Auditoría de RedesAUD 721

Módulo 7

Carmen R. Cintrón Ferrer - 2004, Derechos Reservados

Contenido Temático

• Tecnología de redes

• Planificación y evaluación de redes

• Seguridad y protección de redes

• Integración de peritos técnicos

• Proceso de auditoría de redes

• Informe de auditoría de redes

Proceso de auditoría de redes

Informe de auditoría

Séptimo módulo

Proyecto final

Componentes de auditoría de redes√ Introducción√ Descripción del proceso√ Hallazgos√ Clasificación de Hallazgos√ Recomendaciones

Proyecto final

Introducción:√ Ámbito de la auditoría y tipo√ Equipo de trabajo√ Estimado de tiempo √ Requerimientos de compromiso

organizacional

Proyecto final

• Carta de presentación:√ Ámbito de la auditoría y tipo√ Equipo de trabajo√ Estimado de tiempo √ Requerimientos de compromiso organización

• Anejos:√ Resumés del personal en equipo de trabajo√ Acuerdo de confidencialidad√ Itinerario preliminar propuesto

Proyecto final

Proceso – Fase I:√ Documentos a solicitar√ Áreas a visitar√ Procesos y servicios críticos

• Identificar procesos y servicios de acuerdo al tipo de auditoría• Establecer nivel de profundidad en examen• Afinar expectativas del proceso de auditoría

√ Personas a entrevistar:• Enumerar personas a entrevistar• Documentos a examinar con entrevistado• Tipo de preguntas para cada entrevista• Listas de cotejo aplicable a cada área a examinar

Proyecto final

Proceso – Fase II:√ Riesgos que debo esperar (centrar investigación):

• Físicos• Entorno• Conexión• Equipos de la red y servidores, otros equipos• Personas: interno y externo• Sistemas: basados en la red, que apoyan la red• Ingeniería social• Otros

√ Agrupar riesgos:• Internos/externos• Nivel de impacto estimado

Proyecto final

Proceso – Fase II (Continuación):√ Pasos a seguir:

• Proveedor(es) de Internet• Otra(s) conexión(es) al exterior• Políticas y procedimientos de acceso a Internet• Controles de acceso y de seguridad• Controles sobre la presencia cibernética y archivos en el Web• Infraestructura de la red• Segmentación y control sobre las direcciones IP• Autenticación, autorización y acceso

Proyecto final

Proceso – Fase II (Continuación):√ Pasos a seguir:

• Medir amenazas a la estructura de la red• Examen de configuración: Router(s), Firewall(s) y Switchs• Examen de configuración: VLAN’s, VPN’s y Proxies• Vías permiten obviar controles existentes (vulnerabilidades)• Control sobre transacciones y servicios basados en Internet• Acuerdos con colaboradores externos• Evaluar seguridad de transacciones basadas en Internet• Evaluar seguridad de servidores y servicios• Evaluar seguridad de depósitos de llaves (“password crack”)

Proyecto final

Proceso – Fase II (Continuación):√ Personal a integrar:

• Respaldo organizacional• Contactos con proveedores o colaboradores• Técnicos para hacer las pruebas • Especialista en BCP y DSS• Asesor legal (“Compliance”)• Otros

Proyecto final

Proceso – Fase II (Continuación):√ Medidas de mitigación:

• Manejo de procesos de “backup-restore”• “Business Process Continuity Plan”• “Disaster Recovery Plan”• Seguros

√ Verificación de mecanismos para:• Implantación • Divulgación (“Awareness”)• Revisión periódica

Proyecto final

Tipo de Hallazgos Esperados:√ Clasificación de hallazgos√ Categorización√ Estimación de impacto y recursos

Proyecto final

• Conclusiones:√ Generales√ Particulares√ Especiales

• Recomendaciones y plan de acción• Entrega del informe (describir proceso):

√ Entrevistas previas a entrega del informe√ Presentación y discusión las recomendaciones√ Informe final