AUDITORIA DE REDES

Ing. Victor Andres Ochoa Correa


DEFINICION

Son una serie de mecanismos mediante los

cuales se prueba una Red Informtica,
evaluando su desempeo y seguridad,
logrando una utilizacion mas eficiente y
Segura de la informacion.
informacion.


ETAPAS A IMPLEMENTAR
Analisis de Vulnerabilidad:
Punto mas critico de toda la auditoria porque
de el depende el curso de accion a tomar en las
siguientes etapas y el exito de ellas.
ellas.


2. Estrategia de Saneamiento:
Saneamiento:
 Parchea la red despues haber identificado
las
brechas,
reconfigurandolas
o
reemplazandolas por otra mas segura
segura..

Las bases de datos, servidores internos correo,

comunicacion sin cifrar, estaciones de trabajo
se deben reducir el riesgo.
riesgo.

3. Plan Contingencia
Contingencia::
 Replantear la red
 Software reconfigurado o rediseado
 Reportar nuevos fallos de seguridad
El riesgo con estos items del plan de contingencia
disminuye..
disminuye

3. Seguimiento continuo:
continuo:
Se debe estar pendiente a los fallos que se
presentan los cuales facilitan intrusion de los
sistemas.. Pero existen nuevas tecnologias
sistemas
para prevenir estos problemas
problemas.. Se debe estar
pendientes de lo que sucede para cubrir las
nuevas brechas y hacer el trabajo mas dificil
a nuestros atacantes
atacantes..

AUDITORIA DE LA RED FISICA

Se debe garantizar que exista:





reas de equipo de comunicacin con control de

acceso
Proteccin y tendido adecuado de cables y lneas de
comunicacin para evitar accesos fsicos
Control de utilizacin de equipos de prueba de
comunicaciones para monitorizar la red y el trafico en
ella
Prioridad de recuperacin del sistema
Control de las lneas telefnicas

AUDITORIA DE LA RED FISICA

Se debe Comprobar que:
 El equipo de comunicaciones debe estar en un lugar
cerrado y con acceso limitado
 Se tomen medidas para separar las actividades de los
electricistas y de cableado de lneas telefnicas
 Las lneas de comunicacin estn fuera de la vista
 Se d un cdigo a cada lnea, en vez de una descripcin
fsica de la misma
 Haya procedimientos de proteccin de los cables y las
bocas de conexin para evitar pinchazos a la red

AUDITORIA DE LA RED FISICA

Se debe Comprobar que:






La seguridad fsica del equipo de comunicaciones sea adecuada

Existan revisiones peridicas de la red buscando pinchazos a la
misma
El equipo de prueba de comunicaciones ha de tener unos
propsitos y funciones especficas
Existan alternativas de respaldo de las comunicaciones
Con respecto a las lneas telefnicas
telefnicas:: No debe darse el nmero
como pblico y tenerlas configuradas con retrollamada, cdigo de
conexin o interruptores

AUDITORIA EN COMUNICACIONES
Permite:




La gestin de red
La monitorizacin de las comunicaciones
comunicaciones..
La revisin de costes y la asignacin formal de
proveedores
Creacin y aplicabilidad de estndares

AUDITORIA EN COMUNICACIONES
Objetivos de Control







Tener una gerencia con autoridad de voto y accin

Llevar un registro actualizado de mdems, controladores,
terminales, lneas y todo equipo relacionado con las
comunicaciones
Mantener una vigilancia en las acciones en la red
Registrar un coste de comunicaciones
Mejorar el rendimiento y la resolucin de problemas
presentados en la red

AUDITORIA EN COMUNICACIONES
Se debe Comprobar

El nivel de acceso de las funciones dentro de la red

Coordinacin de la organizacin en la comunicacin
de datos y voz

Normas de comunicacin

La responsabilidad en los contratos con proveedores

La creacin de estrategias de comunicacin a largo
plazo

AUDITORIA EN COMUNICACIONES
Se debe Comprobar

Tener documentacin sobre el diagramado de la red

Realizar pruebas sobre los nuevos equipos

Establecer las tasas de rendimiento en tiempo de
respuesta de las terminales y la tasa de errores
errores..

Vigilancia sobre toda actividad onon-line.
line.

La facturacin de los transportistas y vendedores ha de
revisarse regularmente
regularmente..

AUDITORIA DE LA RED LOGICA

Objetivo
Evitar un dao interno en la Red Lgica

Para evitar estas situaciones se Debe:









Dar contraseas de acceso

Controlar los errores
Garantizar que en una transmisin, sea recibida solo por el
destinatario.. Y para esto, se cambia la ruta de acceso de la
destinatario
informacin a la red
Registrar las actividades de los usuarios en la red
Encriptar la informacin
Evitar la importacin y exportacin de datos

AUDITORIA DE LA RED LOGICA

Recomendaciones

Inhabilitar el software o hardware con acceso libre

Crear protocolos con deteccin de errores

Los mensajes lgicos de transmisin han de llevar
origen, fecha, hora y receptor

El software de comunicacin, debe tener
procedimientos correctivos y de control ante mensajes
duplicados, perdidos o retrasados

Los datos sensibles, solo pueden ser impresos en una
impresora especificada y ser vistos desde una Terminal
debidamente autorizada

AUDITORIA DE LA RED LOGICA

Recomendaciones





Se debe hacer un anlisis del riesgo de aplicaciones en los

procesos
Asegurar que los datos que viajan por Internet vayan
cifrados..
cifrados
Deben existir polticas que prohban la instalacin de
programas o equipos personales en la red
Los accesos a servidores remotos han de estar inhabilitados
Generar ataques propios para probar solidez de la red

AUDITORIA SEGURIDAD
INFORMATICA
La seguridad en informtica abarca los conceptos de:


Seguridad Fsica
Fsica:: Se refiere a la proteccin del hardware y de
los soportes de datos
datos..

Seguridad Lgica:
Lgica: Se refiere a la seguridad del uso del
software a la proteccin de los datos, procesos y programas
programas..

AUDITORIA SEGURIDAD
INFORMATICA
Un mtodo eficaz para proteger sistemas de
computacin es el software de control de acceso.
Estos protegen contra el acceso no autorizado,
solicitan un usuario y contrasea.

ETAPAS PARA IMPLEMENTAR

UN SISTEMA DE SEGURIDAD
Los medios necesarios para elaborar su sistema de seguridad
se debe considerar los siguientes puntos:
puntos:


Sensibilizar a los ejecutivos de la organizacin en torno al

tema de seguridad.
seguridad.
Realizar un diagnstico de la situacin de riesgo y
seguridad de la informacin en la organizacin a nivel
software, hardware, recursos humanos, y ambientales
ambientales..
Elaborar un plan para un programa de seguridad.
seguridad.

PLAN DE SEGURIDAD
El plan de seguridad debe asegurar la integridad y exactitud
de los datos debe:
debe:




Permitir identificar la informacin que es confidencial

Contemplar reas de uso exclusivo
Proteger y conservar los activos de desastres provocados por la
mano del hombre y los actos abiertamente hostiles
Asegurar la capacidad de la organizacin para sobrevivir
accidentes
Proteger a los empleados contra tentaciones o sospechas
innecesarias
Contemplar la administracin contra acusaciones por
imprudencia

Implantar un Sistema de Seguridad en Marcha

1. Introducir el tema de seguridad en la visin de la empresa.
2. Definir los procesos de flujo de informacin y sus riesgos en cuanto a
todos los recursos participantes.
3. Capacitar a los gerentes y directivos, contemplando el enfoque
global.
4. Designar y capacitar supervisores de rea.
5. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras
relativamente rpidas.
6. Mejorar las comunicaciones internas.
7. Identificar claramente las reas de mayor riesgo corporativo y
trabajar con ellas planteando soluciones de alto nivel.
8. Capacitar a todos los trabajadores en los elementos bsicos de
seguridad y riesgo para el manejo del software, hardware y con
respecto a la seguridad fsica.

Beneficios de un Sistema de
Seguridad


Aumento de la productividad.

Aumento de la motivacin del personal.

Compromiso con la misin de la compaa.






Mejora de las relaciones laborales.

Ayuda a formar equipos competentes.
Mejora de los climas laborales para los R.H.

GRACIAS