CODIGO LCSLF-01 CODIGO LCSLF-01 Nro LISTA DE CHEQUEO SI NO Se cuenta con políticas documentadas y probadas por la gerencia de tecnología 1 X de informacíon para prevenir ataques a la red datos 2 Se cuenta con registro de las caídas de los servicios de red X Los empleados tienen conocimiento de la existencia de los controles de 3 X seguridad establecidos en la red 4 Se llevan registro de incidentes ocurridos y la solución implementada X 5 Realizan monitoreo de los servicios de la red X 6 efectúan gestión a los archivos de registro X cuentan con planes de contingencia que permita recuperar los servicios de la red 7 X al momento de acontecer un incidente 8 existe personal capacitado para realizar la administración de la red X Cuenta con registro del tiempo en que se encuentran en funcionamiento los servicios de 9 X red 10 Cuentan tecnologías de video vigilancia dentro y alrededor del centro de computo X Cuentan con algún mecanismo de acceso al centro de computo (guardias de seguridad, 11 carnet de identificación automática con códigos de barras, banda magnética, tarjetas de X proximidad por radio frecuencia, sistemas biométricos) ENTREVISTA CODIGO ENSLF-01 1. ¿Tiene definida las responsabilidades de su cargo? R. No están definidas las responsabilidades del cargo 2. ¿Existe un encargado del monitoreo de los servicios de la red de datos? R. No existe personal responsable que realice esa función 3. ¿Cuenta con políticas escritas y aprobados por la gerencia de tecnología de información para realizar la gestión de seguridad de la red de datos? R. Existen políticas pero no están documentadas ni para su implementación fueron aprobadas por la gerencia de tecnología de información
4. ¿Tiene conocimientos de planes documentados que permitan a la organización recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo estimado? R. Existen planes que permitan realizar dicha labor 5. ¿Al ocurrir alguna anomalía en la red de datos es reportada a sus superiores inmediatamente? R. Solo verbalmente 6. ¿Realiza gestión sobre los archivos de registro y utiliza alguna herramienta para ello? R. No se realiza gestión sobre los archivos de registros 7. ¿Cuenta con adiestramiento continuo para realizar la gestión de seguridad de la red de datos? R. No se cuenta con adiestramiento para el personal 8. ¿Realiza revisión periódica de las políticas utilizadas para la seguridad de la red de datos? R. Sí, pero no se encuentre documentado dicho procedimiento 9. ¿Participa en el diseño de las políticas de la seguridad de la red de datos? R. Si 10. ¿Los incidentes ocurridos en la red de datos y sus soluciones se encuentran documentos? No se lleva documentación sobre los incidentes ocurridos ni de la solución implementada MATRIZ DE EVALUACION CODIGO MESLF-01 MATRIZ DE EVALUACION CODIGO MESLF-01 EVALUAR Y CALIFICAR EL CUMPLIMIENTO DE LOS EXCELENTE BUENO SUFICIENTE REGULAR DEFICIENTE SIGUIENTES ASPECTOS CONTROL DE ACCESO Y AUTENTICACION X O O O O GESTION DE LOS ARCHIVOS DE REGISTROS O O O X O TIEMPO DE ACTIVIDAD DE LOS SERVICIOS DE LA RED DE DATOS O O X O O MECANISMOS DE SEGURIDAD O O O O X
DENTRO Y ALREDEDOR DEL CENTRO DE CÓMPUTO PLANES DE CONTINGENCIA Y RECUPERACIÓN ANTE HECHOS EXTERNOS O AMBIENTALES O O O O X MATRIZ DE EVALUACION CODIGO MESLF-02 EVALUAR Y CALIFICAR EL CUMPLIMIENTO DE LOS EXCELENTE BUENO REGULAR DEFICIENTE SIGUIENTES ASPECTOS -Pc actualizados de marcas reconocidas(lenovo) -Switch de marcar reconocidas (cisco) y modelos actuales -Servidores marca IBM con características superiores a la PLATAFORMA TECNOLOGICA DE LA estándar de fabrica O O O RED -Router de marca reconocida (cisco) y modelo actual -Firewall de marca reconocida con soporte de actualización de los servicios -Antivirus corporativo y soporte de actualización -No se cuenta con segmentación de la red de DESEMPEÑO DE LA RED O O O datos -Crecimiento no planificado de puntos de
red (entrada de nuevo personal a la organización) -Servicios de red no optimizados -Cableado inadecuado en algunas unidades de la organización -No se cuenta con personal para dicha tarea -No existen GESTION DE SEGURIDAD O O O políticas acorde a los requerimientos de la organización No se cuenta con procedimientos DOCUMENTACION Y ESTANDARES documentados O O O para la gestión de la seguridad de la red de datos
OBSERVACIONES DE LOS HALLAZGOS Inadecuada gestión sobres los archivos de registro No hay difusión de las políticas de seguridad de la red a los usuarios No se llevan registro de incidentes ocurridos y la solución implementada No cuentan con personal capacitado para realizar gestión de seguridad de la red de datos No cuentan con planes que permitan a la organización recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial Deficiencia en los métodos preventivos a riesgos por ubicación No poseen mecanismos de seguridad dentro y alrededor del centro de computo No existe personal encargado del monitoreo de los servicios de la red de datos No llevan registro documentado sobre los incidentes en la red de datos y las soluciones implementadas Deficiencia en el adiestramiento al personal que realiza la gestión de la red de datos Algunas políticas no están acorde a los requerimientos de la organización Cableado estructura que no cumple con los estándares No existe segmentación de la red No se realizan mantenimientos preventivos a los servidores RECOMENDACIONES Establecer y hacer uso de políticas de seguridad Realizar planes estratégicos que involucren la seguridad de la red Se debe implementar un procedimiento y documentarlo para llevar la administración y el análisis de los archivos de registro Se sugiere desarrollar un procedimiento documentado que permita registrar de la forma más expedita los incidentes ocurridos en la red de datos y la solución realizada Realizar talleres con todo el personal como medio de difusión de las políticas de seguridad Realizar monitoreo minucioso de la red para mitigar las posibles causa de los servicios de red Definir funciones especificas al personal encargado de la gestión de red Realizar un plan de contingencia que permitan a la organización recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial Capacitar al personal en las funciones a desempeñar Documentar las políticas a implementar en la red de datos y las mismas deben contar con la aprobación del comité gerencial CONCLUSION La seguridad de la red de datos cada día cobra más importancia dentro de las organizaciones debido a que la red es la que soporta la conectividad entre los diferentes dispositivos que la integran además siendo un factor determinante en la gestión del activo más importante para toda empresa que es la información. Es de vital importancia para la organización contar con planes que permitan recuperar y
restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial, ya que una infracción de seguridad puede causar un daño irreparable a la reputación o la imagen de marca de la compañía. Educando a los usuarios en el uso de las mejores prácticas, la organización debe estipular métodos preventivos para la seguridad interna de la red de datos para ello debe fomentar la conciencia entre los usuarios de la importancia que tiene para todos los empleados el buen funcionamiento de la red, para lo cual los usuarios finales deben ser participes en el cumplimientos de las políticas implementadas para la seguridad de la red de datos. Para el establecimiento de políticas acorde con los requerimientos de la organización se deben llegar registros detallados de los incidentes ocurridos anexando las evidencias encontradas y además las soluciones implementadas en los casos. Para mitigar los riesgos es indispensable la concientización de la directiva en el rol fundamental que desempeña la correcta aplicación de políticas de seguridad de la red de datos en el buen desempeño de la organización.

Recommandé

Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Tarea de redes ejecucion
Tarea de redes ejecucionTarea de redes ejecucion
Tarea de redes ejecucioncorderocarlos11
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redesCarloz Kaztro
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De RedesCristian Paul
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 

Recommandé

Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Tarea de redes ejecucion
Tarea de redes ejecucionTarea de redes ejecucion
Tarea de redes ejecucioncorderocarlos11
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redesCarloz Kaztro
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...
UNEG-AS 2012-Pres3: Control interno para la organización del área de informát...UNEG-AS
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De RedesCristian Paul
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Estructura auditoria cobit
Estructura auditoria cobitEstructura auditoria cobit
Estructura auditoria cobitDavid Acsaraya
 
Enfoque de auditoria veru y feibert
Enfoque de auditoria veru y feibertEnfoque de auditoria veru y feibert
Enfoque de auditoria veru y feibertFeibert Alirio Guzmán Pérez
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datosLeidy Andrea Sanchez
 
Auditoria+de+la+seguridad
Auditoria+de+la+seguridadAuditoria+de+la+seguridad
Auditoria+de+la+seguridadPaook
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de SistemasFernando Alonso Cruz Estupiñan
 
Simulacro 4-clase-2002--
Simulacro 4-clase-2002--Simulacro 4-clase-2002--
Simulacro 4-clase-2002--1 2d
 
Tarea de redes ejecucion
Tarea de redes ejecucionTarea de redes ejecucion
Tarea de redes ejecucioncorderocarlos11
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesLuis Fernando Aguas Bucheli
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOGiovani Roberto Gómez Millán
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 
Como administrar redes
Como administrar redesComo administrar redes
Como administrar redesFamilia Flores
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 
Auditoria de RED AREA LOCAL
Auditoria de RED AREA LOCALAuditoria de RED AREA LOCAL
Auditoria de RED AREA LOCALGiovani Roberto Gómez Millán
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraLuis Fernando Aguas Bucheli
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Auditoria ii
Auditoria iiAuditoria ii
Auditoria iiElvis Valero
 
Informe Auditoria Sistemas
Informe Auditoria SistemasInforme Auditoria Sistemas
Informe Auditoria SistemasJuan Martinez Cataldi
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
Practicas pre profesionales auditoria de redes
Practicas pre profesionales auditoria de redesPracticas pre profesionales auditoria de redes
Practicas pre profesionales auditoria de redesToli Rozas Cordova
 
“ANÁLISIS Y DESARROLLO DE UNA PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA INFRAES...
“ANÁLISIS Y DESARROLLO DE UNA PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA INFRAES...“ANÁLISIS Y DESARROLLO DE UNA PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA INFRAES...
“ANÁLISIS Y DESARROLLO DE UNA PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA INFRAES...UNIVERSIDAD MAGISTER (Sitio Oficial)
 

Contenu connexe

Tendances

UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Estructura auditoria cobit
Estructura auditoria cobitEstructura auditoria cobit
Estructura auditoria cobitDavid Acsaraya
 
Auditoria+de+la+seguridad
Auditoria+de+la+seguridadAuditoria+de+la+seguridad
Auditoria+de+la+seguridadPaook
 
Simulacro 4-clase-2002--
Simulacro 4-clase-2002--Simulacro 4-clase-2002--
Simulacro 4-clase-2002--1 2d
 
Tarea de redes ejecucion
Tarea de redes ejecucionTarea de redes ejecucion
Tarea de redes ejecucioncorderocarlos11
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 
Como administrar redes
Como administrar redesComo administrar redes
Como administrar redesFamilia Flores
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 

Tendances (19)

UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Inf5: Controles internos para la seguridad en el área de sistemas
 
Estructura auditoria cobit
Estructura auditoria cobitEstructura auditoria cobit
Estructura auditoria cobit
 
Enfoque de auditoria veru y feibert
Enfoque de auditoria veru y feibertEnfoque de auditoria veru y feibert
Enfoque de auditoria veru y feibert
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datos
 
Auditoria+de+la+seguridad
Auditoria+de+la+seguridadAuditoria+de+la+seguridad
Auditoria+de+la+seguridad
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de Sistemas
 
Simulacro 4-clase-2002--
Simulacro 4-clase-2002--Simulacro 4-clase-2002--
Simulacro 4-clase-2002--
 
Tarea de redes ejecucion
Tarea de redes ejecucionTarea de redes ejecucion
Tarea de redes ejecucion
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en Aplicaciones
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
 
Como administrar redes
Como administrar redesComo administrar redes
Como administrar redes
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
 
Auditoria de RED AREA LOCAL
Auditoria de RED AREA LOCALAuditoria de RED AREA LOCAL
Auditoria de RED AREA LOCAL
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Auditoria ii
Auditoria iiAuditoria ii
Auditoria ii
 
Informe Auditoria Sistemas
Informe Auditoria SistemasInforme Auditoria Sistemas
Informe Auditoria Sistemas
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
 

En vedette

Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
Practicas pre profesionales auditoria de redes
Practicas pre profesionales auditoria de redesPracticas pre profesionales auditoria de redes
Practicas pre profesionales auditoria de redesToli Rozas Cordova
 
“ANÁLISIS Y DESARROLLO DE UNA PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA INFRAES...
“ANÁLISIS Y DESARROLLO DE UNA PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA INFRAES...“ANÁLISIS Y DESARROLLO DE UNA PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA INFRAES...
“ANÁLISIS Y DESARROLLO DE UNA PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA INFRAES...UNIVERSIDAD MAGISTER (Sitio Oficial)
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 

En vedette (6)

Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoría
 
Practicas pre profesionales auditoria de redes
Practicas pre profesionales auditoria de redesPracticas pre profesionales auditoria de redes
Practicas pre profesionales auditoria de redes
 
“ANÁLISIS Y DESARROLLO DE UNA PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA INFRAES...
“ANÁLISIS Y DESARROLLO DE UNA PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA INFRAES...“ANÁLISIS Y DESARROLLO DE UNA PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA INFRAES...
“ANÁLISIS Y DESARROLLO DE UNA PROPUESTA PARA LA IMPLEMENTACIÓN DE UNA INFRAES...
 
Auditoría de Redes
Auditoría de RedesAuditoría de Redes
Auditoría de Redes
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 

Similaire à Fase de Ejecucion

Fisica explotacion
Fisica explotacionFisica explotacion
Fisica explotacionUNEFA
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Adquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camachoAdquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camachocielitomamor23
 
20110928 esquema de area
20110928 esquema de area20110928 esquema de area
20110928 esquema de areaRodrigo Cid
 
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerForo Global Crossing
 
Maritza paredes aquisición e implementación
Maritza paredes aquisición e implementaciónMaritza paredes aquisición e implementación
Maritza paredes aquisición e implementaciónmaryparedes22
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxRamón Alexander Paula Reynoso
 
Auditoria+de+la+seguridad
Auditoria+de+la+seguridadAuditoria+de+la+seguridad
Auditoria+de+la+seguridadPaook
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Manuel Santander
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasivanv40
 
Parte2 Auditoria Informatica
Parte2 Auditoria InformaticaParte2 Auditoria Informatica
Parte2 Auditoria InformaticaHernán Sánchez
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas Michelle Perez
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasgalactico_87
 

Similaire à Fase de Ejecucion (20)

Fisica explotacion
Fisica explotacionFisica explotacion
Fisica explotacion
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4
 
Expo bases de datos
Expo bases de datosExpo bases de datos
Expo bases de datos
 
Adquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camachoAdquisicion e implementacion – dominio sofia camacho
Adquisicion e implementacion – dominio sofia camacho
 
20110928 esquema de area
20110928 esquema de area20110928 esquema de area
20110928 esquema de area
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
 
Maritza paredes aquisición e implementación
Maritza paredes aquisición e implementaciónMaritza paredes aquisición e implementación
Maritza paredes aquisición e implementación
 
Auditoría Informática
Auditoría InformáticaAuditoría Informática
Auditoría Informática
 
Auditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptxAuditoria Informática Exposición - CURNE - UASD.pptx
Auditoria Informática Exposición - CURNE - UASD.pptx
 
Auditoria+de+la+seguridad
Auditoria+de+la+seguridadAuditoria+de+la+seguridad
Auditoria+de+la+seguridad
 
Unidad II
Unidad IIUnidad II
Unidad II
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Planificacion y organizacion
Planificacion y organizacionPlanificacion y organizacion
Planificacion y organizacion
 
Parte2 Auditoria Informatica
Parte2 Auditoria InformaticaParte2 Auditoria Informatica
Parte2 Auditoria Informatica
 
Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 

Dernier

El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 

Dernier (20)

El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 

Fase de Ejecucion

  • 1. Auditoria Informática de Redes Seguridad de la Red de Datos Diciembre, 2012
  • 2. Área Auditada Seguridad de la red de datos, departamento de telecomunicaciones de la gerencia de tecnología de información de la empresa ACME XXX Alcance de la Auditoria Auditoría informática de la seguridad de la red datos en la gerencia de tecnología de información de la empresa ACME XXX en un lapso aproximado del 14-11-2012 al 14-12-2012 Objetivos de la Auditoria a. Generales: Efectuar una auditoria informática de la seguridad de la red de datos b. Específicos: -Evaluar las medidas de control interno, para la seguridad de la red de datos. -Evaluar Planes de contingencia -Analizar la información suministrada de la seguridad de la red de datos durante el periodo de auditoría. -Presentar informe del proceso de auditoría informática, de seguridad de la red de datos.
  • 3. PROGRAMA DE AUDITORIA Hoja Nº 1/1 Empresa: ACME XXX Fecha: 14/11/2012 Fase Actividad Horas Estimadas Encargados Etapa Preliminar: -Entrevista con el cliente -Levantamiento inicial de información -Definición de alcance y objetivos de la auditoría. -Elaboración de la matriz de análisis de auditoría. I -Elaboración de la matriz de evaluación 30 Equipo Nro 4 de auditoría -Elaboración del programa de auditoría -Elaboración de los procedimientos de auditoría. -Elaboración de entrevistas -Elaboración de cuestionarios -Elaboración de pruebas de Desarrollo de la Auditoria: -Entrevistas con el personal encargado de la gerencia de tecnología de información y departamento de telecomunicaciones -Aplicación de encuesta y listas de chequeo cuestionarios al encargado de la gerencia de tecnología de información -Aplicación de entrevista al encargado del departamento de telecomunicaciones II -Aplicar herramienta de auditoria 360 (15 días) Equipo Nro 4 NSAuditor -Recopilación de información y documentación de políticas de seguridad, control de registros de vulnerabilidades y modificaciones, manuales, contratos de seguro, reportes de la herramienta de auditoría NSAuditor -Análisis de la información recopilada en entrevistas, encuestas, lista de chequeos y la observación directa.
  • 4. -Determinación y tabulación de resultados (Hallazgos, observaciones, recomendaciones y conclusiones). - Revisión general de los resultados. 120 III - Elaboración del Pre-Informe. - Elaboración de informe final. 168 IV - Presentación del informe.
  • 5. MATRIZ DE ANALISIS CODIGO MASLF-01 MATRIZ DE ANALISIS DE AUDITORIA INFORMATICA DE REDES OBJETIVOS GENERAL ESPECIFICO DIMENSION INDICADOR INSTRUMENTO Control de acceso a redes Responsabilidades del usuario (talleres de divulgación sobre uso de la clave, etc ) Administración y el análisis de los archivos de registro (archivos log) Entrevista Efectuar una auditoria Evaluar las medidas Personal calificado Lista de chequeo informática de la de control interno, para el cargo Seguridad Lógica Encuesta seguridad de la red para la seguridad de concerniente a la de datos en la la red de datos gestión de la red de Matriz de Evaluación empresa ACME XXX datos Método de encriptación utilizado para la trasmisión y recepción en la red de datos Revisión periódica de las políticas utilizadas para la seguridad de la red de datos
  • 6. Planes de contingencia y recuperación ante hechos externos o ambientales Entrevista Evaluar aplicación de Mecanismos de Lista de chequeo barreras físicas y seguridad dentro y Matriz de Evaluación procedimientos de alrededor del control, como Seguridad Física Centro de Cómputo Observación Directa medidas de Métodos Contratos de seguro, seguridad de la red preventivos a proveedores, y de datos riesgos por mantenimiento. ubicación. Tiempo de actividad de los servicios de la red de datos Analizar la información suministrada de la Análisis de la Resultados seguridad de la red Información Obtenidos de datos durante el periodo de auditoría Presentar informe del proceso de auditoría Presentación de Informes informática, de Informes seguridad de la red de datos
  • 7. INSTRUMENTOS Y TECNICAS ENCUESTA CODIGO ESLF-01 01 ¿Existe un plan estratégico de seguridad? Si la respuesta es afirmativa indique en qué estatus se encuentra. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 02 ¿Se encuentra definido la gestión de usuarios y perfiles de acceso a la red dependiendo del rol que desempeñan estos en la organización? Si la respuesta es afirmativa, especifique. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 03 ¿Utilizan herramientas para el monitoreo de los servicios de red? Si la respuesta es afirmativa, especifique. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 04 ¿Existe Gestión de actualización o revisión de las políticas implementadas en la red? SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 05 ¿Se controla el acceso a la red de datos fuera del horario laboral? Si la respuesta es afirmativa, especifique SI NO
  • 8. Especifique____ _______________________________________________________________ _____________________________________________________________________________ 06 ¿Existe control en el acceso al centro de dato? Si la respuesta es afirmativa indique él mecanismo utilizado. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 07 ¿Cuenta con planes de contingencia? Explique SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 08 ¿Existe un procedimiento de selección de personal calificado? Explique SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 09 ¿El personal responsable de la administración de la red de datos fue notificado de forma escrita de las funciones inherentes al cargo? Explique SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 10 ¿Existe personal encargado para realizar el monitoreo de los servicios de red? Si la respuesta es afirmativa, especifique. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________
  • 9. LISTA DE CHEQUEO CODIGO LCSLF-01 CODIGO LCSLF-01 Nro LISTA DE CHEQUEO SI NO Se cuenta con políticas documentadas y probadas por la gerencia de tecnología 1 de informacíon para prevenir ataques a la red datos 2 Se cuenta con registro de las caídas de los servicios de red Los empleados tienen conocimiento de la existencia de los controles de 3 seguridad establecidos en la red 4 Se llevan registro de incidentes ocurridos y la solución implementada 5 Realizan monitoreo de los servicios de la red 6 efectúan gestión a los archivos de registro cuentan con planes de contingencia que permita recuperar los servicios de la red 7 al momento de acontecer un incidente 8 existe personal capacitado para realizar la administración de la red Cuenta con registro del tiempo en que se encuentran en funcionamiento los servicios de 9 red 10 Cuentan tecnologías de video vigilancia dentro y alrededor del centro de computo Cuentan con algún mecanismo de acceso al centro de computo (guardias de seguridad, 11 carnet de identificación automática con códigos de barras, banda magnética, tarjetas de proximidad por radio frecuencia, sistemas biométricos) ENTREVISTA CODIGO ENSLF-01 1. ¿Tiene definida las responsabilidades de su cargo? 2. ¿Existe un encargado del monitoreo de los servicios de la red de datos? 3. ¿Cuenta con políticas escritas y aprobados por la gerencia de tecnología de informacíon para realizar la gestión de seguridad de la red de datos?
  • 10. 4. ¿Tiene conocimientos de planes documentados que permitan a la organización recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo estimado? 5. ¿Al ocurrir alguna anomalía en la red de datos es reportada a sus superiores inmediatamente? 6. ¿Realiza gestión sobre los archivos de registro y utiliza alguna herramienta para ello? 7. ¿Cuenta con adiestramiento continuo para realizar la gestión de seguridad de la red de datos? 8. ¿Realiza revisión periódica de las políticas utilizadas para la seguridad de la red de datos? 9. ¿Participa en el diseño de las políticas de la seguridad de la red de datos? 10. ¿Los incidentes ocurridos en la red de datos y sus soluciones se encuentran documentos? MATRIZ DE EVALUACION CODIGO MESLF-01 MATRIZ DE EVALUACION CODIGO MESLF-01 EVALUAR Y CALIFICAR EL CUMPLIMIENTO DE LOS EXCELENTE BUENO SUFICIENTE REGULAR DEFICIENTE SIGUIENTES ASPECTOS SI DISPONEN DE SE DISPONEN SI DISPONEN NO DISPONEN NO DISPONEN SERVIDOR DE DE SERVIDOR DE SERVIDOR DE SERVIDOR CONTROLADOR DE CONTROLADO CONTROLADO CONTROLADO CONTROLADO DOMINIO PARA LA R DE R DE R DE R DE DOMINIO AUTENTICACION DOMINIO DOMINIO DOMINIO PARA LA DE LOS USUARIOS PARA LA PARA LA PARA LA AUTENTICACIO DE LA RED, AUTENTICACI AUTENTICACI AUTENTICACI N DE LOS CONTROL DE ACCESO Y DEFINIDOS EN ON DE LOS ON DE LOS ON DE LOS USUARIOS DE AUTENTICACION GRUPOS, ROLES O USUARIOS DE USUARIOS DE USUARIOS DE LA RED, NO PERFILES, LA RED, LA RED, NO LA RED, SOLO CUENTAN CON HORARIOS DE DEFINIDOS EN CUENTAN CUENTA CO PERFILES ACCESO, GRUPOS, NO CON GRUPOS, PERFILES LOCALES, LOS CADUCIDAD DE LA CUENTAN NI PERFILES DEFINIDOS USUARIOS CLAVE CON DEFINIDOS. LOCALMENTE TIENEN POLITICAS PRIVILEGIOS BIEN ADMINISTRATI
  • 11. ESTABLECIDA VOS S PARA LOS PERFILES CUANDO CUANDO CUANDO CUANDO CUANDO NO REALIZAN REALIZAN REALIZAN REALIZAN SE HACE GESTION DE LOS GESTION DE GESTION DE GESTION DE GESTION ARCHIVOS DE LOS LOS LOS SOBRE LOS REGISTRO Y ARCHIVOS DE ARCHIVOS DE ARCHIVOS DE ARCHIVOS DE ADEMAS REGISTRO Y REGISTRO Y REGISTRO REGISTRO DISPONEN DE UN ADEMAS SI SE NO SE EVENTUALME SERVIDOR DISPONE DE DISPONE DE NTE EXCLUSIVO PARA UN SERVIDOR UN SERVIDOR GESTION DE LOS ARCHIVOS DE ALMANCENMIENT EXCLUSIVO PARA REGISTROS O Y LOS ARCHIVOS PARA ALMANCENM SON GUARDADOS ALMANCENM IENTO POR UN PERIODO IENTO Y LOS DE TIEMPO ENTRE ARCHIVOS 1 Y 2 AÑOS SON GUARDADOS POR UN PERIODO DE TIEMPO DE UN AÑOS CUANDO EL 100% CUANDO EL CUANDO EL CUANDO EL CUANDO ES DEL TIEMPO LOS 90% DEL 80% DEL 60% DEL MENOR AL SERVICIOS SE TIEMPO LOS TIEMPO LOS TIEMPO LOS 60% DEL TIEMPO DE ACTIVIDAD DE LOS ENCUENTRAN SERVICIOS SE SERVICIOS SE SERVICIOS SE TIEMPO LOS SERVICIOS DE LA RED DE DATOS ACTIVOS ENCUENTRAN ENCUENTRAN ENCUENTRAN SERVICIOS SE ACTIVOS ACTIVOS ACTIVOS ENCUENTRAN ACTIVOS SI DISPONEN DE SI DISPONEN SI DISPONEN SI DISPONEN SI NO MECANISMOS QUE DE DE DE DISPONEN DE PERMITAN MECANISMOS MECANISMOS MECANISMOS MECANISMOS RESGUARDAR LA QUE QUE QUE QUE SEGURIDAD PERMITAN PERMITAN PERMITAN PERMITAN PERIMETRAL Y EL RESGUARDAR RESGUARDAR RESGUARDAR RESGUARDAR ACCESO AL LA LA LA LA SEGURIDAD CENTRO DE SEGURIDAD SEGURIDAD SEGURIDAD PERIMETRAL Y MECANISMOS DE SEGURIDAD COMPUTOS, PERIMETRAL PERIMETRAL PERIMETRAL EL ACCESO AL UTILIZACIÓN DE Y EL ACCESO Y EL ACCESO Y EL ACCESO CENTRO DE DENTRO Y ALREDEDOR DEL CENTRO GUARDIAS, AL CENTRO AL CENTRO AL CENTRO COMPUTOS. DE CÓMPUTO UTILIZACIÓN DE DE DE DE SISTEMAS COMPUTOS, COMPUTOS, COMPUTOS, BIOMÉTRICOS, UTILIZACIÓN UTILIZACIÓN UTILIZACIÓN CIRCUITOS DE SISTEMAS DE CIRCUITOS DE TARJETAS CERRADOS, BIOMÉTRICOS CERRADOS, DE TARJETAS DE , CIRCUITOS DE TARJETAS PROXIMIDAD PROXIMIDAD POR CERRADOS, DE POR RADIO RADIO TARJETAS DE PROXIMIDAD FRECUENCIA FRECUENCIA PROXIMIDAD POR RADIO POR RADIO FRECUENCIA FRECUENCIA PLANES DE CONTINGENCIA Y SI CUENTAN CON SI CUENTAN SI CUENTAN SI CUENTAN SI CUENTAN
  • 12. RECUPERACIÓN ANTE HECHOS PLANES QUE CON PLANES CON PLANES CON PLANES CON PLANES EXTERNOS O AMBIENTALES PERMITAN A LA QUE QUE QUE QUE ORGANIZACIÓN PERMITAN A PERMITAN A PERMITAN A PERMITAN A RECUPERAR Y LA LA LA LA RESTAURAR SUS ORGANIZACIÓ ORGANIZACIÓ ORGANIZACIÓ ORGANIZACIÓ FUNCIONES N RECUPERAR N RECUPERAR N RECUPERAR N RECUPERAR CRÍTICAS PARCIAL Y RESTAURAR Y RESTAURAR Y RESTAURAR Y RESTAURAR O TOTALMENTE SUS SUS SUS SUS INTERRUMPIDAS FUNCIONES FUNCIONES FUNCIONES FUNCIONES DENTRO DE UN CRÍTICAS CRÍTICAS CRÍTICAS CRÍTICAS TIEMPO MENOR A PARCIAL O PARCIAL O PARCIAL O PARCIAL O UNA HORA TOTALMENTE TOTALMENTE TOTALMENTE TOTALMENTE DESPUÉS DE UNA INTERRUMPI INTERRUMPI INTERRUMPI INTERRUMPID INTERRUPCIÓN NO DAS DENTRO DAS DENTRO DAS DENTRO AS DENTRO DE DESEADA O DE UN DE UN DE UN UN TIEMPO DESASTRE TIEMPO TIEMPO TIEMPO MAYOR A ENTRE UNA ENTRE DOS Y ENTRE OCHO HORAS Y DOS HORAS CUATRO CUATRO Y DESPUÉS DE DESPUÉS DE HORAS OCHO HORAS UNA UNA DESPUÉS DE DESPUÉS DE INTERRUPCIÓ INTERRUPCIÓ UNA UNA N NO N NO INTERRUPCIÓ INTERRUPCIÓ DESEADA O DESEADA O N NO N NO DESASTRE DESASTRE DESEADA O DESEADA O DESASTRE DESASTRE
  • 13. PROCEDIMIENTOS ESPECIFICOS Código PESLF-01 Programa de Auditoría Sección de Trabajo: Página: 1/1 Informática Empresa: ACME XXX Unidad y/o Departamento: Gerencia de tecnología de información Dimensión: Seguridad Logica Periodo de revision Desde: 14/11/2012 Hasta: 14/12/2012 Nº Procedimientos Ref. P/T Reunirse con el encargado de la gerencia de tecnología de 1 informacíon 2 Solicitar las políticas de seguridad de la información. Indagar acerca de las estrategias de seguridad de 3 información que están siendo aplicadas. 4 Aplicar encuesta ESLF-01 5 Aplicar lista de chequeo LCSLF-01 Constatar mediante observación directa algunas de las 6 respuestas arrojadas en la encuesta. 7 Registrar las observaciones encontradas.
  • 14. Código PESLF-02 Programa de Auditoría Sección de Trabajo: Página: 1/1 Informática Empresa: ACME XXX Unidad y/o Departamento: Departamento de Telecomunicaciones Dimensión: Seguridad Fisica Periodo de revision Desde: 14/11/2012 Hasta: 14/12/2012 Nº Procedimientos Ref. P/T Reunirse con el encargado del departamento de 1 telecomunicaciones Realizar entrevista al encargado del departamento de 2 telecomunicaciones ENSLF-01 3 Aplicar encuesta ESLF-01 Constatar mediante observación directa algunas de las 4 respuestas arrojadas en la entrevista. 5 Utilizar herramienta de auditoria nsauditor Solicitar planes de contingencia al encargado del 6 departamento de telecomunicaciones 7 Registrar las observaciones encontradas.
  • 15. RESULTADOS Después de realizadas las pruebas establecidas para la auditoria informática de redes de datos se obtuvieron los siguientes resultados ENCUESTA CODIGO ESLF-01 01 ¿Existe un plan estratégico de seguridad? Si la respuesta es afirmativa indique en qué estatus se encuentra. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 02 ¿Se encuentra definido la gestión de usuarios y perfiles de acceso a la red dependiendo del rol que desempeñan estos en la organización? Si la respuesta es afirmativa, especifique. SI NO Especifique: para la gestión de usuarios se realiza a través del active directory en el cual se encuentran usuarios divididos en grupos o unidas organizativas donde se le aplican políticas de grupos, diferentes según el rol que desempeñan en la organización ____________________________ 03 ¿Utilizan herramientas para el monitoreo de los servicios de red? Si la respuesta es afirmativa, especifique. SI NO Especifique: se cuenta con una herramienta llamada Nagios el cual es un sistema de monitorización de redes de código abierto que inspecciona los equipos (hardware) y servicios (software) que se especifiquen 04 ¿Existe Gestión de actualización o revisión de las políticas implementadas en la red? SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 05 ¿Se controla el acceso a la red de datos fuera del horario laboral? Si la respuesta es afirmativa, especifique SI NO
  • 16. Especifique: a través del active directory se establecen los horarios de acceso de los diferentes grupos de usuarios_______________________________________________________________________ 06 ¿Existe control en el acceso al centro de dato? Si la respuesta es afirmativa indique él mecanismo utilizado. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 07 ¿Cuenta con planes de contingencia? Explique SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 08 ¿Existe un procedimiento de selección de personal calificado? Explique SI NO Especifique: pero no se adapta a los requerimientos actuales de exigidos por la organización _____________________________________________________________________________ 09 ¿El personal responsable de la administración de la red de datos fue notificado de forma escrita de las funciones inherentes al cargo? Explique SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________ 10 ¿Existe personal encargado para realizar el monitoreo de los servicios de red? Si la respuesta es afirmativa, especifique. SI NO Especifique____ _______________________________________________________________ _____________________________________________________________________________
  • 17. LISTA DE CHEQUEO CODIGO LCSLF-01 CODIGO LCSLF-01 Nro LISTA DE CHEQUEO SI NO Se cuenta con políticas documentadas y probadas por la gerencia de tecnología 1 X de informacíon para prevenir ataques a la red datos 2 Se cuenta con registro de las caídas de los servicios de red X Los empleados tienen conocimiento de la existencia de los controles de 3 X seguridad establecidos en la red 4 Se llevan registro de incidentes ocurridos y la solución implementada X 5 Realizan monitoreo de los servicios de la red X 6 efectúan gestión a los archivos de registro X cuentan con planes de contingencia que permita recuperar los servicios de la red 7 X al momento de acontecer un incidente 8 existe personal capacitado para realizar la administración de la red X Cuenta con registro del tiempo en que se encuentran en funcionamiento los servicios de 9 X red 10 Cuentan tecnologías de video vigilancia dentro y alrededor del centro de computo X Cuentan con algún mecanismo de acceso al centro de computo (guardias de seguridad, 11 carnet de identificación automática con códigos de barras, banda magnética, tarjetas de X proximidad por radio frecuencia, sistemas biométricos) ENTREVISTA CODIGO ENSLF-01 1. ¿Tiene definida las responsabilidades de su cargo? R. No están definidas las responsabilidades del cargo 2. ¿Existe un encargado del monitoreo de los servicios de la red de datos? R. No existe personal responsable que realice esa función 3. ¿Cuenta con políticas escritas y aprobados por la gerencia de tecnología de información para realizar la gestión de seguridad de la red de datos? R. Existen políticas pero no están documentadas ni para su implementación fueron aprobadas por la gerencia de tecnología de información
  • 18. 4. ¿Tiene conocimientos de planes documentados que permitan a la organización recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo estimado? R. Existen planes que permitan realizar dicha labor 5. ¿Al ocurrir alguna anomalía en la red de datos es reportada a sus superiores inmediatamente? R. Solo verbalmente 6. ¿Realiza gestión sobre los archivos de registro y utiliza alguna herramienta para ello? R. No se realiza gestión sobre los archivos de registros 7. ¿Cuenta con adiestramiento continuo para realizar la gestión de seguridad de la red de datos? R. No se cuenta con adiestramiento para el personal 8. ¿Realiza revisión periódica de las políticas utilizadas para la seguridad de la red de datos? R. Sí, pero no se encuentre documentado dicho procedimiento 9. ¿Participa en el diseño de las políticas de la seguridad de la red de datos? R. Si 10. ¿Los incidentes ocurridos en la red de datos y sus soluciones se encuentran documentos? No se lleva documentación sobre los incidentes ocurridos ni de la solución implementada MATRIZ DE EVALUACION CODIGO MESLF-01 MATRIZ DE EVALUACION CODIGO MESLF-01 EVALUAR Y CALIFICAR EL CUMPLIMIENTO DE LOS EXCELENTE BUENO SUFICIENTE REGULAR DEFICIENTE SIGUIENTES ASPECTOS CONTROL DE ACCESO Y AUTENTICACION X O O O O GESTION DE LOS ARCHIVOS DE REGISTROS O O O X O TIEMPO DE ACTIVIDAD DE LOS SERVICIOS DE LA RED DE DATOS O O X O O MECANISMOS DE SEGURIDAD O O O O X
  • 19. DENTRO Y ALREDEDOR DEL CENTRO DE CÓMPUTO PLANES DE CONTINGENCIA Y RECUPERACIÓN ANTE HECHOS EXTERNOS O AMBIENTALES O O O O X MATRIZ DE EVALUACION CODIGO MESLF-02 EVALUAR Y CALIFICAR EL CUMPLIMIENTO DE LOS EXCELENTE BUENO REGULAR DEFICIENTE SIGUIENTES ASPECTOS -Pc actualizados de marcas reconocidas(lenovo) -Switch de marcar reconocidas (cisco) y modelos actuales -Servidores marca IBM con características superiores a la PLATAFORMA TECNOLOGICA DE LA estándar de fabrica O O O RED -Router de marca reconocida (cisco) y modelo actual -Firewall de marca reconocida con soporte de actualización de los servicios -Antivirus corporativo y soporte de actualización -No se cuenta con segmentación de la red de DESEMPEÑO DE LA RED O O O datos -Crecimiento no planificado de puntos de
  • 20. red (entrada de nuevo personal a la organización) -Servicios de red no optimizados -Cableado inadecuado en algunas unidades de la organización -No se cuenta con personal para dicha tarea -No existen GESTION DE SEGURIDAD O O O políticas acorde a los requerimientos de la organización No se cuenta con procedimientos DOCUMENTACION Y ESTANDARES documentados O O O para la gestión de la seguridad de la red de datos
  • 21. OBSERVACIONES DE LOS HALLAZGOS Inadecuada gestión sobres los archivos de registro No hay difusión de las políticas de seguridad de la red a los usuarios No se llevan registro de incidentes ocurridos y la solución implementada No cuentan con personal capacitado para realizar gestión de seguridad de la red de datos No cuentan con planes que permitan a la organización recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial Deficiencia en los métodos preventivos a riesgos por ubicación No poseen mecanismos de seguridad dentro y alrededor del centro de computo No existe personal encargado del monitoreo de los servicios de la red de datos No llevan registro documentado sobre los incidentes en la red de datos y las soluciones implementadas Deficiencia en el adiestramiento al personal que realiza la gestión de la red de datos Algunas políticas no están acorde a los requerimientos de la organización Cableado estructura que no cumple con los estándares No existe segmentación de la red No se realizan mantenimientos preventivos a los servidores RECOMENDACIONES Establecer y hacer uso de políticas de seguridad Realizar planes estratégicos que involucren la seguridad de la red Se debe implementar un procedimiento y documentarlo para llevar la administración y el análisis de los archivos de registro Se sugiere desarrollar un procedimiento documentado que permita registrar de la forma más expedita los incidentes ocurridos en la red de datos y la solución realizada Realizar talleres con todo el personal como medio de difusión de las políticas de seguridad Realizar monitoreo minucioso de la red para mitigar las posibles causa de los servicios de red Definir funciones especificas al personal encargado de la gestión de red Realizar un plan de contingencia que permitan a la organización recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial Capacitar al personal en las funciones a desempeñar Documentar las políticas a implementar en la red de datos y las mismas deben contar con la aprobación del comité gerencial CONCLUSION La seguridad de la red de datos cada día cobra más importancia dentro de las organizaciones debido a que la red es la que soporta la conectividad entre los diferentes dispositivos que la integran además siendo un factor determinante en la gestión del activo más importante para toda empresa que es la información. Es de vital importancia para la organización contar con planes que permitan recuperar y
  • 22. restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial, ya que una infracción de seguridad puede causar un daño irreparable a la reputación o la imagen de marca de la compañía. Educando a los usuarios en el uso de las mejores prácticas, la organización debe estipular métodos preventivos para la seguridad interna de la red de datos para ello debe fomentar la conciencia entre los usuarios de la importancia que tiene para todos los empleados el buen funcionamiento de la red, para lo cual los usuarios finales deben ser participes en el cumplimientos de las políticas implementadas para la seguridad de la red de datos. Para el establecimiento de políticas acorde con los requerimientos de la organización se deben llegar registros detallados de los incidentes ocurridos anexando las evidencias encontradas y además las soluciones implementadas en los casos. Para mitigar los riesgos es indispensable la concientización de la directiva en el rol fundamental que desempeña la correcta aplicación de políticas de seguridad de la red de datos en el buen desempeño de la organización.