Auditoria De Redes

Enviado por giancarloRomero • 9 de Abril de 2014 • 4.082 Palabras (17 Páginas) • 340 Visitas

Página 1 de 17

Checklist para Auditoría de Seguridad Informática

Pasos para realizar una auditoría y elaborar un informe de seguridad

En este documento se analizan los métodos (o “checklist”) para llevar a cabo una auditoría de seguridad

exhaustiva y efectiva de un sistema informático o red. No se trata de discutir específicamente los detalles

técnicos de la prevención en los sistemas informáticos específicos, sino que proporcionará una lista de

verificación general para examinar la seguridad de un sistema informático. Aunque este documento lo hicimos

hace tiempo y ha envejecido un poco, el checklist para el cuestionario que tendríamos que hacer son todavía

muy vigentes. La seguridad informática es un área en el que debemos de invertir tiempo para evitar posibles

problemas y luego tener que reparar daños.

Si está interesado en que hagamos una auditoría de seguridad informática en su empresa, por

favor solicítenos presupuesto de auditoría de seguridad. Nuestra empresa, Impulso Tecnológico,

está disponible para ciertos tipos de servicios de consultoría de seguridad.

Este documento no es una guía técnica detallada que se tenga que tomar como definitiva o integral, debería

comparar con la política de gestión de seguridad de la información de su empresa en particular para los pasos

a seguir para asegurar su sistema. El autor de este documento no será responsable de los daños, directos o

indirectos, incurridos en el seguimiento de este consejo. Si ha sufrido un fallo de seguridad, debería contactar

con un profesional con experiencia en seguridad para evaluar las opciones de recuperación.

CONTENIDO

1. Seguridad Física

2. Seguridad de Redes

3. Protocolos / Servicios

4. Seguridad del usuario

5. Almacenamiento de Datos de Seguridad

6. Contraseñas

7. Administración del sistema

1. SEGURIDAD FÍSICA

La seguridad física es la parte más importante del mantenimiento de la seguridad de un sistema informático, y

es a menudo pasada por alto por los administradores de sistemas descuidados que asumen que con echar de

vez en cuando un vistazo rápido a los sistemas, es protección suficiente. Esto puede ser suficiente para

algunos sistemas, pero en la mayoría de los casos, hay más factores que deben ser considerados antes de

que un sistema puede darse por seguro físicamente.

 ¿Se encuentra el sistema en una superficie sólida y estable lo más cerca del suelo posible?

 ¿Está el sistema a salvo de la luz solar excesiva, viento, polvo, agua o temperaturas extremas de frío / calor?

 ¿Está el sistema situado en un sitio donde pueda tener un seguimiento, aislado y con poco tráfico humano?

Instituto Superior LEONARDO DAVINCI

Auditoria Informática Prof. Ing. Arturo Díaz

 ¿Está la sala / edificio en el que se encuentra el sistema securizado con una cerradura o sistema de alarma

para que sólo personal autorizado acceda? ¿Están las puertas cerradas con llave y las alarmas activadas

fuera de horario de oficina?

 ¿Está el terminal del sistema bloqueado para evitar que alguien por casualidad pase por el sistema y lo use

(aunque sólo sea por unos segundos)? ¿Están todos los usuarios desconectados del terminal?

 ¿Están los interruptores del terminal bloqueados o protegidos?

 ¿Existen dispositivos de entrada al sistema no asegurados / deshabilitados: unidades de disco bloqueadas /

deshabilitadas? ¿Están los puertos paralelo / serie / infrarrojo / USB / SCSI asegurados o

deshabilitados? ¿Existen discos duros conectados físicamente al sistema sin bloquear?

2. SEGURIDAD DE REDES

La seguridad de redes es la segunda parte más importante del mantenimiento de unos sistemas seguros. Si

bien la seguridad física juega un papel importante, si opera en sus sistemas en un entorno de red /

multiusuario, el sistema es mucho más susceptible a los ataques externos que un sistema autónomo. La

seguridad de la red también es más difícil de evaluar, ya que requiere un conocimiento profundo de los

diversos componentes y capas de su sistema y todos los servicios externos que interactúan con el sistema.

 Red Física: ¿está la red segura sin peligro de conexión no autorizada? ¿Tiene sólo el personal autorizado

acceso a la red física a la que está conectado el sistema? ¿Conoce y confía en todos los diversos puntos

donde se gestiona la conexión de red física / administrados por otra persona o entidad?

 ¿Están los otros sistemas de la misma red física y electrónicamente securizados? Si el sistema es

razonablemente seguro, pero otro sistema de la red no lo es, la vulnerabilidad de su sistema se aumenta en

gran medida.

 Tráfico de red aprobado:

o ¿Conoce los nombres de los proveedores, la funcionalidad y la naturaleza del software en su sistema que

participa en cualquier actividad de la red? ¿Ha comprobado que no existan parches de seguridad del

software y recibe regularmente las actualizaciones de seguridad / vulnerabilidades del software que

utiliza en la red?

o ¿Ha probado a fondo cualquier servicio que funcione en la red para asegurarse de que por defecto no

proporcionan a algún usuario no autorizado información de seguridad que se podría utilizar para atacar el

sistema?

o ¿Se limitan las capacidades de los usuarios para que la información sensible sobre el sistema no esté

disponible en la red?

o ¿Se permite la ejecución de la consola del sistema (o línea de comandos) sólo a usuarios autorizados?

o ¿Es consciente de los agujeros de seguridad creados por cierto software que interactúa con otros?

o ¿Mantiene suficientes registros (logs) de la actividad de red aprobada?

o ¿Conoce todo el software que puede interactuar con la red, los números de puerto que utilizan, el tamaño

y la ubicación de los ejecutables, etc?

o ¿Se cambian las contraseñas de las cuentas de usuario de la red con regularidad?

o ¿Se cifran los datos confidenciales que se transfieren a través de la red?

 Tráfico de red no aprobado:

o ¿Suele buscar intentos repetidos de conexión no autorizados para conectarse a su sistema a través de

una red? ¿Mantiene registros suficientes de toda la actividad de red relacionada con su sistema?

Instituto Superior LEONARDO DAVINCI

Auditoria Informática Prof. Ing. Arturo Díaz

o ¿Suele comprobar

...

Descargar como (para miembros actualizados) txt (29 Kb)

Leer 16 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

Denunciar este ensayo

Ensayos relacionados

CADENAS Y REDES ALIMENTARIAS
CADENAS Y REDES ALIMENTICIAS. Las relaciones más importantes que se establecen entre las poblaciones de un ecosistema: las cadenas y redes alimenticias, y las interrelaciones

3 Páginas • 3405 Visualizaciones
Las redes sociales en internet
Redes Sociales en Internet Se pueden definir como un tipo de servicios que ofrecen en Internet la posibilidad de que sus usuarios creen sus propios

6 Páginas • 6084 Visualizaciones
NORMAS DE AUDITORIA
Materia AUDITORIA I NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS Material recopilado por MSc. Manlio Benito Reyes Díaz FUENTE: UNIVERSIDAD DEL CAUCA - COLOMBIA 4.1 CONCEPTO DE

35 Páginas • 3205 Visualizaciones
CLASIFICACION DE REDES
Clasificación de las redes computacionales Una red de computadoras, también llamada red de ordenadores o red informática, es un conjunto de equipos informáticos conectados entre

3 Páginas • 1855 Visualizaciones
Auditorías Internas
ACTIVIDAD GRUPAL SEMANA 4 GRUPO No. 2 DENISSE MARIA CASTRO DIAZ KAREN SILVANA BERDEJO CARRILLO GLENYS DEL CARMEN BERRIO IZQUIERDO SENA VIRTUAL PROGRAMA SISTEMAS DE

38 Páginas • 2339 Visualizaciones
Responsabilidades Y Objetivos De La Auditoría
Responsabilidades y Objetivos de la Auditoria El objetivo de una auditoria común de estados financieros por parte de un auditor independiente es la expresión de

3 Páginas • 7286 Visualizaciones
LAS REDES
LAS REDES Desde que el hombre comenzó su vida científica siempre buscó, el modo o el mecanismo para la comunicación a distancia, de tal necesidad

2 Páginas • 1023 Visualizaciones
Contabilidad Y Auditoría
PLANEACIÓN Y CONTENIDO DE LOS PAPELES DE TRABAJO La preparación adecuada de los papeles de trabajo, requiere una cuidadosa planeación antes y durante el curso

18 Páginas • 2080 Visualizaciones
Administración De Redes Informáticas
1.1 que es un sistema de red Es un componente software de una computadora que tiene como objetivo coordinar y manejar las actividades de los

11 Páginas • 2203 Visualizaciones
Auditoría Informática
Incontrovertibles Jueves, 14 de mayo de 2009 AUDITORIA Concepto: Evaluación permanente, metódica e intelectual de procesar registros, tareas y resultados de una organización, para llegar

15 Páginas • 2209 Visualizaciones