Auditoría de Redes AUD 721 Módulo 7 Carmen R. Cintrón Ferrer , Derechos Reservados

Contenido Temático Tecnología de redes Planificación y evaluación de redes Seguridad y protección de redes Integración de peritos técnicos Proceso de auditoría de redes Informe de auditoría de redes

Proceso de auditoría de redes Informe de auditoría Séptimo módulo

Proyecto final Componentes de auditoría de redes √Introducción √Descripción del proceso √Hallazgos √Clasificación de Hallazgos √Recomendaciones

Proyecto final Introducción: √Ámbito de la auditoría y tipo √Equipo de trabajo √Estimado de tiempo √Requerimientos de compromiso organizacional

Proyecto final Carta de presentación: √Ámbito de la auditoría y tipo √Equipo de trabajo √Estimado de tiempo √Requerimientos de compromiso organización Anejos: √Resumés del personal en equipo de trabajo √Acuerdo de confidencialidad √Itinerario preliminar propuesto

Proyecto final Proceso – Fase I: √Documentos a solicitar √Áreas a visitar √Procesos y servicios críticos Identificar procesos y servicios de acuerdo al tipo de auditoría Establecer nivel de profundidad en examen Afinar expectativas del proceso de auditoría √Personas a entrevistar: Enumerar personas a entrevistar Documentos a examinar con entrevistado Tipo de preguntas para cada entrevista Listas de cotejo aplicable a cada área a examinar

Proyecto final Proceso – Fase II: √Riesgos que debo esperar (centrar investigación): Físicos Entorno Conexión Equipos de la red y servidores, otros equipos Personas: interno y externo Sistemas: basados en la red, que apoyan la red Ingeniería social Otros √Agrupar riesgos: Internos/externos Nivel de impacto estimado

Proyecto final Proceso – Fase II (Continuación) : √Pasos a seguir: Proveedor(es) de Internet Otra(s) conexión(es) al exterior Políticas y procedimientos de acceso a Internet Controles de acceso y de seguridad Controles sobre la presencia cibernética y archivos en el Web Infraestructura de la red Segmentación y control sobre las direcciones IP Autenticación, autorización y acceso

Proyecto final Proceso – Fase II (Continuación) : √Pasos a seguir: Medir amenazas a la estructura de la red Examen de configuración: Router(s), Firewall(s) y Switchs Examen de configuración: VLAN’s, VPN’s y Proxies Vías permiten obviar controles existentes (vulnerabilidades) Control sobre transacciones y servicios basados en Internet Acuerdos con colaboradores externos Evaluar seguridad de transacciones basadas en Internet Evaluar seguridad de servidores y servicios Evaluar seguridad de depósitos de llaves (“password crack”)

Proyecto final Proceso – Fase II (Continuación) : √Personal a integrar: Respaldo organizacional Contactos con proveedores o colaboradores Técnicos para hacer las pruebas Especialista en BCP y DSS Asesor legal (“Compliance”) Otros

Proyecto final Proceso – Fase II (Continuación) : √Medidas de mitigación: Manejo de procesos de “backup-restore” “Business Process Continuity Plan” “Disaster Recovery Plan” Seguros √Verificación de mecanismos para: Implantación Divulgación (“Awareness”) Revisión periódica

Proyecto final Tipo de Hallazgos Esperados: √Clasificación de hallazgos √Categorización √Estimación de impacto y recursos

Proyecto final Conclusiones: √Generales √Particulares √Especiales Recomendaciones y plan de acción Entrega del informe (describir proceso) : √Entrevistas previas a entrega del informe √Presentación y discusión las recomendaciones √Informe final