Auditoria Redes

 ¿Qué es la Auditoría de Redes?
 La Auditoría Informática constituye una serie de

exámenes que se realizan en un sistema informático de
manera periódica o esporádica, con el propósito de
analizar y evaluar la planificación, la eficacia, sus
objetivos de control, la seguridad, economía y por
supuesto la detección de irregularidades que se
podrían manifestar en el procesamiento de la
información.
Concepto de Auditoría
a las tecnologías de la Información
Existen, normas, técnicas y buenas practicas

dedicadas a la evaluación y aseguramiento de la
calidad, seguridad y disponibilidad de la
INFORMACION, así como de la eficiencia, eficacia y
economía con que la administración de un ente están
manejando dicha INFORMACION y todos los recursos
físicos y humanos asociados para su adquisición,
captura, procesamiento, transmisión, distribución, uso y
almacenamiento.
Concepto
El primer paso para iniciar una

gestión responsable de la seguridad es
identificar la estructura física (hardware,
topología) y lógica (software, aplicaciones)
del sistema (sea un equipo, red, intranet,
extranet), y hacerle una Análisis de
Vulnerabilidad, para saber en qué grado de
exposición nos encontramos.
Fases de la Auditoría
Informática
 TOMA DE CONTACTO
 PLANIFICACION DE LA OPERACION
 DESARROLLO DE LA AUDITORIA
 FASE DE DIAGNOSTICO
 PRESENTACION DE LAS CONCLUSIONES
 FORMULACION DEL PLAN DE MEJORAS
Procedimientos
 Las bitácoras contienen información crítica

es por ello que deben ser analizadas, ya
que están teniendo mucha relevancia,
como evidencia en aspectos legales.
 El uso de herramientas automatizadas es
de mucha utilidad para el análisis de
bitácoras, es importante registrar todas las
bitácoras necesarias de todos los sistemas
de cómputo para mantener un control de
las mismas.
Se debe hacer una investigación preliminar
solicitando y revisando la información de
cada una de las áreas de la organización.
Para poder analizar y dimensionar la

estructura por auditar se debe solicitar:
1- A nivel Organización Total:

Objetivos a corto y largo plazo
Manual de la Organización
Antecedentes o historia del Organismo
Políticas generales
2. A nivel Área informática:
Objetivos a corto y largo plazo
Manual de organización del área que incluya
puestos, niveles jerárquicos y tramos de mando.
Manual de políticas, reglamentos internos y
lineamientos generales.
Número de personas y puestos en el área
Procedimientos administrativos en el área.
Presupuestos y costos del área.
3. Recursos materiales y técnicos
Solicitar documentos sobre los equipos, número (de los
equipos por instalados, por instalar y programados),
localización y características.
Fechas de instalación de los equipos y planes de
instalación.
Contratos vigentes de compra, renta y servicio de
mantenimiento.
Contrato de seguros
Convenios que se mantienen con otras instalaciones
Configuración de los equipos, capacidades actuales y
máximas.
Planes de expansión
Ubicación general de los equipos
Políticas de operación
Políticas de uso o de equipos
4- Sistemas
 Manual de formularios.
 Manual de procedimientos de los sistemas
 Descripción genérica
 Diagrama de entrada, archivo y salida.
 Salidas impresas
 Fecha de instalación de los sistemas
 Proyectos de instalación de nuevos sistemas.
Como resultado de los trabajos preliminares se debe
explicitar:
objetivo
alcance
limitaciones y colaboración necesarias
grado de responsabilidad
Informes que se entregaran
 Toma de Contacto En esta etapa se
deberán establecer:
 - Definitivamente el objetivo de la AI
 - Las áreas a cubrir
 - Personas de la Organización que habrán
de colaborar y en que momentos de la
auditoria
 - Plan de trabajo:
 - tareas
 - calendario
 - resultados parciales
 - presupuesto
 - equipo auditor necesario
Planificación de la Operación
Desarrollo de la Auditoria Informática
 Es el momento de ejecutar las tareas que se
enunciaron en la fase anterior. Es esta una fase de
observación, de recolección de datos,
situaciones, deficiencias, en resumen un período
en el que:
 se efectuarán las entrevistas previstas en la
fase de planificación.
 se completarán todos los cuestionarios que
presente el auditor
 se observarán las situaciones deficientes,
no solo las aparentes, sino las que hasta
ahora no hayan sido detectadas, para lo
que se podrá llegar a simular situaciones
límites.
 se observarán los procedimientos, tanto los
informáticos como los de usuarios.
 se ejecutarán por lo tanto, todas las
previsiones efectuadas en la etapa anterior
con el objeto de llegar a la siguiente etapa
en condiciones de diagnosticar la situación
encontrada.
Fase de Diagnóstico
 Cuando ya se hayan efectuado todas los

estudios y revisiones, se debe elaborar el
diagnóstico. Como resultados de esta etapa
han de quedar claramente definidos los puntos
débiles, y por contrapunto los fuertes, los
riesgos eventuales, y en primera instancia los
posibles tipos de solución o mejoras de los
problemas planteados.
 Estas conclusiones se discutirán con las

personas afectadas por lo que serán
suficientemente argumentadas y probadas.
La red física
 La estructura de control
establecida para administrar la
integridad, confidencialidad y la
accesibilidad a los datos y recursos
del sistema de información.
Garantizar
 Áreas de equipo de comunicación con control

de acceso.
 Protección y tendido adecuado de cables y
líneas de comunicación para evitar accesos
físicos.
 Control de utilización de equipos de prueba de
comunicaciones para monitorizar la red y el
tráfico en ella.
 Prioridad de recuperación del sistema.
 Control de las líneas telefónicas.
Comprobando que
 El equipo de comunicaciones ha de estar en un

lugar cerrado y con acceso limitado.
 La seguridad física del equipo de
comunicaciones sea adecuada.
 Se tomen medidas para separar las actividades d
e los electricistas y de cableado de líneas
telefónicas
 Las líneas de comunicación están fuera de la
vista
 Se de un código a cada línea, en vez de una
descripción física de la misma.
 Haya procedimientos de protección de los
cables y las bocas de conexión para evitar
pinchazos a la red.
 Existan revisiones periódicas de la red buscando
pinchazos a la misma.
 El equipo de prueba de comunicaciones !a de
tener unos propósitos y funciones específicas.
 Existan alternativas de respaldo de las
comunicaciones.
 Con respecto a las líneas telefónicas& 'o debe
darse el n(mero como público y tenerlas
configuradas con retrollamada, código de
conexión o interruptores.
 Presentación de las Conclusiones
 Formulación del Plan de Mejoras
Llegados a este último punto, la dirección

conoce ya las deficiencias que el equipo
auditor ha observado en su departamento
informático, éstas han sido discutidas. Mas no
basta con quedarse ahí, ahora es cuando los
auditores han de demostrar su experiencia en
situaciones anteriores lo suficientemente
contrastadas y exitosas y ser capaces de
adjuntar, al informe de auditoría, el plan de
mejoras que permitirá solventar las
deficiencias encontradas.
Casos de estudio
 01/02/2017 Gitab.com pierde 8H de información

 07/08/2015 El director tecnológico y co-fundador
de la empresa de seguridad móvil Lookout, Kevin
Mahaffey, y su compañero Marc Rogers,
investigador principal de seguridad
de CloudFlare, encontraron seis vulnerabilidades
en el sistema del coche y han trabajado
conjuntamente con Tesla Company durante
varias semanas para corregir estos problemas.
 14/07/2017 FIAT Chrysler retira 1,400 millones de
coches coches para instalar los parches.

Auditoria Redes

Cargado por

Copyright:

Formatos disponibles

Auditoria Redes

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Redes

Cargado por

Copyright:

Formatos disponibles

 ¿Qué es la Auditoría de Redes?

 La Auditoría Informática constituye una serie de

Existen, normas, técnicas y buenas practicas

El primer paso para iniciar una

 Las bitácoras contienen información crítica

Para poder analizar y dimensionar la

1- A nivel Organización Total:

 Cuando ya se hayan efectuado todas los

 Estas conclusiones se discutirán con las

 Áreas de equipo de comunicación con control

 El equipo de comunicaciones ha de estar en un

Llegados a este último punto, la dirección

 01/02/2017 Gitab.com pierde 8H de información

También podría gustarte