Transcript Auditoría de Redes AUD 721

Auditoría de Redes
AUD 721
Módulo 7
Carmen R. Cintrón Ferrer - 2004, Derechos Reservados
Contenido Temático
•
•
•
•
•
•
Tecnología de redes
Planificación y evaluación de redes
Seguridad y protección de redes
Integración de peritos técnicos
Proceso de auditoría de redes
Informe de auditoría de redes
Proceso de auditoría de redes
Informe de auditoría
Séptimo módulo
Proyecto final
Componentes de auditoría de redes
√ Introducción
√ Descripción del proceso
√ Hallazgos
√ Clasificación de Hallazgos
√ Recomendaciones
Proyecto final
Introducción:
√ Ámbito de la auditoría y tipo
√ Equipo de trabajo
√ Estimado de tiempo
√ Requerimientos de compromiso
organizacional
Proyecto final
• Carta de presentación:
√
√
√
√
Ámbito de la auditoría y tipo
Equipo de trabajo
Estimado de tiempo
Requerimientos de compromiso organización
• Anejos:
√ Resumés del personal en equipo de trabajo
√ Acuerdo de confidencialidad
√ Itinerario preliminar propuesto
Proyecto final
Proceso – Fase I:
√ Documentos a solicitar
√ Áreas a visitar
√ Procesos y servicios críticos
• Identificar procesos y servicios de acuerdo al tipo de auditoría
• Establecer nivel de profundidad en examen
• Afinar expectativas del proceso de auditoría
√ Personas a entrevistar:
•
•
•
•
Enumerar personas a entrevistar
Documentos a examinar con entrevistado
Tipo de preguntas para cada entrevista
Listas de cotejo aplicable a cada área a examinar
Proyecto final
Proceso – Fase II:
√ Riesgos que debo esperar (centrar investigación):
•
•
•
•
•
•
•
•
Físicos
Entorno
Conexión
Equipos de la red y servidores, otros equipos
Personas: interno y externo
Sistemas: basados en la red, que apoyan la red
Ingeniería social
Otros
√ Agrupar riesgos:
• Internos/externos
• Nivel de impacto estimado
Proyecto final
Proceso – Fase II (Continuación):
√ Pasos a seguir:
•
•
•
•
•
•
•
•
Proveedor(es) de Internet
Otra(s) conexión(es) al exterior
Políticas y procedimientos de acceso a Internet
Controles de acceso y de seguridad
Controles sobre la presencia cibernética y archivos en el Web
Infraestructura de la red
Segmentación y control sobre las direcciones IP
Autenticación, autorización y acceso
Proyecto final
Proceso – Fase II (Continuación):
√ Pasos a seguir:
•
•
•
•
•
•
•
•
•
Medir amenazas a la estructura de la red
Examen de configuración: Router(s), Firewall(s) y Switchs
Examen de configuración: VLAN’s, VPN’s y Proxies
Vías permiten obviar controles existentes (vulnerabilidades)
Control sobre transacciones y servicios basados en Internet
Acuerdos con colaboradores externos
Evaluar seguridad de transacciones basadas en Internet
Evaluar seguridad de servidores y servicios
Evaluar seguridad de depósitos de llaves (“password crack”)
Proyecto final
Proceso – Fase II (Continuación):
√ Personal a integrar:
•
•
•
•
•
•
Respaldo organizacional
Contactos con proveedores o colaboradores
Técnicos para hacer las pruebas
Especialista en BCP y DSS
Asesor legal (“Compliance”)
Otros
Proyecto final
Proceso – Fase II (Continuación):
√ Medidas de mitigación:
•
•
•
•
Manejo de procesos de “backup-restore”
“Business Process Continuity Plan”
“Disaster Recovery Plan”
Seguros
√ Verificación de mecanismos para:
• Implantación
• Divulgación (“Awareness”)
• Revisión periódica
Proyecto final
Tipo de Hallazgos Esperados:
√ Clasificación de hallazgos
√ Categorización
√ Estimación de impacto y recursos
Proyecto final
• Conclusiones:
√ Generales
√ Particulares
√ Especiales
• Recomendaciones y plan de acción
• Entrega del informe (describir proceso):
√ Entrevistas previas a entrega del informe
√ Presentación y discusión las recomendaciones
√ Informe final