140 likes | 364 Views
Auditoría de Redes AUD 721. Módulo 7. Carmen R. Cintrón Ferrer - 2004-2012, Derechos Reservados. Contenido Temático. Tecnología de redes Planificación y evaluación de redes Seguridad y protección de redes Integración de peritos técnicos Proceso de auditoría de redes
E N D
Auditoría de RedesAUD 721 Módulo 7 Carmen R. CintrónFerrer - 2004-2012, DerechosReservados
Contenido Temático • Tecnología de redes • Planificación y evaluación de redes • Seguridad y protección de redes • Integración de peritos técnicos • Proceso de auditoría de redes • Informe de auditoría de redes Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados
Informe de auditoría Proceso de auditoría de redes Séptimo módulo Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados
Proyecto final Componentes de auditoría de redes • Introducción • Descripción del proceso • Hallazgos • Clasificación de Hallazgos • Recomendaciones Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados
Proyecto final Introducción: • Ámbito de la auditoría y tipo • Equipo de trabajo • Estimado de tiempo • Requerimientos de compromiso organizacional Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados
Proyecto final • Carta de presentación: • Ámbito de la auditoría y tipo • Equipo de trabajo • Estimado de tiempo • Requerimientos de compromiso organización • Anejos: • Resumés del personal en equipo de trabajo • Acuerdo de confidencialidad • Itinerario preliminar propuesto Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados
Proyecto final Proceso – Fase I: • Documentos a solicitar • Áreas a visitar • Procesos y servicios críticos • Identificar procesos y servicios de acuerdo al tipo de auditoría • Establecer nivel de profundidad en examen • Afinar expectativas del proceso de auditoría • Personas a entrevistar: • Enumerar personas a entrevistar • Documentos a examinar con entrevistado • Tipo de preguntas para cada entrevista • Listas de cotejo aplicable a cada área a examinar Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados
Proyecto final Proceso – Fase II: • Riesgos que debo esperar (centrar investigación): • Físicos • Entorno • Conexión • Equipos de la red y servidores, otros equipos • Personas: interno y externo • Sistemas: basados en la red, que apoyan la red • Ingeniería social • Otros • Agrupar riesgos: • Internos/externos • Nivel de impacto estimado Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados
Proyecto final Proceso – Fase II (Continuación): • Pasos a seguir: • Proveedor(es) de Internet • Otra(s) conexión(es) al exterior • Políticas y procedimientos de acceso a Internet • Controles de acceso y de seguridad • Controles sobre la presencia cibernética y archivos en el Web • Infraestructura de la red • Segmentación y control sobre las direcciones IP • Autenticación, autorización y acceso Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados
Proyecto final Proceso – Fase II (Continuación): • Pasos a seguir: • Medir amenazas a la estructura de la red • Examen de configuración: Router(s), Firewall(s) y Switchs • Examen de configuración: VLAN’s, VPN’s y Proxies • Vías permiten obviar controles existentes (vulnerabilidades) • Control sobre transacciones y servicios basados en Internet • Acuerdos con colaboradores externos • Evaluar seguridad de transacciones basadas en Internet • Evaluar seguridad de servidores y servicios • Evaluar seguridad de depósitos de llaves (“password crack”) Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados
Proyecto final Proceso – Fase II (Continuación): • Personal a integrar: • Respaldo organizacional • Contactos con proveedores o colaboradores • Técnicos para hacer las pruebas • Especialista en BCP y DSS • Asesor legal (“Compliance”) • Otros Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados
Proyecto final Proceso – Fase II (Continuación): • Medidas de mitigación: • Manejo de procesos de “backup-restore” • “Business Process Continuity Plan” • “Disaster Recovery Plan” • Seguros • Verificación de mecanismos para: • Implantación • Divulgación (“Awareness”) • Revisión periódica Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados
Proyecto final Tipo de Hallazgos Esperados: • Clasificación de hallazgos • Categorización • Estimación de impacto y recursos Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados
Proyecto final • Conclusiones: • Generales • Particulares • Especiales • Recomendaciones y plan de acción • Entrega del informe (describir proceso): • Entrevistas previas a entrega del informe • Presentación y discusión las recomendaciones • Informe final Carmen R. Cintrón Ferrer, 2008-2012, Derechos Reservados