auditoría de redes aud 721
DESCRIPTION
Auditoría de Redes AUD 721. Módulo 7. Carmen R. Cintrón Ferrer - 2004-2012, Derechos Reservados. Contenido Temático. Tecnología de redes Planificación y evaluación de redes Seguridad y protección de redes Integración de peritos técnicos Proceso de auditoría de redes - PowerPoint PPT PresentationTRANSCRIPT
Auditoría de RedesAUD 721Módulo 7
Carmen R. Cintrón Ferrer - 2004-2012, Derechos Reservados
Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados 2
Contenido Temático
• Tecnología de redes• Planificación y evaluación de redes• Seguridad y protección de redes• Integración de peritos técnicos• Proceso de auditoría de redes• Informe de auditoría de redes
Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados 3
Proceso de auditoría de redes
Informe de auditoría
Séptimo módulo
Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados 4
Proyecto final
Componentes de auditoría de redes√ Introducción√ Descripción del proceso√ Hallazgos√ Clasificación de Hallazgos√ Recomendaciones
Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados 5
Proyecto final
Introducción:√ Ámbito de la auditoría y tipo√ Equipo de trabajo√ Estimado de tiempo √ Requerimientos de compromiso
organizacional
Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados 6
Proyecto final
• Carta de presentación:√ Ámbito de la auditoría y tipo√ Equipo de trabajo√ Estimado de tiempo √ Requerimientos de compromiso organización
• Anejos:√ Resumés del personal en equipo de trabajo√ Acuerdo de confidencialidad√ Itinerario preliminar propuesto
Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados 7
Proyecto final
Proceso – Fase I:√ Documentos a solicitar√ Áreas a visitar√ Procesos y servicios críticos
• Identificar procesos y servicios de acuerdo al tipo de auditoría• Establecer nivel de profundidad en examen• Afinar expectativas del proceso de auditoría
√ Personas a entrevistar:• Enumerar personas a entrevistar• Documentos a examinar con entrevistado• Tipo de preguntas para cada entrevista• Listas de cotejo aplicable a cada área a examinar
Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados 8
Proyecto finalProceso – Fase II:
√ Riesgos que debo esperar (centrar investigación):• Físicos• Entorno• Conexión• Equipos de la red y servidores, otros equipos• Personas: interno y externo• Sistemas: basados en la red, que apoyan la red• Ingeniería social• Otros
√ Agrupar riesgos:• Internos/externos• Nivel de impacto estimado
Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados 9
Proyecto finalProceso – Fase II (Continuación):
√ Pasos a seguir:• Proveedor(es) de Internet• Otra(s) conexión(es) al exterior• Políticas y procedimientos de acceso a Internet• Controles de acceso y de seguridad• Controles sobre la presencia cibernética y archivos en el Web• Infraestructura de la red• Segmentación y control sobre las direcciones IP• Autenticación, autorización y acceso
Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados 10
Proyecto finalProceso – Fase II (Continuación):
√ Pasos a seguir:• Medir amenazas a la estructura de la red• Examen de configuración: Router(s), Firewall(s) y Switchs• Examen de configuración: VLAN’s, VPN’s y Proxies• Vías permiten obviar controles existentes (vulnerabilidades)• Control sobre transacciones y servicios basados en Internet• Acuerdos con colaboradores externos• Evaluar seguridad de transacciones basadas en Internet• Evaluar seguridad de servidores y servicios• Evaluar seguridad de depósitos de llaves (“password crack”)
Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados 11
Proyecto final
Proceso – Fase II (Continuación):√ Personal a integrar:
• Respaldo organizacional• Contactos con proveedores o colaboradores• Técnicos para hacer las pruebas • Especialista en BCP y DSS• Asesor legal (“Compliance”)• Otros
Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados 12
Proyecto final
Proceso – Fase II (Continuación):√ Medidas de mitigación:
• Manejo de procesos de “backup-restore”• “Business Process Continuity Plan”• “Disaster Recovery Plan”• Seguros
√ Verificación de mecanismos para:• Implantación • Divulgación (“Awareness”)• Revisión periódica
Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados 13
Proyecto final
Tipo de Hallazgos Esperados:√ Clasificación de hallazgos√ Categorización√ Estimación de impacto y recursos
Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados 14
Proyecto final
• Conclusiones:√ Generales√ Particulares√ Especiales
• Recomendaciones y plan de acción• Entrega del informe (describir proceso):
√ Entrevistas previas a entrega del informe√ Presentación y discusión las recomendaciones√ Informe final