U N I V E R S I DA D N AC I O N A L D E

S A N M A RT I N
FA C U LTA D D E C I E N C I A S
ECONÓMICAS
ESCUELA PROFESIONAL DE CONTABILIDAD

INTEGRANTES:

 CUTIPA PIZARRO PATRICIA IRINA.

 GARCIA GARCIA JORGE ARMANDO.
AUDITORIA DE
SISTEMA DE
REDES
 DEFINICIONES

AUDITORIA: SISTEMA:
Es la acumulación y evaluación objetiva Un sistema es un conjunto de
de evidencia para establecer e informar partes ordenadas e
sobre el grado de correspondencia entre interrelacionadas para llegar a un
la información examinada y criterios propósito o fin determinado.
establecidos.

REDES:
Una red informática es un conjunto de
dispositivos interconectados entre sí a través de
un medio, que intercambian información y
comparten recursos.
AUDITORIA DE SISTEMA DE REDES

Son un conjunto de técnicas y

procedimientos de gestión,
destinados al análisis y control de los
sistemas que componen una red,
mediante los cuales se pone a
prueba una red informática,
evaluando su desempeño y
seguridad, a fin de lograr una
utilización más eficiente y segura de
la información.
 AUDITORIA DE SISTEMA DE REDES

OBJETIVO

La auditoría de sistema de redes deberá comprender no solo la

evaluación de los equipos de cómputo, de un sistema o
procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de
información.
 AUDITORIA DE SISTEMA DE REDES

Esta es de vital importancia para el buen

IMPORTANCIA desempeño de los sistemas de
información, ya que proporciona los
controles necesarios para que los sistemas
sean confiables y con un buen nivel de
seguridad

El alcance ha de definir con precisión el

entorno y los limites en que va a
desarrollarse la auditoria de sistema de
redes, se complementa con los objetivos ALCANCES
de esta.
 PROPÓSITO DE LA AUDITORÍA DE REDES

BRINDAR INFORMACIÓN SOBRE EL

ESTADO DE LAS MEDIDAS DE SEGURIDAD
APLICADAS, PARA IDENTIFICAR FALLAS,
EVALUARLAS Y POSTERIORMENTE
CORREGIRLAS.
 TIPOS DE EVALUACIONES DE AUDITORIA DE
SISTEMA DE REDES
¿Física o lógica?
 La revisión de seguridad física está
orientada en conocer y evaluar
los mecanismos de protección
del hardware y del cableado,
mientras .
 Revisiones lógicas tienen como
propósito verificar y evaluar las
medidas de protección sobre la
información y los procesos.
Interna o externa?
 Las revisiones externas son aquéllas que se
llevan a cabo desde fuera del perímetro y
pueden incluir la evaluación de
configuraciones, revisión de reglas
en firewalls, configuración de IDS/IPS y listas
de control de acceso en routers, entre otras
actividades.
 La red interna, en cambio, puede
considerar la revisión de la configuración de
segmentos de red, protocolos utilizados,
servicios desactualizados o topologías
empleadas.
 TIPOS DE EVALUACIONES DE AUDITORIA DE
SISTEMA DE REDES

¿Revisiones técnicas o de
¿Red cableada o inalámbrica? cumplimiento?
 redes inalámbricas, se deberá  Las revisiones técnicas deben
evaluar la conveniencia de los comprender conocimientos de los
protocolos y dispositivos utilizados, de
protocolos de cifrado utilizados
manera que las debilidades puedan ser
para las comunicaciones entre los identificadas y posteriormente
puntos de acceso y los dispositivos corregidas.
que se conectan a la red, así como
 Las revisiones de cumplimiento o gestión
el uso de llaves de cifrado extensas permiten conocer el estado de apego
y complejas, que reduzcan la en las prácticas que se llevan a cabo en
probabilidad de éxito de ataques las organizaciones relacionadas con la
de fuerza bruta o de diccionario. protección de las redes
 ETAPAS A IMPLEMENTAR:

Punto más crítico de toda la auditoria

ANALISIS DE porque de él depende el curso de
VULNERABILIDAD: acción a tomar en las siguientes etapas
y el éxito de ellas.

Parchea la red después haber

identificado las brechas,
reconfigurándolas o reemplazándolas por
otra más segura.
ESTRATEGIA DE
Las base de datos, servidores internos
SANEAMIENTO.
correo, comunicación sin cifrar,
estaciones de trabajo se deben reducir el
riesgo.
 ETAPAS A IMPLEMENTAR:
• Replantear la red
PLAN DE • Software reconfigurado o rediseñado
CONTINGENCIA: • Reportar nuevos fallos de seguridad
El riesgo con estos ítems del plan de
contingencia disminuye

Se debe estar pendiente a los fallos que

se presentan los cuales facilitan intrusión
de los sistemas. Pero existen nuevas
tecnologías para prevenir estos
SEGUIMIENTO
problemas. Se debe estar pendiente de
CONTINUO:
los que sucede para cubrir las nuevas
brechas y hacer el trabajo más difícil a
nuestros atacantes.
 TIPOS DE AUDITORÍAS:

La Explotación Informática se ocupa de

Auditoria informática de producir resultados informáticos de
explotación: todo tipo: listados impresos, ficheros
soportados magnéticamente para
otros informáticos, ordenes
Sistemas operativos: automatizadas para lanzar o modificar
Engloba los subsistemas de teleproceso, procesos industriales, etc.
entradas/salidas, etc. Debe verificarse en primer
lugar que los sistemas están actualizados con las
últimas versiones del fabricante, indagando las
causas de las omisiones si las hubiera. Auditoria informativa de
Software básico. sistemas:
Es fundamental para el auditor conocer los
productos de software básico que han sido
facturados aparte de la propia computadora.
 TIPOS DE AUDITORÍAS:

REVISIÓN DE LAS METODOLOGÍAS UTILIZADAS: CONTROL INTERNO DE LAS APLICACIONES:

Se analizaran estas, de modo que se asegure la Se deberán revisar las mismas faces que presuntamente han debido
seguir el área correspondiente de desarrollo.
modularidad de las posibles futuras aplicaciones de la
Estudio de vialidad de la aplicación
aplicación y el fácil mantenimiento de las mismas.
Defeccionen lógica de la aplicación.
Desarrollo técnico de la aplicación
Diseño de programas
AUDITORIA INFORMATIVA DE
DESARROLLO DE PROYECTOS O
APLICACIONES.

CONTROL DE PROCESOS Y EJECUCIÓN DE

SATISFACCIÓN DE USUARIOS.
PROGRAMAS CRÍTICOS.
Una aplicación técnicamente eficiente y bien
Se ha de comprobar la correspondencia biunívoca y
desarrollada, deberá considerarse fracasada si no
exclusiva entres el programa codificado y su
sirve a los intereses del usuario que la solicito.
compilación
ADMINISTRACIONES BASE DE DATOS:
 El auditor de bases de datos debería
asegurarse que explotación conoce
suficientemente las que son accedidas por los
procedimientos que ella ejecuta.
 Analizara los sistemas de salvaguarda
existentes, que competen igualmente a
explotación.
 Revisará finalmente la integridad y consistencia
de los datos, así como la ausencia de
redundancias entre ellos
HERRAMIENTAS Y TECNICAS PARA LA AUDITORIA DE SISTEMA DE REDES:

Conjuntos de preguntas a las

CUESTIONARIOS: que el sujeto puede responder
oralmente o por escrito, cuyo
fin es poner en evidencia
determinados aspectos
• Las auditorias informática se materializan
recabando información y documentación de todo
tipo.
• Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de CARACTERISTICAS
debilidad o fortaleza de los diferentes entornos.
• Estos cuestionarios no pueden ni deben ser
repetidos para instalaciones distintas, sino
diferentes y muy específicos para cada situación.
 ETAPAS A IMPLEMENTAR:
Con frecuencia, el auditor información debe
verificar que los programas, tantos de los sistemas
como el usuario, realizan exactamente las funciones
previstas y no otras.

Trazas y/o huellas: Para ello se apoya en productos software muy potente
y modular que, entre otras funciones, rastrean el
camino que siguen los datos a través del programa.

Las trazas se utilizan para comprobar la

ejecución de las validaciones de datos previstas.
Las mencionadas no deben modificar en
absoluto en sistema.
 ETAPAS A IMPLEMENTAR:

La entrevista es una de las actividades

Entrevistas: personales más importantes de auditor, en
ellas, este recoge más información, y mejor
matizada, que la proporciona por medios
propio puramente técnicos o por las
respuestas escritas a cuestionarios.

El auditor profesional y experto es aquel

que reelabora muchas veces sus
cuestionarios en función de los escenarios
Checklist:
auditados. Tiene claro lo que necesita
saber, y por qué.