Auditoría de Redes AUD 721 Módulo 7 Carmen R. Cintrón Ferrer - 2004, Derechos Reservados.
-
Upload
monica-crespo-macias -
Category
Documents
-
view
213 -
download
0
Transcript of Auditoría de Redes AUD 721 Módulo 7 Carmen R. Cintrón Ferrer - 2004, Derechos Reservados.
Auditoría de RedesAUD 721
Módulo 7
Carmen R. Cintrón Ferrer - 2004, Derechos Reservados
Contenido Temático
• Tecnología de redes
• Planificación y evaluación de redes
• Seguridad y protección de redes
• Integración de peritos técnicos
• Proceso de auditoría de redes
• Informe de auditoría de redes
Proceso de auditoría de redes
Informe de auditoría
Séptimo módulo
Proyecto final
Componentes de auditoría de redes√ Introducción√ Descripción del proceso√ Hallazgos√ Clasificación de Hallazgos√ Recomendaciones
Proyecto final
Introducción:√ Ámbito de la auditoría y tipo√ Equipo de trabajo√ Estimado de tiempo √ Requerimientos de compromiso
organizacional
Proyecto final
• Carta de presentación:√ Ámbito de la auditoría y tipo√ Equipo de trabajo√ Estimado de tiempo √ Requerimientos de compromiso organización
• Anejos:√ Resumés del personal en equipo de trabajo√ Acuerdo de confidencialidad√ Itinerario preliminar propuesto
Proyecto final
Proceso – Fase I:√ Documentos a solicitar√ Áreas a visitar√ Procesos y servicios críticos
• Identificar procesos y servicios de acuerdo al tipo de auditoría• Establecer nivel de profundidad en examen• Afinar expectativas del proceso de auditoría
√ Personas a entrevistar:• Enumerar personas a entrevistar• Documentos a examinar con entrevistado• Tipo de preguntas para cada entrevista• Listas de cotejo aplicable a cada área a examinar
Proyecto final
Proceso – Fase II:√ Riesgos que debo esperar (centrar investigación):
• Físicos• Entorno• Conexión• Equipos de la red y servidores, otros equipos• Personas: interno y externo• Sistemas: basados en la red, que apoyan la red• Ingeniería social• Otros
√ Agrupar riesgos:• Internos/externos• Nivel de impacto estimado
Proyecto final
Proceso – Fase II (Continuación):√ Pasos a seguir:
• Proveedor(es) de Internet• Otra(s) conexión(es) al exterior• Políticas y procedimientos de acceso a Internet• Controles de acceso y de seguridad• Controles sobre la presencia cibernética y archivos en el Web• Infraestructura de la red• Segmentación y control sobre las direcciones IP• Autenticación, autorización y acceso
Proyecto final
Proceso – Fase II (Continuación):√ Pasos a seguir:
• Medir amenazas a la estructura de la red• Examen de configuración: Router(s), Firewall(s) y Switchs• Examen de configuración: VLAN’s, VPN’s y Proxies• Vías permiten obviar controles existentes (vulnerabilidades)• Control sobre transacciones y servicios basados en Internet• Acuerdos con colaboradores externos• Evaluar seguridad de transacciones basadas en Internet• Evaluar seguridad de servidores y servicios• Evaluar seguridad de depósitos de llaves (“password crack”)
Proyecto final
Proceso – Fase II (Continuación):√ Personal a integrar:
• Respaldo organizacional• Contactos con proveedores o colaboradores• Técnicos para hacer las pruebas • Especialista en BCP y DSS• Asesor legal (“Compliance”)• Otros
Proyecto final
Proceso – Fase II (Continuación):√ Medidas de mitigación:
• Manejo de procesos de “backup-restore”• “Business Process Continuity Plan”• “Disaster Recovery Plan”• Seguros
√ Verificación de mecanismos para:• Implantación • Divulgación (“Awareness”)• Revisión periódica
Proyecto final
Tipo de Hallazgos Esperados:√ Clasificación de hallazgos√ Categorización√ Estimación de impacto y recursos
Proyecto final
• Conclusiones:√ Generales√ Particulares√ Especiales
• Recomendaciones y plan de acción• Entrega del informe (describir proceso):
√ Entrevistas previas a entrega del informe√ Presentación y discusión las recomendaciones√ Informe final