AUDITORIA DE REDES AUDITORIA DE REDES

Ing. Victor Andres Ochoa Correa Ing. Victor Andres Ochoa Correa
DEFINICION DEFINICION
Son Son una una serie serie de de mecanismos mecanismos mediante mediante los los
cuales cuales se se prueba prueba una una Red Red Informtica, Informtica,
evaluando evaluando su su desempeo desempeo yy seguridad, seguridad, evaluando evaluando su su desempeo desempeo yy seguridad, seguridad,
logrando logrando una una utilizacion utilizacion mas mas eficiente eficiente yy
Segura Segura de de la la informacion informacion..
ETAPAS ETAPAS A AIMPLEMENTAR IMPLEMENTAR
Analisis de Vulnerabilidad: Analisis de Vulnerabilidad:
Punto Punto mas mas critico critico de de toda toda la la auditoria auditoria porque porque
de de el el depende depende el el curso curso de de accion accion aa tomar tomar en en las las
siguientes siguientes etapas etapas yy el el exito exito de de ellas ellas..
2 2.. Estrategia Estrategia de de Saneamiento Saneamiento::
Parchea Parchea la la red red despues despues haber haber identificado identificado
las las brechas, brechas, reconfigurandolas reconfigurandolas oo
reemplazandolas reemplazandolas por por otra otra mas mas segura segura..
Las Las bases bases de de datos, datos, servidores servidores internos internos correo, correo,
comunicacion comunicacion sin sin cifrar, cifrar, estaciones estaciones de de trabajo trabajo
se se deben deben reducir reducir el el riesgo riesgo..
33.. Plan Plan Contingencia Contingencia::
Replantear Replantear la la red red
Software Software reconfigurado reconfigurado oo rediseado rediseado Software Software reconfigurado reconfigurado oo rediseado rediseado
Reportar Reportar nuevos nuevos fallos fallos de de seguridad seguridad
El El riesgo riesgo con con estos estos items items del del plan plan de de contingencia contingencia
disminuye disminuye..
33.. Seguimiento Seguimiento continuo continuo::
Se Se debe debe estar estar pendiente pendiente aa los los fallos fallos que que se se
presentan presentan los los cuales cuales facilitan facilitan intrusion intrusion de de los los
sistemas sistemas.. Pero Pero existen existen nuevas nuevas tecnologias tecnologias
para para prevenir prevenir estos estos problemas problemas.. Se Se debe debe estar estar para para prevenir prevenir estos estos problemas problemas.. Se Se debe debe estar estar
pendientes pendientes de de lo lo que que sucede sucede para para cubrir cubrir las las
nuevas nuevas brechas brechas yy hacer hacer el el trabajo trabajo mas mas dificil dificil
aa nuestros nuestros atacantes atacantes..
AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA
Se debe garantizar que exista: Se debe garantizar que exista: Se debe garantizar que exista: Se debe garantizar que exista: Se debe garantizar que exista: Se debe garantizar que exista: Se debe garantizar que exista: Se debe garantizar que exista:
reas reas de de equipo equipo de de comunicacin comunicacin con con control control de de
acceso acceso
Proteccin Proteccin yy tendido tendido adecuado adecuado de de cables cables yy lneas lneas de de Proteccin Proteccin yy tendido tendido adecuado adecuado de de cables cables yy lneas lneas de de
comunicacin comunicacin para para evitar evitar accesos accesos fsicos fsicos
Control Control de de utilizacin utilizacin de de equipos equipos de de prueba prueba de de
comunicaciones comunicaciones para para monitorizar monitorizar la la red red yy el el trafico trafico en en
ella ella
Prioridad Prioridad de de recuperacin recuperacin del del sistema sistema
Control Control de de las las lneas lneas telefnicas telefnicas
AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA
Se debe Comprobar que: Se debe Comprobar que: Se debe Comprobar que: Se debe Comprobar que: Se debe Comprobar que: Se debe Comprobar que: Se debe Comprobar que: Se debe Comprobar que:
El El equipo equipo de de comunicaciones comunicaciones debe debe estar estar en en un un lugar lugar
cerrado cerrado yy con con acceso acceso limitado limitado
Se Se tomen tomen medidas medidas para para separar separar las las actividades actividades de de los los Se Se tomen tomen medidas medidas para para separar separar las las actividades actividades de de los los
electricistas electricistas yy de de cableado cableado de de lneas lneas telefnicas telefnicas
Las Las lneas lneas de de comunicacin comunicacin estn estn fuera fuera de de la la vista vista
Se Se d d un un cdigo cdigo aa cada cada lnea, lnea, en en vez vez de de una una descripcin descripcin
fsica fsica de de la la misma misma
Haya Haya procedimientos procedimientos de de proteccin proteccin de de los los cables cables yy las las
bocas bocas de de conexin conexin para para evitar evitar pinchazos pinchazos aa la la red red
AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA AUDITORIA DE LA RED FISICA
Se debe Comprobar que: Se debe Comprobar que: Se debe Comprobar que: Se debe Comprobar que: Se debe Comprobar que: Se debe Comprobar que: Se debe Comprobar que: Se debe Comprobar que:
La La seguridad seguridad fsica fsica del del equipo equipo de de comunicaciones comunicaciones sea sea adecuada adecuada
Existan Existan revisiones revisiones peridicas peridicas de de la la red red buscando buscando pinchazos pinchazos aa la la
misma misma misma misma
El El equipo equipo de de prueba prueba de de comunicaciones comunicaciones ha ha de de tener tener unos unos
propsitos propsitos yy funciones funciones especficas especficas
Existan Existan alternativas alternativas de de respaldo respaldo de de las las comunicaciones comunicaciones
Con Con respecto respecto aa las las lneas lneas telefnicas telefnicas:: No No debe debe darse darse el el nmero nmero
como como pblico pblico yy tenerlas tenerlas configuradas configuradas con con retrollamada, retrollamada, cdigo cdigo de de
conexin conexin oo interruptores interruptores
AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES
Permite: Permite: Permite: Permite: Permite: Permite: Permite: Permite:
La La gestin gestin de de red red La La gestin gestin de de red red
La La monitorizacin monitorizacin de de las las comunicaciones comunicaciones..
La La revisin revisin de de costes costes yy la la asignacin asignacin formal formal de de
proveedores proveedores
Creacin Creacin yy aplicabilidad aplicabilidad de de estndares estndares
AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES
Objetivos de Control Objetivos de Control Objetivos de Control Objetivos de Control Objetivos de Control Objetivos de Control Objetivos de Control Objetivos de Control
Tener Tener una una gerencia gerencia con con autoridad autoridad de de voto voto yy accin accin
Llevar Llevar un un registro registro actualizado actualizado de de mdems, mdems, controladores, controladores,
terminales, terminales, lneas lneas yy todo todo equipo equipo relacionado relacionado con con las las terminales, terminales, lneas lneas yy todo todo equipo equipo relacionado relacionado con con las las
comunicaciones comunicaciones
Mantener Mantener una una vigilancia vigilancia en en las las acciones acciones en en la la red red
Registrar Registrar un un coste coste de de comunicaciones comunicaciones
Mejorar Mejorar el el rendimiento rendimiento yy la la resolucin resolucin de de problemas problemas
presentados presentados en en la la red red
AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES
Se debe Comprobar Se debe Comprobar Se debe Comprobar Se debe Comprobar Se debe Comprobar Se debe Comprobar Se debe Comprobar Se debe Comprobar
El El nivel nivel de de acceso acceso de de las las funciones funciones dentro dentro de de la la red red
Coordinacin Coordinacin de de la la organizacin organizacin en en la la comunicacin comunicacin
de de datos datos yy voz voz de de datos datos yy voz voz
Normas Normas de de comunicacin comunicacin
La La responsabilidad responsabilidaden en los los contratos contratos con con proveedores proveedores
La La creacin creacin de de estrategias estrategias de de comunicacin comunicacin aa largo largo
plazo plazo
AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES AUDITORIA EN COMUNICACIONES
Se debe Comprobar Se debe Comprobar Se debe Comprobar Se debe Comprobar Se debe Comprobar Se debe Comprobar Se debe Comprobar Se debe Comprobar
Tener Tener documentacin documentacin sobre sobre el el diagramado diagramado de de la la red red
Realizar Realizar pruebas pruebas sobre sobre los los nuevos nuevos equipos equipos Realizar Realizar pruebas pruebas sobre sobre los los nuevos nuevos equipos equipos
Establecer Establecer las las tasas tasas de de rendimiento rendimiento en en tiempo tiempo de de
respuesta respuesta de de las las terminales terminales yy la la tasa tasa de de errores errores..
Vigilancia Vigilancia sobre sobre toda toda actividad actividad on on--line line..
La La facturacin facturacin de de los los transportistas transportistas yy vendedores vendedores ha ha de de
revisarse revisarse regularmente regularmente..
AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA
Objetivo Objetivo Objetivo Objetivo Objetivo Objetivo Objetivo Objetivo
Evitar un dao interno en la Red Lgica Evitar un dao interno en la Red Lgica
Para evitar estas situaciones se Debe: Para evitar estas situaciones se Debe: Para evitar estas situaciones se Debe: Para evitar estas situaciones se Debe: Para evitar estas situaciones se Debe: Para evitar estas situaciones se Debe: Para evitar estas situaciones se Debe: Para evitar estas situaciones se Debe:
Dar Dar contraseas contraseas de de acceso acceso Dar Dar contraseas contraseas de de acceso acceso
Controlar Controlar los los errores errores
Garantizar Garantizar que que en en una una transmisin, transmisin, sea sea recibida recibida solo solo por por el el
destinatario destinatario.. YY para para esto, esto, se se cambia cambia la la ruta ruta de de acceso acceso de de la la
informacin informacin aa la la red red
Registrar Registrar las las actividades actividades de de los los usuarios usuarios en en la la red red
Encriptar Encriptar la la informacin informacin
Evitar Evitar la la importacin importacin yy exportacin exportacin de de datos datos
AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA
Recomendaciones Recomendaciones Recomendaciones Recomendaciones Recomendaciones Recomendaciones Recomendaciones Recomendaciones
Inhabilitar Inhabilitar el el software software oo hardware hardware con con acceso acceso libre libre
Crear Crear protocolos protocolos con con deteccin deteccin de de errores errores
Los Los mensajes mensajes lgicos lgicos de de transmisin transmisin han han de de llevar llevar
origen, origen, fecha, fecha, hora hora yy receptor receptor origen, origen, fecha, fecha, hora hora yy receptor receptor
El El software software de de comunicacin, comunicacin, debe debe tener tener
procedimientos procedimientos correctivos correctivos yy de de control control ante ante mensajes mensajes
duplicados, duplicados, perdidos perdidos oo retrasados retrasados
Los Los datos datos sensibles, sensibles, solo solo pueden pueden ser ser impresos impresos en en una una
impresora impresora especificada especificada yy ser ser vistos vistos desde desde una una Terminal Terminal
debidamente debidamente autorizada autorizada
AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA AUDITORIA DE LA RED LOGICA
Recomendaciones Recomendaciones Recomendaciones Recomendaciones Recomendaciones Recomendaciones Recomendaciones Recomendaciones
Se Se debe debe hacer hacer un un anlisis anlisis del del riesgo riesgo de de aplicaciones aplicaciones en en los los
procesos procesos
Asegurar Asegurar que que los los datos datos que que viajan viajan por por Internet Internet vayan vayan Asegurar Asegurar que que los los datos datos que que viajan viajan por por Internet Internet vayan vayan
cifrados cifrados..
Deben Deben existir existir polticas polticas que que prohban prohban la la instalacin instalacin de de
programas programas oo equipos equipos personales personales en en la la red red
Los Los accesos accesos aa servidores servidores remotos remotos han han de de estar estar inhabilitados inhabilitados
Generar Generar ataques ataques propios propios para para probar probar solidez solidez de de la la red red
AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD
INFORMATICA INFORMATICA INFORMATICA INFORMATICA INFORMATICA INFORMATICA INFORMATICA INFORMATICA
La seguridad en informtica abarca los conceptos de: La seguridad en informtica abarca los conceptos de: La seguridad en informtica abarca los conceptos de: La seguridad en informtica abarca los conceptos de: La seguridad en informtica abarca los conceptos de: La seguridad en informtica abarca los conceptos de: La seguridad en informtica abarca los conceptos de: La seguridad en informtica abarca los conceptos de:
Seguridad Seguridad Fsica Fsica:: Se Se refiere refiere aa la la proteccin proteccin del del hardware hardware yy de de Seguridad Seguridad Fsica Fsica:: Se Se refiere refiere aa la la proteccin proteccin del del hardware hardware yy de de
los los soportes soportes de de datos datos..
Seguridad Seguridad Lgica Lgica:: Se Se refiere refiere aa la la seguridad seguridad del del uso uso del del
software software aa la la proteccin proteccin de de los los datos, datos, procesos procesos yy programas programas..
AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD
INFORMATICA INFORMATICA INFORMATICA INFORMATICA INFORMATICA INFORMATICA INFORMATICA INFORMATICA
Un mtodo eficaz para proteger sistemas de Un mtodo eficaz para proteger sistemas de
computacin es el software de control de acceso. computacin es el software de control de acceso. computacin es el software de control de acceso. computacin es el software de control de acceso.
Estos protegen contra el acceso no autorizado, Estos protegen contra el acceso no autorizado,
solicitan un usuario y contrasea. solicitan un usuario y contrasea.
ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR
UN SISTEMA DE SEGURIDAD UN SISTEMA DE SEGURIDAD UN SISTEMA DE SEGURIDAD UN SISTEMA DE SEGURIDAD UN SISTEMA DE SEGURIDAD UN SISTEMA DE SEGURIDAD UN SISTEMA DE SEGURIDAD UN SISTEMA DE SEGURIDAD
Los Los Los Los Los Los Los Los medios medios medios medios medios medios medios medios necesarios necesarios necesarios necesarios necesarios necesarios necesarios necesarios para para para para para para para para elaborar elaborar elaborar elaborar elaborar elaborar elaborar elaborar su su su su su su su su sistema sistema sistema sistema sistema sistema sistema sistema de de de de de de de de seguridad seguridad seguridad seguridad seguridad seguridad seguridad seguridad
se se se se se se se se debe debe debe debe debe debe debe debe considerar considerar considerar considerar considerar considerar considerar considerar los los los los los los los los siguientes siguientes siguientes siguientes siguientes siguientes siguientes siguientes puntos puntos puntos puntos puntos puntos puntos puntos: :: :: :: :
Sensibilizar Sensibilizar aa los los ejecutivos ejecutivos de de la la organizacin organizacin en en torno torno al al
tema tema de de seguridad seguridad..
Realizar Realizar un un diagnstico diagnstico de de la la situacin situacin de de riesgo riesgo yy
seguridad seguridad de de la la informacin informacin en en la la organizacin organizacin aa nivel nivel
software, software, hardware, hardware, recursos recursos humanos, humanos, yy ambientales ambientales..
Elaborar Elaborar un un plan plan para para un un programa programa de de seguridad seguridad..
PLAN DE SEGURIDAD PLAN DE SEGURIDAD PLAN DE SEGURIDAD PLAN DE SEGURIDAD PLAN DE SEGURIDAD PLAN DE SEGURIDAD PLAN DE SEGURIDAD PLAN DE SEGURIDAD
El El El El El El El El plan plan plan plan plan plan plan plan de de de de de de de de seguridad seguridad seguridad seguridad seguridad seguridad seguridad seguridad debe debe debe debe debe debe debe debe asegurar asegurar asegurar asegurar asegurar asegurar asegurar asegurar la la la la la la la la integridad integridad integridad integridad integridad integridad integridad integridad y yy yy yy y exactitud exactitud exactitud exactitud exactitud exactitud exactitud exactitud
de de de de de de de de los los los los los los los los datos datos datos datos datos datos datos datos debe debe debe debe debe debe debe debe: :: :: :: :
Permitir Permitir identificar identificar la la informacin informacin que que es es confidencial confidencial
Contemplar Contemplar reas reas de de uso uso exclusivo exclusivo
Proteger Proteger yy conservar conservar los los activos activos de de desastres desastres provocados provocados por por la la Proteger Proteger yy conservar conservar los los activos activos de de desastres desastres provocados provocados por por la la
mano mano del del hombre hombre yy los los actos actos abiertamente abiertamente hostiles hostiles
Asegurar Asegurar la la capacidad capacidad de de la la organizacin organizacin para para sobrevivir sobrevivir
accidentes accidentes
Proteger Proteger aa los los empleados empleados contra contra tentaciones tentaciones oo sospechas sospechas
innecesarias innecesarias
Contemplar Contemplar la la administracin administracin contra contra acusaciones acusaciones por por
imprudencia imprudencia
Implantar un Sistema de Seguridad en Marcha Implantar un Sistema de Seguridad en Marcha Implantar un Sistema de Seguridad en Marcha Implantar un Sistema de Seguridad en Marcha Implantar un Sistema de Seguridad en Marcha Implantar un Sistema de Seguridad en Marcha Implantar un Sistema de Seguridad en Marcha Implantar un Sistema de Seguridad en Marcha
1. 1. Introducir el tema de seguridad en la visin de la empresa. Introducir el tema de seguridad en la visin de la empresa.
2. 2. Definir los procesos de flujo de informacin y sus riesgos en cuanto a Definir los procesos de flujo de informacin y sus riesgos en cuanto a
todos los recursos participantes. todos los recursos participantes.
3. 3. Capacitar a los gerentes y directivos, contemplando el enfoque Capacitar a los gerentes y directivos, contemplando el enfoque
global. global.
4. 4. Designar y capacitar supervisores de rea. Designar y capacitar supervisores de rea. 4. 4. Designar y capacitar supervisores de rea. Designar y capacitar supervisores de rea.
5. 5. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras Definir y trabajar sobre todo las reas donde se pueden lograr mejoras
relativamente rpidas. relativamente rpidas.
6. 6. Mejorar las comunicaciones internas. Mejorar las comunicaciones internas.
7. 7. Identificar claramente las reas de mayor riesgo corporativo y Identificar claramente las reas de mayor riesgo corporativo y
trabajar con ellas planteando soluciones de alto nivel. trabajar con ellas planteando soluciones de alto nivel.
8. 8. Capacitar a todos los trabajadores en los elementos bsicos de Capacitar a todos los trabajadores en los elementos bsicos de
seguridad y riesgo para el manejo del software, hardware y con seguridad y riesgo para el manejo del software, hardware y con
respecto a la seguridad fsica. respecto a la seguridad fsica.
Beneficios de un Sistema de Beneficios de un Sistema de Beneficios de un Sistema de Beneficios de un Sistema de Beneficios de un Sistema de Beneficios de un Sistema de Beneficios de un Sistema de Beneficios de un Sistema de
Seguridad Seguridad Seguridad Seguridad Seguridad Seguridad Seguridad Seguridad
Aumento de la productividad. Aumento de la productividad.
Aumento de la motivacin del personal. Aumento de la motivacin del personal.
Compromiso con la misin de la compaa. Compromiso con la misin de la compaa. Compromiso con la misin de la compaa. Compromiso con la misin de la compaa.
Mejora de las relaciones laborales. Mejora de las relaciones laborales.
Ayuda a formar equipos competentes. Ayuda a formar equipos competentes.
Mejora de los climas laborales para los R.H. Mejora de los climas laborales para los R.H.
GRACIAS GRACIAS GRACIAS GRACIAS GRACIAS GRACIAS GRACIAS GRACIAS