AUDITORÍA DE HARDWARE

AUDITORÍA DE REDES Y ESTACIONES

Perspectives of IS Audit

Information Systems Hardware Infrastructure Types Input/Output Processing Storage Computers Supercomputers Mainframe Servers Desktops Thin Clients Laptops PDAs Roles performed by Hardware Applications Servers File Servers Web Servers Database Servers Proxy Servers Print Services Specialized Hardware Filewalls Loadbalancers Intrusion Detection System Other Components USB Devices Memory Cards RFID CD/DVD

Auditing Hardware Report on server hardware appropriateness, performance, levels of redundancy (and any associated risks). Analysis of Server configuration (and any areas not done properly and if/why they are important). Security Analysis on multiple levels. Backup systems hardware, software, data sets, disaster readiness and risks.

El Personal del Mantenimiento Verificar el área de personal      Aclaraciones sobre el cálculo de rendimiento

Mantenimiento PREVENTIVO y CORRECTIVO Disminución del número de incidencias en el sistema. Aumento de la vida útil de los equipos. Disminución de costos de tiempo y económicos en reparaciones. Detección de los puntos débiles del sistema.

Fines de la auditoria en el entorno de hardware. El mantenimiento que se realice debe asegurar una vida útil para toda el área. Revisar los informes de la dirección sobre la utilización del hardware. Revisar si el equipo se utiliza por el personal autorizado. Examinar los estudios de adquisición, selección y evaluación del hardware. Comprobar las condiciones ambientales. Verificar los procedimientos de seguridad física. Examinar los controles de acceso físico. Revisar la seguridad física de los componentes de la red

Fines de la auditoria en el entorno de software. Revisar las librerías utilizadas por los programadores. Examinar que los programas realizan lo que realmente se espera de ellos. Revisar el inventario de software. Comprobar la seguridad de datos y software. Examinar los controles sobre los datos. Revisar los controles de entrada y salida. Supervisar el uso de las herramientas potentes al servicio de los usuarios. Comprobar la seguridad e integridad de la base de datos.

Auditoría de sistemas de información Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Auditoría de sistemas de información Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Fases de una auditoria Los servicios de auditoría constan de las siguientes fases: Enumeración de redes, topologías y protocolos Verificación del Cumplimiento de los estándares internacionales. (ISO) Identificación de los sistemas operativos instalados Análisis de servicios y aplicaciones Detección, comprobación y evaluación de vulnerabilidades Medidas específicas de corrección Recomendaciones sobre implantación de medidas preventivas.

AUDITORÍA DE RED DE AREA LOCAL Rodriguez Soto Eduardo

La red de área local (LAN por sus siglas en inglés) como tal es un medio de comunicación democrático, o al menos esa es la intención, sin embargo, en ocasiones existen usuarios que intentan aprovecharse de todos los recursos que les proporciona la red para explotarla. Red de área local

Las redes tienen un punto de demarcación que es hasta donde llega la responsabilidad de nuestro ISP y comienza la nuestra. Nuestra responsabilidad: “Garantizar el acceso a la red, proveer de mecanismos que ayuden a la seguridad en la red, interoperabilidad entre sistemas, escalabilidad, etc...”

Se pueden auditar 2 elementos principales: Elementos funcionales. Configuración de los equipos, accesos, restricciones, vulnerabilidades en los equipos, políticas de tráfico, etc. Elementos no funcionales Velocidades constantes (tanto de subida como de bajada), tiempo de convergencia de los routers en la red, señal intermitente, cobertura de la señal inalámbrica, etc.

Cosas a auditar (elementos funcionales) 1.- Usuarios (equipos) no autorizados en nuestra red. 2.- El tráfico de nuestra red (para detectar tráfico sospechoso). 3.- Vulnerabilidad en nuestros usuarios (sobre todo en los equipos de los jefes). 4.- En caso de tener servidores en nuestra red, se deberán llevar a cabo auditorias específicas para cada servicio (impresión, usuarios, datos, ect).

La metodología se basa principalmente en el modelo de referencia OSI, estándares como el TIA-942, Tier, norma de cableado estructurado ANSI/TIA/EIA-568-B, ANSI/TIA/EIA- 569-A y las mejores prácticas en el mercado. La auditoria de redes, se inicia evaluando la parte física de la red, condiciones del cableado estructurado, mantenimiento de la sala de servidores, gabinetes de comunicación, etiquetado de los cables, orden , limpieza. Comparado con las mejores practicas y referenciados con los estandares. En esta parte, también se consideran el mantenimiento de los equipos de comunicaciones, tener un inventario actualizado de los equipos de red, garantías. Sergio Untiveros

Luego se realiza el levantamiento de información, análisis y diagnostico de la configuración lógica de la red, es decir; plan ip, tabla de vlans, diagrama de vlans, diagrama topológico, situación del spaning-tree, configuración de los equipos de red. Después de revisar toda esa información se procede a realizar una evaluación cuantitativa de diversos conceptos los cuales nos darán una valoración final sobre la situación de la red. El resultado de la auditoria de la red no es cualitativo sino cuantitativo, utilizando una escala de likert. Sergio Untiveros

Analizar el tráfico que pasa por nuestra red - Wireshark Buscar vulnerabilidades – OpenVAS Auditar de Redes - Autoscan

AUDITORÍA EN SEGURIDAD INFORMATICA Gilder Librado Santiago

Auditoria en seguridad informática Una auditoría de seguridad consiste en apoyarse en un tercero de confianza (generalmente una compañía que se especializada en la seguridad informática) para validar las medidas de protección que se llevan a cabo, sobre la base de la política de seguridad. El objetivo de la auditoría es verificar que cada regla de la política de seguridad se aplique correctamente y que todas las medidas tomadas conformen un todo coherente. Una auditoría de seguridad garantiza que el conjunto de disposiciones tomadas por la empresa se consideren seguras.

Hardware Si hay políticas y procedimientos relativos al uso y protección del hardware. Equipo de soporte: localización física (aire acondicionado, equipo no break, equipos contra incendios u otros) Ubicación física del equipo de computo. Si hay procedimientos que garanticen la continuidad y disponibilidad del equipo de computo si hay personal de seguridad encargada de salvaguarda de los equipos

Hardware si existen políticas relacionadas con el ingreso y salida del hardware: Que la entrada y salida sea (revisada, justificada, aprobada , registrada y devuelta) Si hay alguna función de investigación, auditoria o seguridad que se dedique a la evaluación permanente de software, métodos, procedimientos etc. Para la implantación de nuevas acciones relativas a la seguridad que brindan continuidad en la operación y cuidado de los recursos relacionados con informática.

Software Si se tienen políticas y procedimientos relativos al uso y protección del software Si poseen políticas relacionadas con el ingreso y salida del software En cuanto a las aplicaciones que se desarrollan en la empresa: si hay controles y procedimientos necesarias para garantizar la seguridad mínima requerida. Si existen procedimientos que verifiquen que la construcción, prueba e implementación de los controles y procedimientos de seguridad sean formalmente aprobados, antes de utilizarlo Si los controles aseguran que el sistema contemplen los procedimientos necesarios para que la información manejada en el mismo sea total, exacta, autorizada, mantenida y actualizada.

Software Si se cuenta con un procedimiento formal para mantenimiento de los sistemas. Como se da seguimiento a los cambios de los sistemas sugeridos por la función de informática. Si hay procedimientos que permiten identificar con claridad las responsabilidades en cuanto al uso del sistema y computo donde será implantado y operado. Procedimientos que se utilizan para liberar formalmente el sistema. Funciones que verifican los controles y procedimientos relativos a la seguridad se cumplan de manera satisfactoria Si están bien definidos los responsables de modificar los programas fuente del sistema Registros de los de los archivos existentes en cada sistema en operación

Software Si se cuenta con procedimientos de respaldo de los programas fuentes Si el respaldo se encuentra en el mismo edificio Si hay controles para que solo personal autorizado tenga acceso a respaldo.

Plan de contingencias y de recuperación Grado de importancia de los recurso (alta dirección) y que recursos tienen mayor grado de protección. Analizar la tareas realizadas, pendientes, en desarrollo y quienes son responsables en la planeación de contingencias y recuperación. función responsable de seguridad que verifique y de seguimiento a la actualización formal de planes y procedimientos. Aprobación de planes Contemplación de contingencias o desastres en instalaciones de la organización. Procedimientos formal para efectuar todo el proceso de evaluación, selección y contratación de los seguros.

Clasificación de los elementos prioritarios para que la operación de los sistemas básicos no se interrumpan por un desastre o contingencia.

AUDITORÍA DE COMUNICACIONES Jimenez Guerrero Jonathan

Auditoria a Telecomunicaciones Son una serie de mecanismos mediante los cuales se prueba una Red Informática, evaluando su desempeño y seguridad, logrando una utilización mas eficiente y Segura de la información. Asegurar la integridad, confidencialidad y confiabilidad de la información. Minimizar existencias de riesgos en el uso de Tecnología de información Brindar seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático. Incrementar la satisfacción de los usuarios de los sistemas informáticos. Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto a inversiones para la tecnología de información.

Administración Verificar que los usuarios que acceden a la red tengan asignado un rol y solo pueden acceder a información de su jerarquía. Verificar las políticas y normas de seguridad de telecomunicaciones deben estar formalmente definidas, documentadas y aprobadas. Contar con un manuales de operación de la red de comunicación

Contar con una bitácora de: Usuarios que entraron a la red. Operaciones realizadas en la red (envío/recepción). Tiempos de conexión.

Verificar la existencia de controles en software y hardware Asegurar la existencia de controles y procedimientos que orienten a la satisfacción de la administración Verificar que el software de comunicación sea efectivo y controlado Verificar que solo se encuentre software autorizado en la red Evaluar las acciones que lleven a cabo para actualizar los diferentes componentes de la red.

Instalación Protección de datos transmitidos a través de la red Protección a los componentes de la red Métodos para prevenir el monitoreo no autorizado Contraseñas que autoricen el acceso a la red y eviten la entrada a archivos no autorizados Se debe estar pendientes de lo que sucede para cubrir las nuevas brechas y hacer el trabajo mas difícil a los atacantes. Se debe estar pendiente a los fallos que se presentan los cuales facilitan intrusión de los sistemas. Verificar que se cuente con un plan de contingencia que permita a la empresa seguir sus operaciones en caso de algo imprevisto como la perdida de conectividad

Operaciones/Seguridad Protección de datos transmitidos a través de la red Protección a los componentes de la red Métodos para prevenir el monitoreo no autorizado Contraseñas que autoricen el acceso a la red y eviten la entrada a archivos no autorizados Se debe estar pendientes de lo que sucede para cubrir las nuevas brechas y hacer el trabajo mas difícil a los atacantes. Se debe estar pendiente a los fallos que se presentan los cuales facilitan intrusión de los sistemas. Verificar que se cuente con un plan de contingencia que permita a la empresa seguir sus operaciones en caso de algo imprevisto como la perdida de conectividad

Castillo Magallon Felix AUDITORÍA DE HARDWARE Castillo Magallon Felix

Hardware: PC, minicomputadoras y mainframes. Instalación Operación Administración

Instalación Cableado estructurado. ANSI/TIA/EIA-568-B: Cableado de Telecomunicaciones en Edificios Comerciales sobre como cómo instalar el Cableado: TIA/EIA 568-B1 Requerimientos generales;TIA/EIA 568-B2: Componentes de cableado mediante par trenzado balanceado; TIA/EIA 568-B3 Componentes de cableado, Fibra óptica. ANSI/TIA/EIA-569-A: Normas de Recorridos y Espacios de Telecomunicaciones en Edificios Comerciales sobre cómo enrutar el cableado. ANSI/TIA/EIA-570-A: Normas de Infraestructura Residencial de Telecomunicaciones. ANSI/TIA/EIA-606-A: Normas de Administración de Infraestructura de Telecomunicaciones en Edificios Comerciales. ANSI/TIA/EIA-607: Requerimientos para instalaciones de sistemas de puesta a tierra de Telecomunicaciones en Edificios Comerciales.

Cableado Horizontal No se permiten puentes, derivaciones y empalmes a lo largo de todo el trayecto del cableado. Se debe considerar su proximidad con el cableado eléctrico que genera altos niveles de interferencia electromagnética (motores, elevadores, transformadores, etc.) La máxima longitud permitida independientemente del tipo de medio de utilizado es 100m = 90 m + 3 m usuario + 7 m patchpannel.

Cableado Vertical Se utiliza un cableado Multipar UTP y STP , y también, Fibra óptica Multimodo y Monomodo.

Clientes ligeros y Pc

Operación Operar el Hardware de acuerdo a las especificaciones técnicas del fabricante y las normas de higiene y seguridad de la empresa. IMPRESO Normas de seguridad e higiene de la empresa. Manual de operaciones. Manual de especificaciones técnicas y diagramas de conexión del fabricante.

Administración Contar con un control de el hardware de redes con el que se cuenta.