AUDITORIA DE INFRAESTRUCTURA DE

TECNOLOGÍA DE INFORMACIÓN BASADO

EN ESTÁNDARES Y BUENAS PRÁCTICAS.

Mario Rodríguez
Creado 28 Sep 2016 | leído hace menos de 1 minuto

Auditoría de Tecnología de información es un tema relativamente

nuevo en nuestra era ya que son pocas las empresas que creen que esta
función genere valor a una organización. Pero en efecto, la posición de
Auditor de Sistemas/Seguridad es una posición que suma vasto valor a
las organizaciones que invierten en mantener este rol, es por ello que en
este artículo se resalta de manera global como se debería de realizar una
auditoría para obtener información específica sobre cómo se encuentra
un departamento de IT respecto a estándares y buenas prácticas.
Para realizar una auditoría de Tecnología de información debemos de
tener claro ¿Qué es lo que se quiere conocer sobre el área? Siendo este,
un punto de partida para definir evaluaciones futuras y específicas como
por ejemplo:
 Auditoría a Base de Datos.
 Auditoría a Sistemas de Información (Desarrollo
interno/externo).
 Auditorías de Sistemas de Gestión de Seguridad SGSI.
 Auditorías de Equipos de Red y Seguridad.
 Auditorías a Gestión de Servicios de IT.
En fin, puede surgir n cantidad de evaluaciones por ejecutar, teniendo un
punto de partida debidamente identificado y definido. Por ello es necesario
que nos apoyemos en estantes y buenas prácticas, normas puedes
obtener mas información en el curso de ISO 27000.
Inicialmente en importante tomar en cuenta los siguientes puntos:
Se debe de evaluar cómo se encuentra definido el departamento de
IT:
Estrategia: Para evaluar la estrategia de IT podemos basarnos en COBIT
5 siendo este un marco de referencia único e integrado, el cual nos brinda
una guía mediante principios definidos sobre cómo debe de estar
estructurada una estrategia basada en el control, con ello podremos tener
una referencia sobre lo que tecnología debe de estar trabajando para
hacer que los servicios que brinda y soporta generen valor a la
organización.

La estrategia es un factor de suma importancia ya que es nuestro punto

de partida para saber hacía donde vamos y como apoyaremos al negocio
mediante la tecnología. El objetivo principal de evaluar su definición es
validar que la estrategia de TI se encuentre alienada a la estrategia
corporativa y en conjunto se busque el mismo objetivo que es el de
generar o sumar valor.
Estructura Organizacional Interna de IT: Importante, tomar en cuenta
como se encuentran estructurados los puestos y roles del departamento
de TI ya que mediante ello se define la segregación de funciones y
responsabilidades, para ello podemos utilizar los libros de ITIL.
ITIL (Information Technology Infrastructure Library): por sus siglas en
inglés, es una serie de buenas prácticas que nos dan una línea de
referencia en la cual poder basarnos sobre cómo gestionar y administra
los servicios tecnológicos; Esta serie de buenas prácticas nos apoya con
brindarnos una matriz RACI ideal para el departamento de IT la cual
puede apoyarnos en la definición de roles y responsabilidades de cada
uno de los colaboradores, con esta evaluación obtendremos los
resultados suficientes para saber si no existen duplicidad de funciones y
por tanto los servicios de TI están resultando más costosos de lo
esperado.
Capacidad y Conocimiento del Personal: Muchas de las
organizaciones se preocupan más de lo normal por la cantidad de
profesionales capacitadas y bien entrenados que se encuentran el
exterior y que pueden hacernos daño mediante ataques informáticos,
robo de información, espionaje industrial, etc.. Se invierte mucho en
tecnología de punta para contraatacar todos estos riesgos y a veces no
evaluamos si nuestro personal interno tiene la capacidad para
administrar las herramientas que nos apoyan a la reducción de puntos
vulnerables.
Es por ello que
el auditor debe considerar evaluar la capacidad del personal y cono
cer si los equipos que actualmente administran se encuentran en su
nivel máximo porque de lo contrario estaríamos en un punto de
inadecuado uso de los recursos lo que para cualquier organización no es
conveniente estar invirtiendo más de lo que realmente se necesita, para
ello podemos basarnos también en el marco de referencia de COBIT ya
que nos apoya mucho sobre la capacidad del personal.
Anteriormente se describió de manera general como debía de iniciar para
auditar Tecnología de Información, en donde se resaltó que la estrategia
y estructura es parte fundamental de toda evaluación a realizar ya que es
nuestro punto de partida para saber cuál es el objetivo y rol de TI dentro
de la organización.
Ahora ¿Por dónde continuamos? ¿Infraestructura? ¿Desarrollo?
¿Base de Datos? ¿Seguridad?
Ok, considerándolo en un orden continuar evaluando infraestructura sería
una buena opción, pero ¿Por qué? Cómo informáticos hemos de coincidir
que la infraestructura es nuestra base, donde subsisten todos nuestros
servicios (Casi todos) ejemplificándolo:
 No Existe Base de Datos SI - NO Existe Servidor
donde alojarse.
 No Existe Desarrollo SI - NO Existe Base de
Datos.
 No Existe Seguridad SI - NO Existen Redes,
Servidores, Sistemas y Bases de Datos que Proteger.
Por tanto, es de suma importancia iniciar validando que la plataforma sobre
donde nuestros servicios se alojan y transportan se encuentre en óptimas
condiciones o por lo menos las adecuadas a nuestras necesidades.
Enumeraremos los puntos por donde podremos empezar a evaluar una
infraestructura tecnológica:
1.- Diagrama de Red e Infraestructura/Inventario de Equipos: Para
iniciar una auditoría de infraestructura es necesario requerirle al
administrador que nos proporcione el diagrama de red e inventario de
equipos (cual sea el caso de cada empresa) este documento en muchas
ocasiones nosotros los informáticos consideramos que esta de mas, pero
NO esta es la base para muchos puntos relevantes, como por ejemplo:
 Facilitar el soporte

 Evaluar nuestra infraestructura

 Sustitución de puestos (Debe de entregarse este
documento para que el nuevo administrador conozca de
inicio como se encuentra la infraestructura que recibirá)
 Auditorías de Infraestructura.
En el diagrama de red a simple vista podremos visualizar si se cuenta con
una infraestructura robusta y de paso, segura ya que es el diseño físico y
lógico de nuestra red y granjas de servidores, por tanto es de suma
importancia que se valide que el mismo se encuentre actualizado y que
físicamente los equipos se encuentren etiquetados (Identificados) ya que
al momento de surgir una necesidad de soporte nos facilitara el encontrar
nuestros equipos (En dado caso no conozcamos muy bien el área).
2.- Equipos de Red (Marcas, Modelos, Tipos, etc.): Es importante
determinar que equipos conforma nuestra infraestructura validar si
contamos con sistemas híbridos o estandarizados. Si contamos con la
experiencia y conocimiento es necesario corroborar que los fierros
(Hardware) sean los actuales y no estén obsoletos de no tener esa
capacidad es importante que resaltemos nuestra habilidad de auto
aprendizaje e investigar sobre los versionamientos obsoletos esto con el
fin de validar que contemos con equipos actualizados.

3.- Segmentación de Red: Partiendo del diagrama de red lo siguiente es

consultar y validar con el administrador como se encuentra segmentada
la red ya que debemos de tener una segmentación adecuada a nuestras
necesidades empresariales ya que debemos de balancear entre
performance y seguridad, mientras más segmentación más saltos de red
y bajamos el rendimiento de la misma pero hacemos más robusta
nuestra seguridad por lo que hay que buscar ese punto exacto que nos
cubra nuestra demanda.

4.- Utilización de Puertos: Seguido a revisar cómo se encuentra

segmentada la red debemos de validar a nivel de nuestro equipos de red
que puertos estamos utilizando (Activos) se debe de validar si esos
puertos activos son necesarios y si se encuentran en uso de igual forma
debemos de corroborar si los que están siendo utilizados no generan alto
riesgos.
5.- Monitoreo de Performance: Se debe verificar que el rendimiento de
la red este siendo monitoreado por dos puntos de suma importancia los
cuales son:
a. Disponibilidad
b. Seguridad.
Evaluaremos la disponibilidad mediante el tráfico de red ya que se debe
de ver que no se esté generando demasiado tráfico en un protocolo en
específico, debemos de determinar umbrales que nos alerten sobre el
sobrepaso de los mismos ya que de ello podremos prevenir ciertos
ataques informáticos como ataques DoS.
6.- Cableado Estructurado: Para evaluar el cableado estructurado
podemos basarnos en estándares como ANSI, EIA, TIA o ISO 9001 que
evalúa calidad de los servicios de igual forma de manera general
podemos verificar ciertos aspectos como que el cable no se encuentre
expuesto a personal externo ya que en la actualidad existen equipos para
sniffear físicamente los cables lo cual nos colocaría en un alto riesgo.

7.- Registros de Instalaciones y Actualizaciones de Equipos: Para

hacer una revisión general sobre este punto en específico podemos
basarnos sobre el estándar de OSSTMM el cual nos dicta formas de
evaluar y requisitos mínimos de configuración sobre equipos y nos brinda
dicha información en nuestro lenguaje informático y de manera técnica.
Sobre este punto es importante validar que todos y cada uno de los
equipos, que cuenten con SO tengan su proceso de Hardening
debidamente registrado.

Pero.. ¿Qué es Hardening?

Hardening que
significa Endurecimiento en seguridad de Tecnología de
Información es una herramienta o actividad de aseguramiento de
un sistema mediante la reducción de vulnerabilidades en el mismo,
regularmente este proceso se debe de realizar al adquirir un equipo que
estará próximo a ser instalado, este proceso se logra eliminando software,
usuarios servicios innecesarios en el sistema como también cerrando
puertos que trae habilitado por defecto y que no serán de utilidad para
nuestra necesidad. La razón principal del Hardening es hacerle la vida
difícil al atacante mediante el entorpecimiento de sus labores.
Algunas de las Actividades que se pueden realzar para hacer un proceso
de Hardening son:
 Instalación segura del sistema operativo. ·
 Activación y/o configuración adecuada de servicios de
actualizaciones automáticas,
 Instalación, configuración de programas de seguridad
 Configuración de políticas locales a nivel de directorio
 Política robusta de contraseñas
 Renombramiento de cuentas estándar del sistema
 Asignación correcta de derechos de usuario
 Configuración de opciones de seguridad necesarias
 Restricciones de softwareo Activación de auditorías de
sistema
 Configuración de servicios de sistema.
 Configuración de los protocolos de Red basado en
estándares
 Configuración adecuada de permisos de seguridad en
archivos
 Configuración de opciones de seguridad de los distintos
programas,
 Configuración de accesos remotos
 Configuración adecuada de cuentas de usuario
 Cifrado de archivos o unidades según las necesidades de
la organización
 Realizar y programar un sistema de respaldos frecuente a
los archivos
Todas las actividades realizadas en el proceso de Hardening deben de
quedar debidamente documentadas y respaldas mediante registros con
fecha de realización y persona que ejecuto el proceso esto con el fin de
que al momento que se realice la auditoría se pueda evidenciar que se
realizan ese tipo de actividades de aseguramiento.

0♥

Mario Rodríguez
I'm Mario Rodriguez professional Information Systems currently certifi..
Creado 28 Sep 2016 | leído hace menos de 1 minuto