SlideShare uma empresa Scribd logo

auditoria de Seguridad de redes

Transferir como DOCX, PDF
Jerich Chavarry
Jerich Chavarry

ejemplo de una estructura simple de una auditoria a una empresa de ficticia de transportes

Software
1 de 5
INFORME DE AUDITORIA Fecha del Informe: 29 / 04 / 2014 Nombre de la Entidad: Transporte Feliz Viaje S.A Auditoria de Seguridad de Redes Objetivo  Análisis del Estado actual de la red, incluyendo controles físicos y lógicos, detección de usuarios no autorizados, hardware de comunicaciones, tipos de tráfico de red, esquema de antivirus, acceso a Internet, esquema y pruebas de respaldo.  Análisis de Políticas de seguridad actuales, que incluye verificación de políticas de claves, control de personal, perfiles de usuario, sistemas operativos de red, esquema de licencias de software.  Análisis de protección de recursos informáticos y establecimiento de un plan de capacitación en las políticas de seguridad.  Elaborar un plan de respaldo y contingencia que garantice la disponibilidad de los recursos tanto en la parte de servidores y equipos de comunicación, enlaces de transmisión, aplicaciones y datos en general Lugar de la Auditoría: Área de Sistemas de la referida empresa. Grupo de Trabajo de Auditoría:  Integrantes Fecha de Inicio de la Auditoría: 27 / 04 / 2014 Tiempo estimado del proceso de revisión: 30 hs Fecha de Finalización de la Auditoría: 29 / 04 / 2014 Herramientas utilizadas Metodología de auditoría de objetivos de control - Utilitarios estándar 1. Entrevistas 2. Cheklist Alcance Controlar los accesos no autorizados al software, así también como el cuidado y mantenimiento del hardware. Manejar el acceso de la red de tal manera que se utilice sólo para uso de trabajo.
Procedimientos a aplicar: Objetos ¿Existen actualizaciones de los programas? ¿Los sistemas están protegidos contra virus? ¿La información es clara? ¿Existen plan en caso de terremotos u otros? ¿Hay personal de seguridad en la Institución? ¿Los equipos tienen un mantenimiento continuo por parte de personal calificado? Datos - ¿Con qué frecuencia se realiza una copia de resguardo (backup)? - ¿Cada cuánto tiempo se realiza una actualización de lo programas? - ¿existen inventario de las maquinas? ¿Diversos extintores? Usuarios ¿Todos los usuarios tienen definido un rol determinado? ¿Todos los usuarios tienen permiso para instalar aplicaciones? ¿Se cuenta con registro de los empleados?
Informe de las debilidades detectadas Situación Actual Recomendación Comentario de la Gerencia de Sistemas Las actualizaciones de las definiciones de virus y en general del antivirus no se realizan periódicamente, es decir no hay un procedimiento establecido para la ejecución y actualización de los antivirus. Es necesario estandarizar el software de antivirus en todas las estaciones de trabajo y servidores. Es aconsejable tener un proveedor de software antivirus para las estaciones y otro diferente para el servidor, para reducir la probabilidad de que un virus que no esté en la lista de actualización, se filtre en toda la red. El servidor principal de la empresa se encuentra actualmente sin antivirus, lo que representa un grave peligro frente a cualquier programa no deseado que ingrese desde la misma red o de la Internet. Se sugiere que en las estaciones de trabajo se siga con la línea de Symantec (Norton Antivirus) y en el servidor central instalar McAfee. Es recomendable instalar el McAfee por la funcionalidad que brinda la consola de administración de la versión para servidores. Si no se opta por alguno de estos productos se tendría que analizar que el producto que se escoja no afecte el software instalado para las actividades que realiza la empresa. Como parte de esta evaluación se procedió a verificar las conexiones de los cables del HUB, los cables del servidor de base de datos, quedó en evidencia el libre acceso físico que existe hacia el hardware de comunicaciones, puesto que el HUB está almacenado en un armario donde también se guarda documentación física de la empresa.  El servidor de archivos no debe ser accesible físicamente a cualquier persona. Ausencia de un área de recepción donde se solicite una identificación a los empleados como a los visitantes que deseen ingresar al área de cómputo. Colocar seguridad o personal de la empresa para la entrada del personal ajeno o de la empresa así controlar en ingreso.
Los colaboradores de la empresa carecen de una medio de identificación, llámese tarjeta de Id o alguna otro forma de identificación. Se solicita tener identificaciones y estar en registradas para evitar cualquier entrada de personal ajena a la empresa Ausencia de extintores de incendios. Colocar extintores en zonas claves para permitir el acceso rápido en caso de incendio La caja de los medidores de energía eléctrica se encuentra sin ningún tipo de protección, estando a la intemperie y a simple vista del público en general. Todo contacto o interruptor debe tener siempre su tapa debidamente aislada. Existe una diversa cantidad de programas en las estaciones de trabajo, muchos de estos que no tienen relación directa con la actividad de la empresa. Esto se debe a que los colaboradores suelen instalar software usando el usuario administrador de la máquina, el cual es el mismo en todas las estaciones Solo está permitido instalar en las computadoras el software requerido para el desarrollo de las actividades de la empresa, para esto se contará con un listado de dicho software, el cual deberá ser seleccionado por la Gerencia y jefes de área. No existe un mantenimiento de programas y procedimientos de detección e inmunización de virus. Se debe realizar actualizaciones de los diferentes programa que intervienen en las diferentes computadoras (ejm. Adobe Reader) No se tiene en inventario a la computadoras Se deberá realizar una señalización o etiquetado de los Computadores de acuerdo a la importancia de su contenido, para ser priorizados en caso de evacuación. El procedimiento de respaldo que actualmente consiste en efectuar Backus cada semana, los días viernes, almacenando en CD la información importante de la empresa que reside en el servidor central La realización de copias de seguridad ha de ejecutarse diariamente, éste es el principio que debe regir la planificación de las copias. No se cuenta con área de seguridad de usuarios, para evitar accesos no autorizados mediante contraseñas confiables y seguras. Concienciar a los usuarios de la red, se deberá concienciar a los usuarios de la red, acerca de una política mínima de seguridad, por ejemplo, evitar las claves fácilmente descifrables.
CONCLUSIONES El equipo de auditores considera que la empresa NO realiza las tareas de actualización y mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas áreas de la empresa. Luego de haber realizado el análisis de las seguridades en la red local, podemos concluir que no existen controles adecuados en los siguientes aspectos: acceso físico a instalaciones, accesos lógicos, plan de contingencias, políticas de seguridades informáticas y esquema de antivirus. Consideramos que los puntos mencionados anteriormente son indispensables para el correcto funcionamiento de las actividades de la empresa, ya que según lo expuesto en la parte sobre análisis de riesgos, una empresa que detenga sus actividades por fallas en la disponibilidad de su red, corre el riesgo de nunca poder recuperarse y desaparecer del mercado. RECOMENDACIONES: Por esta razón, recomendamos que se sigan los siguientes pasos: implementar un esquema robusto contra virus informáticos, restringir los accesos físicos a la empresa y a los equipos de cómputo, dar mantenimiento preventivo y correctivo al hardware de la empresa, tener un plan de contingencias que garantice la recuperación de la actividad normal de la empresa en caso de ocurrir algún desastre y por último, establecer un esquema de políticas de seguridad informática de acuerdo a las necesidades planteadas. Se aconseja que las sugerencias hechas en este documento junto con el esquema de políticas de seguridad propuesto, deban ser evaluadas con la mayor prontitud posible, entendiendo que ningún esfuerzo, sea este económico o humano, es demasiado cuando está en juego información confidencial y vital para el normal funcionamiento del negocio.

Recomendados

Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosDiana Alfaro
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBITIsaacDaniel20
 
Cap 5 evaluación del proceso de datos y equipo de computo
Cap 5 evaluación del proceso de datos y equipo de computoCap 5 evaluación del proceso de datos y equipo de computo
Cap 5 evaluación del proceso de datos y equipo de computoBrian Alberto Sema Bravo
 
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Karla Ordoñez
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informaticaLeoner Parra
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 
ANÁLISIS DE HALLAZGOS DE AUDITORIA
ANÁLISIS DE HALLAZGOS DE AUDITORIAANÁLISIS DE HALLAZGOS DE AUDITORIA
ANÁLISIS DE HALLAZGOS DE AUDITORIAAdrian Zaragoza Tapia
 

Recomendados

Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosDiana Alfaro
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBITIsaacDaniel20
 
Cap 5 evaluación del proceso de datos y equipo de computo
Cap 5 evaluación del proceso de datos y equipo de computoCap 5 evaluación del proceso de datos y equipo de computo
Cap 5 evaluación del proceso de datos y equipo de computoBrian Alberto Sema Bravo
 
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...
Metodología Auditoría de Sistemas Computacionales: Planeacion de la auditoria...Karla Ordoñez
 
Ensayo de auditoría en informatica
Ensayo de auditoría en informaticaEnsayo de auditoría en informatica
Ensayo de auditoría en informaticaLeoner Parra
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 
ANÁLISIS DE HALLAZGOS DE AUDITORIA
ANÁLISIS DE HALLAZGOS DE AUDITORIAANÁLISIS DE HALLAZGOS DE AUDITORIA
ANÁLISIS DE HALLAZGOS DE AUDITORIAAdrian Zaragoza Tapia
 
Instrumentos auditoria informatica
Instrumentos auditoria informaticaInstrumentos auditoria informatica
Instrumentos auditoria informaticaFavio Meneses
 
Auditoria de sistemas instalados .
Auditoria de sistemas instalados .Auditoria de sistemas instalados .
Auditoria de sistemas instalados .Leomar Martinez
 
Técnicas de evaluación
Técnicas de evaluaciónTécnicas de evaluación
Técnicas de evaluaciónjoseaunefa
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
AUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAinnovasisc
 
Propuesta del plan de auditoría informática
Propuesta del plan de auditoría informáticaPropuesta del plan de auditoría informática
Propuesta del plan de auditoría informáticaJuan Carlos Crespin Mejia
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informaticajanethvalverdereyes
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Informe de auditoria de control interno
Informe de auditoria de control internoInforme de auditoria de control interno
Informe de auditoria de control internoWalter Y. Casallas
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasRocio Saenz
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaLion Mendz
 
Asignar los recursos y sistemas computacionales para la auditoria
Asignar los recursos y sistemas computacionales para la auditoriaAsignar los recursos y sistemas computacionales para la auditoria
Asignar los recursos y sistemas computacionales para la auditoriaCenit Boss
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
PETI
PETIPETI
PETIAlex
 
Auditoria en ambiente informatico
Auditoria en ambiente informaticoAuditoria en ambiente informatico
Auditoria en ambiente informaticoGabriel Caldera
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
Clipping cnc 03032015 versão de impressão
Clipping cnc 03032015 versão de impressãoClipping cnc 03032015 versão de impressão
Clipping cnc 03032015 versão de impressãoPaulo André Colucci Kawasaki
 
Trabajo final postitulo
Trabajo final postituloTrabajo final postitulo
Trabajo final postituloNancy Wietig
 

Mais conteúdo relacionado

Mais procurados

Instrumentos auditoria informatica
Instrumentos auditoria informaticaInstrumentos auditoria informatica
Instrumentos auditoria informaticaFavio Meneses
 
Auditoria de sistemas instalados .
Auditoria de sistemas instalados .Auditoria de sistemas instalados .
Auditoria de sistemas instalados .Leomar Martinez
 
Técnicas de evaluación
Técnicas de evaluaciónTécnicas de evaluación
Técnicas de evaluaciónjoseaunefa
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
AUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAinnovasisc
 
Propuesta del plan de auditoría informática
Propuesta del plan de auditoría informáticaPropuesta del plan de auditoría informática
Propuesta del plan de auditoría informáticaJuan Carlos Crespin Mejia
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informaticajanethvalverdereyes
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Informe de auditoria de control interno
Informe de auditoria de control internoInforme de auditoria de control interno
Informe de auditoria de control internoWalter Y. Casallas
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasRocio Saenz
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaLion Mendz
 
Asignar los recursos y sistemas computacionales para la auditoria
Asignar los recursos y sistemas computacionales para la auditoriaAsignar los recursos y sistemas computacionales para la auditoria
Asignar los recursos y sistemas computacionales para la auditoriaCenit Boss
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
PETI
PETIPETI
PETIAlex
 
Auditoria en ambiente informatico
Auditoria en ambiente informaticoAuditoria en ambiente informatico
Auditoria en ambiente informaticoGabriel Caldera
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 

Mais procurados (20)

Instrumentos auditoria informatica
Instrumentos auditoria informaticaInstrumentos auditoria informatica
Instrumentos auditoria informatica
 
Auditoria de sistemas instalados .
Auditoria de sistemas instalados .Auditoria de sistemas instalados .
Auditoria de sistemas instalados .
 
Técnicas de evaluación
Técnicas de evaluaciónTécnicas de evaluación
Técnicas de evaluación
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
 
AUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICA
 
Propuesta del plan de auditoría informática
Propuesta del plan de auditoría informáticaPropuesta del plan de auditoría informática
Propuesta del plan de auditoría informática
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informatica
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Informe de auditoria de control interno
Informe de auditoria de control internoInforme de auditoria de control interno
Informe de auditoria de control interno
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemas
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
Impacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoríaImpacto de la tecnología informática sobre la función de la auditoría
Impacto de la tecnología informática sobre la función de la auditoría
 
Asignar los recursos y sistemas computacionales para la auditoria
Asignar los recursos y sistemas computacionales para la auditoriaAsignar los recursos y sistemas computacionales para la auditoria
Asignar los recursos y sistemas computacionales para la auditoria
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
PETI
PETIPETI
PETI
 
Auditoria en ambiente informatico
Auditoria en ambiente informaticoAuditoria en ambiente informatico
Auditoria en ambiente informatico
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
 

Destaque

Trabajo final postitulo
Trabajo final postituloTrabajo final postitulo
Trabajo final postituloNancy Wietig
 
Stock Market Lesson Sequence
Stock Market Lesson SequenceStock Market Lesson Sequence
Stock Market Lesson SequenceVleporerox
 
IES MONTSERRAT ROIG
IES MONTSERRAT ROIGIES MONTSERRAT ROIG
IES MONTSERRAT ROIGdubigis
 
Lepore Unit 2 Self Assessment Rubric
Lepore Unit 2 Self Assessment RubricLepore Unit 2 Self Assessment Rubric
Lepore Unit 2 Self Assessment RubricVleporerox
 
17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec
17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec
17D, 12E: Calendario de movilizaciones contra el ERE en TragsatecCGT Tragsatec
 
1st Week of Stock Blog
1st Week of Stock Blog1st Week of Stock Blog
1st Week of Stock BlogVleporerox
 
Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...
Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...
Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...Felynov
 
Consumo de froita
Consumo de froitaConsumo de froita
Consumo de froitaMartaEL
 
Desintegracionfamiliar 110325082527-phpapp01
Desintegracionfamiliar 110325082527-phpapp01Desintegracionfamiliar 110325082527-phpapp01
Desintegracionfamiliar 110325082527-phpapp01Walter Fernandez
 
Enfoque cuantitativo.
Enfoque cuantitativo.Enfoque cuantitativo.
Enfoque cuantitativo.emybeya77
 

Destaque (20)

Clipping cnc 03032015 versão de impressão
Clipping cnc 03032015 versão de impressãoClipping cnc 03032015 versão de impressão
Clipping cnc 03032015 versão de impressão
 
Trabajo final postitulo
Trabajo final postituloTrabajo final postitulo
Trabajo final postitulo
 
Stock Market Lesson Sequence
Stock Market Lesson SequenceStock Market Lesson Sequence
Stock Market Lesson Sequence
 
IES MONTSERRAT ROIG
IES MONTSERRAT ROIGIES MONTSERRAT ROIG
IES MONTSERRAT ROIG
 
Lepore Unit 2 Self Assessment Rubric
Lepore Unit 2 Self Assessment RubricLepore Unit 2 Self Assessment Rubric
Lepore Unit 2 Self Assessment Rubric
 
Resonancia magnetica.pdf
Resonancia magnetica.pdfResonancia magnetica.pdf
Resonancia magnetica.pdf
 
17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec
17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec
17D, 12E: Calendario de movilizaciones contra el ERE en Tragsatec
 
1st Week of Stock Blog
1st Week of Stock Blog1st Week of Stock Blog
1st Week of Stock Blog
 
Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...
Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...
Organizacion y coordiación de equipos de trabajo actividad 1 unidad 2 felici...
 
História de São Luis de Montes Belos - GOIÁS
História de São Luis de Montes Belos - GOIÁSHistória de São Luis de Montes Belos - GOIÁS
História de São Luis de Montes Belos - GOIÁS
 
Biologia
BiologiaBiologia
Biologia
 
Consumo de froita
Consumo de froitaConsumo de froita
Consumo de froita
 
Desintegracionfamiliar 110325082527-phpapp01
Desintegracionfamiliar 110325082527-phpapp01Desintegracionfamiliar 110325082527-phpapp01
Desintegracionfamiliar 110325082527-phpapp01
 
Clipping cnc 15e16072015 versão de impressão
Clipping cnc 15e16072015 versão de impressãoClipping cnc 15e16072015 versão de impressão
Clipping cnc 15e16072015 versão de impressão
 
Clipping cnc 10082015 versão de impressão
Clipping cnc 10082015 versão de impressãoClipping cnc 10082015 versão de impressão
Clipping cnc 10082015 versão de impressão
 
Enfoque cuantitativo.
Enfoque cuantitativo.Enfoque cuantitativo.
Enfoque cuantitativo.
 
Clipping cnc 03022015 versão de impressão
Clipping cnc 03022015 versão de impressãoClipping cnc 03022015 versão de impressão
Clipping cnc 03022015 versão de impressão
 
nClipping cnc 18022015 versão de impressão
nClipping cnc 18022015 versão de impressãonClipping cnc 18022015 versão de impressão
nClipping cnc 18022015 versão de impressão
 
Clipping cnc 24032015 versão de impressão
Clipping cnc 24032015 versão de impressãoClipping cnc 24032015 versão de impressão
Clipping cnc 24032015 versão de impressão
 
Clipping cnc 24062014 versao de impressao
Clipping cnc 24062014 versao de impressaoClipping cnc 24062014 versao de impressao
Clipping cnc 24062014 versao de impressao
 

Semelhante a auditoria de Seguridad de redes

empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docxCLARIBELVILLARREAL
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica1803127313001
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAXimena Williams
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informáticoelperrojaime
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1Andres1dz
 
Clase diecisiete 2011
Clase diecisiete 2011Clase diecisiete 2011
Clase diecisiete 2011tecnodelainfo
 
Areas de la auditoria p1
Areas de la auditoria p1Areas de la auditoria p1
Areas de la auditoria p1giseela_ledesma
 
SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...
SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...
SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...Oscar Jaime Acosta
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutableBella Loor
 
77949106 seleccion-del-equipo-de-computo
77949106 seleccion-del-equipo-de-computo77949106 seleccion-del-equipo-de-computo
77949106 seleccion-del-equipo-de-computodjelektro
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Ejemplo de-auditoria
Ejemplo de-auditoriaEjemplo de-auditoria
Ejemplo de-auditoriaAntonio Mtz
 
Trabajo De Centro Computo2
Trabajo De Centro Computo2Trabajo De Centro Computo2
Trabajo De Centro Computo2MAKLG
 
Trabajo de centro computo2
Trabajo de centro computo2Trabajo de centro computo2
Trabajo de centro computo2MAKLG
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 

Semelhante a auditoria de Seguridad de redes (20)

empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
 
Antivirus
AntivirusAntivirus
Antivirus
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica
 
A3APSeguridad_soft_vision
A3APSeguridad_soft_visionA3APSeguridad_soft_vision
A3APSeguridad_soft_vision
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríAC:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA
 
Antivirus informático
Antivirus informáticoAntivirus informático
Antivirus informático
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1
 
Clase diecisiete 2011
Clase diecisiete 2011Clase diecisiete 2011
Clase diecisiete 2011
 
Areas de la auditoria p1
Areas de la auditoria p1Areas de la auditoria p1
Areas de la auditoria p1
 
SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...
SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...
SENA - Guia corregir fallas y restablecer el funcionamiento de los equipos d...
 
Auditoria ejecutable
Auditoria ejecutableAuditoria ejecutable
Auditoria ejecutable
 
77949106 seleccion-del-equipo-de-computo
77949106 seleccion-del-equipo-de-computo77949106 seleccion-del-equipo-de-computo
77949106 seleccion-del-equipo-de-computo
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
Ejemplo de-auditoria
Ejemplo de-auditoriaEjemplo de-auditoria
Ejemplo de-auditoria
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
 
Trabajo De Centro Computo2
Trabajo De Centro Computo2Trabajo De Centro Computo2
Trabajo De Centro Computo2
 
Trabajo de centro computo2
Trabajo de centro computo2Trabajo de centro computo2
Trabajo de centro computo2
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 

auditoria de Seguridad de redes

  • 1. INFORME DE AUDITORIA Fecha del Informe: 29 / 04 / 2014 Nombre de la Entidad: Transporte Feliz Viaje S.A Auditoria de Seguridad de Redes Objetivo  Análisis del Estado actual de la red, incluyendo controles físicos y lógicos, detección de usuarios no autorizados, hardware de comunicaciones, tipos de tráfico de red, esquema de antivirus, acceso a Internet, esquema y pruebas de respaldo.  Análisis de Políticas de seguridad actuales, que incluye verificación de políticas de claves, control de personal, perfiles de usuario, sistemas operativos de red, esquema de licencias de software.  Análisis de protección de recursos informáticos y establecimiento de un plan de capacitación en las políticas de seguridad.  Elaborar un plan de respaldo y contingencia que garantice la disponibilidad de los recursos tanto en la parte de servidores y equipos de comunicación, enlaces de transmisión, aplicaciones y datos en general Lugar de la Auditoría: Área de Sistemas de la referida empresa. Grupo de Trabajo de Auditoría:  Integrantes Fecha de Inicio de la Auditoría: 27 / 04 / 2014 Tiempo estimado del proceso de revisión: 30 hs Fecha de Finalización de la Auditoría: 29 / 04 / 2014 Herramientas utilizadas Metodología de auditoría de objetivos de control - Utilitarios estándar 1. Entrevistas 2. Cheklist Alcance Controlar los accesos no autorizados al software, así también como el cuidado y mantenimiento del hardware. Manejar el acceso de la red de tal manera que se utilice sólo para uso de trabajo.
  • 2. Procedimientos a aplicar: Objetos ¿Existen actualizaciones de los programas? ¿Los sistemas están protegidos contra virus? ¿La información es clara? ¿Existen plan en caso de terremotos u otros? ¿Hay personal de seguridad en la Institución? ¿Los equipos tienen un mantenimiento continuo por parte de personal calificado? Datos - ¿Con qué frecuencia se realiza una copia de resguardo (backup)? - ¿Cada cuánto tiempo se realiza una actualización de lo programas? - ¿existen inventario de las maquinas? ¿Diversos extintores? Usuarios ¿Todos los usuarios tienen definido un rol determinado? ¿Todos los usuarios tienen permiso para instalar aplicaciones? ¿Se cuenta con registro de los empleados?
  • 3. Informe de las debilidades detectadas Situación Actual Recomendación Comentario de la Gerencia de Sistemas Las actualizaciones de las definiciones de virus y en general del antivirus no se realizan periódicamente, es decir no hay un procedimiento establecido para la ejecución y actualización de los antivirus. Es necesario estandarizar el software de antivirus en todas las estaciones de trabajo y servidores. Es aconsejable tener un proveedor de software antivirus para las estaciones y otro diferente para el servidor, para reducir la probabilidad de que un virus que no esté en la lista de actualización, se filtre en toda la red. El servidor principal de la empresa se encuentra actualmente sin antivirus, lo que representa un grave peligro frente a cualquier programa no deseado que ingrese desde la misma red o de la Internet. Se sugiere que en las estaciones de trabajo se siga con la línea de Symantec (Norton Antivirus) y en el servidor central instalar McAfee. Es recomendable instalar el McAfee por la funcionalidad que brinda la consola de administración de la versión para servidores. Si no se opta por alguno de estos productos se tendría que analizar que el producto que se escoja no afecte el software instalado para las actividades que realiza la empresa. Como parte de esta evaluación se procedió a verificar las conexiones de los cables del HUB, los cables del servidor de base de datos, quedó en evidencia el libre acceso físico que existe hacia el hardware de comunicaciones, puesto que el HUB está almacenado en un armario donde también se guarda documentación física de la empresa.  El servidor de archivos no debe ser accesible físicamente a cualquier persona. Ausencia de un área de recepción donde se solicite una identificación a los empleados como a los visitantes que deseen ingresar al área de cómputo. Colocar seguridad o personal de la empresa para la entrada del personal ajeno o de la empresa así controlar en ingreso.
  • 4. Los colaboradores de la empresa carecen de una medio de identificación, llámese tarjeta de Id o alguna otro forma de identificación. Se solicita tener identificaciones y estar en registradas para evitar cualquier entrada de personal ajena a la empresa Ausencia de extintores de incendios. Colocar extintores en zonas claves para permitir el acceso rápido en caso de incendio La caja de los medidores de energía eléctrica se encuentra sin ningún tipo de protección, estando a la intemperie y a simple vista del público en general. Todo contacto o interruptor debe tener siempre su tapa debidamente aislada. Existe una diversa cantidad de programas en las estaciones de trabajo, muchos de estos que no tienen relación directa con la actividad de la empresa. Esto se debe a que los colaboradores suelen instalar software usando el usuario administrador de la máquina, el cual es el mismo en todas las estaciones Solo está permitido instalar en las computadoras el software requerido para el desarrollo de las actividades de la empresa, para esto se contará con un listado de dicho software, el cual deberá ser seleccionado por la Gerencia y jefes de área. No existe un mantenimiento de programas y procedimientos de detección e inmunización de virus. Se debe realizar actualizaciones de los diferentes programa que intervienen en las diferentes computadoras (ejm. Adobe Reader) No se tiene en inventario a la computadoras Se deberá realizar una señalización o etiquetado de los Computadores de acuerdo a la importancia de su contenido, para ser priorizados en caso de evacuación. El procedimiento de respaldo que actualmente consiste en efectuar Backus cada semana, los días viernes, almacenando en CD la información importante de la empresa que reside en el servidor central La realización de copias de seguridad ha de ejecutarse diariamente, éste es el principio que debe regir la planificación de las copias. No se cuenta con área de seguridad de usuarios, para evitar accesos no autorizados mediante contraseñas confiables y seguras. Concienciar a los usuarios de la red, se deberá concienciar a los usuarios de la red, acerca de una política mínima de seguridad, por ejemplo, evitar las claves fácilmente descifrables.
  • 5. CONCLUSIONES El equipo de auditores considera que la empresa NO realiza las tareas de actualización y mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas áreas de la empresa. Luego de haber realizado el análisis de las seguridades en la red local, podemos concluir que no existen controles adecuados en los siguientes aspectos: acceso físico a instalaciones, accesos lógicos, plan de contingencias, políticas de seguridades informáticas y esquema de antivirus. Consideramos que los puntos mencionados anteriormente son indispensables para el correcto funcionamiento de las actividades de la empresa, ya que según lo expuesto en la parte sobre análisis de riesgos, una empresa que detenga sus actividades por fallas en la disponibilidad de su red, corre el riesgo de nunca poder recuperarse y desaparecer del mercado. RECOMENDACIONES: Por esta razón, recomendamos que se sigan los siguientes pasos: implementar un esquema robusto contra virus informáticos, restringir los accesos físicos a la empresa y a los equipos de cómputo, dar mantenimiento preventivo y correctivo al hardware de la empresa, tener un plan de contingencias que garantice la recuperación de la actividad normal de la empresa en caso de ocurrir algún desastre y por último, establecer un esquema de políticas de seguridad informática de acuerdo a las necesidades planteadas. Se aconseja que las sugerencias hechas en este documento junto con el esquema de políticas de seguridad propuesto, deban ser evaluadas con la mayor prontitud posible, entendiendo que ningún esfuerzo, sea este económico o humano, es demasiado cuando está en juego información confidencial y vital para el normal funcionamiento del negocio.