44

CAPITULO 7 AUDITORIA A REDES LOCALES DE COMPUTADORES

Auditora Redes Locales

Los auditores de sistemas deben, en las empresas actuales, obligatoriamente enfrentar su

labor profesional en Redes de Computadores, por donde se transporta informacin sensitiva
y vital para las organizaciones.
Objeto de estudio

Siendo consistente con la metodologa empleada a lo largo del curso se propone dividir los
diferentes escenarios en grupo y para cada uno evaluar los riesgos a que esta expuesto el
sistema.
1. Diseo e implementacin de la red
a. Anlisis de necesidades
b. Diseo y escogencia de la arquitectura.
Revisar el procedimiento seguido en la seleccin, adquisicin e instalacin de la red
LAN. Evaluar los estndares soportados en la arquitectura seleccionada
2. Documentacin de la Red
a. Revisar los manuales de diseo.
b. Verificar que exista un plano de las instalaciones correctamente documentados los
centros de cableado, los servidores, el cableado y los puntos de red.
3. Mantenimiento y adecuacin de la Red
a. Verificar que se evalu la calidad de la red en cuanto a disponibilidad, fiabilidad y
velocidad de acuerdo a las aplicaciones y usuarios que soporta.
b. Evaluar si los cambios funcionales de la organizacin se ven reflejados en
modificaciones de la LAN.
c. Conocer si se realiza mantenimiento a la red y si quienes lo hacen son idneos en
estas actividades.
d. Evaluar si las labores de mantenimiento no han generados problemas con
informacin o funcionamiento de la red.
4. Estado actual
a. Polticas de seguridad
Evaluar si existen polticas de seguridad.
Si existen, si son acordes con la organizacin.
Si son conocidas por el personal.
Para evaluar las polticas de seguridad revisar el capitulo en este curso sobre este
tema.
b. Controles Fsicos
c. Controles lgicos
i. Deteccin de usuarios no autorizados
ii. Calidad de contraseas
iii. Intentos de intromisin
Deteccin de intrusos
d. Controles de personal
i. Usuarios del sistema
ii. Perfiles de usuario
iii. Capacitacin
e. Controles de Estaciones
f. Controles del Servidor
i. Sistema operativo de soporte
ii. Objetos en el servidor

45

iii. Servicios activos

g. Hardware de comunicaciones.
5. Proteccin de recursos.
a. Soporte a los usuarios
i. Evaluar si existe una persona capacitada para dar soporte los usuarios de la red y
que se encargue de tareas como las siguientes:
ii. Capacitar a los usuarios para el buen uso de los recursos
iii. Explicar sobre las polticas de seguridad a que estn sujetos
iv. Garantizar los recursos de hardware y software que estos requieren para el
cumplimiento de sus labores.
b. Respaldo.
Este respaldo debe ser entendido en todas las facetas:
Hardware:
Servidores
Equipos de Comunicacin de datos
Medios de transmisin:
Canales de comunicacin
Software:
Personal
En particular se debe evaluar la existencia de un mtodo de hacer las copias de
respaldo de la informacin de la empresa.
Verificar que:
- Se cumpla.
- Que se hagan copias en diferentes medios.
- Que estn claramente etiquetados los medios.
- Que se realicen pruebas de los medios.
c. Proteccin de aplicaciones y programas
i. Verificar si se tiene instalado programa antivirus o en su defecto se han tomado
las medidas de seguridad para evitar la contaminacin.
ii. Corroborar que los accesos a Internet estn aislado de los sistemas que manejen
informacin sensitiva.
d. Software no autorizado
Evaluar si se tienen claras polticas y son de conocimiento de los usuarios sobre el
software a instalar.
Verificar que se realizan revisiones peridicas del software licenciado.
e. Planes de contingencia.
Revisar la existencia de planes de contingencia.
Si existen corroborar que:
Sean conocidos por todos.
Que se hayan realizado simulacros.
Que se tengan convenios por escrito en para los casos que se requieran recursos
extra-empresa