Fase de Ejecucion
22
Diciembre, 2012 Auditoria Informática de Redes Seguridad de la Red de Datos
-
Upload
andersonrincones -
Category
Technology
-
view
282 -
download
2
description
1. Aplicación de cuestionarios al personal de redes y usuarios. 2. Observación directa sobre los procesos auditados en la organización. 3. Recopilación de información y documentación relevante al proceso de auditoría. 4. Análisis de la información recopilada. 5. Evaluación de los controles internos del departamento de redes. 6. Determinación de los hallazgos, observaciones, recomendaciones y conclusiones. 7. Uso de las herramientas informáticas para facilitar la tarea del auditor. 8. Evaluar la plataforma tecnológica de la red. 9. Medir el desempeño de la Red. 10. Evaluar la gestión de seguridad. 11. Evaluar documentación y estándares
Transcript of Fase de Ejecucion
Diciembre, 2012
Auditoria
Informática
de Redes
Seguridad de la Red de Datos
Área Auditada Seguridad de la red de datos, departamento de telecomunicaciones de la gerencia de
tecnología de información de la empresa ACME XXX
Alcance de la Auditoria
Auditoría informática de la seguridad de la red datos en la gerencia de tecnología de
información de la empresa ACME XXX en un lapso aproximado del 14-11-2012 al 14-12-2012
Objetivos de la Auditoria a. Generales: Efectuar una auditoria informática de la seguridad de la red de datos
b. Específicos:
-Evaluar las medidas de control interno, para la seguridad de la red de datos.
-Evaluar Planes de contingencia
-Analizar la información suministrada de la seguridad de la red de datos durante el periodo de auditoría.
-Presentar informe del proceso de auditoría informática, de seguridad de la red de datos.
PROGRAMA DE AUDITORIA
Hoja Nº 1/1
Empresa: ACME XXX Fecha: 14/11/2012
Fase Actividad Horas Estimadas Encargados
I
Etapa Preliminar: -Entrevista con el cliente -Levantamiento inicial de información -Definición de alcance y objetivos de la auditoría. -Elaboración de la matriz de análisis de auditoría. -Elaboración de la matriz de evaluación de auditoría -Elaboración del programa de auditoría -Elaboración de los procedimientos de auditoría. -Elaboración de entrevistas -Elaboración de cuestionarios -Elaboración de pruebas de
30 Equipo Nro 4
II
Desarrollo de la Auditoria: -Entrevistas con el personal encargado de la gerencia de tecnología de información y departamento de telecomunicaciones -Aplicación de encuesta y listas de chequeo cuestionarios al encargado de la gerencia de tecnología de información -Aplicación de entrevista al encargado del departamento de telecomunicaciones -Aplicar herramienta de auditoria NSAuditor -Recopilación de información y documentación de políticas de seguridad, control de registros de vulnerabilidades y modificaciones, manuales, contratos de seguro, reportes de la herramienta de auditoría NSAuditor -Análisis de la información recopilada en entrevistas, encuestas, lista de chequeos y la observación directa.
360 (15 días) Equipo Nro 4
-Determinación y tabulación de resultados (Hallazgos, observaciones, recomendaciones y conclusiones).
III - Revisión general de los resultados. - Elaboración del Pre-Informe.
120
IV - Elaboración de informe final. - Presentación del informe.
168
MATRIZ DE ANALISIS
CODIGO MASLF-01
MATRIZ DE ANALISIS DE AUDITORIA INFORMATICA DE REDES
OBJETIVOS
GENERAL ESPECIFICO DIMENSION INDICADOR INSTRUMENTO
Efectuar una
auditoria
informática de la
seguridad de la red
de datos en la
empresa ACME XXX
Evaluar las medidas
de control interno,
para la seguridad de
la red de datos
Seguridad Lógica
Control de acceso a
redes
Responsabilidades
del usuario (talleres
de divulgación
sobre uso de la
clave, etc )
Administración y el
análisis de los
archivos de registro
(archivos log)
Personal calificado
para el cargo
concerniente a la
gestión de la red de
datos
Método de
encriptación
utilizado para la
trasmisión y
recepción en la red
de datos
Revisión periódica
de las políticas
utilizadas para la
seguridad de la red
de datos
Entrevista
Lista de chequeo
Encuesta
Matriz de Evaluación
Evaluar aplicación de
barreras físicas y
procedimientos de
control, como
medidas de
seguridad de la red
de datos
Seguridad Física
Planes de
contingencia y
recuperación ante
hechos externos o
ambientales
Mecanismos de
seguridad dentro y
alrededor del
Centro de Cómputo
Métodos
preventivos a
riesgos por
ubicación.
Tiempo de
actividad de los
servicios de la red
de datos
Entrevista
Lista de chequeo
Matriz de Evaluación
Observación Directa
Contratos de seguro, proveedores, y mantenimiento.
Analizar la
información
suministrada de la
seguridad de la red
de datos durante el
periodo de auditoría
Análisis de la
Información
Resultados
Obtenidos
Presentar informe
del proceso de
auditoría
informática, de
seguridad de la red
de datos
Presentación de
Informes Informes
INSTRUMENTOS Y TECNICAS
ENCUESTA CODIGO ESLF-01
01 ¿Existe un plan estratégico de seguridad? Si la respuesta es afirmativa indique en qué estatus se
encuentra.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
02 ¿Se encuentra definido la gestión de usuarios y perfiles de acceso a la red dependiendo del rol
que desempeñan estos en la organización? Si la respuesta es afirmativa, especifique.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
03 ¿Utilizan herramientas para el monitoreo de los servicios de red? Si la respuesta es afirmativa,
especifique.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
04 ¿Existe Gestión de actualización o revisión de las políticas implementadas en la red?
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
05 ¿Se controla el acceso a la red de datos fuera del horario laboral? Si la respuesta es afirmativa,
especifique
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
06 ¿Existe control en el acceso al centro de dato? Si la respuesta es afirmativa indique él mecanismo
utilizado.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
07 ¿Cuenta con planes de contingencia? Explique
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
08 ¿Existe un procedimiento de selección de personal calificado? Explique
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
09 ¿El personal responsable de la administración de la red de datos fue notificado de forma escrita
de las funciones inherentes al cargo? Explique
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
10 ¿Existe personal encargado para realizar el monitoreo de los servicios de red? Si la respuesta es
afirmativa, especifique.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
LISTA DE CHEQUEO CODIGO LCSLF-01
CODIGO LCSLF-01
Nro LISTA DE CHEQUEO SI NO
1 Se cuenta con políticas documentadas y probadas por la gerencia de tecnología de informacíon para prevenir ataques a la red datos
2 Se cuenta con registro de las caídas de los servicios de red
3 Los empleados tienen conocimiento de la existencia de los controles de seguridad establecidos en la red
4 Se llevan registro de incidentes ocurridos y la solución implementada 5 Realizan monitoreo de los servicios de la red 6 efectúan gestión a los archivos de registro
7 cuentan con planes de contingencia que permita recuperar los servicios de la red al momento de acontecer un incidente
8 existe personal capacitado para realizar la administración de la red
9 Cuenta con registro del tiempo en que se encuentran en funcionamiento los servicios de red
10 Cuentan tecnologías de video vigilancia dentro y alrededor del centro de computo
11 Cuentan con algún mecanismo de acceso al centro de computo (guardias de seguridad, carnet de identificación automática con códigos de barras, banda magnética, tarjetas de proximidad por radio frecuencia, sistemas biométricos)
ENTREVISTA CODIGO ENSLF-01
1. ¿Tiene definida las responsabilidades de su cargo?
2. ¿Existe un encargado del monitoreo de los servicios de la red de datos?
3. ¿Cuenta con políticas escritas y aprobados por la gerencia de tecnología de informacíon para
realizar la gestión de seguridad de la red de datos?
4. ¿Tiene conocimientos de planes documentados que permitan a la organización recuperar y
restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo
estimado?
5. ¿Al ocurrir alguna anomalía en la red de datos es reportada a sus superiores inmediatamente?
6. ¿Realiza gestión sobre los archivos de registro y utiliza alguna herramienta para ello?
7. ¿Cuenta con adiestramiento continuo para realizar la gestión de seguridad de la red de datos?
8. ¿Realiza revisión periódica de las políticas utilizadas para la seguridad de la red de datos?
9. ¿Participa en el diseño de las políticas de la seguridad de la red de datos?
10. ¿Los incidentes ocurridos en la red de datos y sus soluciones se encuentran documentos?
MATRIZ DE EVALUACION CODIGO MESLF-01
MATRIZ DE EVALUACION CODIGO MESLF-01
EVALUAR Y CALIFICAR EL CUMPLIMIENTO DE LOS SIGUIENTES ASPECTOS
EXCELENTE BUENO SUFICIENTE REGULAR DEFICIENTE
CONTROL DE ACCESO Y AUTENTICACION
SI DISPONEN DE SERVIDOR CONTROLADOR DE DOMINIO PARA LA AUTENTICACION DE LOS USUARIOS DE LA RED, DEFINIDOS EN GRUPOS, ROLES O PERFILES, HORARIOS DE ACCESO, CADUCIDAD DE LA CLAVE
SE DISPONEN DE CONTROLADOR DE DOMINIO PARA LA AUTENTICACION DE LOS USUARIOS DE LA RED, DEFINIDOS EN GRUPOS, NO CUENTAN CON POLITICAS BIEN
SI DISPONEN DE SERVIDOR CONTROLADOR DE DOMINIO PARA LA AUTENTICACION DE LOS USUARIOS DE LA RED, NO CUENTAN CON GRUPOS, NI PERFILES DEFINIDOS.
NO DISPONEN DE SERVIDOR CONTROLADOR DE DOMINIO PARA LA AUTENTICACION DE LOS USUARIOS DE LA RED, SOLO CUENTA CO PERFILES DEFINIDOS LOCALMENTE
NO DISPONEN DE SERVIDOR CONTROLADOR DE DOMINIO PARA LA AUTENTICACION DE LOS USUARIOS DE LA RED, NO CUENTAN CON PERFILES LOCALES, LOS USUARIOS TIENEN PRIVILEGIOS ADMINISTRATI
ESTABLECIDAS PARA LOS PERFILES
VOS
GESTION DE LOS ARCHIVOS DE REGISTROS
CUANDO REALIZAN GESTION DE LOS ARCHIVOS DE REGISTRO Y ADEMAS DISPONEN DE UN SERVIDOR EXCLUSIVO PARA ALMANCENMIENTO Y LOS ARCHIVOS SON GUARDADOS POR UN PERIODO DE TIEMPO ENTRE 1 Y 2 AÑOS
CUANDO REALIZAN GESTION DE LOS ARCHIVOS DE REGISTRO Y ADEMAS SI SE DISPONE DE UN SERVIDOR EXCLUSIVO PARA ALMANCENMIENTO Y LOS ARCHIVOS SON GUARDADOS POR UN PERIODO DE TIEMPO DE UN AÑOS
CUANDO REALIZAN GESTION DE LOS ARCHIVOS DE REGISTRO Y NO SE DISPONE DE UN SERVIDOR PARA ALMANCENMIENTO
CUANDO REALIZAN GESTION DE LOS ARCHIVOS DE REGISTRO EVENTUALMENTE
CUANDO NO SE HACE GESTION SOBRE LOS ARCHIVOS DE REGISTRO
TIEMPO DE ACTIVIDAD DE LOS SERVICIOS DE LA RED DE DATOS
CUANDO EL 100% DEL TIEMPO LOS SERVICIOS SE ENCUENTRAN ACTIVOS
CUANDO EL 90% DEL TIEMPO LOS SERVICIOS SE ENCUENTRAN ACTIVOS
CUANDO EL 80% DEL TIEMPO LOS SERVICIOS SE ENCUENTRAN ACTIVOS
CUANDO EL 60% DEL TIEMPO LOS SERVICIOS SE ENCUENTRAN ACTIVOS
CUANDO ES MENOR AL 60% DEL TIEMPO LOS SERVICIOS SE ENCUENTRAN ACTIVOS
MECANISMOS DE SEGURIDAD
DENTRO Y ALREDEDOR DEL CENTRO
DE CÓMPUTO
SI DISPONEN DE MECANISMOS QUE PERMITAN RESGUARDAR LA SEGURIDAD PERIMETRAL Y EL ACCESO AL CENTRO DE COMPUTOS, UTILIZACIÓN DE GUARDIAS, UTILIZACIÓN DE SISTEMAS BIOMÉTRICOS, CIRCUITOS CERRADOS, TARJETAS DE PROXIMIDAD POR RADIO FRECUENCIA
SI DISPONEN DE MECANISMOS QUE PERMITAN RESGUARDAR LA SEGURIDAD PERIMETRAL Y EL ACCESO AL CENTRO DE COMPUTOS, UTILIZACIÓN DE SISTEMAS BIOMÉTRICOS, CIRCUITOS CERRADOS, TARJETAS DE PROXIMIDAD POR RADIO FRECUENCIA
SI DISPONEN DE MECANISMOS QUE PERMITAN RESGUARDAR LA SEGURIDAD PERIMETRAL Y EL ACCESO AL CENTRO DE COMPUTOS, UTILIZACIÓN DE CIRCUITOS CERRADOS, DE TARJETAS DE PROXIMIDAD POR RADIO FRECUENCIA
SI DISPONEN DE MECANISMOS QUE PERMITAN RESGUARDAR LA SEGURIDAD PERIMETRAL Y EL ACCESO AL CENTRO DE COMPUTOS, UTILIZACIÓN DE TARJETAS DE PROXIMIDAD POR RADIO FRECUENCIA
SI NO DISPONEN DE MECANISMOS QUE PERMITAN RESGUARDAR LA SEGURIDAD PERIMETRAL Y EL ACCESO AL CENTRO DE COMPUTOS.
PLANES DE CONTINGENCIA Y SI CUENTAN CON SI CUENTAN SI CUENTAN SI CUENTAN SI CUENTAN
RECUPERACIÓN ANTE HECHOS
EXTERNOS O AMBIENTALES
PLANES QUE PERMITAN A LA ORGANIZACIÓN RECUPERAR Y RESTAURAR SUS FUNCIONES CRÍTICAS PARCIAL O TOTALMENTE INTERRUMPIDAS DENTRO DE UN TIEMPO MENOR A UNA HORA DESPUÉS DE UNA INTERRUPCIÓN NO DESEADA O DESASTRE
CON PLANES QUE PERMITAN A LA ORGANIZACIÓN RECUPERAR Y RESTAURAR SUS FUNCIONES CRÍTICAS PARCIAL O TOTALMENTE INTERRUMPIDAS DENTRO DE UN TIEMPO ENTRE UNA Y DOS HORAS DESPUÉS DE UNA INTERRUPCIÓN NO DESEADA O DESASTRE
CON PLANES QUE PERMITAN A LA ORGANIZACIÓN RECUPERAR Y RESTAURAR SUS FUNCIONES CRÍTICAS PARCIAL O TOTALMENTE INTERRUMPIDAS DENTRO DE UN TIEMPO ENTRE DOS Y CUATRO HORAS DESPUÉS DE UNA INTERRUPCIÓN NO DESEADA O DESASTRE
CON PLANES QUE PERMITAN A LA ORGANIZACIÓN RECUPERAR Y RESTAURAR SUS FUNCIONES CRÍTICAS PARCIAL O TOTALMENTE INTERRUMPIDAS DENTRO DE UN TIEMPO ENTRE CUATRO Y OCHO HORAS DESPUÉS DE UNA INTERRUPCIÓN NO DESEADA O DESASTRE
CON PLANES QUE PERMITAN A LA ORGANIZACIÓN RECUPERAR Y RESTAURAR SUS FUNCIONES CRÍTICAS PARCIAL O TOTALMENTE INTERRUMPIDAS DENTRO DE UN TIEMPO MAYOR A OCHO HORAS DESPUÉS DE UNA INTERRUPCIÓN NO DESEADA O DESASTRE
PROCEDIMIENTOS ESPECIFICOS
Código PESLF-01
Programa de Auditoría
Informática
Sección de Trabajo: Página: 1/1
Empresa: ACME XXX
Unidad y/o Departamento: Gerencia de tecnología de información
Dimensión: Seguridad Logica
Periodo de revision Desde: 14/11/2012 Hasta: 14/12/2012
Nº Procedimientos Ref. P/T
1 Reunirse con el encargado de la gerencia de tecnología de
informacíon
2 Solicitar las políticas de seguridad de la información.
3 Indagar acerca de las estrategias de seguridad de
información que están siendo aplicadas.
4 Aplicar encuesta ESLF-01
5 Aplicar lista de chequeo LCSLF-01
6 Constatar mediante observación directa algunas de las
respuestas arrojadas en la encuesta.
7 Registrar las observaciones encontradas.
Código PESLF-02
Programa de Auditoría
Informática
Sección de Trabajo: Página: 1/1
Empresa: ACME XXX
Unidad y/o Departamento: Departamento de Telecomunicaciones
Dimensión: Seguridad Fisica
Periodo de revision Desde: 14/11/2012 Hasta: 14/12/2012
Nº Procedimientos Ref. P/T
1 Reunirse con el encargado del departamento de
telecomunicaciones
2 Realizar entrevista al encargado del departamento de
telecomunicaciones ENSLF-01
3 Aplicar encuesta ESLF-01
4 Constatar mediante observación directa algunas de las
respuestas arrojadas en la entrevista.
5 Utilizar herramienta de auditoria nsauditor
6 Solicitar planes de contingencia al encargado del
departamento de telecomunicaciones
7 Registrar las observaciones encontradas.
RESULTADOS Después de realizadas las pruebas establecidas para la auditoria informática de redes
de datos se obtuvieron los siguientes resultados
ENCUESTA CODIGO ESLF-01
01 ¿Existe un plan estratégico de seguridad? Si la respuesta es afirmativa indique en qué estatus se
encuentra.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
02 ¿Se encuentra definido la gestión de usuarios y perfiles de acceso a la red dependiendo del rol
que desempeñan estos en la organización? Si la respuesta es afirmativa, especifique.
SI NO
Especifique: para la gestión de usuarios se realiza a través del active directory en el cual se
encuentran usuarios divididos en grupos o unidas organizativas donde se le aplican políticas de
grupos, diferentes según el rol que desempeñan en la organización ____________________________
03 ¿Utilizan herramientas para el monitoreo de los servicios de red? Si la respuesta es afirmativa,
especifique.
SI NO
Especifique: se cuenta con una herramienta llamada Nagios el cual es un sistema de monitorización
de redes de código abierto que inspecciona los equipos (hardware) y servicios (software) que se
especifiquen
04 ¿Existe Gestión de actualización o revisión de las políticas implementadas en la red?
SI NO
Especifique____ _______________________________________________________________ _____________________________________________________________________________
05 ¿Se controla el acceso a la red de datos fuera del horario laboral? Si la respuesta es afirmativa,
especifique
SI NO
Especifique: a través del active directory se establecen los horarios de acceso de los diferentes grupos
de usuarios_______________________________________________________________________
06 ¿Existe control en el acceso al centro de dato? Si la respuesta es afirmativa indique él mecanismo
utilizado.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
07 ¿Cuenta con planes de contingencia? Explique
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
08 ¿Existe un procedimiento de selección de personal calificado? Explique
SI NO
Especifique: pero no se adapta a los requerimientos actuales de exigidos por la organización
_____________________________________________________________________________
09 ¿El personal responsable de la administración de la red de datos fue notificado de forma escrita
de las funciones inherentes al cargo? Explique
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
10 ¿Existe personal encargado para realizar el monitoreo de los servicios de red? Si la respuesta es
afirmativa, especifique.
SI NO
Especifique____ _______________________________________________________________
_____________________________________________________________________________
LISTA DE CHEQUEO CODIGO LCSLF-01
CODIGO LCSLF-01
Nro LISTA DE CHEQUEO SI NO
1 Se cuenta con políticas documentadas y probadas por la gerencia de tecnología de informacíon para prevenir ataques a la red datos
X
2 Se cuenta con registro de las caídas de los servicios de red X
3 Los empleados tienen conocimiento de la existencia de los controles de seguridad establecidos en la red
X
4 Se llevan registro de incidentes ocurridos y la solución implementada X 5 Realizan monitoreo de los servicios de la red X 6 efectúan gestión a los archivos de registro X
7 cuentan con planes de contingencia que permita recuperar los servicios de la red al momento de acontecer un incidente
X
8 existe personal capacitado para realizar la administración de la red X
9 Cuenta con registro del tiempo en que se encuentran en funcionamiento los servicios de red
X
10 Cuentan tecnologías de video vigilancia dentro y alrededor del centro de computo X
11 Cuentan con algún mecanismo de acceso al centro de computo (guardias de seguridad, carnet de identificación automática con códigos de barras, banda magnética, tarjetas de proximidad por radio frecuencia, sistemas biométricos)
X
ENTREVISTA CODIGO ENSLF-01
1. ¿Tiene definida las responsabilidades de su cargo?
R. No están definidas las responsabilidades del cargo
2. ¿Existe un encargado del monitoreo de los servicios de la red de datos?
R. No existe personal responsable que realice esa función
3. ¿Cuenta con políticas escritas y aprobados por la gerencia de tecnología de información para
realizar la gestión de seguridad de la red de datos?
R. Existen políticas pero no están documentadas ni para su implementación fueron aprobadas
por la gerencia de tecnología de información
4. ¿Tiene conocimientos de planes documentados que permitan a la organización recuperar y
restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo
estimado?
R. Existen planes que permitan realizar dicha labor
5. ¿Al ocurrir alguna anomalía en la red de datos es reportada a sus superiores inmediatamente?
R. Solo verbalmente
6. ¿Realiza gestión sobre los archivos de registro y utiliza alguna herramienta para ello?
R. No se realiza gestión sobre los archivos de registros
7. ¿Cuenta con adiestramiento continuo para realizar la gestión de seguridad de la red de datos?
R. No se cuenta con adiestramiento para el personal
8. ¿Realiza revisión periódica de las políticas utilizadas para la seguridad de la red de datos?
R. Sí, pero no se encuentre documentado dicho procedimiento
9. ¿Participa en el diseño de las políticas de la seguridad de la red de datos?
R. Si
10. ¿Los incidentes ocurridos en la red de datos y sus soluciones se encuentran documentos?
No se lleva documentación sobre los incidentes ocurridos ni de la solución implementada
MATRIZ DE EVALUACION CODIGO MESLF-01
MATRIZ DE EVALUACION CODIGO MESLF-01
EVALUAR Y CALIFICAR EL CUMPLIMIENTO DE LOS SIGUIENTES ASPECTOS
EXCELENTE BUENO SUFICIENTE REGULAR DEFICIENTE
CONTROL DE ACCESO Y AUTENTICACION X O O O O
GESTION DE LOS ARCHIVOS DE REGISTROS
O O O X O
TIEMPO DE ACTIVIDAD DE LOS SERVICIOS DE LA RED DE DATOS
O O X O O
MECANISMOS DE SEGURIDAD O O O O X
DENTRO Y ALREDEDOR DEL CENTRO
DE CÓMPUTO
PLANES DE CONTINGENCIA Y
RECUPERACIÓN ANTE HECHOS
EXTERNOS O AMBIENTALES
O O O O X
MATRIZ DE EVALUACION CODIGO MESLF-02
EVALUAR Y CALIFICAR EL CUMPLIMIENTO DE LOS SIGUIENTES ASPECTOS
EXCELENTE BUENO REGULAR DEFICIENTE
PLATAFORMA TECNOLOGICA DE LA RED O
-Pc actualizados de marcas reconocidas(lenovo) -Switch de marcar reconocidas (cisco) y modelos actuales -Servidores marca IBM con características superiores a la estándar de fabrica -Router de marca reconocida (cisco) y modelo actual -Firewall de marca reconocida con soporte de actualización de los servicios -Antivirus corporativo y soporte de actualización
O O
DESEMPEÑO DE LA RED O O
-No se cuenta con segmentación de la red de datos -Crecimiento no planificado de puntos de
O
red (entrada de nuevo personal a la organización) -Servicios de red no optimizados -Cableado inadecuado en algunas unidades de la organización
GESTION DE SEGURIDAD O O O
-No se cuenta con personal para dicha tarea -No existen políticas acorde a los requerimientos de la organización
DOCUMENTACION Y ESTANDARES O O O
No se cuenta con procedimientos documentados para la gestión de la seguridad de la red de datos
OBSERVACIONES DE LOS HALLAZGOS � Inadecuada gestión sobres los archivos de registro � No hay difusión de las políticas de seguridad de la red a los usuarios � No se llevan registro de incidentes ocurridos y la solución implementada � No cuentan con personal capacitado para realizar gestión de seguridad de la red de datos � No cuentan con planes que permitan a la organización recuperar y restaurar sus funciones
críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial � Deficiencia en los métodos preventivos a riesgos por ubicación
� No poseen mecanismos de seguridad dentro y alrededor del centro de computo
� No existe personal encargado del monitoreo de los servicios de la red de datos � No llevan registro documentado sobre los incidentes en la red de datos y las soluciones
implementadas � Deficiencia en el adiestramiento al personal que realiza la gestión de la red de datos � Algunas políticas no están acorde a los requerimientos de la organización
� Cableado estructura que no cumple con los estándares � No existe segmentación de la red � No se realizan mantenimientos preventivos a los servidores
RECOMENDACIONES � Establecer y hacer uso de políticas de seguridad � Realizar planes estratégicos que involucren la seguridad de la red � Se debe implementar un procedimiento y documentarlo para llevar la administración y el
análisis de los archivos de registro � Se sugiere desarrollar un procedimiento documentado que permita registrar de la forma más
expedita los incidentes ocurridos en la red de datos y la solución realizada � Realizar talleres con todo el personal como medio de difusión de las políticas de seguridad � Realizar monitoreo minucioso de la red para mitigar las posibles causa de los servicios de red � Definir funciones especificas al personal encargado de la gestión de red � Realizar un plan de contingencia que permitan a la organización recuperar y restaurar sus
funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial � Capacitar al personal en las funciones a desempeñar � Documentar las políticas a implementar en la red de datos y las mismas deben contar con la
aprobación del comité gerencial
CONCLUSION
La seguridad de la red de datos cada día cobra más importancia dentro de las organizaciones
debido a que la red es la que soporta la conectividad entre los diferentes dispositivos que la integran
además siendo un factor determinante en la gestión del activo más importante para toda empresa
que es la información.
Es de vital importancia para la organización contar con planes que permitan recuperar y
restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo prudencial,
ya que una infracción de seguridad puede causar un daño irreparable a la reputación o la imagen de
marca de la compañía.
Educando a los usuarios en el uso de las mejores prácticas, la organización debe estipular
métodos preventivos para la seguridad interna de la red de datos para ello debe fomentar la
conciencia entre los usuarios de la importancia que tiene para todos los empleados el buen
funcionamiento de la red, para lo cual los usuarios finales deben ser participes en el cumplimientos
de las políticas implementadas para la seguridad de la red de datos.
Para el establecimiento de políticas acorde con los requerimientos de la organización se deben
llegar registros detallados de los incidentes ocurridos anexando las evidencias encontradas y además
las soluciones implementadas en los casos.
Para mitigar los riesgos es indispensable la concientización de la directiva en el rol
fundamental que desempeña la correcta aplicación de políticas de seguridad de la red de datos en el
buen desempeño de la organización.
