AUDITORIA EN REDES

INFORMÁTICAS
EXPOSITORES…
 DEFINICIÓN

Son una serie de mecanismos mediante los cuales

se prueba una red informática, evaluando su
desempeño y seguridad, logrando una utilización
mas eficiente y segura de la información
MARCO DE CONTROL

Los programas de auditoria se han desarrollado en alineación con el marco

ISACA COBIT específicamente COBIT 4.1 que utilizan generalmente aplicable
y aceptado las buenas practicas.
Reflejan secciones ITAF procesos 3400-TI mangement, Auditoria 3600-IT y
procesos de aseguramiento y 3800-IT Auditoria y gestión de garantía.
Muchas, organizaciones han adoptado varios marcos a nivel empresarial,
incluido el Comité de Organizaciones Patrocinadoras de las Comisión
Treadway(COSO) Marco de control interno. Además de la norma ISO 17799 y
Normas de Auditorias generalmente aceptadas
OBJETIVOS DE LA AUDITORIA
• minimizar existencias de riesgos en el uso de tecnologías de información
• Capacitación y educación sobre controles en los sistemas de información
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información mediante las recomendaciones de seguridad y controles
• Seguridad de personal, datos, hardware, software e instalaciones
• Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático.
METODOLOGÍA

• Para el desarrollo de la auditoria informática de redes se propone llevar a cabo

una serie de fases:
• Fase 1: Toma de contacto.
• Fase 2: Planificación de la operación.
• Fase 3: Desarrollo de la auditoria.
• Fase 4: Fase de diagnostico.
• Fase 5: Presentación de las conclusiones.
• Fase 6: formulación del plan de mejoras.
FASE 1: TOMA DE CONTACTO
En esta etapa se deberán establecer:
 El objetivo de la auditoria informática
 Las áreas a auditar
 Personas que habrán de colaborar y en que momentos de la auditoria

FASE 2:PLANIFICACIÓN DE LA OPERACION

Plan de trabajo:
Tareas
Calendario
Resultados parciales
Equipo auditor necesario
FASE 3: DESARROLLO DE LA AUDITORIA
Es el momento de ejecutar las tareas que se enunciaron en la fase anterior. Es
una fase de observación. Recolección de datos, situaciones, deficiencias, en
resumen un periodo en el que :
• Se efectúan entrevistas previstas en la fase de planificación.
• Se completaran todos los cuestionarios que presente el auditor
• Se observaran las situaciones, no solo las aparentes, sino las que hasta no
hayan sido detectadas, para lo que se podrá llegar a simular situaciones
limites
• Se observaran los procedimientos, tanto informáticos como los usuarios
• Se ejecutaran todas las previsiones efectuadas en la etapa anterior con el
objeto de llegar a la siguiente etapa de diagnosticar la situación encontrada
FASE 4: FASE DE DIAGNOSTICO

• Quedaran claramente definidos los puntos débiles, y por contrapunto los fuertes, los
riesgos eventuales, y en primera instancia los posibles tipos de solución o mejoras de
los problemas planteados.
• Estas conclusiones se discutirán con las personas afectadas por lo que serán
suficientemente argumentadas y probadas
• Los auditores deben presentar estas conclusiones como un plan de mejoras en
beneficio de todos, en lugar de una reprobación de los afectados, salvo en el caos
de que esto sea estrictamente necesario.
FASE 5: PRESENTACIÓN DE CONCLUSIONES
La presentación de conclusiones de la auditoría informática de redes se refiere al
momento en que cada uno de los responsables de la ejecución de la auditoría dan a
conocer su opinión respecto a los resultados obtenidos.
La reunión para realizar dicha presentación se compone de:
• Presentar los resultados de la auditoría.
• Resaltar las fortalezas del sistema de calidad.
• Recordar el alcance de la auditoría.
• El Auditor Líder o a quien se delegue presenta los hallazgos (todos o agrupados).
• Aclaraciones sobre los hallazgos.
• Finalmente, se agradece a los auditados.
FASE 6: FORMULACIÓN DEL PLAN DE MEJORA
El plan de mejoras abarcara todas las recomendaciones derivadas
de las deficiencias detectadas en la realización de la auditoria.
Para ello se tendrán en cuenta los recursos disponibles, o al menos
potencialmente disponibles, por su parte de la empresa objeto de
la auditoria.
Estas mejoras pueden pasar por la reconsideración de los sistemas
en uso o delos medios, humanos y materiales, con que se cuenta.
Llegando si es preciso a una seria reconsideración del plan
informático.
 AUDITORIA WEB
El objetivo de una auditoria en
WEB es dar a conocer el estado de
la pagina que se esta verificando,
dando como resultado una serie de
reportes que ayudaran al
webmaster o al propietario a
comprender varias áreas del sitio
como son la seguridad, la
usabilidad, contenido, calidad, etc.
 AUDITORIA DE RED INTERNA
• Su objetivo es evaluar la seguridad de la red
interna de una empresa ante la posibilidad de
recibir ataques por parte de un hacker que
haya conseguido alcanzar la intranet o ataques
provenientes del personal interno a la empresa.
• La auditoria de la red interna se centra en
evaluar la seguridad de los sistemas de
protección perimetral situados en la red de una
empresa (routers y firewalls que separan
subredes, etc.) así como los diferentes sistemas
que están localizados en dicha red(sistemas
host, servidores de ficheros, de impresión, de
web, de correo, de noticias, etc.)
 FORMATOS PARA AUDITORIA INFORMÁTICA
Para la planeación del proceso de auditoria es necesario el diseño de los formatos de para el
proceso de recolección de información y la presentación de los resultados de la auditoria, estos
documentos denominados papeles de trabajo finalmente son organizados por cada proceso
evaluado y al final se presenta el dictamen y el informe final de los resultados.
FORMATO DE DEFINICION DE FUENTES DE CONOCIMIENTO
Los formatos de fuentes de conocimientos son usados para especificar quienes tienen la
información o que documentos poseen y las pruebas de análisis o ejecución que deberán
practicarse en cada proceso.
FORMATO DE ENTREVISTA
La entrevista
generalmente se
aplica solo al
persona clave
(administrador del
sistema, usuarios de
mayor experiencia
del área de redes,
otros)
 FORMATO DE CUESTIONARIO
El formato de cuestionario tiene dos objetivos:
1. La confirmación de los riesgos ya detectados anteriormente.
2. Descubrir nuevos riesgos que aun no se hayan detectado.
El cuestionario se aplica solamente al personal clave que posee la información
para responderlo, por eso es necesario identificar las personas que puedan
dar respuesta a las interrogantes planteados en el cuestionario.
Las preguntas en el cuestionario son de dos tipos:
1. El primer tipo son las preguntas sobre la existencia de controles o riegos.
2. El segundo tipo son las de completitud que tienen por objetivo saber si se
esta aplicando completamente los controles o de manera parcial
 FORMATO DE HALLAZGOS
Una vez los riegos han sido conformados mediante pruebas y evidencias,
estos riesgos pasan a denominarse hallazgos. Los formatos de los
hallazgos son de suma importancia en la auditoria ya que llevan la
información de todo el proceso realizado y una descripción de como se
esta presentando el riesgo y sus consecuencias para la medición o
valoración de los riegos en el proceso de evaluación de riesgos que se
leva a cabo posteriormente. Además en el formato de hallazgos se
puede encontrar la información de las recomendaciones para determinar
los posibles controles para mitigarlos
 CARACTERÍSTICAS DE UNA AUDITORIA DE RED
INTERNA
• Proporciona una visión detallada del estado de la seguridad en la red
interna
• Conectando un sistema a la red interna obtener acceso a los servidores e
información privilegiada que esta localizada en esta red
• Se simula la actuación de un empleado de la empresa que intenta utilizar
recursos de la red interna para los que no tiene permisos
• Se utiliza la misma metodología y técnica que en los TEST de intrusión,
excepto que ahora se ha de tener en cuenta que los ataques se realizan
desde dentro de la red interna
• Se incluye la revisión de la política de seguridad de la empresa
• La auditoria se realiza desde la dependencias del cliente
 ¿POR QUÉ Y AHORA QUE SE REALIZA UNA
AUDITORIA DE REDES INFORMÁTICAS?

• Asegurar la integridad confidencialidad y

confiabilidad de la información.
• Minimizar existencias de riesgos en el uso
de tecnología de información.
• Conocer la situación actual del área de
redes informáticas para lograr los
objetivos.