Upload
tranphuc
View
227
Download
0
Embed Size (px)
Citation preview
ESCUELA POLITÉCNICA NACIONAL
ESCUELA DE INGENIERÍA
POLÍTICAS DE AUDITORÍA DE SEGURIDADES EN REDES
LOCALES
PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENI ERO
INFORMATICO MENCIÓN REDES
ARIAS TAPIA JIMENA DE LOS ANGELES
LLIGUICOTA AGUAYO BERTHA ALICIA
DIRECTOR DE TESIS
ING. WILLIAM ANDRADE
Quito, Enero del 2007
DECLARACIÓN
Nosotros, Arias Tapia Jimena de los Ángeles y Bertha Alicia Lliguicota Aguayo,
declaramos bajo juramento que el trabajo aquí descrito es de nuestra autoría; que no
ha sido previamente presentada para ningún grado o calificación profesional; y, que
hemos consultado las referencias bibliográficas que se incluyen en este documento.
A través de la presente declaración cedemos nuestros derechos de propiedad
intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional, según
lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad institucional vigente.
Arias Tapia Jimena Lliguicota Aguayo Bertha Alicia
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Arias Tapia Jimena de los
Ángeles y Bertha Alicia Lliguicota Aguayo, bajo mi supervisión.
Ing. William Andrade
DIRECTOR DE PROYECTO
AGRADECIMIENTO A un ser muy especial que llena mi vida y que siempre me acompaña en todo
momento, mi hijo.
A todos y cada uno de mis profesores que al compartir sus conocimientos hicieron
posible que logre obtener este título y por ende desarrollarme profesionalmente.
A mis compañeros y amigos que me apoyaron a seguir y culminar esta meta de mi
vida.
Jimena Arias Tapia
AGRADECIMIENTO
A DIOS por permitir que se cumpla este objetivo.
Al Ing. William Andrade por brindarme su conocimiento y experiencia para la
realización de este proyecto.
A todas las personas que colaboraron en el desarrollo del presente proyecto.
Alicia Lliguicota Aguayo
DEDICATORIA
A mis padres por su apoyo incondicional para el logro de este nuevo triunfo en mi
vida.
A mi hermana Silvana por ser mi confidente y mi apoyo moral en todo momento.
A mi hermano Giovanni por ser el guía e impulsador de mi vida profesional.
Jimena Arias Tapia
DEDICATORIA
A mi esposo Carlos por su amor y apoyo incondicional para la culminación de mi
carrera.
A mi hija Karlita Doménica que representa la razón de mi vida y fuente de
inspiración a mi ser.
A mis padres por el amor y apoyo que me han brindado en el transcurso de mi vida.
A mis hermanas, hermano y cuñado por el apoyo manifestado de una u otra
manera, para la culminación mi carrera estudiantil.
Alicia Lliguicota Aguayo
INTRODUCCION
La seguridad en redes en específico es un tema descuidado en el país, ya sea por
falta de conocimientos y/o recursos económicos y/o la falta de concientización por
parte de las personas encargadas de la red hace que la mayor parte de redes en el
país sean inseguras.
Por lo enunciado anteriormente han empezado a crearse organizaciones dedicadas
a la investigación de posibles soluciones a la seguridad en la red, las mismas que
proporcionan capacitación y outsourcing de sus servicios de seguridad tanto en
hardware como en software. Estas organizaciones entre las mas conocidas son:
SANS, CERT, SYMANTEC, entre otros.
Adicionalmente estos organismos proporcionan sugerencias acerca de lo que deben
hacer las organizaciones para mejorar su seguridad.
DESCRIPCIÓN DEL PROYECTO
El presente proyecto se basa en realizar cuestionarios a un número de empresas
determinadas por el teorema de muestreo de población finita, con la objetivo de
obtener las políticas de seguridad en redes locales y con conexión a Internet las
mismas que deberán ser aplicadas de acuerdo a la funcionalidad y requerimientos de
cada empresa. Además se elabora en base a las políticas de seguridad obtenidas un
conjunto de políticas de auditoría de seguridad en redes locales y con conexión a
Internet bajo la plataforma windows.
Las políticas de auditoría obtenidas se implementan en una empresa para detectar el
cumplimiento de las mismas como también los puntos vulnerables de la red local o
con conexión a Internet. Además se emite recomendaciones a seguir para hacer de
la red un sitio más seguro.
Este proyecto de titulación “Políticas de Auditoria de Seguridades en Redes Locales”,
consta de varios capítulos y anexos que se describen a continuación:
Capitulo 1 este capítulo contempla laidentificación de recursos que necesitan
seguridad, la descripción de las políticas de seguridades en redes internas, con
conexión a Internet, respaldo de información, antivirus, licencia de sistemas
operativos, metodología de clasificación de recursos y teorema de muestreo de
población finita..
Capitulo 2 en este capítulo se realiza un breve estudio sobre auditoría, tipos de
auditoría, pasos para realizar la auditoría y se definen las políticas de auditoría de
seguridad en redes internas, con conexión a Internet, de servicios, de manejo de
información el mismo que se divide en: Definición de políticas de auditoría para
respaldos de información, antivirus, manejo de licencia de sistemas operativos, y
metodología de auditoría.
Capitulo 3 en este capítulo se analiza la situación actual del Municipio de Quito en
cuanto a seguridad, se identifican las políticas de auditoría que se acoplan a esta
empresa, cuales cumplen, se analiza resultados y se emite sugerencias para
optimizar la seguridad de la red de esta empresa.
Capitulo 4 “Conclusiones y Recomendaciones” obtenidas durante el desarrollo de
este proyecto, las mismas contribuirán a mejorar la seguridad en la red.
OBJETIVOS
OBJETIVO GENERAL
• Definir políticas de auditoría de seguridades en redes locales.
Con la definición de estas políticas se podrá establecer las formas de auditar como pueden ser
manuales o por medio de un software, facilitando el hallazgo de huecos de seguridad, puntos
vulnerables, controlar el cumplimiento de las políticas establecidas por la empresa y sugerir
cuales deben reforzar, quitar o cambiar, con la finalidad de fortalecer la seguridad de la
empresa.
OBJETIVOS ESPECIFICOS
• Estudiar las políticas de seguridad en redes locales.
Se realizará un estudio de las políticas de seguridad más comunes que se puedan
cumplir en la mayoría de las empresas, con esto se obtendrá una lista de políticas
de seguridad para los diferentes recursos que necesitan seguridad en una red local.
• Definir políticas de auditoría de seguridades en redes internas.
Las políticas generales de auditoría se elaboran en base a las políticas de seguridad
en redes locales con la finalidad de obtener un apoyo para el desarrollo de auditoría.
Definir en forma general los procedimientos para auditar las mismas y obtener
debilidades de la seguridad en la red interna.
• Definir políticas de auditoría de seguridades en redes con conexión a Internet.
Ésta definición de políticas se realiza de forma similar a las políticas de auditoría de
seguridades en redes internas.
• Implementación de políticas de auditoría en una empresa.
Con la lista de políticas de auditoría que han sido elaboradas tanto para la red
interna como con conexión al Internet se procede a implementar en una empresa, en
donde se debe realizar un estudio preliminar de la seguridad y políticas existentes,
con el fin de realizar la auditoría y recomendar las posibles soluciones para mejorar
la red en cuanto a seguridad se refiere.
ALCANCE DEL PROYECTO
El presente proyecto tiene como objetivo aportar conocimientos sobre auditoría a las
seguridades en redes locales y con conexión a Internet, sin involucrarse en lo que se refiere a
las aplicaciones propias de la red.
El mismo que incluye los siguientes tópicos: el estudio de las políticas de
seguridades en redes locales, definición de las políticas de auditoría para las
seguridades en redes locales y redes con conexión a Internet, como también definir
políticas para auditar respaldos de información, actualización de antivirus y licencias
de sistemas operativos.
Además se realiza la implementación de las políticas de auditoría de seguridades en
redes locales y redes con conexión a Internet en una empresa utilizando software o
de forma manual cuyo objetivo es emitir recomendaciones para mejorar o cambiar
la seguridad de la red.
Este proyecto se realizará bajo la plataforma Microsoft Windows.
JUSTIFICACIÓN DEL PROYECTO
En el mundo actual en donde la información es una fuente de poder empresarial es
indispensable proteger dicha información, sin embargo existen políticas de
seguridades en algunas empresas pero estas por razones de desconocimiento de las
personas encargadas o por no cumplimiento de estas políticas se ven ciertas
empresas vulnerables a cualquier intruso sea este interno o externo.
El amplio desarrollo de las nuevas tecnologías informáticas esta ofreciendo un nuevo
campo de acción a conductas antisociales y delictivas manifestadas en forma antes
imposibles de imaginar ofreciendo la posibilidad de cometer delitos.
Por lo que se ve la necesidad de realizar una auditoría para verificar que las políticas
de seguridades establecidas para redes internas como en redes con conexión a
Internet estén debidamente estructuradas e implementadas y determinar los puntos
de acceso de personal no autorizado a la información y seleccionar la mejor
herramienta para filtrar estos accesos.
Además en esta auditoría se incluirá los respaldos de información, actualizaciones
de antivirus, obtenciones de licencias de sistemas operativos y plan de contingencia.
METODOLOGÍA
En este proyecto se determina que recursos de la red requieren seguridad, para lo
que se realiza un análisis entre la división de recursos que propone RFC 1244 y la
Norma ISO 17799 con el objetivo de cubrir el alcance del proyecto y se llego a la
siguiente clasificación.
• Hardware
• Software
• Datos
• Personal
• Documentación
• Servicios
La obtención de ésta nueva clasificación y el contenido de cada elemento de la
misma se detalla en el capitulo 1.
En base a esta clasificación se elaboró las preguntas para el cuestionario, el mismo
que se ejecuto en un número determinado de empresas obtenido mediante el
teorema de muestreo de población finita, cuyo resultado son las políticas de
seguridades en redes locales y con conexión a Internet. Cabe señalar que en base a
estas políticas se elaboró las políticas de auditoria de seguridades en redes locales y
con conexión a Internet,
Para la implementación de la auditoria en una empresa en el Municipio de Quito se
utilizó una metodología de auditoria que se describe en el capítulo 2.
INDICE
POLITICAS DE AUDITORIA PARA SEGURIDADES EN REDES
LOCALES
Introducción
1. Políticas de Seguridades en Redes Locales
Identificación de los recursos en redes locales ………………………… ....1
Identificación de los recursos según ISO 17799……………………. .1
Identificación de los recursos según RFC 1244……………………....2
Clasificación de los recursos en redes con conexión a Internet…………..4
Políticas de seguridades en redes locales…………………………………...5
Definición…………………………………………………………………..5
Elementos de una política de seguridad en redes…………………….6
1.3.3. Parámetros para establecer políticas de seguridad…………………...7
1.3.4 Teorema del muestreo de población finita………………………………9
1.4. Políticas de seguridad en redes locales ……………………………………14
1.4.1. Políticas de seguridad en hardware…………………………………...14
1.4.2. Políticas de seguridad en software…………………………………….17
1.4.3 Políticas de seguridad en datos………………………………………. ..21
1.4.4. Políticas de seguridad para personal………………………………......22
1.4.5. Políticas de seguridad para servicios…………………………………..22
1.5 Políticas de seguridad en redes con conexión a Internet……………………..25
1.5.1. Políticas de seguridad en hardware…………………………………….25
1.5.2. Políticas de seguridad en software………………………………..…….25
2. Auditoria de seguridad en redes locales
Fundamento teórico……………………………………………………………....26
Concepto…………………………………………………………………….26
Objetivos generales de la auditoria de políticas de seguridad……… 27
Justificativos para efectuar una auditoria……………………………......27
Clases de auditoria…………………………………………………………28
Normas del auditor ………………………………………………………………..29
Mandato de auditoria………………………………………………………..29
Independencia……………………………………………………………….29
Ética y normas profesionales…………………………………………........30
Competencia……………………………………………………………........30
Planificación…………………………………………………………………..30
Realización de la tareas de auditoria………………………………………30
Presentación de informes …………………………………………………..31
Actividades de seguimiento…………………………………………... ...…31
Control interno y auditoria en redes………………………………………….......31
Control interno………………………………………………………….........31
Auditoria en redes……………………………………………………………32
Descripción de las políticas de auditoria de seguridades…………………......34
Políticas de auditoría de seguridad en redes locales…………..…......……34
Políticas de auditoria de seguridades en redes con conexión Int…........51
Metodología para realizar una auditoría………………………………………….52
Primera metodología……………………………………………………........54
Segunda metodología………………………………………………………..64
Etapa de planeación de la auditoría…………………………………...65
Etapa de ejecución de la auditoría……………………….…...............71
Etapa de dictamen de la auditoria……………………….…………….72
3. Aplicación de las políticas de auditoría en una empresa
Metodología a utilizarse…………………………………………………….…75
Etapa preliminar……………………………………………………….…75
Etapa de aplicación……………………………………………………...81
Etapa de dictamen…………………………………………………….…84
4. Conclusiones y recomendaciones…………………… …………….85
5. Bibliografía………………………………………………… ……………89
6. Glosario de términos……………………………………… …………..91
7. Anexos………………………………………………………… …………99
INDICE
ANEXOS DEL PROYECTO
Anexo 1.- Cuestionario
Anexo 2.- Solicitud dirigida al director de informática, para obtener acceso al internet
Anexo 3.- Solicitud de contraseñas para acceso remoto, correo electrónico
Anexo 4.- Resultados obtenidos del software MRTG
Anexo 5.- Red del municipio
Anexo 6.- Preguntas realizadas en visita de verificación
Anexo 7.- Solicitud dirigida al director de informática
Anexo 8.- Norma 568
Anexo 9.- Pruebas de languard
Anexo 10.- Pruebas spuertos
Anexo 11.- Pruebas nettsuport
Anexo 12.- Pruebas lan scan
Anexo 13.- Logs del Proxy
Anexo 14.- Logs del firewall
Anexo 15.- Gráficos packet shaper
Anexo 16.- Entrevista al Municipio de Quito
INDICE
GRÁFICOS DEL PROYECTO
Gráfico 2.1 Primera metodología de auditoría
Gráfico 2.2 Segunda metodología de auditoría
Gráfico 2.3 Carátula de identificación del plan de auditoría
Gráfico 3.1 Lista de usuarios de correo electrónico
Gráfico 3.2 Medición tráfico MRTG
Gráfico 3.3 Autenticación para ingreso al Internet
INDICE
TABLAS DEL PROYECTO
Tabla 2.1 Diferencias entre control interno y auditor
Tabla 3.1 Información entregada por personal de la empresa
Tabla 3.2 Plan de auditoría
Tabla 3.3 Fechas de entrevistas y visitas
Tabla 3.4 Tabla de ruteo
1
CAPITULO 1
POLÍTICAS DE SEGURIDAD EN REDES LOCALES
1.1. IDENTIFICACIÓN DE LOS RECURSOS EN REDES LOCALES
Para realizar el estudio de las políticas de seguridad en redes locales se necesito
tener una división de los recursos de la red para lo cual se tomo como referencia la
norma ISO 17799 y el RFC 1244 (Anexo 16).
A continuación se detalla cada una de estas divisiones de recursos y se determina la
que se acopla al presente proyecto.
1.1.1 IDENTIFICACION DE LOS RECURSOS DE UNA RED SEGÚN EL ISO
177995
La identificación de los recursos ayuda asegurar la protección de los mismos. El
proceso de recopilación de un inventario de recursos es un aspecto importante en el
manejo de riesgos. Una organización necesita estar disponible para identificar sus
recursos y el valor relativo e importancia de los mismos. Basado sobre esta
información una organización puede entonces proveer niveles de protección medidos
de acuerdo al valor e importancia de los activos.
Una identificación de los recursos de una red según la ISO 17799 es:
____________________________________________________________________
5.- ISO/IEC 17799. “Information Technology – Code of Practice for information security management". Primera
Edición. Diciembre del 2000
2
Esta formado por: Bases de datos y archivos de datos,
sistemas de documentación, manuales de usuarios, material de
entrenamiento, procedimientos de soporte u operacionales,
continuidad de planes, orden de retroceder, información
archivada.
Esta formado por: Aplicaciones de software, sistemas de
software, desarrollo de herramientas y utilitarios.
Esta formado por: Equipos de computación (procesadores,
monitores, laptos, módems), equipos de comunicación (routers,
máquinas de fax, máquinas contestadoras), medios
magnéticos, casettes y discos), otros quipos técnicos
(suplidores de poder, unidades de aire acondicionado),
muebles, alojamiento.
Servicios: Servicios de comunicación y computación,
1.1.2. IDENTIFICACIÓN DE LOS RECURSOS DE UNA RED SEGÚN RFC 1244 6
A continuación se lista los recursos de acuerdo a la división sugerida por el RFC
1244:
__________________________________________________________________
6.- RFC 1244. “Política de seguridad del sitio”. Http://www.ietf.org/rfc/rfc1244.txt
RECURSOS DE INFORMACIÓN
RECURSOS DE SOFTWARE
RECURSOS FISICOS
SERVICIOS
3
Está formado por: cpus, tarjetas, teclados, terminales,
estaciones de trabajo, computadoras personales, impresoras,
disco duro, líneas de comunicación, servidores, ruteadores.
Contempla lo siguiente: programas fuentes, programas objetos,
utilitarios, programa de diagnóstico, sistemas operativos,
programas de comunicaciones.
Durante la ejecución, almacenados en línea, archivados fuera
de línea, respaldos, logs de auditoría, bases de datos, trafico de
datos.
Consta de: usuarios, gente que necesita correr los sistemas.
Sobre programas, hardware. Sistemas, procedimientos
administrativos locales.
Consta de papeles, cintas, formularios, medios magnéticos.
El primer paso para el análisis de riesgos de una red es identificar todos y cada uno
de los recursos que necesitan ser protegidos. Algunos recursos son obvios como
todas las piezas de hardware, pero algunos son descuidados como las personas que
usan los sistemas.
Como conclusión se ha tomado como base las dos formas de identificar los recursos
de una red, pero se realizan ciertas restricciones como por ejemplo en la división de
recursos que corresponde a software consta programas fuentes y programas
objetos, estos no serán tomados en cuenta para este proyecto de titulación puesto
que en el alcance del mismo se especifica que se realizará la auditoría a las políticas
HARDWARE
SOFTWARE
DATOS
PERSONAL
ACCESORIOS
DOCUMENTACIÓN
4
de seguridad de red de una empresa bajo la plataforma Windows, más no a las
diferentes aplicaciones propias de las mismas.
Por consiguiente la clasificación de los recursos obtenida es la siguiente:
Esta formado por: Equipos de computación (procesadores,
monitores, laptos, modems), equipos de comunicación
(routers), medios magnéticos, (casettes, discos), otros equipos
técnicos (suplidores de poder, unidades de aire acondicionado)
y alojamiento.
Contempla lo siguiente: utilitarios, sistemas operativos
Consta de respaldos y archivos logs.
Consta de: usuarios, gente que necesita correr los sistemas.
Como son: Servicios de comunicación (DNS, Proxy, FTP,
correo, entre otros).
1.2. CLASIFICACIÓN DE LOS RECURSOS EN REDES CON
CONEXIÓN A INTERNET
La identificación de los recursos en redes con conexión a Internet es la misma que la
identificación de recursos en redes locales, descritas anteriormente, añadiendo lo
siguiente: Dentro de Hardware: Ruteador y dentro de Software: FIREWALL.
HHAARRDDWWAARREE
SSEERRVVII CCII OOSS
SSOOFFTTWWAARREE
DDAATTOOSS
PPEERRSSOONNAALL
5
1.3. POLÍTICAS DE SEGURIDAD EN REDES LOCALES
El objetivo de desarrollar una política de seguridad en redes, es definir las
expectativas de una institución respecto al uso adecuado de los ordenadores y de la
red, así como definir los procedimientos precisos para prevenir y responder a los
incidentes de seguridad.
Los objetivos y las directrices de una empresa deben tomarse en cuenta, para definir
una política de seguridad. Por ejemplo, una base militar puede tener metas muy
diferentes de seguridad, en comparación con las de una universidad.
La política de seguridad de las empresas debe ajustarse a las políticas, normas,
regulaciones y leyes existentes, a las que se haya sometido la organización.
Una política de seguridad de red debe ser bien creada y efectiva con la finalidad que
proteja los recursos de red de una empresa y por ende la inversión.
Es recomendable implementar una política de seguridad si los recursos de la
organización merecen ser protegidos contra amenazas y ataques a la seguridad de
una red.
1.3.1. DEFINICIÓN
“Una política de seguridad en redes es una forma de comunicarse con los usuarios y
los gerentes. Las políticas de seguridades en redes establecen el canal formal de
actuación del personal, en relación con los recursos y servicios informáticos de la
organización.
No se trata de una descripción técnica de mecanismos de seguridad, ni de una
expresión legal que involucre sanciones a conductas de los empleados. Es más bien
una descripción de lo que deseamos proteger y el por qué de ello.
6
Cada política de seguridad es consciente y vigilante del personal por el uso y
limitaciones de los recursos y servicios informáticos críticos de la compañía”. 1
“La Política de Seguridad debe describir que intenta proteger y por qué; no debe
describir detalles del como.
Es mucho más útil tener un documento de una página que describe “QUE” y “POR
QUE” en términos que todas las personas de su organización puedan entender, que
un documento de cien páginas que describa “COMO” pero que nadie, excepto su
equipo técnico especial, pueda entender”. 12
1.3.2. ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD EN REDES
Una política de seguridad debe incluir las decisiones que se deben cumplir en
relación con la seguridad. Por ende, requiere de una plena voluntad por parte de
todos los miembros de la empresa para lograr una visión conjunta de lo que se
considera importante.
Las políticas de seguridad deben considerar entre otros, los siguientes elementos:
• Alcance de las políticas, que contiene facilidades, sistemas y personal sobre
el cual aplica. Es una invitación de la organización a cada uno de sus
miembros a reconocer la información como uno de sus principales activos.
• Objetivos de la política y descripción clara de los elementos involucrados en
su definición.
• Requerimientos mínimos para configuración de la seguridad de los sistemas
que cubre el alcance de la política.
• Definición de violaciones y de las consecuencias del no cumplimiento de la
política.
____________________________________________________________________
1.- BELLO, Claudia. “Manual de seguridad en redes”. Versión 2.0. Mayo 2000. Documento PDF. 12.- CHAPMAN, Brent y ZWICKY, Elizabeth. "Construya Firewalls para Internet". Primera Edición. O´Reilly
& Associates, Inc. 1997
7
• Responsabilidades de los usuarios con respecto a la información a la que ella
tiene acceso1.
Las políticas de seguridad en redes deben ofrecer explicaciones comprensibles
acerca de por qué deben tomarse ciertas decisiones, transmitir por qué son
importantes estos u otros recursos o servicios.
De igual forma, las políticas de seguridad en redes establecen las expectativas de la
organización en relación con la seguridad y lo que ella puede esperar de las
acciones que la materializan en la compañía. Deben mantener un lenguaje común
libre de tecnicismos y términos legales que impidan una comprensión clara de las
mismas, sin sacrificar su precisión y formalidad dentro de la empresa.
Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas
ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones
sobre la clase de sanciones que se puedan imponer. No debe especificar con
exactitud qué pasara o cuándo algo sucederá; no es una sentencia obligatoria de la
ley.
Finalmente, las políticas de seguridad en redes como documentos dinámicos de la
organización, deben seguir un proceso de actualización periódica sujeto a los
cambios organizacionales relevantes: crecimiento de la planta de personal, cambio
en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos
servicios, cambio o diversificación de negocios entre otros.
1.3.3. PARÁMETROS PARA ESTABLECER POLÍTICAS DE SEGURIDAD
Para establecer políticas de seguridad se deben tomar en cuenta ciertas
recomendaciones generales, que a continuación se enuncian:
_________________________________________________________________
1.- BELLO, Claudia. “Manual de seguridad en redes”. Versión 2.0. Mayo 2000. Documento PDF.
8
• Considerar efectuar un ejercicio de análisis de riesgos informático, a través del
cual valore sus activos, el cual le permitirá afinar las políticas de seguridad de
su organización.
• Involucrar a las áreas propietarias de los recursos o servicios, pues ellos
poseen la experiencia y son fuente principal para establecer el alcance y las
definiciones de violaciones a la política de seguridad.
• Comunicar a todo el personal involucrado en el desarrollo de las políticas de
seguridad, los beneficios y riesgos relacionados con los recursos y bienes, y
sus elementos de seguridad.
• Recordar que es necesario identificar quién tiene la autoridad para tomar
decisiones, pues son ellos los responsables de salvaguardar los activos
críticos de la funcionalidad de su área u organización.
• Desarrollar un proceso de monitoreo periódico de las directrices en el hacer
de la organización, que permita una actualización oportuna de las mismas1.
Se recomienda no dar por hecho algo que es obvio. Deben ser explícitos y concretos
los alcances y propuestas de seguridad, con el propósito de evitar sorpresas y malos
entendidos en el momento de establecer los mecanismos de seguridad que
respondan a las políticas de seguridad trazadas.
Después de haber realizado un estudio sobre las políticas de seguridades se debe
establecer el número de muestras para determinar las políticas de seguridad a
implementarse en este proyecto, para lo cual se utilizo el Teorema de Muestreo de
Población Finita porque se basa sobre una población escogida y que tiene una
característica en común, como en nuestro caso son las empresas de la ciudad de
Quito en donde se hallan implementadas políticas de seguridad, de esta población
se obtuvo una muestra. Además fue recomendado por el Ing. Jaime Naranjo.
____________________________________________________________________
1.- BELLO, Claudia. “Manual de seguridad en redes”. Versión 2.0. Mayo 2000. Documento PDF.
9
1.3.4 TEOREMA DE MUESTREO DE POBLACIÓN FINITA
1.3.4.1. ANTECEDENTE
Para determinar la población total de las empresas de la ciudad de Quito en donde
existen implementadas políticas de seguridades en redes, se obtuvo una lista de
empresas privadas, públicas y bancos. En la Superintendencia de Compañías, en la
Contraloría General del Estado y en la Superintendencia de Bancos
respectivamente.
Del listado de la superintendencia de compañías se escogió el área industrial, de
transporte y comunicaciones porque en estas empresas existe una red de datos y el
número de empleados supere los cien.
Se eligió al sector público porque se quiso determinar el grado de seguridad que
existe en empresas gubernamentales.
Y finalmente se escogió los bancos porque ellos manejan información confidencial y
por lo tanto tienen implementados seguridades en redes.
Se consultó vía telefónica a las empresas mencionadas anteriormente con el fin de
determinar el número de empresas que tienen implementadas políticas de
seguridades en redes locales para obtener la población total, y el resultado obtenido
fue el siguiente:
Excluyendo las empresas que no proporcionaron dicha información o que están
implementando seguridades o no tienen.
Sector Privado
Industrias
1. Confiteca
2. Codesa
3. Yanbal
10
4. Adelca
5. Tesalia
6. Edesa
7. Novopan del Ecuador
8. Elasto S.A.
9. ATU
10. ILSA
11. Sigma Plast S.A.
12. Tecnandina S.A. Tensa
13. Sociedad Industrial Reli Cia. Ltda..
Transportes y Comunicaciones
14. Transportadora Ecuatoriana de Valores TEVCOL
15. Metropolitan Expreso Cia. Ltda..
16. Panatlantic Logistics S.A.
17. TVCable
Sector Público
18. Petroindustrial
19. EMAAP
20. EMOP
21. Contraloría General del Estado
22. EEQ.S.A.
Bancos
23. Banco Amazonas
24. Banco Bolivariano
25. Banco Central del Ecuador
26. Banco de la Vivienda
11
27. Banco Centro Mundo
28. Banco Cofiec
29. Banco de los Andes
30. Banco del Pacífico
31. Banco del Pichincha
32. Banco Interamericano de Desarrollo
33. Banco Internacional
34. Banco Mundial
35. Produbanco
36. Banco Solidario
Como conclusión se determina que la población total es de 36 empresas.
A continuación se de detalla el marco teórico del muestreo para población finita
1.3.4.2. MUESTREO PARA POBLACIÓN FINITA Población.
Una población es un conjunto de todos los elementos que presentan una
característica común y que va ser objeto de estudio, acerca de los cuales intentamos
sacar conclusiones.
Población Finita.
El número de elementos es limitado, por ejemplo el número de alumnos de un centro
de enseñanza, o grupo clase.
Muestra.
Una muestra debe ser definida en base de la población determinada, y las
conclusiones que se obtengan de dicha muestra solo podrán referirse a la población
en referencia.
Una muestra probabilística es una muestra extraída de una población, de manera tal
que todo miembro de la población tenga una probabilidad conocida de ser incluido
en la muestra.
12
Si se extrae una muestra de tamaño n de una población N, de manera tal que toda
muestra posible de tamaño n tenga la misma probabilidad de ser seleccionada, la
muestra recibe el nombre de muestra aleatoria simple.
1.3.4.3. DETERMINACIÓN DEL TAMAÑO DE MUESTRA La cuestión de que tan grande tomar una muestra surge inmediatamente en la
planificación de cualquier investigación o experimento. Esto es muy importante y no
debe tratarse con ligereza.
Tomar una muestra más grande de lo necesario para alcanzar los resultados
deseados, es un desperdicio de recursos, mientras que muestras muy pequeñas
pueden conducir a conclusiones erróneas.
El tamaño de la muestra depende de tres incógnitas:
1. El nivel de confianza deseado, Z.
2. El error de muestreo permitido, e.
3. La porción verdadera de “éxitos”, p.
En la práctica, la selección de estas tres cantidades es, a menudo difícil. Ya que
hemos determinado el nivel deseado de confianza, seremos capaces de obtener el
valor adecuado de z de la distribución normal. El error de muestreo, e, indica la
cantidad de error que estamos dispuestos a aceptar o tolerar en la estimación de la
porción de la población. La tercera cantidad, la porción de verdad de éxitos, p, es en
realidad el parámetro de población que estamos intentando encontrar. Así pues en
este caso tenemos dos alternativas. Primero en muchas situaciones, se puede tener
disponible información pasada o experiencia relevante que nos permita proporcionar
una estimación estudiada de p. Segundo, si no se tiene disponible información
pasada o experiencia relevante, tratamos de proporcionar un valor de p que nunca
subestime el tamaño de la muestra que necesitamos.
13
Observamos que la cantidad p( 1 – p) aparece en el numerador , por tanto
necesitamos determinar el valor de p que hará que p( 1 – p) sea lo más grande
posible. Se puede mostrar que cuando p = 0.5, entonces el producto p( 1 – p) logra
su máximo valor. A continuación se presenta varios valores de p con el
correspondiente valor del producto p( 1 – p):
p = 0.5 p( 1 – p) = 0.5 * 0.5 = 0.25
p = 0.4 p( 1 – p) = 0.4 * 0.6 = 0.24
p = 0.3 p( 1 – p) = 0.3 * 0.7 = 0.21
p = 0.1 p( 1 – p) = 0.1 * 0.9 = 0.9
p = 0.01 p( 1 – p) = 0.01 * 0.99 = 0.0099
El tamaño de la muestra sin considerar el factor de corrección de población finita
queda así:
n0 = Z2 p( 1 – p) / e2
La Aplicación del factor de corrección, en este caso tiene como resultado el tamaño
de muestra real, n, calculado con la ecuación:
n = n0 N / n0 + (N – 1)
n = (Z2 p( 1 – p) / e2) N / Z2 p( 1 – p) / e2 + (N – 1)
n = N Z2 p( 1 – p) / e2 + (N – 1) + Z2 p( 1 – p)
Fórmula
n = N Z2 p( 1 – p) / e 2 + (N – 1) + Z2 p( 1 – p)
En donde:
N = Población total
14
Z = Grado de confianza
p = La porción verdadera de “éxitos”
e = El error de muestreo permitido
Para obtener el número de muestras y realizar las respectivas encuestas se utilizó
los siguientes valores:
N = 36
Z= 1.617 porque la confiabilidad es de 90%
p = 0.95 porque la probabilidad es de 95% de la población que conteste la encuesta
de manera exitosa.
e = 0.1 es margen de error 10%
Luego de reemplazar estos valores en la fórmula de muestreo proporcional para
poblaciones finitas se obtuvo que el número de muestras es 9.
Para obtener las políticas de seguridades en redes locales se realizó un cuestionario
(Ver Anexo 1) a nueve empresas tomadas al azar del total de la población. Luego se
realizó un análisis a cada una de las respuestas obtenidas en el cuestionario y se
determinó las siguientes políticas de seguridades en redes locales:
1.4. POLITICAS DE SEGURIDAD EN REDES LOCALES
1.4.1. POLÍTICAS DE SEGURIDAD EN HARDWARE
1.4.1.1. POLÍTICAS DE SEGURIDAD EN CABLES Y CONECTORES.
1. Debe, la empresa, contar con cableado estructurado, que cumpla una de las
normas estándares existentes. Ejemplo EIA/ TIA 568 A o B.
15
1.4.1.2. POLÍTICAS DE SEGURIDAD EN ESTACIONES DE TRABAJO
1. Para extraer equipos fuera de la sede de la Compañía se debe pedir
autorización por escrito a la autoridad correspondiente por ejemplo: la
gerencia de sistemas, porque guardan información de la misma y además se
pueden extraviar.
2. Realizar un inventario de hardware para controlar los componentes de cada
equipo.
3. Para proteger a los equipos de riesgos del medioambiente (por ejemplo,
polvo, incendio y agua) se deben elaborar planes de contingencia.
4. Para disminuir el riesgo de robos de equipos se debe instalar cerraduras con
llave, alarmas y contratar personal de seguridad.
5. Para evitar daños en los equipos de computación producidos por variaciones
de voltaje, el departamento de sistemas debe instalar puestas a tierra y
reguladores.
6. Para llevar un control de inventario en los equipos estos deben tener un
código para su identificación, información que se guardará en archivos los
mismos que se mantendrán actualizados.
7. La configuración de los equipos lo debe realizar los encargados del
departamento técnico.
8. La información sensible almacenada en el disco duro o en otros componentes
internos de un computador personal, debe estar protegida mediante una
contraseña de control de acceso
1.4.1.3. POLÍTICAS DE SEGURIDAD EN SERVIDORES Y EQUIPOS DE
COMUNICACIONES
1. Los servidores de red y los equipos de comunicación (hub, switch, etc.) son la
parte principal para el funcionamiento de una empresa, por lo que deben estar
ubicados en cuartos de comunicaciones, protegidos contra incendio y robos
con la instalación de:
16
- Extintores que sean adecuados para extinguir incendios en los equipos
de computación, y deben estar ubicados en sitios estratégicos
de la empresa y en el área de sistemas.
- Sensores / Alarmas contra intrusos los mismos que deben estar activado
en horarios no laborables.
- Acondicionador de temperatura para mantener la temperatura adecuada
en el cuarto de comunicaciones.
2. Para mantener funcionando los servidores y equipos de comunicación frente a
una falla eléctrica, en el cuarto de comunicaciones debe existir UPS que
soporte la carga de potencia de los mismos.
3. Para proteger los equipos del cuarto de comunicaciones se debe restringir el
ingreso a los mismos a personas no autorizadas mediante el uso de
cerraduras y otros sistemas de acceso (por ejemplo tarjetas de ingreso).
4. Para controlar el acceso al cuarto de comunicaciones las tarjetas de acceso
deben ser personales y estar debidamente configuradas con un horario de
acceso según las funciones de cada persona.
5. El acceso al personal de limpieza al Cuarto de comunicaciones de Cómputo,
siempre será bajo la supervisión del personal que labora en este Centro
porque ellos involuntariamente pueden cometer errores como desconectar el
servidor principal.
6. Para proteger al cuarto de comunicaciones contra factores del medio
ambiente (por ejemplo, erupciones volcánicas, inundaciones, terremotos) se
deben elaborar planes de contingencia.
7. Para evitar los daños causados por tormentas eléctricas, se instalará un
sistema de pararrayos o se deberá apagar los equipos durante la tormenta.
8. El espacio del cuarto de comunicaciones no debe ser compartido con
instalaciones que no sean telecomunicaciones o datos.
9. La empresa debe realizar la contratación de un seguro contra robos, incendios
e inundaciones para equipos de computación y comunicaciones.
10. No deberá utilizarse teléfonos celulares dentro de los cuartos de comunicación
de la empresa
17
1.4.2. POLÍTICAS DE SEGURIDAD EN SOFTWARE
1.4.2.1. POLÍTICAS DE SEGURIDAD EN SISTEMAS OPERATIVOS Y
SOFTWARE INSTALADO
1. La empresa usará software legal y autorizado con las debidas licencias, cuya
adquisición será aprobada por el Departamento de Sistemas.
2. Los administradores de Red deberán actualizar en forma permanente los
sistemas operativos y/o software utilizado por la empresa, con el fin de que
nuevas aplicaciones corran sin problemas.
3. En caso que el usuario se ausente de su estación de trabajo el sistema debe
automáticamente poner en blanco la pantalla, suspender la sesión y solicitar
una contraseña para reestablecer la sesión
4. Se deberá realizar chequeos periódicos al software instalado de cada estación
de trabajo o servidor con el fin de detectar software innecesario.
1.4.2.2. POLÍTICAS DE SEGURIDAD PARA UTILITARIOS
1.4.2.2.1. POLÍTICAS DE SEGURIDAD EN CARPETAS COMPARTIDAS
1. La carpeta compartida, dentro de una Red, deben tener una Clave de Acceso,
la misma que deberá ser cambiada periódicamente para evitar el ingreso de
cualquier persona.
2. Se debe dar permisos lectura, escritura, o total a la carpeta de acuerdo a las
necesidades de cada usuario con el fin de proteger la información.
1.4.2.2.2. POLÍTICAS DE SEGURIDAD EN CUENTAS
1.4.2.2.2.1. POLITICAS GENERALES PARA CUENTAS DE LA RED, SISTEMA,
CORREO ELECTRÓNICO, ACCESO REMOTO
1. Los privilegios de las cuentas concedidos a los usuarios deben ser
determinados de acuerdo a las funciones que desempeña.
18
2. Una cuenta debe ser cancelada por salida del empleado para evitar que el
mismo pueda acceder al sistema y alterar la información.
3. El nombre de cuenta es único, es decir no permita la creación de una
misma cuenta más de una vez.
1.4.2.2.2.2. POLITICAS ESPECÍFICAS PARA CUENTAS DEL SISTEMA
1. El periodo de tiempo de inactividad de la cuenta del sistema es de 3 minutos y
re-establecimiento de la sesión requiere que el usuario proporcione su
contraseña, para que personal no autorizado ingrese a la cuenta.
2. La frecuencia de mantenimiento de las cuentas es de mínimo seis meses
1.4.2.2.2.3. POLÍTICAS ESPECÍFICAS PARA CUENTAS DE CORREO
ELECTRÓNICO
1. El usuario bajo ninguna circunstancia permitirá el uso de su cuenta de correo
electrónico por otros usuarios.
2. Deberá asignarse una capacidad de almacenamiento fija par cada una de las
cuentas de correo electrónico de los empleados.
1.4.2.2.3. POLÍTICAS DE SEGURIDAD EN CONTRASEÑAS Y CONTROL DE
ACCESO
1.4.2.2.3.1. POLITICAS GENERALES PARA CONTRASEÑAS DE CUENTAS DE
LA RED, SISTEMA, CORREO ELECTRÓNICO, ACCESO REMOTO,
FTP Y WEB
1. Las contraseñas deben estar formadas por:
- Un mínimo de 6 caracteres.
- Usar el alfabeto alternando mayúsculas con minúsculas y caracteres no
alfabéticos como: dígitos o signos de puntuación para dificultar su
identificación.
19
- Usar contraseñas que sean fáciles de recordar, así no tendrá que
escribirlas.
- Las contraseñas no deben formarse con información relacionada con el
usuario que pueda adivinarse fácilmente como números de matrículas,
de automóviles, de teléfono, del seguro social, la marca de su
automóvil, el nombre de la calle donde vive, etc.
- Las contraseñas no deben crearse con palabras que aparezcan en
diccionarios de español ni de ningún otro idioma extranjero, listas
ortográficas ni ninguna otra lista de palabras para que no sea fácil de
adivinar.
2. La contraseña inicial emitida a un nuevo usuario sólo debe ser válida para la
primera sesión. En ese momento, el usuario debe escoger otra contraseña
para evitar el ingreso no autorizado a la cuenta.
3. Las contraseñas predefinidas que traen los equipos nuevos tales como
ruteadores, switches, entre otros, deben cambiarse inmediatamente al
ponerse en servicio el equipo ya que esta clave es conocida por el proveedor.
4. Se debe cambiar inmediatamente la contraseña en caso de creer que esta
haya sido comprometida,
5. Se debe cambiar una contraseña cada mes para evitar que sea descubierta.
6. El usuario no debe guardar su contraseña en una forma legible en archivos en
disco, y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser
encontrada.
7. Nunca debe compartirse la contraseña o revelarla a otros. El hacerlo expone
al usuario a las consecuencias por las acciones que los otros hagan con esa
contraseña.
8. Una misma contraseña no se debe usar para acceder a servicios diferentes.
9. Para evitar el acceso de intrusos se debe limitar a 3 el número consecutivo de
intentos infructuosos de introducir la contraseña, luego de lo cual la cuenta
involucrada queda bloqueada y se alerta al Administrador del sistema.
20
1.4.2.2.3.2. POLITICAS ESPECÍFICAS PARA CONTRASEÑAS DE NAVEGACIÓN
EN EL WEB ACCESO REMOTO, FTP
1. El cambio de clave o password sólo se hará de manera personal y directa con
el Administrador del Servicio.
1.4.2.2.3.3. POLÍTICAS ESPECÍFICAS PARA CONTRASEÑAS CORREO
ELECTRÓNICO
1. El usuario debe cambiar el password inicial entregado por el administrador en
el primer registro que haga en su cuenta de correo.
1.4.2.2.4. POLÍTICAS DE SEGURIDAD CONTRA VIRUS
1. En todos los equipos de la empresa debe existir una herramienta antivirus
ejecutándose permanentemente y en continua actualización.
2. Deberá utilizarse más de una herramienta antivirus en los servidores, para así
disminuir el riesgo de infección.
3. Deberá existir un procedimiento a seguir en caso que se detecte un virus en
algún equipo como por ejemplo: notificar inmediatamente al Jefe de
Informática y poner la estación de trabajo en cuarentena hasta que el
problema sea resuelto para evitar el contagio a toda la red.
4. Se debe ejecutar de forma regular las comprobaciones de virus en estaciones
de trabajo y servidores para evitar el ingreso de virus a la red.
5. Los diskettes u otros medios de almacenamiento no deben usarse en
cualquier computadora de la Compañía a menos que se haya previamente
verificado que están libres de virus.
6. El administrador debe bloquear los sitios Internet que se consideren
sospechoso de ser fuentes de virus.
21
1.4.3. POLÍTICAS DE SEGURIDAD PARA DATOS
1.4.3.1. POLÍTICAS DE SEGURIDAD PARA LOGS
1. Los archivos logs debe contener lo siguiente:
− Identificación de usuario
− Fechas y horas de log-on y log-off
− Identificaciones de terminales y/o localizaciones si es posible.
− Guardar los intentos de acceso rechazados o satisfactorios al sistema.
− Guardar los intentos de acceso rechazados o satisfactorios a los datos u
otros recursos.
2. Los archivos logs deben revisarse periódicamente y guardarse durante un
tiempo prudencial de por lo menos tres meses.
3. Se debe presentar un documento del análisis del log una vez a la semana al
departamento de Sistema de la Institución.
1.4.3.2. POLÍTICAS DE SEGURIDAD PARA RESPALDOS DE INFORMACIÓN
1. El administrador de la red es el responsables de definir qué información debe
respaldarse.
2. La frecuencia del respaldo debe ser diario para volver a reconstruir la
información en caso de haber perdida o daños de la información.
3. Se debe incluir en los respaldos los archivos logs.
4. Se debe tener respaldos de la información en cintas magnéticas y en soportes
no reescribibles los programas fuentes, ejecutables, archivos de
configuración o booteo del sistema operativo de los equipos de cómputo,
software aplicativo; éstos servirán para la restauración del mismo si sucede
algún desastre.
5. Los respaldos deben guardarse en un lugar seguro fuera de la empresa, a
prueba de hurto, incendio e inundaciones.
22
1.4.4. POLÍTICAS DE SEGURIDAD PARA PERSONAL
1. El personal del departamento técnico serán los encargados de realizar la
instalación de nuevo hardware o modificar el existente en las estaciones de
trabajo.
2. Para evitar daños en los componentes de una estación de trabajo (teclado,
mouse, monitor, entre otros) se prohíbe fumar, comer o beber mientras se
está usando.
3. Cuando un usuario cesa en sus funciones se debe eliminar las cuentas,
contraseñas y privilegios asignados a él, además debe entregar las llaves o
tarjetas de acceso a la empresa.
4. Los usuarios temporales no deben tener privilegios sobre los sistemas
informáticos de la Empresa
5. Los trabajadores deben firmar un documento de confidencialidad al momento
de formar parte de la empresa
6. El departamento de Informática debe preparar, mantener y distribuir uno o
más manuales de seguridad informática.
7. El departamento de Informática deberá elaborar un informe anual de los
problemas y violaciones reportados en seguridad informática
8. El personal de administración de sistemas deberá revisar semanalmente las
notificaciones sobre la vulnerabilidad de la seguridad informática emitidas por
organizaciones confiables
1.4.5. POLÍTICAS DE SEGURIDAD PARA SERVICIOS
1.4.5.1. POLÍTICAS PARA DNS
1. Toda Institución que desee tener un nombre de Dominio y publicar en el
Internet debe registrarse en la NIC.
2. Toda Institución que requiera registrar un dominio en la Internet necesita de
un servidor DNS primario.
3. Para evitar que el acceso de intrusos por daño del servidor DNS primario se
debe proveer un servicio de DNS secundario.
23
4. Para evitar el ingreso de intrusos desde la red externa hacia la interna se debe
instalar un servidor de DNS en la red perimetral o DMZ.
5. El servicio de DNS debe utilizar el puerto 53.
1.4.5.2. POLÍTICAS DE SEGURIDAD PARA CORREO ELECTRÓNICO.
1. Para asegurar la autenticación y confidencialidad de envío / recepción de
correo se debe utilizar protocolos de seguridad
2. El usuario debe borrar correos sospechosos, como aquellos correos con
caracteres inusuales en el campo "asunto".
3. Para la transmisión de correo electrónico no se debe emitir correos en cadena
ni emitir correos con remitente falso.
4. Los mensajes SPAM no deben contestarse, ya que al hacerlo se re-
confirmará su dirección IP, ni prestar atención a los mensajes con falsos
contenidos, tales como ofertas de premios, dinero, solicitudes de ayuda
caritativa, advertencia de virus de fuentes desconocidas.
1.4.5.3. POLÍTICAS DE SEGURIDAD PARA WEB
1. El acceso al Internet será a través de un solo punto para todos los usuarios de
la empresa. La empresa prohíbe el uso de módems para el acceso al Internet.
2. Se debe restringir la descarga de archivos de acuerdo a lo determinado por el
administrador principalmente los .exe.
3. El administrador mantendrá un seguimiento de las últimas vulnerabilidades e
incidentes reportados por sitios especializados en la seguridad del Internet.
1.4.5.4. POLÍTICAS DE SEGURIDAD PARA BLOQUEO DE PÁGINAS WEB
1. Se debe restringir el acceso a sitios prohibidos, como pornografía, juegos,
música para evitar que el personal no cumpla con sus obligaciones.
2. El administrador debe publicar una lista con las direcciones de sitios con los
cuales han existido incidentes de seguridad debe bloquear la comunicación
con ellos.
24
1.4.5.5. POLÍTICAS DE SEGURIDAD PARA FTP
1. El servicio de FTP debe pedir un usuario y la debida contraseña para realizar
la conexión hacia el servidor.
2. Se debe utilizar el puerto estándar para FTP que es el 21.
3. Se debe eliminar el uso de FTP anónimo para evitar el acceso libre por parte
del usuario.
1.4.5.6. POLÍTICAS DE SEGURIDAD PARA ACCESO REMOTO
1. Debe existir un usuario con su debida contraseña para validar el acceso vía
remota.
2. Un usuario interno no debe hacer uso de una conexión DIAL-UP hacia un
proveedor de Internet si está conectado a la red Interna para evitar el ingreso
de intrusos a la red.
1.4.5.7. POLÍTICAS DE SEGURIDAD PARA PROXY.
1. Se debe utilizar los puertos estándar para PROXY que son: 8080, 80.
2. Se debe denegar el acceso a ciertas direcciones que se considere
improductivas para sus intereses como sexo, mp3, juegos.
1.4.5.8. POLÍTICAS DE SEGURIDAD PARA CONTROL REMOTO
1. Este servicio debe tener un usuario (dirección IP, nombre de máquina) y
password para establecer la conexión entre el servidor y una estación de
trabajo o viceversa.
2. El administrador debe ser la única persona que acceda al servicio de control
remoto
25
1.4.5.9.POLÍTICAS DE SEGURIDAD PARA DISTRIBUCIÓN D E
SOFTWARE, INVENTARIO HARDWARE / SOFTWARE Y
MONITOREO DE RED
1. En caso de existir el servicio de distribución de software, inventario de
hardware y software y monitoreo de red se debe instalar y configurar en el
servidor.
2. El monitoreo de la red se debe realizar sin previo aviso al usuario.
1.5. POLÍTICAS DE SEGURIDAD EN REDES CON CONEXIÓN A
INTERNET
Se cumplen todas las especificadas en las Políticas de Seguridad en Redes Locales
y además las siguientes:
1.5.1. POLÍTICAS DE SEGURIDAD PARA HARDWARE
1.5.1.1. POLÍTICAS DE SEGURIDAD PARA RUTEADORES
1. Se debe crear listas de acceso para permitir la entrada y salida de ciertas
direcciones de acuerdo a las necesidades de la empresa.
2. Se debe tener una contraseña de acceso al ruteador.
1.5.2. POLÍTICAS DE SEGURIDAD PARA SOFTWARE
1.5.2.1. POLÍTICAS DE SEGURIDAD PARA FIREWALL
1. La red que se conecta a la Internet debe tener un Firewall o dispositivo de
seguridad para controlar el acceso a la red y evitar el ingreso de intrusos.
2. El firewall de la empresa debe presentar una postura de negación
preestablecida, configurado de manera que se prohíban todos los protocolos y
servicios, habilitando los necesarios.
26
CAPITULO 2
2. AUDITORÍA DE SEGURIDAD EN REDES LOCALES
2.1 FUNDAMENTO TEÓRICO
“Auditoría, en general, es la actividad consistente en la emisión de una opinión
profesional sobre si el objeto sometido a análisis presenta adecuadamente la
realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas”
15
Podemos descomponer este concepto en los elementos fundamentales que a
continuación se especifican:
• “Contenido: una opinión.
• Condición: profesional.
• Justificación: apoyada en determinados procedimientos.
• Objeto: una determinada información obtenida en un soporte.
• Finalidad: determinar si presenta adecuadamente la realidad o ésta responde
a las expectativas que le son atribuidas, es decir, su fiabilidad.” 15
2.1.1. CONCEPTO
“La auditoría en redes es el proceso de recoger, agrupar y evaluar información para
determinar si un sistema de seguridad de redes salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza
eficientemente los recursos. De este modo la auditoría en redes sustenta y confirma
la consecución de los objetivos tradicionales de la auditoría, los cuales son:
______________________________________________________________________________
15.- SANCHEZ, Roberto. "Planificación y Control de Sistemas de Información". Versión 1.0. Mayo de 1999. Documento PDF
27
• Objetivos de protección de activos e integridad de datos.
• Objetivos de gestión que contemplan, no solamente los de protección de
activos sino también los de eficacia y eficiencia.
La Auditoría de la Red Interna se centra en evaluar la seguridad de los sistemas de
protección perimetral situados en la red interna de una empresa (routers y firewalls
que separan subredes, entre otros) así como los diferentes sistemas que están
localizados en dicha red (sistemas host, servidores de ficheros, de impresión, de
web, de correo, de noticias, entre otros)” 15
2.1.2. OBJETIVOS GENERALES DE LA AUDITORÍA DE POL ÍTICAS DE
SEGURIDAD
• “Verificar el cumplimiento de las Políticas de Seguridades establecidas en la
red local y con conexión a Internet.
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información mediante la recomendación de seguridades y controles”16.
• “Seguridad de datos, hardware, software e instalaciones
• Seguridad, confianza, privacidad y disponibilidad en el ambiente informático
“16
2.1.3. JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORÍA DE LAS P OLÍTICAS
DE SEGURIDAD
• Desconocimiento en el nivel directivo de la situación informática de la empresa
__________________________________________________________________________________________
15.- SANCHEZ, Roberto. "Planificación y Control de Sistemas de Información". Versión 1.0. Mayo de 1999. Documento PDF
16.-"Conceptos de Auditoría de Sistemas" http://www.monografías.com
28
• Falta total o parcial de seguridades lógicas y físicas que garanticen la
integridad del personal, equipos e información.
• Descubrimiento de fraudes efectuados con el computador
• Descubrimiento de ataques a la red interna.
• Descubrimiento de faltantes o cambios de computadores o componentes.
• Falta de una planificación informática16
2.1.4. CLASES DE AUDITORÍA 17
Las principales Clases de Auditoría son:
a) Por el sujeto que la efectúa:
• Interna: auditores que forman parte de la propia organización.
• Externa: auditores ajenos a la organización.
b) Por su contenido y fines:
• De Gestión: afecta a la situación global de la empresa.
• Organizativa: analiza la adecuación de la estructura organizativa.
• Operacional: hasta qué punto se están cumpliendo los objetivos establecidos
e
identificación de los puntos que necesitan mejorar.
• Financiera: examen y verificación del estado financiero, acompañado de una
opinión sobre su fiabilidad.
• Contable: adecuación de los criterios empleados para recoger los hechos
mediante apuntes contables en los estados financieros.
• Informática: examen y verificación del correcto funcionamiento y control del
sistema informático.
__________________________________________________________________________________________
16.-"Conceptos de Auditoría de Sistemas" http://www.monografías.com
17.- RUIZ, Francisco y POLO, Macario. "Mantenimiento de Software" Versión 1.0. Enero 2001
29
• Económico-Social: diagnóstico sobre el proceso económico y los resultados
sociales obtenidos.
c) Por su amplitud:
• Total: afecta a todos los elementos de la organización.
• Parcial: se concentra en determinados elementos.
d) Por su frecuencia:
• Permanente
• Ocasional
2.2. NORMAS DEL AUDITOR 18
2.2.1. MANDATO DE AUDITORÍA
Responsabilidad, Autoridad y Rendición de cuentas. Estas características de
auditoría en redes deben ser adecuadamente documentadas en un estatuto de
auditoría o términos de referencia de contratación.
2.2.2. INDEPENDENCIA
a) Independencia Profesional. En todos los asuntos relacionados con la auditoría,
el auditor de redes debe ser independiente del auditado.
b) Relación dentro de la Organización. La función de auditoría de sistemas de
información debe ser lo suficientemente independiente del área auditada para
permitir la realización objetiva de la auditoría.
___________________________________________________________________
18.- BEL, Juan de Dios. "Estándares para la práctica profesional de auditoría de sistemas de información".
Versión 1.0 Julio del 2002. Documento PDF
30
2.2.3. ETICA Y NORMAS PROFESIONALES
Debido Cuidado Profesional. Se debe proceder con el debido cuidado profesional y
deben observarse las normas aplicables de auditoría profesional en todos los
aspectos del trabajo del auditor de redes
2.2.4. COMPETENCIA
a) Habilidades y Conocimiento. El auditor de redes debe ser técnicamente
competente y contar con las habilidades y el conocimiento necesarios para llevar a
cabo sus tareas.
b) Capacitación Profesional Permanente. El auditor de sistemas de información debe
mantener su competencia técnica por medio de una continua y adecuada
capacitación profesional.
2.2.5. PLANIFICACIÓN
Planificación de la Auditoría. El auditor de sistemas de información debe planificar
las tareas de auditoría de tal manera que se aborden los objetivos pertinentes y se
cumpla con las normas aplicables de la auditoría profesional.
2.2.6. REALIZACIÓN DE LAS TAREAS DE AUDITORÍA
a) Supervisión. El personal de auditoría de sistemas de información debe ser
adecuadamente supervisado a fin de garantizar que se alcancen los objetivos de
auditoría y se cumpla con las normas aplicables de auditoría profesional.
b) Evidencia. En el transcurso de la auditoría, el auditor de sistemas de información
debe obtener evidencia suficiente, confiable, pertinente y útil a fin de que se
alcancen los objetivos de auditoría con eficacia. Los hallazgos y las conclusiones de
31
la auditoría deben ser sustentados mediante el análisis y la interpretación adecuados
de dicha evidencia.
2.2.7. PRESENTACIÓN DE INFORMES
Contenido y Estructura de Informes. El auditor debe proporcionar a los
destinatarios correspondientes un informe con una estructura apropiada sobre la
realización de las tareas de auditoría. En dicho informe deben constar el campo de
aplicación, los objetivos, el período de aplicación y la naturaleza y alcance de las
tareas de auditoría realizadas. El informe debe identificar la organización, los
destinatarios correspondientes y cualquier restricción a su difusión; asimismo, debe
exponer los hallazgos, las conclusiones y recomendaciones y cualquier opinión que
tenga el auditor con respecto a la auditoría.
2.2.8. ACTIVIDADES DE SEGUIMIENTO
Seguimiento. El auditor de sistemas de información debe solicitar y evaluar la
información apropiada sobre anteriores hallazgos, conclusiones y recomendaciones
pertinentes para determinar si se han implementado las medidas adecuadas de
manera oportuna.
2.3. CONTROL INTERNO Y AUDITORÍA EN REDES
2.3.1. CONTROL INTERNO
“El control interno inspecciona diariamente que todas las actividades de sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y normas
fijados por la Dirección de Informática, así como los requerimientos legales” 15.
La misión del control interno informático es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y
válidas.
Como principales objetivos del Control Interno Informático, se indican los siguientes:
32
• “Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
• Asesorar sobre el conocimiento de las normas.
• Colaborar y apoyar el trabajo de Auditoría Informática, así como de las
auditorías externas al grupo.
• Definir, implantar y ejecutar mecanismos y controles para comprobar el logro
de los grados adecuados del servicio informático, lo cual no debe
considerarse como que la implantación de los mecanismos de medida y la
responsabilidad del logro de esos niveles se ubique exclusivamente en la
función de Control Interno, sino que cada responsable de objetivos y recursos
es responsable de esos niveles, así como de la implantación de los medios de
medida adecuados” 15.
2.3.2. AUDITORÍA DE REDES
“La auditoría en redes es el proceso de recolección y evaluación de evidencia para
determinar si un sistema de seguridad implementado en una empresa cumple con
los objetivos de la misma” 15.
El auditor evalúa y comprueba en determinados momentos del tiempo los controles y
procedimientos informáticos más complejos, desarrollando y aplicando técnicas
mecanizadas de auditoría, incluyendo el uso del software.
El auditor es responsable de revisar e informar a la Dirección de la Organización
sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad
de la información suministrada.
__________________________________________________________________________________________
15.- SANCHEZ, Roberto. "Planificación y Control de Sistemas de Información". Versión 1.0. Mayo de 1999.
Documento PDF
33
Se pueden establecer tres grupos de funciones a realizar por un auditor de redes:
• Participar en las revisiones durante y después del diseño, realización,
implantación y explotación de aplicaciones informáticas, así como en las fases
análogas de realización de cambios importantes.
• Revisar y juzgar los controles implantados en los sistemas informáticos para
verificar su adecuación a las órdenes e instrucciones de la Dirección,
requisitos legales, protección de confidencialidad y cobertura ante errores y
fraudes.
• Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los
equipos e información.
La Auditoría de Redes y el Control Interno son campos análogos. De hecho, muchos
de los actuales responsables de control interno informático recibieron formación en
seguridad informática tras su paso por la formación en auditoría. Numerosos
auditores se pasan al campo de control interno debido a la similitud de los objetivos
profesionales de control y auditoría.
Pese a que ambas figuras tienen objetivos comunes, existen diferencias que
conviene mencionar.
A continuación se ilustra una tabla que muestra las similitudes y diferencias entre
ambas disciplinas:
34
Tabla N. 2.1. Diferencias entre control interno y auditor. Fuente: SANCHEZ, Roberto.
"Planificación y Control de Sistemas de Información". Versión 1.0. Mayo de 1999. Documento PDF
2.4. DEFINICIÓN DE POLITICAS DE AUDITORÍA DE
SEGURIDADES
Después de haber visto los fundamentos teóricos de auditoría, se prosigue a
describir las políticas de auditoría tomando como base el desarrollo de las políticas
de seguridad y la clasificación de las mismas siguiendo la división de los recursos
determinada en el capitulo anterior.
2.4.1. POLITICAS DE AUDITORÍA DE SEGURIDAD EN REDES LOCALES
2.4.1.1. POLÍTICAS DE AUDITORÍA DE SEGURIDAD EN HAR DWARE
2.4.1.1.1. POLÍTICAS DE AUDITORÍA DE SEGURIDAD EN CABLES Y
CONECTORES.
1. Verificar que la empresa cuente con cableado estructurado que siga la norma
568 A o B.
Forma de auditar: Realizar, una visita de observación para comprobar la
existencia del mismo, y luego, revisar si cumple con las normas de
cableado estructurado.
35
2.4.1.1.2. POLÍTICAS DE AUDITORÍA DE SEGURIDAD EN ESTACIONES DE
TRABAJO
1. Verificar que existen autorizaciones por escrito para extraer equipos fuera de
la sede de la Compañía.
Forma de auditar: Comprobar que exista tales documentos, los mismos
deben archivarse y estar con la firma de autorización.
2. Verificar utilizando un software de inventario de hardware para comprobar que
se mantiene los mismos componentes del equipo.
Forma de auditar: Utilizar un software, el mismo que entregue un reporte del
hardware instalado de cada una de las estaciones de trabajo de la empresa y
comparar con la información del hardware instalado inicialmente.
Un ejemplo de este software es NetSupport.
3. Verificar que exista plan de contingencia para contrarrestar los peligros del
medio ambiente.
Forma de auditar: Revisar que el plan de contingencia se encuentre
aprobado por el administrador de la red y en el mismo debe constar sus
respectivos responsables.
4. Verificar que exista cerraduras con llave, alarmas y personal de seguridad.
Forma de auditar: Realizar una inspección del lugar para asegurar que exista
lo antes enunciado y luego realizar pruebas para verificar su correcto
funcionamiento y en el caso del personal de seguridad verificar que
pertenezcan a un compañía de seguridad.
5. Verificar que existan puestas a tierra y reguladores.
Forma de auditar: Utilizar instrumentos de medición con lo cual se
comprueba las puestas a tierra y reguladores funcionen correctamente
midiendo los voltajes.
6. Verificar que todos los equipos tengan un código de identificación y que exista
un archivo con esta información y esté actualizado.
Forma de auditar: Revisar que cada equipo de la red se encuentre
etiquetado con una identificación puesta por personal autorizado y esta
información este actualizada y almacenada en un archivo y/o impreso.
36
7. Se debe verificar que la configuración de los equipos lo realice los
encargados del departamento técnico.
Forma de auditar: Revisar que los equipos de la empresa se encuentren
configurados de acuerdo a lo establecido.
8. Verificar que la información sensible almacenada en el disco duro o en otros
componentes internos de un computador personal, debe estar protegida
mediante una contraseña de control de acceso.
Forma de auditar: Ingresar a la información sensible como por ejemplo
solicitudes de la gerencia, base de datos, reportes entre otros, y verificar que
exista una contraseña de ingreso.
2.4.1.1.3. POLÍTICAS DE AUDITORÍA DE SEGURIDAD EN SERVIDORES Y
EQUIPOS DE COMUNICACIONES
1. Verificar que en el cuarto de comunicaciones este protegido contra incendio y
robo con la instalación de:
- Extintores que sean adecuados para extinguir incendios en los
equipos de computación, y deben estar ubicados en sitios
estratégicos de la empresa y en el área de sistemas.
- Censores / Alarmas contra intrusos los mismos que deben estar
activados en horarios no laborables.
- Acondicionador de temperatura para mantener la temperatura
adecuada en el cuarto de comunicaciones.
Forma de auditar: Constatar que los extintores, censores y
acondicionadores se encuentren ubicados en sitios estratégicos y funcionen
correctamente.
2. Verificar la existencia de UPS en el cuarto frío de comunicaciones
Forma de auditar: Revisar físicamente y que no existan alarmas luego
realizar un test de funcionamiento y por último con autorización del
administrador de red simular un corte de energía .
37
3. Comprobar que toda persona con acceso al cuarto de comunicaciones tenga
su tarjeta de acceso u otro mecanismo de ingreso, el mismo debe tener un
horario establecido y debe ser personal.
Forma de auditar: Investigar el tipo de mecanismo de ingreso que tiene, si
por ejemplo utilizan tarjeta de acceso constatar en el sistema de programación
el personal que tiene acceso al cuarto de comunicaciones y horario.
4. Verificar que exista plan de contingencia para proteger contra los factores del
medio ambiente.
Forma de auditar: Revisar que el plan de contingencia se encuentre
aprobado por el administrador de la red y en el mismo debe constar sus
respectivos responsables.
5. Verificar que el personal de limpieza no tenga acceso al cuarto de
comunicaciones, y que sus actividades se realicen bajo la supervisión de una
persona autorizada.
Forma de auditar: Constatar que cuando se realice la limpieza sea bajo la
supervisión de una persona autorizada.
6. Verificar la existencia de los pararrayos.
Forma de auditar: Observar que existan pararrayos y en caso de existir se
encuentren en buen estado y lugar adecuado.
7. Verificar que en el cuarto de comunicaciones sea utilizado como tal, es decir
que sus instalaciones no se encuentren equipos que no sean de
Telecomunicaciones o datos.
Forma de auditar: Comprobar que el funcionamiento de cada equipo que se
encuentre en el cuarto de comunicaciones deben utilizarse para
telecomunicaciones o datos.
8. Verificar que exista un contrato con una compañía aseguradora en donde
todos los equipos de computación y comunicaciones se encuentren
asegurados.
Forma de auditar: Leer el contrato que tiene la empresa con la compañía
aseguradora en el mismo debe constar todas las firmas de las personal
involucradas para su legalidad.
38
9. Verificar que no se utilicen teléfonos celulares dentro del cuarto de
Comunicaciones.
Forma de auditar: Revisar físicamente si todas las personas que ingresan al
cuarto de comunicaciones apaguen el teléfono celular.
2.4.1.2. POLÍTICAS DE AUDITORÍA DE SEGURIDAD EN SOFTWARE
2.4.1.2.1. POLÍTICAS DE AUDITORÍA DE SEGURIDAD EN SISTEMAS
OPERATIVOS Y SOFTWARE EN GENERAL
1. Verificar que todo software existente sea legal y este debidamente
autorizado por la gerencia de sistemas.
Forma de auditar: Constatar que el software utilizado por la empresa tenga
sus correspondientes licencias y tenga autorización de la gerencia
2. Verificar que el sistema operativo y/ o software utilizado por la empresa estén
actualizados.
Forma de auditar: Utilizar un software que proporcione este tipo de
información de cada una de las estaciones de trabajo y servidores. Ejemplo de
este software Languard.
3. Verificar en toda estación de trabajo que se encuentre configurado el protector
de pantalla.
Forma de auditar: En cada estación de trabajo comprobar que el protector de
pantalla se active en un determinado tiempo de inactividad y para su
reactivación solicite una contraseña.
4. Verificar por medio de software si existe software diferente al instalado
originalmente.
Forma de auditar: Utilizar un software, el mismo que entregue un reporte del
software instalado en todos y cada una de las estaciones de trabajo de la
empresa y comparar con la información del software instalado inicialmente.
Un ejemplo de este software NetSupport.
39
2.4.1.2.2. POLÍTICAS DE AUDITORÍA DE SEGURIDADES EN UTILITARIOS
2.4.1.2.2.1. POLÍTICAS DE AUDITORÍA DE SEGURIDAD EN CARPETAS
COMPARTIDAS
1. Verificar que la carpeta compartida tenga clave de acceso.
Forma de auditar: Utilizar un software como por ejemplo el LanGuard para
obtener las carpetas compartidas y luego acceder a las mismas con el fin de
comprobar que tengan claves de acceso.
2. Verificar los permisos de la carpeta compartida esté configurada de acuerdo a
las necesidades del usuario que ingrese a las mismas.
Forma de auditar: Ingresar al equipo que comparte la carpeta y ver cuales
son los permisos de la misma y que usuarios acceden.
2.4.1.2.2.2. POLITICAS DE AUDITORÍA GENERALES PARA CUENTAS DE LA
RED, SISTEMA, CORREO ELECTRÓNICO, ACCESO REMOTO
1. Verificar que exista privilegios especiales solo a personas responsables de la
administración o de la seguridad de la red.
Forma de auditar: Utilizar un software que permita obtener los privilegios de
cada usuario de la red y comprobar si los usuarios que tienen privilegios
especiales son las personas administradoras de la red. Ejemplo de este
software el Languard. Para el sistema, correo electrónico, acceso remoto, ftp y
web se debe ingresar al servidor de cada servicio y comprobar los privilegios
de cada cuenta.
2. Verificar que toda cuenta existente corresponda a un usuario activo de la
empresa.
Forma de auditar: Utilizar un software que permita obtener el último ingreso a
cada cuenta de la red y comprobar si dichas cuentas han sido utilizadas
recientemente. Un ejemplo de este software es el Languard. Para el sistema,
correo electrónico, acceso remoto, ftp y web se debe ingresar al servidor de
cada servicio y obtener el último acceso a cada cuenta con el fin de encontrar
las que no se están utilizando.
40
3. Verificar que no existan dos cuentas con el mismo nombre. .
Forma de auditar: Ingresar al servidor de acceso remoto y crear dos cuentas
con el mismo nombre.
2.4.1.2.2.2.1. POLÍTICAS DE AUDITORÍA ESPECÍFICAS PARA CUENTAS DEL
SISTEMA
1. Verificar que luego de 3 minutos de inactividad una cuenta se desconecte del
sistema y para su reestablecimiento se necesite una contraseña.
Forma de auditar: Ingresar a una cuenta, esperar 3 minutos para que se
desconecte del sistema y al volver a ingresar solicite una contraseña.
2. Verificar que la frecuencia de mantenimiento de las cuentas es de seis meses.
Forma de auditar: Ingresar al servidor y comprobar que no existan cuentas
caducadas por más de seis meses.
2.4.1.2.2.2.2. POLÍTICAS DE AUDITORÍA ESPECÍFICAS PARA CUENTAS DE
CORREO ELECTRÓNICO
1. Verificar que el uso de la cuenta de correo electrónico sea personal.
Forma de auditar: Indagar al personal que utiliza el servicio de correo
electrónico si el uso es particular.
2. Verificar con la persona encargada que la capacidad de almacenamiento para
correo electrónico sea fija de acuerdo a las necesidades de la empresa.
Forma de auditar: Ingresar al servidor y constatar que toda cuenta
existente tenga un mismo valor de espacio en disco.
2.4.1.2.2.3. POLITICAS DE AUDITORÍA EN CONTRASEÑAS Y CONTROL DE
ACCESO
2.4.1.2.2.3.1. POLÍTICAS DE SEGURIDADES EN CONTRASEÑAS Y CONTROL
DE ACCESO DEL SISTEMA, CORREO, ACCESO REMOTO, FTP,
WEB
1. Las contraseñas deben estar formadas por:
- Un mínimo de 6 caracteres.
41
- Usar el alfabeto alternando mayúsculas con minúsculas y caracteres no
alfabéticos (dígitos o signos de puntuación) para dificultar su
identificación.
- Usar contraseñas que sean fáciles de recordar, así no tendrá que
escribirlas.
- Las contraseñas no deben formarse con información relacionada con el
usuario que pueda adivinarse fácilmente como números de matrículas,
de coches, de teléfono, del seguro social, la marca de su coche, el
nombre de la calle donde vive, etc.
- Las contraseñas no deben crearse con palabras que aparezcan en
diccionarios de español ni de ningún otro idioma extranjero, listas
ortográficas ni ninguna otra lista de palabras para que no sea fácil de
adivinar
Forma de auditar: Utilizar un software que permita obtener las contraseñas
para acceder a la red adicional a esto realizar una entrevista a los usuarios
para comprobar que en las contraseñas no haya información personal. Ejemplo
de un software que permite obtener las contraseñas es el Lopht crack . Para
correo electrónico, acceso remoto, ftp y web se debe realizar una encuesta
con los usuarios.
2. Verificar que las contraseñas iniciales emitidas a un nuevo usuario sólo debe
ser válida para la primera sesión.
Forma de auditar: Consultar a los usuarios si realizan el cambio de
contraseñas luego de ingresar por primera vez a un servicio determinado.
3. Verificar que las contraseñas predefinidas que traen los equipos nuevos tales
como ruteadores, switchs, entre otros, hayan sido cambiadas inmediatamente
al ponerse en servicio el equipo ya que esta clave es conocida por el
proveedor.
Forma de auditar: Ingresar a los equipos con la contraseña proporcionada
por el proveedor y si el acceso no es exitoso significa que esta política se
cumple.
4. Verificar el cambio inmediato de la contraseña en caso de creer que esta haya
sido comprometida.
42
Forma de auditar: Investigar a los usuarios si realizan el cambio de
contraseñas en caso que creyeran que esta haya sido comprometida.
5. Verificar que haya sido cambiada la contraseña cada mes para evitar que sea
descubierta.
Forma de auditar: Indagar a los usuarios si realizan el cambio de
contraseñas mensualmente.
6. Verificar que usuario no guarde su contraseña en una forma legible.
Forma de auditar: Preguntar a los usuarios en donde guardan sus
contraseñas.
7. Verificar que la contraseña no sea compartida.
Forma de auditar: Consultar a los usuarios si la contraseña ha sido
divulgada a otra persona.
8. Verificar que no se utilice una misma contraseña para acceder a servicios
diferentes.
Forma de auditar: Investigar a los usuarios si utilizan la misma
contraseña para acceder a los diferentes servicios de red.
9. Verificar que el número de accesos infructuosos sean 3 consecutivos Forma
de auditar: Tratar de ingresar a una cuenta de cualquier servicio utilizando
una contraseña errónea tres veces, después de esto el servicio se debe
bloquear.
2.4.1.2.2.3.2 POLÍTICAS DE AUDITORÍA DE SEGURIDAD ESPECÍFICAS PARA
NAVEGACIÓN EN EL WEB, ACCESO REMOTO, FTP
1. Comprobar si el cambio de clave se lo realiza de manera personal y directa
con el administrador
Forma de auditar: Indagar al administrador cual es el procedimiento para
cambio de clave.
43
2.4.1.2.2.3.3. POLÍTICAS DE AUDITORÍA DE SEGURIDAD ESPECÍFICAS PARA
CONTRASEÑAS DE CORREO ELECTRÓNICO
1. Comprobar que los usuarios realicen el cambio de clave una vez que el
administrador le entregue la cuenta.
Forma de auditar: Ingresar a la cuenta de correo de cualquier usuario
utilizando la clave dada por el administrador inicialmente.
2.4.1.2.2.4. POLÍTICAS DE AUDITORÍA DE SEGURIDAD PARA VIRUS
1. Comprobar que se tenga en todo los equipos un antivirus que se active
periódicamente y este actualizado.
Forma de auditar: Ingresar a las estaciones de trabajo y observar que este
instalado un software antivirus el mismo que se encuentre configurado para
que se active periódicamente y esté actualizado.
2. Comprobar que exista más de una herramienta antivirus en los servidores.
Forma de auditar: Utilizar un software para obtener los antivirus instalados en
los servidores. Un ejemplo de este tipo de software Netsupport.
3. Comprobar que exista un procedimiento a seguir en caso que se detecte un
virus en algún equipo.
Forma de auditar: Entrevistar al administrador de la red cual es el
procedimiento a seguir cuando un usuario ha detectado un virus en su equipo.
4. Verificar que se realice comprobaciones periódicas de virus en estaciones de
trabajo y servidores
Forma de auditar: Ingresar en el equipo y comprobar que el software
antivirus este configurado para correr automáticamente en un horario definido.
5. Comprobar que cuando se utilice diskettes u otros medios de almacenamiento
sean verificados por el antivirus.
Forma de auditar: Constatar con el administrador y usuarios si previo al uso
de diskettes u otro medio de almacenamiento, verifican que este libre de virus.
6. Verificar que se hayan bloqueado los sitios que se tengan sospechas de
difundir virus.
44
Forma de auditar: Ingresar al servidor web y constatar que sitios están
bloqueados.
2.4.1.3. POLÍTICAS DE AUDITORÍA DE SEGURIDAD EN DATOS
2.4.1.3.1. POLÍTICAS DE AUDITORÍA SEGURIDAD PARA ANÁLISIS DE
LOGS.
1. Los archivos logs debe contener lo siguiente:
− User ID
− Fechas y horas de log-on y log-off
− Identificaciones de terminales y/o localizaciones si es posible.
− Guardar los intentos de acceso rechazados o satisfactorios al sistema.
− Guardar los intentos de acceso rechazados o satisfactorios a los datos u
otros recursos.
Forma de auditar: Revisar los archivos log que se generan el los
servidores y equipos de comunicaciones y verificar que contengan la
información requerida.
2. Verificar que todos los archivos log se revisen periódicamente y se guarden
durante tres meses.
Forma de auditar: Constatar que existan almacenados los logs de por lo
menos hace tres meses y verificar la frecuencia de revisión de los mismos.
3. Verificar que exista un registro semanal del análisis del log.
Forma de auditar: Revisar que el registro semanal de análisis de logs sea
presentada al administrador con su respectivo informe.
2.4.1.3.2. POLÍTICAS DE AUDITORÍA SEGURIDAD PARA RESPALDOS DE
INFORMACIÓN
1. Verificar con los administradores de los distintos departamentos, los archivos
que sé están respaldando, la frecuencia y el método de respaldo.
Forma de auditar: Directamente con el administrador o la persona encargada
de realizar los respaldos de la información, preguntar y constatar qué
45
información está respaldando, método de respaldo (el mismo que debe
funcionar correctamente) y si la frecuencia es diaria o semanal.
2. Verificar que exista respaldos de los logs.
Forma de auditar: Revisar que dentro de la información respaldada se
encuentren los archivos logs.
3. Comprobar que exista los respaldos de programas fuentes, ejecutables,
archivos de configuración o booteo del sistema operativo de los equipos de
computo, software aplicativo en soportes no reescribibles.
Forma de auditar: Revisar que exista un medio no reescribible en donde
estén almacenados todos los programas fuentes, ejecutables entre otros.
4. Verificar que las copias de respaldos sean guardados en un sitio seguro fuera
de la empresa.
Forma de auditar: Revisar un documento el cual sea el comprobante del
lugar donde se guarda la información respaldada.
2.4.1.4. POLÍTICAS DE ADITORIA DE SEGURIDAD PARA PE RSONAL
1. Verificar en forma directa con el administrador que sea la única persona que
pueda realizar la instalación de nuevo hardware o modificar el existente en las
estaciones de trabajo.
Forma de auditar: Constatar que todos los equipos posean un sello de
seguridad puesto por el administrador con el fin de asegurar que solo
personal autorizado pueda modificar el hardware del equipo.
2. Verificar que los usuarios no fumen coman ni beban mientras utilizan los
computadores.
Forma de auditar: Investigar a los usuarios si fuman, comen o beben
mientras realizan sus respectivos trabajos utilizando el computador.
3. Verificar que los usuarios que hayan cesado en sus funciones sean
eliminados las cuentas, contraseñas y privilegios asignados a él, además
debe entregar las llaves o tarjetas de acceso a la empresa.
46
Forma de auditar: Pedir la lista de empleados de la empresa y comprobar
que no exista más usuarios que los que se encuentran en dicha lista.
4. Verificar que los usuarios temporales no tengan privilegios sobre los sistemas
informáticos de la Empresa
Forma de auditar: Solicitar al administrador de la red o al personal técnico
los privilegios otorgados a los usuarios temporales
5. Verificar que los trabajadores firmen el documento de confidencialidad al
momento de formar parte de la empresa
Forma de auditar: Comprobar la existencia de los documentos de
confidencialidad.
6. Verificar que el departamento de Informática preparare, mantenga y distribuya
uno o más manuales de seguridad informática.
Forma de auditar: Comprobar que exista manuales de seguridad
actualizados y que todos los usuarios lo tengan.
7. El departamento de Informática deberá elaborar un informe anual de los
problemas y violaciones reportados en seguridad informática
Forma de auditar: Comprobar la existencia del informe anual delos
problemas y violaciones reportados en seguridad informática.
8. El personal de administración de sistemas deberá revisar semanalmente las
notificaciones sobre la vulnerabilidad de la seguridad informática emitidas por
organizaciones confiables
Forma de auditar: Comprobar que exista métodos y procesos de seguridad
en contra de la últimas vulnerabilidades de la seguridad informática emitidas
por las diferentes organizaciones confiables.
47
2.4.1.5. POLÍTICAS DE AUDITORÍA DE SEGURIDAD PARA SERVICIOS
2.4.1.5.1. POLÍTICAS DE AUDITORÍA PARA DNS
1. Verificar un documento en donde se acredite que el dominio fue registrado
en la NIC.
Forma de auditar: Revisar dicho documento el mismo que debe tener todas
las firmas de autorización.
2. Verificar que exista un servidor DNS primario si la empresa tiene registrado un
dominio en la Internet.
Forma de auditar: Revisar la configuración del servidor para verificar que el
mismo este configurado como primario.
3. Verificar que exista un DNS secundario.
Forma de auditar: Revisar que exista un servidor de DNS secundario en caso
de necesitar.
4. Verificar que exista en la DMZ un servicio de DNS
Forma de auditar: Revisar que en la DMZ .sen encuentre el servidor de DNS.
5. Verificar a través de un software que el servicio de DNS utilice el puerto 53.
Forma de auditar: Utilizar un software que escanee los puertos de la red y
verificar que en el servicio de DNS se utilice el puerto 53. Ejemplo de este
software el Spuertos.
2.4.1.5.2. POLÍTICAS DE AUDITORÍA DE SEGURIDAD PARA CORREO
ELECTRÓNICO.
1. Verificar que exista un protocolo de seguridad.
Forma de auditar: Utilizando un software que permita obtener los protocolos
utilizados en la red. Ejemplo de este software Lanscan.
2. Verificar que los archivos con extensiones determinadas por el administrador
no se puedan enviar a través del correo electrónico.
48
Forma de auditar: Revisar cuales son las extensiones que no pueden
transmitirse por correo y tratar de enviar un archivo con esas extensiones.
3. Comprobar que el usuario borre correos sospechosos como aquellos que
contengan caracteres inusuales en el campo “asunto” ó anónimos.
Forma de auditar: Ingresar a la cuenta de los usuarios y revisar si borran lo
correos que tengan un remitente desconocido o caracteres inusuales en
“asunto”.
4. Comprobar que los mensajes SPAM no sean contestados así como mensajes
con falsos contenidos, tales como ofertas de premios, dinero, solicitudes de
ayuda caritativa, advertencia de virus de fuentes desconocidas.
Forma de auditar: Ingresar a las cuentas de los usuarios y verificar que no
exista correo SPAM.
2.4.1.5.3. POLÍTICAS DE AUDITORÍA DE SEGURIDAD PARA WEB
1. Verificar que el acceso al Internet será a través de un solo punto para todos
los usuarios de la empresa.
Forma de auditar: Revisar que exista un solo canal de entrada para el
servicio de Internet para toda la empresa.
2. Verificar que no se puedan descargar archivos determinados por el
administrador.
Forma de auditar: Obtener un listado de todos los archivos que no pueden
descargarse y luego tratar de bajar cualquiera de esos archivos.
3. Verificar que el administrador mantenga un seguimiento de las últimas
vulnerabilidades e incidentes reportados por sitios especializados en la
seguridad del Internet.
Forma de auditar: Revisar al administrador la documentación enviada de
incidentes reportados por sitios especializados en seguridades.
49
2.4.1.5.4. POLÍTICAS DE AUDITORÍA SEGURIDAD PARA BLOQUEO DE
PÁGINAS WEB
1. Comprobar que se tenga configurado las restricciones a sitios prohibidos.
Forma de auditar : Revisar en el Proxy o en el firewall estén configurados
para l bloquear el acceso a sitios improductivos a la empresa. Por ejemplo
www.sexo.com.
2. Verificar que se haya publicado una lista de direcciones de sitios que hayan
afectado a la seguridad y que los mismos estén bloqueados.
Forma de auditar: Revisar la lista publicada de estos sitios los mismos que
deben estar bloqueados.
2.4.1.5.5. POLÍTICAS DE AUDITORÍA DE SEGURIDAD PARA FTP
1. Verificar que para acceder al servicio de FTP se utilice siempre un usuario con
su debida contraseña.
Forma de auditar : Ingresar al servicio de FTP el mismo que debe pedir un
usuario y una contraseña.
2. Verificar que el puerto para el servicio de FTP sea el 21.
Forma de auditar: automático: Utilizar un software en el cual permita revisar
que el servicio de FTP utiliza el puerto 21. Ejemplo de este es software
Spuertos.
3. Comprobar que no exista el servicio de FTP anónimo para ningún usuario.
Forma de auditar : Ingresar al servicio de FTP y constatar que siempre solicite
un usuario y contraseña.
2.4.1.5.6. POLÍTICAS DE AUDITORÍA DE SEGURIDAD PARA ACCESO REMOTO
1. Verificar que exista usuario y password para el acceso remoto.
Forma de auditar: Ingresar al servicio de acceso remoto y comprobar que se
utilice un usuario y contraseña para acceder a este servicio.
2. Constatar que no exista conexiones DIAL-UP para acceder al Internet por
parte de cualquier usuario.
50
Forma de auditar : Revisar en el servidor de acceso al Internet no existan
cuentas para acceso dial up.
2.4.1.5.7. POLÍTICAS DE AUDITORÍA DE SEGURIDAD PARA PROXY.
1. Comprobar que el servicio de PROXY tenga uno de los puertos estándares:
8080, 1080, 80, 81.
Forma de auditar: Utilizar un software en el cual permita revisar que el
servicio de Proxy utilice uno de los puertos especificados. Ejemplo de este
es software Spuertos.
2. Comprobar que esté negado el acceso a direcciones improductivas como
sexo, mp3, entre otras.
Forma de auditar: Ingresar al servidor y verificar que se encuentren
bloqueado el acceso a direcciones improductivas.
2.4.1.5.8. POLÍTICAS DE AUDITORÍA SEGURIDAD PARA C ONTROL
REMOTO
1. Comprobar que exista un usuario y password para establecer la conexión
servidor de control remoto con la estación de trabajo.
Forma de auditar: Ingresar a este servicio y verificar que realmente solicite
un usuario y contraseña para utilizar el servicio.
2. Comprobar que el servicio de control remoto se halle instalado en el servidor.
Forma de auditar: Ingresar al servidor y verificar que este servicio se
encuentre instalado y funcionando correctamente o utilizar un software que
permita obtener todos los servicio disponibles en el servidor. Un ejemplo de
este software es NetSupport.
51
2.4.1.5.9. POLÍTICAS DE AUDITORÍA SEGURIDAD PARA D ISTRIBUCIÓN DE
SOFTWARE, INVENTARIO DE HARDWARE / SOFTWARE Y
MONITOREO DE RED
1. Verificar que el servicio de distribución de software se encuentre instalado
sólo en el servidor.
Forma de auditar : Ingresar al servidor y verificar que este software se
encuentre instalado y funcionando correctamente. Un ejemplo de este
software es NetSupport.
2. Verificar que el software de control de hardware y software se encuentre
instalado sólo en el servidor.
Forma de auditar : Ingresar al servidor y verificar que este software se
encuentre instalado y funcionando correctamente. Un ejemplo de este
software es NetSupport.
3. Verificar que el software de monitoreo de red se encuentre instalado sólo en el
servidor.
Forma de auditar: Ingresar al servidor y verificar que este software se
encuentre instalado y funcionando correctamente. Un ejemplo de este
software es NetSupport.
4. Verificar que se realice monitoreos de red sin previo aviso al usuario. Forma de auditar: Realizar el monitoreo en cualquier momento para ver su
resultado. 2.4.2. POLÍTICAS DE AUDITORÍA DE SEGURIDAD EN REDES CON
CONEXIÓN A INTERNET
2.4.2.1. POLÍTICAS DE AUDITORÍA PARA HARDWARE
2.4.2.1.1. POLÍTICAS DE AUDITORÍA DE SEGURIDAD PARA RUTEADORES
1. Verificar la existencia de listas de acceso para la entrada y salida de ciertas
direcciones.
52
Forma de auditar: Ingresar al ruteador y revisar que existan configuradas
las listan de acceso utilizando los comandos correspondientes (Ejemplo:
show config).
2. Verificar que exista una contraseña de acceso al ruteador.
Forma de auditar: Ingresar al ruteador y comprobar que para acceder a este
servicio se requiera un usuario con su debida contraseña.
2.4.2.2. POLÍTICAS DE AUDITORÍA PARA SOFTWARE
2.4.2.2.1. POLÍTICAS DE AUDITORÍA DE SEGURIDAD PARA FIREWALL
1. Comprobar que exista un Firewall en la red si va a conectar al Internet.
Forma de auditar: Verificar que el firewall este ubicado en el cuarto de
comunicaciones con sus respectivas restricciones de acceso tanto físico como
lógico.
2. Verificar que el Firewall tenga habilitado los servicios y protocolos que se
utilizan.
Forma de auditar: Ingresar al firewall y verificar la configuración del mismo
con el fin de determinar los protocolos habilitados.
2.5. METODOLOGIA PARA REALIZAR UNA AUDITORÍA
Una auditoría en redes debe respaldarse por un proceso formal para asegurar su
entendimiento previo por cada uno de los responsables de llevar a la práctica dicho
proceso.
No es recomendable realizar una auditoría basándose solo en experiencia,
habilidades, criterios y conocimientos sin una referencia metodológica. Contar con
una metodología garantiza que cada auditor se oriente a trabajar en equipo para
obtener resultados de calidad.
53
Es importante señalar que el uso de una metodología no garantiza por sí sola el éxito
de los proyectos de auditoría en redes, además se necesita un buen dominio de los
siguientes aspectos:
• Técnicas
• Herramientas de productividad
• Habilidades personales
• Conocimientos técnicos y administrativos
• Experiencia en los campos de auditoría en redes
• Conocimientos de los factores y del medio externo al mismo
• Actualización permanente
• Involucramiento y comunicación constante con asociaciones nacionales e
internacionales relacionadas con el campo.
Una metodología en redes es un camino estructurado de forma lógica para asegurar
el éxito de la mayoría de los proyectos de auditoría en redes, ya que especifica el
cómo, cuándo, quién y qué de los siguientes puntos:
1. Roles y responsabilidades de auditoría en redes, personal de informática y
usuarios de sistemas de información y herramientas de tecnología.
2. Requerimientos para el logro exitoso del proyecto de auditoría en informática.
3. Etapas de cada proyecto
4. Tareas y productos terminados (por etapa y proyecto)
5. Técnicas y herramientas.
Cabe anotar que no existe una metodología propia para realizar una auditoría en
redes locales, por lo tanto para la obtención de la misma se baso en metodologías
para auditoría en informática.
Para el presente proyecto de titulación se ha tomado como referencia dos
metodologías porque éstas son sencillas, prácticas y fáciles de comprender sobre las
cuales se apoya la implementación de la auditoría con la finalidad de otorgar un
54
criterio profesional de cómo se encuentra la red y dar sus respectivas
recomendaciones para corregir y mejorar las seguridades de la red.
2.5.1. PRIMERA METODOLOGIA 19
Esta metodología comprende las siguientes etapas:
1. Diagnóstico o preliminar
2. Justificación
3. Adecuación
4. Formalización
5. Desarrollo
6. Implantación o seguimiento
Gráfico Nro. 2.1. Etapas de Metodología 1 de Auditoría Fuente: HERNANDEZ, Enrique.
"Auditoría en Informática" Segunda Edición. Patria Cultural. Año 2000
___________________________________________________________________
19.- HERNANDEZ, Enrique. "Auditoría en Informática" Segunda Edición. Patria Cultural. Año 2000
55
2.5.1.1. ETAPA PRELIMINAR O DIAGNOSTICO
Es el primer paso práctico del auditor en informática dentro de la empresa al efectuar
un proyecto de auditoría informática.
Se debe buscar la opinión de la alta dirección para saber el grado de satisfacción y
confianza que tienen los productos, servicios y recursos de informática en la
empresa.
También se detectan las fortalezas, apoyos y aciertos que brinda la informática en la
empresa.
Un punto importante que debe quedar claro en esta etapa son las áreas de
oportunidad que tiene la informática para hacer más competitivo y rentable a la
organización.
Los aspectos a evaluar en esta etapa son al menos tres que se describen a
continuación:
• Diagnóstico de la organización
- Misión y objetivos de la organización
- Organización de informática
- Grado de apoyo a la organización
• Diagnóstico de informática
- Misión y objetivos de la función de informática
- Organización de informática
- Control
- Productos y servicios
• Detectar áreas de oportunidad para mejoras inmediatas
56
2.5.1.1.1. DIAGNOSTICO DE LA ORGANIZACIÓN
El auditor debe conocer el tipo de organización: la misión, estratégicas, planes (o al
menos proyectos globales),relación entre diversas áreas, políticas referentes a
informática, el nivel jerárquico de la función informática; los procesos básicos de la
organización, así como las entidades externas que se relacionan con cada área de la
misma.
El auditor debe tener una idea global del grado de apoyo y satisfacción que existe en
la organización y estimar hacia donde se orienta el soporte de la función informática:
- Apoyo a la alta dirección (sistemas de información estratégica,
tecnología)
- Apoyo a las gerencias (sistemas de información integrales, tecnologías,
entre otros)
- Apoyo a niveles operativos (sistemas de información básicos,
tecnología)
Debe conocer de manera general los siguientes aspectos:
- Participación de la función de informática en los proyectos clave de la
organización
- Difusión de las políticas y planes de informática en los niveles
estratégicos, tácticos y operativos de la organización.
- Imagen de informática ante la alta dirección y los responsables de cada
área de la organización.
- Grado de satisfacción que existe por cada servicio prestado por la
función de informática.
- Expectativas que tiene la organización referentes a informática
- Fortalezas de informática
- Debilidades de informáticas
57
- Áreas de oportunidad (propuestas ya sea por la alta dirección, usuarios
o informática)
2.5.1.1.2. DIAGNOSTICO DE INFORMATICA
Aquí el auditor coordina directamente con el responsable del área de informática.
Y el auditor deberá conocer:
• La estructura interna de informática
• Funciones
• Objetivos
• Estrategias
• Planes
• Políticas
El auditor en informática debe lograr un equipo de trabajo unido, y que el líder de
proyectos (es quien se encarga de coordinar y supervisar los proyectos de la
auditoría; puede tener a uno o más auditores) desarrolle una buena comunicación
con el personal de informática en esta etapa.
Un aspecto importante que se tiene que considerar es la evaluación general de los
diferentes servicios que presta informática a las diferentes áreas del la organización.
2.5.1.1.3. AREAS DE OPORTUNIDAD
Aquí se detectan las circunstancias que facilitarán la puesta en marcha de
soluciones brindadas por informática y que tendrán un impacto relevante en
algún proceso de la organización de igual manera, es factible proponer
acciones inmediatas o a corto plazo; dichas acciones pueden encaminarse a
aprovechar, por ejemplo, alguna de las siguientes áreas de oportunidad.
• Capacitación o actualización profesional del personal de informática.
58
• Creación y difusión de nuevos servicios de informática para la organización.
• Reubicación de la función de informática en la estructura organización al.
• Capacitación a los niveles ejecutivos o a los usuarios clave acerca de las
aplicaciones y sistemas de información en operación.
• Actualización tecnológica.
• Sistematización de algunas áreas de la organización.
• Creación de algún comité de informática.
• Normalización y divulgación de políticas y planes de informática en el
negocio.
2.5.1.2. ETAPA DE JUSTIFICACIÓN
En la etapa de justificación se legitima la revisión o evaluación de las áreas o
funciones críticas relacionadas con informática.
Los productos terminados más importantes de la etapa son tres:
• Matriz de riesgos.
• Plan general de auditoría en informática
• Compromiso ejecutivo
Cada uno forma parte del proceso metodológico.
La matriz de riesgos define las áreas que serían auditadas, es decir, el objetivo
principal es detectar las áreas de mayor pel igro en relación con informática y
que requieren una revisión formal y oportuna. Tareas, productos terminados,
responsables e involucrados.
Se mencionarán los aspectos más relevantes a cont inuación:
• Es importante identificar el nivel de riesgo de cada uno de los elementos
que integran la función de informática en el negocio a través del diagnóstico
de la situación actual de informática.
59
• Las áreas que se diagnosticarán pueden variar según el tamaño y
estructura del negocio, lo que originaría en ocasiones que el auditor en
informática tenga que eva luar productos y servicios de informática con un
enfoque centralizado o distr ibuido, según sea el caso. Por ejemplo se
citan algunos de las áreas de informática; no son limitativos o totalitarios
para una empresa:
- Redes locales ( administración, operación, seguridad).
- Administración de informática (misión, organización, servicios)
- Administración de hardware, software y telecomunicaiones).
- Desarrollo e implantación de sistemas de información.
- Soporte a usuarios (capacitación, asesoría, etc.).
- Seguridad (hardware, software y/o aplicaciones)
El auditor debe utilizar los elementos de evaluación posibles sin caer en un análisis
detallado, ya que se trata de obtener la problemática principal de cada área.
El segundo punto a tratar en la etapa de justificación es el plan general de auditoría
informática que establece las tareas, tiempos, responsables, entre otros. Es decir
básicamente consiste en plantear las tareas más importantes que se ejecutarán
durante cierto periodo al efectuar la auditoría informática.
El plan general de auditoría en informática se deriva de los siguientes elementos:
- Áreas de oportunidad.
- Matriz de riesgos.
- Prioridades de la alta dirección, de auditoría, de informática o de la
misma función de auditoría en informática.
El plan elaborado en esta etapa es general, ya que sólo busca plantear los datos bá-
sicos para que la dirección los analice y apruebe.
60
Y por último el compromiso ejecutivo se refiere a que le da el visto bueno al
auditor para continuar con las siguientes etapas.
2.5.1.3. ETAPA DE ADECUACION
La etapa de adaptación o de adecuación a las características de la organización, se
enfoca en el análisis, adecuación y actualización detallados de los elementos que
intervienen en un proyecto de auditoría en informática.
Las tareas ejecutadas en la etapa de adecuación tienen como objetivo principal adaptar
el proyecto a las características de la organización, sin olvidar la referencia de los
estándares, políticas y procedimientos de auditoría en informática, formuladas y aprobadas
de manera particular en la organización para informática.
Al terminar la presente etapa, el auditor en informática contará con un proyecto bien
especificado y clasificado; en las etapas restantes sólo se desarrolla e implanta lo definido
en la fase actual.
Cabe acotar que el orden de las tareas de la etapa de adecuación puede variar conforme a
la experiencia, recursos, tiempos y prioridades que maneje la función de auditoría en
informática.
De acuerdo con el proceso metodológico planteado, esta etapa es más un trabajo interno
que tareas que involucren a usuarios o personal de informática.
La ejecución formal y continua del proceso metodológico hará que muchas actividades
se desarrollen con más agilidad y eficiencia con el transcurso del tiempo.
En esta etapa existe un análisis de los siguientes aspectos:
- Definición de objetivos por cada área a auditar
- Actualización del plan general
61
- Plan detallado del proyecto de auditoría informática
- Definición de técnicas y herramientas por cada área de revisión
- Definición de estándares, políticas y procedimientos por área de
revisión
- Elaboración de cuestionarios por cada área de revisión
2.5.1.4. ETAPA DE FORMALIZACION
Las fases anteriores se basaban en la introducción e investigación de la organización
y sus diversas funciones, en ellas se detectaron las debilidades y fortalezas más
relevantes; se definió la planeación y proyección de las áreas que requieren ser
auditadas, y se documentaron las adecuaciones o agregados requeridos.
En la presente etapa corresponde a la dirección dar su aprobación y apoyo formal
para el desarrollo del proyecto de auditoría presentado por el jefe de informática y el
responsable de la función de auditoría en informática.
La participación de la dirección es importante así como el del jefe del área de
informática de la organización. Los usuarios claves también deben estar presentes
durante el proceso de formalización del proyecto.
El objetivo primordial de esta etapa es clara: justificar el desarrollo del proyecto con
base en los argumentos y detalles encontrados, analizados y clasificados en las
fases anteriores.
Esta etapa no debe prolongarse demasiado, ya que se obtuvo el visto bueno de los
usuarios claves y del personal de informática en la etapa de adecuación.
Esta etapa se puede desarrollar al mismo tiempo que la fase de adecuación si
existen los recursos y los involucrados se encuentran disponibles.
62
Los puntos más relevantes que contempla esta etapa son:
- Presentación formal del plan de auditoría en informática
- Aprobación formal del proyecto
- Compromiso ejecutivo
2.5.1.5. ETAPA DE DESARROLLO E IMPLANTACION
Esta es la fase más importante para el auditor en informática porque éste ejerce
su función de manera práctica; comienza a ejecutar sus tareas de acuerdo con
el plan aprobado en la etapa anterior. Esta fase comprende;
a) Concertación de fechas de entrevistas, visitas y aplicación de
cuestionarios.
b) Verificación de tareas e involucrados.
c) Clasificación de técnicas, herramientas, cuestionarios y entrevistas,
d) Aplicación de entrevistas y cuestionarios.
e) Visitas de verificación.
f) Elaboración del informe preliminar correspondiente a los componentes
por área auditada.
g) Revisión del informe preliminar.
h) Clasificación y documentación del informe preliminar.
i) Finalización de tareas o productos pendientes.
j) Elaboración del informe final de la auditoría en informática
k) Presentación a la alta dirección y participantes clave,
l) Aprobación del proyecto y compromiso ejecutivo.
Las actividades más importantes del auditor en informática, en la etapa de desarrollo son
las siguientes;
63
• Ejecutar las tareas de acuerdo con la secuencia establecida en el plan detallado de
auditoría en informática
• Respetar el proceso metodológico
• Coordinar los recursos humanos con eficiencia para el cumplimiento oportuno del
proyecto,
• Impulsar el apoyo permanente de la dirección.
• Motivar a los involucrados en el proyecto.
• Orientar los recursos humanos, tecnológicos y financieros hacia resultados que
brinden soluciones factibles y de valor agregado.
• Documentar los datos relevantes de cada entrevista, visita o cuestionario relativos
a debilidades o falta de políticas y procedimientos de control y seguridad inheren-
tes a cada área de revisión y sus componentes.
• Elaborar informes de alta calidad con la documentación requerida.
2.5.1.6. ETAPA DE IMPLANTACIÓN
La etapa presente es la más importante para los involucrados en el proyecto de
auditoría en informática pues, por decirlo de alguna manera, termina para los auditores
y comienza para los responsables de las áreas usuarias y de informática, ya que ellos
ejecutarán las acciones recomendadas en los informes de dirección, detallados y
aprobados en la etapa anterior. La función del auditor en informática se convierte en
una labor de seguimiento y apoyo.
Esta etapa contempla los siguientes puntos:
• Definición de requerimientos
• Desarrollo del plan de implantación
• Implantación de las acciones sugeridas por la auditoría en informática
• Seguimiento de la implantación
64
La participación del responsable de informática es más directa, pues tendrá la
responsabilidad de coordinar a su personal, a los usuarios y quizás a los asesores
externos para lograr una implantación exitosa.
Los objetivos principales son:
• Asegurar que las recomendaciones y plazos de terminación surgidos de los
informes de auditoría en informática y aprobados por la dirección se lleven a cabo
de manera formal y oportuna.
• Utilizar los recursos necesarios para alcanzar una implantación exitosa
• Respetar y cumplir las políticas y procedimientos de seguridad y control emanados
de los informes de auditoría en informática.
2.5.2. SEGUNDA METODOLOGIA 20
Esta metodología está dividida en tres grandes etapas que se describen a
continuación:
1) Planeación de la auditoría
• Identificar el origen de la auditoría
• Realizar una vista preliminar al área que será evaluada
• Establecer los objetivos de la auditoría
• Determinar los puntos que serán evaluados en la auditoría
• Elaborar planes, programas y presupuestos para realizar la auditoría
• Identificar y seleccionar los métodos, herramientas, instrumentos y
procedimientos necesarios para la auditoría
• Asignar los recursos para la auditoría
________________________________________________________________
20.- MUÑOZ, Carlos. "Auditoría en Sistemas Computacionales" Primera Edición. Prentice Hall. Año 2002
65
2) Ejecución de la auditoría de sistemas computacionales
• Realizar las acciones programadas para la auditoría
• Aplicar los instrumentos y herramientas para la auditoría
• Identificar y elaborar los documentos de desviaciones encontradas
• Elaborar el dictamen preliminar y presentarlo a discusión
• Integrar el legajo de papeles de trabajo de la auditoría
3) Dictamen de la auditoría de sistemas computacionales
• Analizar la información y elaborar un informe de situaciones detectadas
• Elaborar el dictamen final
• Presentar el informe de auditoría.
Gráfico 2.2. Etapas de metodología 2 de Auditoría Fuente: MUÑOZ, Carlos. "Auditoría en Sistemas
Computacionales" Primera Edición. Prentice Hall. Año 2002
2.5.2.1. ETAPA DE PLANEACIÓN DE LA AUDITORÍA
En esta se debe identificar claramente las razones por las que se va a realizar la
auditoría y la determinación del objetivo de la misma, además se debe determinar los
métodos, técnicas y procedimientos para llevarla a cabo y para preparar los
66
documentos que servirán de apoyo para su ejecución, culminando con la elaboración
de documentos que contendrán los planes, programas y presupuestos para dicha
auditoría.
2.5.2.1.1. IDENTIFICAR EL ORIGEN DE LA AUDITORÍA
Para identificar el origen de la auditoría se debe realizar las siguientes preguntas ¿de
donde?, ¿por qué?, ¿quién? o para que se requiere hacer la evaluación de algún
aspecto de sistemas de la empresa.
El conocer el origen de la auditoría facilitará al auditor la planeación y enfoque de la
revisión, la definición de los elementos de juicio que contribuirán a normar su criterio
de evaluación y conocer de antemano los aspectos primordiales en la evaluación.
Dentro de este punto de auditoría de sistemas encontramos estas posibles causas:
• Por solicitud expresa de procedencia interna
• Por solicitud expresa de procedencia externa
• Como consecuencia de emergencias y condiciones especiales
• Por riesgos y contingencias informáticas
• Como resultado de los planes de contingencia
• Por resultados obtenidos de otras auditorías
• Como parte del programa integral de auditor
2.5.2.1.2. REALIZAR UNA VISITA PRELIMINAR AL ÁREA Q UE SERÁ
EVALUADA
La realización de una visita preliminar por parte del auditor al área que va a ser
auditada es imprescindible ya que esto dará una idea general del personal, equipos,
instalaciones, seguridades existentes, y en si, que se conozca la problemática a la
que se enfrentará el auditor.
67
El auditor debe contemplar los siguientes aspectos en dicha visita.
• Visita preliminar de arranque
• Contacto inicial con funcionarios y empleados del área
• Identificación preliminar de la problemática de sistemas
• Prever los objetivos iniciales de la auditoría
• Calcular los recursos y personas necesarias para la auditoría
2.5.2.1.3. ESTABLECER LOS OBJETIVOS DE LA AUDITORÍA
Después de haber conocido el origen de la auditoría y de haber realizado la visita
preliminar se puede determinar con claridad los objetivos de la auditoría, ajustándose
lo más posible a las necesidades de la evaluación.
Los objetivos de la auditoría son:
• Objetivo general
• Objetivos particulares
• Objetivos específicos
2.5.2.1.4. DETERMINAR LOS PUNTOS QUE SERÁN EVALUADOS EN LA
AUDITORÍA
La definición y establecimiento de los puntos que se deben evaluar es el punto
fundamental de apoyo del auditor, debido a que esto es producto de un análisis
previo, tanto del origen de la auditoría y de la visita previa como de los objetivos que
se pretenden satisfacer con la realización de esta auditoría. Además, en este paso
de la planeación de la auditoría se debe establecer aquellos aspectos de sistemas
que se va a evaluar, para después establecer las herramientas y la manera en que
se realizará la evaluación.
68
El auditor de acuerdo a las necesidades de evaluación, conocimiento y experiencia
determinará los puntos a evaluar, pero como una sugerencia se han puesto los
siguientes puntos:
• Evaluación de las funciones y actividades del personal del área de sistemas
• Evaluación de las áreas y unidades administrativas del centro de computo
• Evaluación de la seguridad de los sistemas de información
• Evaluación de la información, documentación y registros de los sistemas
• Evaluación de los sistemas, equipos, instalaciones y componentes
• Evaluación de los recursos humanos del área de sistemas
• Evaluación del hardware
• Evaluación del software
• Evaluación de la información y bases de datos
• Evaluación de otros recursos informáticos
• Evaluación de equipos, instalaciones y demás componentes
• Elegir los tipos de auditoría que serán utilizados
• Determinar los recursos que serán utilizados en la auditoría
• Personal de auditoría de sistemas
• Personal del área que será evaluada
• Apoyo de los sistemas y equipos técnicos e informáticos
• Apoyos materiales y administrativos
• Recursos económicos
2.5.2.1.5. ELABORAR PLANES, PROGRAMAS Y PRESUPUESTOS PARA
REALIZAR LA AUDITORÍA
Se debe elaborar los documentos que contemplen los planes formales para el
desarrollo de la auditoría, los programas en donde se delimiten perfectamente las
etapas, eventos, actividades y los tiempos de ejecución para cumplir con el objetivo,
así como los presupuestos de la auditoría.
69
A continuación se indica los aspectos que se deben considerar:
• Elaborar el documento formal de los planes de trabajo para la auditoría
A continuación se presenta los aspectos de forma y contenido que se deben
considerar en el documento formal.
- Carátula de identificación del plan de auditoría. Es la primera hoja del
documento de planeación, en el siguiente gráfico se establecen
claramente los puntos que contiene la carátula.
- Índice de contenido.
- Definición de objetivos
- Delimitación de estrategias para el desarrollo de la auditoría
- Planes de auditoría
- Definición de normas, políticas y lineamientos para el desarrollo de la
auditoría.
Gráfico Nro. 2.3. Carátula de identificación del plan de auditoría Fuente: MUÑOZ, Carlos. "Auditoría en
Sistemas Computacionales" Primera Edición. Prentice Hall. Año 2002
AUDITORÍA EN SISTEMAS A.C.
FE CH A HOJA DD MM AA 26 3 96 26 de 29
Nombre Empresa Área auditada Fecha de vigencia
Del plan
Empresa: Municipio de Quito Auditor: J. Arias y A. Lliguicota
Periodo: 01 al 16 Marzo 1996 Área auditada: Redes y comunicaciones
PLAN DE AUDITORÍA DE SISTEMAS
Nombre del responsable de elaborar el plan de auditoría.
Indicación del nombre del documento
70
• Contenido de los planes para realizar la auditoría
• Elaborar el documento formal de los programas de auditoría
• Elaborar los programas de actividades para realizar la auditoría
• Elaborar los presupuestos para la auditoría
2.5.2.1.6. IDENTIFICAR Y SELECCIONAR LOS MÉTODOS, H ERRAMIENTAS,
INSTRUMENTOS Y PROCEDIMIENTOS NECESARIOS PARA LA
AUDITORÍA
Seleccionar o diseñar los métodos, procedimientos, herramientas e instrumentos
necesarios de acuerdo con lo indicado en los planes, presupuestos y programas
establecidos para la auditoría.
Para poder lograr lo dicho anteriormente se sugiere considerar los siguientes puntos:
• Establecer la guía de ponderación de los puntos que serán evaluados
• Elaborar la guía de auditoría
• Elaborar los documentos necesarios para la auditoría
• Determinar herramientas, métodos y procedimientos para la auditoría de
sistemas
• Diseñar los sistemas, programas y métodos de pruebas para la auditoría
2.5.2.1.7. ASIGNAR LOS RECURSOS Y SISTEMAS COMPUTACIONALES
PARA LA AUDITORÍA
La asignación de estos recursos especializados sean humanos, informáticos,
tecnológicos o cualesquiera otros que se hayan establecido para la auditoría, es
como se lleva a cabo la auditoría.
Para esto se sugiere los siguientes puntos:
• Asignar los recursos humanos para la realización de la auditoría
71
• Asignar los recursos informáticos y tecnológicos para la realización de la
auditoría
• Asignar los recursos materiales y de consumo para la realización de la
auditoría
• Asignar los demás recursos para la realización de la auditoría
2.5.2.2. ETAPA DE EJECUCIÓN DE LA AUDITORÍA DE SISTEMAS
COMPUTACIONALES
En esta etapa se llevara a cabo la ejecución de la etapa de planeación de la
auditoría, la cual esta determinada por las características concretas, los puntos y
requerimientos que se estimaron en la etapa anterior.
Concretamente se tiene los siguientes puntos:
• Realizar las acciones programadas para la auditoría
• Aplicar los instrumentos y herramientas para la auditoría
• Identificar y elaborar los documentos de desviaciones encontradas
• Elaborar el dictamen preliminar y presentarlo a discusión
• Integrar el legajo de papeles de trabajo de la auditoría
El auditor debe realizar las actividades que le corresponde de acuerdo como fueron
diseñas siguiendo un cronograma establecido. Es importante que el auditor utilice
uno a uno los instrumentos y herramientas elegidos para llevar a cabo la auditoría.
Una vez que se realizaron las actividades anteriores, el auditor debe proceder a
elaborar un documento de desviaciones, e el cual se anota las situaciones
encontradas, las causas que la originaron y sus posibles soluciones así como los
responsables de solucionar dichas desviaciones y posibles fechas para hacerlo.
72
El auditor puede elaborar este documento cuando lo estime conveniente, es decir, lo
puede elaborar cuando va realizando cada evaluación, conforme va evaluando áreas
completas o al término de la auditoría.
Una vez realizado el documento sobre las desviaciones encontradas, es deber del
auditor comentarlas y ponerlo a discusión con las personas involucradas en los
mismos para obtener soluciones a largo o corto plazo.
2.5.2.3. ETAPA DE DICTAMEN DE LA AUDITORÍA
El último paso de esta metodología es emitir el dictamen, el cual es el resultado final
de la auditoría Para ello presenta los siguientes puntos:
• Analizar la información y elaborar un informe de situaciones
• Elaborar el dictamen final
• Presentar el informe de auditoría
2.5.2.3.1. ANALISIS DE INFORMACIÓN Y ELABORACIÓN DE L INFORME
DE SITUACIONES ENCONTRADAS
Se analiza la información documentada que se originó en las entrevistas, visitas
y aplicación de cuestionarios y herramientas utilizadas. Y se elabora un
documento donde se explica claramente y en forma concreta los problemas o
desviaciones encontradas por el auditor y se comenta con las partes
involucradas.
Como consecuencia, deberá ratificar y de ser necesario elaborar las correcciones
que sean pertinentes, modificando el documento inicial.
73
2.5.2.3.2. ELABORACIÓN DEL INFORME Y DICTAMEN FINAL DE LA
AUDITORÍA EN INFORMÁTICA
Una vez realizadas las debidas correcciones de los informes anteriores, el auditor
debe elaborar de manera formal, el informe de las desviaciones o problemas
encontrados especificando por área, por servicio o por cualquier otro formato de
presentación de manera clara y precisa junto con el dictamen final.
El dictamen es la opinión del auditor, cuando el auditor elabora esto, debe tomar en
cuenta todos los problemas, analizarlos y emitir su opinión acerca de las situaciones
encontradas, especificando lo más claro y sinceramente posible además se debe
presentar una sugerencia profesional para corregirlas.
2.5.2.3.3. PRESENTACIÓN DEL INFORME.
Finalmente se debe presentar el informe a los involucrados del área auditada con fin
de hacer conocer la situación actual de dicha área, antes de presentarlo al
responsable de la empresa.
El informe debe contar con el soporte documentado de lo mencionado en el
mismo.
Una vez que el auditor haya comentado ampliamente las desviaciones o problemas
encontrados con los involucrados, deberá ratificar y de ser necesario elaborar las
correcciones que sean pertinentes, modificando el borrador.
Luego que el auditor ha comentado y corregido el borrador inicial, debe proceder a
elaborar un informe que contenga las situaciones relevantes encontradas durante la
auditoría, y puede continuar con la elaboración del dictamen de auditoría (opinión del
auditor).
74
Finalmente debe presentar el informe a lo involucrados del área auditada con fin de
hacer conocer la situación actual de dicha área, antes de presentarlo al responsable
de la empresa.
75
CAPITULO 3
3. APLICACIÓN DE LAS POLÍTICAS DE AUDITORÍA EN
UNA EMPRESA.
3.1. METODOLOGÍA DE AUDITORÍA ESCOGIDA A UTILIZARS E EN
LA EMPRESA
La aplicación de las políticas de auditoría de seguridades en redes se realizó en el
Municipio de Quito ya que fue la única empresa que abrió sus puertas para el
desarrollo esta actividad.
De las dos metodologías planteadas en el capitulo 2 se ha determinado que para
nuestro proyecto la segunda metodología se acopla a las necesidades del mismo y
consta de pasos fundamentales a seguir para la implementación de una auditoría en
redes.
Cabe señalar que los encargados de la administración de redes de la empresa se
mostraron un poco escépticos para entregar toda información requerida para el
desarrollo de este proyecto.
3.1.1. ETAPA PRELIMINAR O DE PLANEACIÓN
Esta etapa consta de los siguientes puntos:
• Identificar el origen de la auditoría
• Visita preliminar al área a ser auditada
• Establecer los objetivos de la auditoría
• Determinar los puntos que serán evaluados en la auditoría
• Elaborar planes y programas para realizar la auditoría
76
• Identificar y seleccionar los métodos, procedimientos, instrumentos y
herramientas necesarias para la auditoría.
• Asignar los recursos para la auditoría.
A continuación se procede al desarrollo cada uno los items de esta etapa.
3.1.1.1. IDENTIFICAR EL ORIGEN DE LA AUDITORÍA.
El origen de esta auditoría es una petición de una empresa externa, ya que se
realizó una solicitud al área de redes y comunicaciones del Municipio de Quito para
pedir autorización y realizar la aplicación de este proyecto. (Ver anexo 7).
3.1.1.2. VISITA PRELIMINAR AL ÁREA A SER AUDITADA.
En la visita preliminar al área de redes y comunicaciones del Municipio de Quito se
obtuvo la siguiente información:
La red del municipio de Quito se halla dividida lógicamente por dominios y
físicamente por zonas (Ver anexo 5).
La división lógica consta de varios Dominios y en cada dominio existe una persona
responsable de administrar los servidores y usuarios de ese dominio.
El área de Redes y Comunicación de la Dirección de Informática es donde se
desarrolló la auditoría a las políticas de seguridad de la empresa, cuya dirección de
red es: 172.20.24.0 con máscara 255.255.255.0
a) HARDWARE
La mayor parte de la red del Municipio no cuenta con un cableado estructurado bajo
una Norma estandarizada como es la TIA/EIA 568A o 568B por ejemplo: utilización
de canaletas, capuchones, entre otros.
77
La falta de control del jefe inmediato, irresponsabilidad o desconocimiento de los
usuarios de las estaciones de trabajo inducen al consumo de alimentos o bebidas al
lado de o sobre una de las partes del equipo de red o computador, esto provocaría
que en caso de derramamiento de estos, puede dañar el equipo.
El consumo de cigarrillos es abundante a pesar de que existen áreas cerradas lo que
provoca que el alquitrán y la nicotina como son contaminantes se adhieran al equipo,
El control de entrada y salida de equipos por parte del personal solo lo realiza el
guardia de seguridad sin la presentación de algún documento de autorización.
No existe un lugar adecuado donde se encuentren solo los servidores y equipos de
comunicación, ya que comparten este lugar con estaciones de trabajo.
No existe una seguridad física de acceso al centro de cómputo, es decir, hay puertas
sin seguridad, chapas en mal estado, candados inseguros.
En el lugar donde se encuentran los equipos de comunicación y servidores no hay
detectores de humo, alarmas contra incendios, censores y/o alarmas contra intrusos,
acondicionador de temperatura.
No existen detectores de agua en el municipio, lo que produce en algunos casos
filtraciones de agua, principalmente en los lugares cercanos a los servidores,
cables, instalaciones eléctricas, etc. El área de Informática se encuentra sobre un
alcantarillado, y en caso de algún desastre natural esta área sería la más afectada.
Se tiene un insuficiente sistema de ventilación en los diferentes departamentos
donde labora el personal.
b) SOFTWARE
De acuerdo a la información proporcionada por el personal del área de informática
de la Empresa, los sistemas operativos de las estaciones de trabajo y servidores
existentes es la siguiente:
78
Sistema Operativo en: % Existente Estaciones de Trabajo
Milenium 1 Windows 98 5 Windows 2000 Profesional 80 XP (Laptops) 14 Servidores % Existente Linux 1 Windows NT 19 Windows 2000 Server 80
Tabla Nro. 3.1. Sistemas operativos en estaciones de trabajo. Fuente: Personal del Área de sistemas del
IMQ
3.1.1.3. ESTABLECER LOS OBJETIVOS DE LA AUDITORÍA
3.1.1.3.1. OBJETIVO GENERAL
El objetivo general de esta auditoría es comprobar la existencia de
políticas de seguridad y su cumplimiento por medio de las políticas de
auditoría de seguridad en el área de redes y comunicaciones del
Municipio de Quito.
3.1.1.3.2. OBJETIVOS ESPECÍFICOS
• Analizar las políticas de seguridad existentes.
• Verificación del cumplimiento de las mismas.
3.1.1.4. DETERMINAR LOS PUNTOS QUE SERÁN EVALUADOS EN LA
AUDITORÍA
Esta auditoría se basa en la clasificación de recursos que se realizó en el capitulo 1.
79
3.1.1.5. ELABORAR PLANES Y PROGRAMAS PARA REALIZAR LA
AUDITORÍA
3.1.1.5.1. PLAN DE AUDITORÍA
ACTIVIDAD D I A S
Nro. Nombre Responsable 1 2 3 4 5 6 7 8 9 10 1 Elaborar Plan de Auditoría J. Arias y A. Lliguicota
2 Entrevista con Supervisor de Auditoría
Ing. J. Guijarro, J. Arias y A. Lliguicota
2 Auditoría a el área física de la red
Ing. A. Copo, J. Arias y A. Lliguicota
3 Auditoría a el área lógica de la red
Ing. A. Copo, J. Arias y A. Lliguicota
4 Ejecutar programas de auditoría J. Arias y A. Lliguicota 5 Auditar servicios de la red J. Arias y A. Lliguicota 6 Auditar equipos de comunicación J. Arias y A. Lliguicota
7 Entrevista final con Supervisor de Auditoría
Ing. J. Guijarro, J. Arias y A. Lliguicota
8 Presentación borrador de informe J. Arias y A. Lliguicota Tabla Nro. 3.2. Plan de auditoría para el Municipio de Quito Fuente: Alicia Lliguicota y Jimena Arias
3.1.1.6. IDENTIFICAR Y SELECCIONAR LAS TECNICAS, H ERRAMIENTAS,
INSTRUMENTOS Y/O PROCEDIMIENTOS NECESARIOS PARA LA
AUDITORÍA
Para el desarrollo de esta auditoría se realizó lo siguiente:
• Se elaboró una entrevista dirigida al Administrador de la red, que tuvo como
base las políticas de auditoría de seguridad que constan en el capítulo 2, ver
Anexo 16.
• Se realizó un análisis de la parte física del área a ser auditada. Por ejemplo
revisar si existía cableado estructurado, control de acceso físico al área,
implementación de mecanismos de seguridad como alarmas contra intrusos,
incendios, entre otros.
• Se realizó un análisis a la parte lógica por ejemplo procedimientos para crear
cuantas, contraseñas, entre otros.
• Se utilizó los siguientes software en red:
80
* Netsupport.- Es un software que permite obtener inventario de
hardware y software, distribución de software, control remoto, envío
de mensajes, entre otros.
Dirección electrónica:
http://www.popularshareware.com/NetSupport-Manager-PC-Remote-
Control-Software-download-9441.html
* LanGuard.- Es un software que permite obtener un listado sobre los
recursos compartidos, usuarios, grupos de usuarios, service pack,
parches.
Dirección electrónica: http://www.gfi.com/languard/
* SPuertos.- Es un escaneador de puertos TCP y UDP, permite obtener
información acerca de si un equipo esta encendido o no.
Dirección electrónica: http://spuertos.uptodown.com/
* LanScan.- Es una herramienta de diagnóstico y monitoreo de red que
permite obtener información sobre protocolos que se utiliza en la red,
utilización del ancho de banda de de la red.
Dirección electrónica: http://www.brothersoft.com/
LANScan_Traffic_View_Download_14777.html
* Network view.- Permite obtener en forma gráfica los equipos que
conforman una red.
Dirección electrónica: http://www.soft32.com/download_145.html
* Lopht Crack.- Es un software que permite obtener las contraseñas
para acceder a la red.
Dirección electrónica: http://www.securityfocus.com/tools/1005
81
3.1.1.6.1. ANALISIS, DETERMINACIÓN Y APLICACIÓN DE LAS POLÍTICAS A
SER UTILIZADAS EN LA EMPRESA.
De acuerdo a la primera visita se pudo observar que el área de redes y
comunicaciones consta de los servidores de FTP, Correo, Antivirus, Proxy, Web y no
existe el servicio de DNS. Además el acceso al ROUTER y FIREWALL no fue
posible.
En el Anexo 17 se enumeran las políticas utilizadas en la auditoría de la empresa.
3.1.1.7. ASIGNAR LOS RECURSOS Y SISTEMAS COMPUTACIONALES PARA
REALIZAR LA AUDITORÍA
Los recursos para realizar la auditoría entregados por el Municipio de Quito son el
punto de red y acceso al Internet una hora diaria.
Cabe señalar que tanto el software como el hardware utilizado en esta auditoría son
de propiedad de las personas que realizarán este proyecto.
3.1.2. ETAPA DE EJECUCIÓN DE LA AUDITORÍA
Siguiendo la metodología planteada, en esta etapa se debe cubrir los
siguientes puntos:
REALIZAR LAS ACCIONES PROGRAMADAS
Se debe concertar fechas de entrevistas, visitas y aplicación de cuestionarios.
Las fechas para la realización de entrevistas y visitas se detallan a
continuación:
82
Fechas Actividad Personal Responsable 25 de Marzo del 2004 Concertación de fechas para entrevistas Ing. Alexandra Copo
1 de Abril del 2004 Entrevista con Jefe del Área y/o Asistente Ing. Juan Carlos Guijarro
2 - 8 de Abril del 2004 Realización de Auditoría Ing. Alexandra Copo
Tabla Nro. 3.3 Fechas de entrevistas y Visitas Fuente: Arias Jimena y Lliguicota Alicia
3.1.2.2. APLICACIÓN DE ENTREVISTAS Y HERRAMIENTAS
UTILIZADAS.
Se realizó la entrevista con el jefe de sistema y / o personal encargado, mientras
que las entrevistas a los usuarios se las realizo en el transcurso del tiempo que
se efectuó esta auditoría.
También se utilizaron herramientas de software para obtener información
confiable de la red en un tiempo mínimo, cuyos resultados se encuentran en los
siguientes anexos:
• Pruebas obtenidas del software LanGuard en donde se obtuvo un listado
de las estaciones de trabajos, servidores y equipos de la red, como
también carpetas compartidas, grupos, usuarios, service pack entre otros.
Ver anexo 9. Con este software por ejemplo se determina si las cuentas
de los usuarios tienen privilegios de administrador o no, la caducidad de
las mismas, la fecha del último cambio de clave, también proporciona
información sobre las vulnerabilidades del sistema operativo.
• Pruebas del software Spuertos, donde se obtiene información de los
puertos TCP y UDP abiertos de los equipos. Ver anexo 10.
• Pruebas del software MRTG, con el cual se obtiene el ancho de banda
del canal de comunicaciones de Internet entre la empresa y su proveedor.
Ver anexo 4
• Pruebas del software Netsupport, se obtiene inventario de hardware y
software, es decir todos los componentes de hardware que se
83
encuentran instalados en el equipo y los software instalados en los
mismos, además permite realizar control remoto, acceso remoto,
distribución de software a un grupo de máquinas. Ver anexo 11.
• Pruebas del software Lanscan, proporciona información sobre el tráfico
de la red y protocolos que se están utilizando. Ver anexo 12.
• Reporte entregado de análisis de logs de Proxy utilizando el software PLA
( Proxy analyzer logs) consta en el anexo 13
Se realizo una nueva visita de verificación, en donde se confirmo o se corrigió
inquietudes en la auditoría realizada.
En el anexo 6 se detalla las preguntas que se utilizaron para realizar la
entrevista con sus respectivas respuestas
3.1.2.4. ELABORAR UN DOCUMENTO DE DESVIACIONES ENCONTRADAS
En el anexo 19 se encuentra el documento de desviaciones encontradas las causas
que originaron las desviaciones es por la falta de seguridad que existe en el Municipio
a consecuencia de la falta de recursos económicos y falta de intrés de los
responsables del área ya que se manejan con software libre y con las limitaciones que
estos implican,
3.1.2.3. ELABORAR EL DICTAMEN PRELIMAR Y PRESENTARL O A
DISCUCIÓN
Se elaboró un informe preliminar ver Anexo 18 y luego de presentarlo al Jefe
de Sistemas se concluyo que lo expuesto en el informe preliminar ya se tenia
conocimiento por parte del área de sistemas, los motivos por los que no se
84
implementa las seguridades es la falta de recursos económicos y apoyo de los
gerentes de las áreas involucradas.
3.1.3. ETAPA DE DICTAMEN
3.1.3.1. ANALISIS DE INFORMACION Y ELABORACIÓN DEL INFORME
DE SITUACIONES DETECTADAS.
Luego de analizar la información obtenida en la auditoria, y de presentarlo a
discusión a la parte involucrada y después de hacer los correctivos necesarios
se procede a realizar el informe final.
3.1.3.2. ELABORACIÓN DE INFORME FINAL
La empresa auditada, de acuerdo a las políticas de seguridad, se determina que
tiene muchas falencias en la seguridad de la red especialmente en el aspecto físico,
las recomendaciones de las posibles soluciones a estas falencias se encuentran en
el informe que se encuentra en el anexo 20.
Luego de presentar el informe final los responsables de la seguridad de la red se
comprometieron a implementar las recomendaciones presentadas en un plazo de
dos años.
85
CAPITULO 4
4. CONCLUSIONES Y RECOMENDACIONES
a) CONCLUSIONES
• El tamaño de la población a ser estudiada se la obtuvo mediante encuestas
telefónicas realizadas a las empresas descritas en el literal 1.3.4.1 y el número
de muestras para implementar el cuestionario y de esta forma obtener las
políticas de seguridad, se consiguió por medio de la fórmula del Teorema de
Población Finita.
• Las seguridades de redes, en las empresas en donde se realizó el
cuestionario para determinar las políticas de seguridades, actualmente no
desempeñan un papel importante, esto se debe a la falta de conocimiento por
parte de los encargados de la administración de la red o por falta de recursos
económicos.
• En las empresas en donde se ejecutó el cuestionario, siendo estas públicas
y/o privadas no cuentan con sus propias políticas de seguridades. Y en las
que tienen políticas de seguridad el personal encargado no hace un
seguimiento del cumplimiento de las mismas y esto conlleva a que se
aumente las vulnerabilidades de la red, por lo que se considera al personal de
la empresa como una de las mayores amenazas a la red.
• Para la implementación de seguridades en redes se debe realizar un análisis
de los recursos involucrados, para lo cual se puede tomar como base la
división de recursos establecida por el ISO 17799 y/o RFC 1244.
• Las políticas de seguridades y de auditoría en redes establecen el canal
formal de actuación del personal, en relación con los recursos y servicios
informáticos de la organización.
86
• En las empresas encuestadas no existe un estándar de políticas de seguridad
ya que estas dependen de las funciones y servicios de la empresa por
ejemplo las políticas de seguridad de una florícola serán diferentes a un ISP.
• Las políticas de seguridad y de auditoría en redes son una descripción de lo
que se desea proteger o verificar y el por qué de ello, no describe detalles del
como.
• La realización de una auditoría informática en las empresas que fueron objeto
de nuestro estudio, son muy escasas, ya que no cuentan con la capacidad
económica y otras por desconfianza a la persona auditora.
• Las justificaciones para realizar una auditoría son: descubrimiento de fraudes
efectuados con el computador, descubrimiento de ataques a la red interna,
falta total o parcial de seguridades lógicas o físicas, descubrimientos de
faltantes o cambios de componentes o computadoras.
• Las políticas de auditoría de seguridades en redes se elaboran, en este
proyecto, tomando como base las políticas de seguridades en redes.
• Las empresas, objeto de nuestro estudio, no dan apertura para realizar la
implementación de la auditoría a las políticas de seguridad ya que consideran
que es información confidencial. El Municipio fue la única empresa que nos
dio apertura para la implementación de las mismas de manera restringida.,
• La información obtenida de la implementación de auditoría a las políticas de
seguridad es mínima puesto que no se tuvo la suficiente colaboración por
parte de los encargados del departamento de sistemas del Municipio de Quito
• En el Municipio de Quito se observó que no tienen implementadas
seguridades en la mayoría de recursos de la empresa por lo tanto se
determina que la seguridad en los mismos es deficiente.
87
• Los recursos del Municipio de Quito con mayores seguridades
implementadas de acuerdo a las políticas de seguridades establecidas en este
proyecto son: contraseñas, virus, utilitarios, respaldos de información y
servicios.
b) RECOMENDACIONES
• La información e implementación de seguridades en redes en las empresas
debe estar siempre actualizándose con el fin de incrementar la seguridad de
sus redes por lo que se recomienda que exista una persona dedicada
exclusivamente a esta actividad.
• Se recomienda que las políticas de seguridad y de auditoría mantengan un
lenguaje común. que facilite una comprensión clara de las mismas.
• Se recomienda que las políticas de seguridad y de auditoría sean actualizadas
de acuerdo a los cambios organizacionales relevantes como crecimiento de la
planta de personal, cambio en la infraestructura computacional, entre otros.
• Se recomienda no omitir ninguna situación por obvia que esta sea. Deben ser
explícitos y concretos los alcances y propuestas de seguridad, con el
propósito de evitar sorpresas y malos entendidos en el momento de
establecer los mecanismos de seguridad que respondan a las políticas de
seguridad trazadas.
• Se recomienda utilizar una metodología para realizar una auditoría de
seguridades en redes.
• Es recomendable que para tener éxito en el desarrollo o implementación de
una auditoría, el auditor, no solo debe seguir una metodología, sino además
de esto debe contar con conocimientos sobre el tema, experiencia profesional
y capacitación constante.
88
• La realización de una auditoría informática por parte de una empresa o
institución debe tener el respaldo y la apertura necesaria para el cumplimiento
satisfactorio de la misma, ya que el auditor se basa en su ética profesional y
aportara con soluciones para mejorar la seguridad de la red de la empresa.
• Luego que se realiza una auditoría en una empresa el personal encargado
debe comprometerse a implementar las sugerencias dadas por el auditor.
• Las empresas a través del personal encargado de la administración de la red
debe dictar charlas a los usuarios para mejorar el manejo de los equipos y
recursos de la red.
• Para realizar una auditoría en redes se recomienda utilizar: software de
auditoria (LandGuard, NetSupport, Spuertos, Lanscan, Network View,), el cual
permite obtener información de la red, procedimientos de visualización o
verificación y cuestionarios, entrevistas.
• Para realizar una auditoría en redes es conveniente que existan políticas de
seguridades para auditarlas, en caso que no existan se recomienda
inicialmente utilizar las políticas descritas en este proyecto y se desarrollen
políticas específicas para la empresa.
89
Nro. 5. BIBLIOGRAFIA
1 BELLO, Claudia. “Manual de seguridad en redes”. Versión 2.0. Mayo 2000. Documento PDF.
2 “Implantación de las seguridades en redes“ http://www.seguridadenlared.org/es/
3 “Seguridad en redes de datos INEI“ http://www.inei.gob.pe/biblioineipub/bancopub/Inf/Lib5010/indice.htm
4 “ Un estudio sobre el estado de la seguridad informát ica en México” http://www.sekureit.com
5 ISO/IEC 17799. “Information Technology – Code of Practice for information security management". Primera Edición. Diciembre del 2000.
6 RFC 1244. “Política de seguridad del sitio”. Http://www.ietf.org/rfc/rfc1244.txt
7 "Funcionamiento de un programa antivirus" . Http://www.pandasoftware.com
8 "DNS". http://www.atreides.ws/curso/dns.html
9 PONS MATORELL, Manuel. "Seguridad en correo electrónico". Versión 1.0. Enero del 2000. Documento PDF
10 COMER, Douglas. "El libro de internet ". Primera Edición. Prentice Hall. 1995
11 "Introducción a FTP" http://www.terra.com
12 CHAPMAN, Brent y ZWICKY, Elizabeth. "Construya Firewalls para Internet". Primera Edición. O´Reilly & Associates, Inc. 1997
13 "Módulo de Firewall" http://www.albasoft.com
14 "Comercio Electrónico Seguridad y Sistemas de Pago en la Red" http://www.ddd.om
15 SANCHEZ, Roberto. "Planificación y Control de Sistemas de Información". Versión 1.0. Mayo de 1999. Documento PDF
90
Nro. BIBLIOGRAFIA
16 "Conceptos de la Auditoría de Sistemas" http://www.monografías.com
17 RUIZ, Francisco y POLO, Macario. "Mantenimiento de Software" Versión 1.0. Enero 2001
18 BEL, Juan de Dios. "Estándares para la práctica profesional de auditoría de sistemas de información". Versión 1.0. Julio del 2002. Documento PDF
19 HERNANDEZ, Enrique. "Auditoría en Informática" Segunda Edición. Patria Cultural. Año 2000
20 MUÑOZ, Carlos. "Auditoría en Sistemas Computacionales" Primera Edición. Prentice Hall. Año 2002
91
6. GLOSARIO DE TÉRMINOS
A ACCESO REMOTO.- Servicio que permite al usuario en una computadora conectar
su teclado y su monitor con una computadora remota para correr programas y
solucionar problemas.
ANCHO DE BANDA.- cantidad de información que se puede enviar a través de una
conexión. Se mide normalmente en bits por segundo. (BPS).
ANSI.- American Nacional Standards Institute, es una organización que define las
normas de código y los esquemas de señalización en los EEUU.
B BIOS.- es la abreviatura de Basic Input / Output System e identifica al software o
conjunto de programas que arrancan el ordenador (antes de encontrarse un disco de
sistema) cuando se pulsa el botón de encendido. La BIOS es un programa que se no
se encuentra en la memoria RAM (Random Access Memory – memoria de acceso
aleatorio) pues al apagar el ordenador se borraría, sino en la memoria principal o
ROM (Read Only Memory - Memoria de Sólo Lectura), cuyo almacenamiento es
permanente.
C CACHE.- Almacenamiento local y temporal de un programa, de los mensajes de
respuesta y el subsistema que controla el almacenamiento, la recuperación y
eliminación de sus mensajes.
CLAVE PUBLICA.- En un sistema asimétrico de cifrado es la clave que todos
conocen para cifrar o descifrar un mensaje.
CLAVE PRIVADA.- En un sistema asimétrico de cifrado es la clave que solo el
emisor del mensaje conocen para cifrar o descifrar un mensaje.
92
CORREO ELECTRÓNICO.- Servicio de Internet que nos permite enviar y recibir
cartas a otros usuarios de Internet por medio de la Red. La recepción es casi
instantánea
COOKIE.- Pequeño trozo de datos que entrega el programa servidor de HTTP al
navegador WWW para que este lo guarde. Normalmente se trata de información
sobre la conexión o los datos requeridos, de esta manera puede saber que hizo el
usuario en la ultima visita. Estas "cookies" han cobrado mala fama porque transmiten
datos desde nuestra computadora a los servidores de internet sin que nos enteremos
de su contenido. Se almacenan en un directorio en nuestro disco duro llamado:
Archivos temporales de Internet
CRIPTOGRAFIA.- Procedimiento que permite asegurar la transmisión de
informaciones privadas por las redes públicas, desordenándola matemáticamente de
manera que sea ilegible para cualquiera excepto para la persona que posea la “llave”
que puede ordenar la información.
D DIRECCION IP.- la dirección numérica exclusiva asignada a cada máquina dentro de
una red. Consiste de cuatro números de hasta cuatro cifras separadas por puntos.
DMZ.- Área dentro de un firewall corporativo que separa las zonas internas de las
externas. La zona desmilitarizada es la ubicación perfecta para instalar servidores.
DOMINIO.- Sistema de denominación de Hosts en Internet. Los dominios van
separados por un punto y jerárquicamente están organizados de derecha a
izquierda. Por ejemplo: tecnica92.tripod.com es un servidor de uso comercial (com)
de nombre tripod y el sitio sería tecnica92 que es la identificación dentro del dominio.
E EIA /TIA.- (Electronic Industries Association) / (Telecommunications Industries
Association), define sistemas jerárquicos de cableado en entornos de campus,
mediante cable de par trenzado de grado de datos.
93
ENCRIPTAR.- Mezclar los datos para protegerlos como medida de seguridad, es
decir, convertir texto normal a texto cifrado, que es ininteligible hasta que no se
desencripta.
EXTRANET.- Red basada en Internet de una compañía en la que comparte
información y comunicación con agentes externos.
F FIREWALL.- Separación lógica de redes internas y externas diseñada con el fin de
proteger los datos y bloquear las intrusiones no deseadas a través de Internet.
FIRMA DIGITAL.- valor numérico que se adhiere a un mensaje de datos y que,
utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y
al texto del mensaje, permite determinar que este valor se ha obtenido
exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido
modificado después de efectuada la transformación.
FTP.- Servicio de Internet que permite la transferencia de archivos entre
computadoras.
FTP ANONIMO.- Uso del identificador de acceso especial anonymous para obtener
acceso a los archivos públicos a través del servicio FTP.
G GUSANO.- Es programa similar a un virus que se diferencia de éste en su forma de
realizar las infecciones. Mientras que los virus intentan infectar a otros programas
copiándose dentro de ellos, los gusanos solamente realizan copias de ellos mismos.
H
HACKER.- Navegante de Internet que intenta traspasar sistemas de seguridad.
Experto en informática capaz de entrar en sistemas cuyo acceso es restringido. No
necesariamente con malas intenciones.
94
Otra definición: Cualquier persona aficionada a la computación con buenos
conocimientos y que intenta lo que no se ha intentado o que se dice que no es
posible.
HOST.- Computadora conectada a Internet. Computadora en general.
HTML.- (Hyper Text MarKup Language), Lenguaje de computadora utilizado para
especificar el contenido y el formato de un documento de hypermedios en word wide
web (esto es, una página hogar). Es poco probable que los usuarios se encuentren
con el html debido a que este es un detalle interno.
HTTP.- (Hyper text tranfer protocol), Servicio de Internet que permite la transferencia
de páginas Web entre computadoras.
HUB.- Conecentrador dispositivo que se utiliza tiicamente en topología en estrella
como punto central de una red, donde por ende confluyen todos los enlaces de los
diferentes dispositivos de la red.
I INFECCIÓN.- Es la acción que realiza un virus al introducirse, empleando cualquier
método, en nuestro ordenador (o en dispositivos de almacenamiento) para poder
realizar sus acciones dañinas.
INTERNET.- Se define generlmente como la red de redes mundial. Las redes que
son parte de esta red se pueden comunicar entre sí a través de un protocolo
denominado TCP/IP.
INTERREDES.- Una interred es una composición de redes de área local LAN y de
área extensa WAN que se conectan medinate puentes y encaminadores.
INTRANET.- Red de computadoras local que funciona como Internet. Se llaman así
a las redes tipo Internet pero que son de uso interno, por ejemplo, la red corporativa
de una empresa que utilizara protocolo TCP/IP y servicios similares como WWW.
ISP.- Internet Service Provider (Proveedor de Servicio de Internet). Una organización
que ofrece servicio de acceso a internet a través de líneas dedicadas.
K
95
KERBEROS.- Es un protocolo de seguridad creado por MIT que usa un acriptografia
de claves simétricas para validar usuarios con los servicios de red, evitando así tener
que enviar contraseñas a través de la red.
L LOGIN.- Nombre que se usa para acceder a un sistema de ordenadores.
M METODOLOGIA.- ”Del griego methodos, método, y logos, tratado. Ciencia que trata
del método”. ”Descripción secuencial de la manera de efectuar una operación o
serie de operaciones.
MODEM.- Este término proviene de las palabras Modulador-Demodulador.
Dispositivo que se conecta al ordenador y a una línea telefónica y permite poner en
contacto dos ordenadores a través de la línea telefónica.
N NETBIOS.- (Network Bios ). Protocolo del nivel de sesión, que establece y mantiene
las sesiones de comunicación entre computadores.
NIC.- (Network interface cards) son tarjetas de interfaz de red.
P PGP.- (Pretty Good Privacy). Privacidad bastante buena. Programas de encriptación
de correo electrónico para Internet, que utiliza una combinación de claves públicas y
privadas.
PROTOCOLO.- Descripción formal de formatos de mensaje y de reglas que dos
computadores deben seguir para intercambiar dichos mensajes.
PROXY.- El Proxy es un programa de servidor de red que conectado normalmente al
servidor de acceso a la WWW va almacenando toda la información que los usuarios
reciben de la WEB, por tanto, si otro usuario accede a través del proxy a un sitio
96
previamente visitado, recibirá la información del servidor proxy en lugar del servidor
real.
Normalmente se usa en redes de computadoras para compartir una sola conexión a
Internet.
POP3.- (Post Office Protocol) Protocolo de comunicación utilizado para poder enviar
y recibir mensajes electrónicos de servidores públicos de correo electrónico.
PPP.- Point to Point Protocol. Protocolo Punto a Punto. Protocolo de Internet para
establecer enlace entre dos puntos.
PSI.- (Política de seguridad informática). Una política de seguridad informática es
una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el
canal formal de actuación del personal, en relación con los recursos y servicios
informáticos, importantes de la organización.
R RED INTERNA.- Es la conexión de computadoras unas con otras, de manera que
puedan intercambiar información dentro de una misma organización.
RED CON CONEXIÓN A INTERNET.- Es la conexión de computadoras unas con
otras, de manera que puedan intercambiar información con salida a Internet.
RFC.- Acrónimo de request for comments (petición de comentarios). Resultado y
proceso de creación de un estándar en Internet. Los nuevos estándares se proponen
y publican en Internet como rfc.
RIP.- Routing Informaction protocol (protocolo de información de encaminamiento).
RPC.- Remote Procedure Call. Llamada a procedimiento remoto. Proporcionan el
mecanismo de comunicación para que el cliente requiera los servicios del servidor.
RUTEADORES.- Dispositivo que dirige el tráfico entre redes y que es capaz de
determinar los caminos más eficientes, asegurando un alto rendimiento.
S SERVIDOR.- Computadora en Internet que da información a quien la pide.
97
SMPT.- Simple Mail Transfer Protocol. Protocolo de Transferencia Simple de Correo.
Es el protocolo usado para transportar el correo a través de Internet.
SNIFFER.- Literalmente "Husmeador". Pequeño programa que busca una cadena
numérica o de caracteres en los paquetes que atraviesan un nodo con objeto de
conseguir alguna información. Normalmente su uso es ilegal.
SNIFFING.- Uso de una tarjeta adaptadora de red para recibir datos no destinados a
la computadora en la cual la tarjeta reside. Por extensión el término sniffer en un
sentido genérico es un analizador de protocolo de red.
SNMP.- Simple Network Management Protocol es un protocolo diseñado para
facilitar la administración central de equipo de red (enrutadores, puentes,
concentradores, computadores centrales).
SPOOFING: Suplantación de una computadora en la red por otra computadora. El
propósito de la suplantación es engañar a otras computadoras en la red para que
acepten a la máquina impostora como original, y permitirla enviar o alterar datos.
SPAM.- Spammer Se llama así al "bombardeo" con correo electrónico, es decir,
mandar grandes cantidades de correo o mensajes muy largos.
SSL.- (Secure Sockets Layer - Capa de Socket Segura). Protocolo que ofrece
funciones de seguridad a nivel de la capa de transporte para TCP.
SYSLOGS.- es un demonio que almacena los mensajes registrados de varios
clientes remotos y locales (programas con mensajes que quiere registrar).
SWITCH.- Es un dispositivo de red capaz de realizar una serie de tareas de
administración, incluyendo el redireccionamiento de los datos.
T TCP/IP.- Lenguaje que usan las computadoras para comunicarse por Internet
TELECOMUNICAIONES.- Proviene del griego TELE (distancia) y communicare
(compartir). En términos modernos, telecomunicación es la transmisión electrónica
de sonidos, datos, dibujos, voz, video y otra información entre sistemas conectados
mediante usos de técnicas de señalización, bien sean analógicas o digitales.
TELNET.- Sesión que realiza una conexión directa y altamente insegura entre dos
máquinas. Permite la conexión remota a otros ordenadores.
98
TROJAN HORSE.- (Caballo de Troya) programa informático que lleva en su interior
la lógica necesaria para que el creador del programa pueda acceder al interior del
sistema que lo procesa.
V VPN.- Virtual Private Network (red privada virtual). Una red de comunicaiones que
existe formando parte de una red más amplia, de forma que la red privada no puede
ser accedida por la otra.
Vulnerabilidad: Un fallo o defecto en el sistema de cómputo o de red que permite
un acceso no autorizado o un uso no autorizado.
W WWW.- (World Wide web) servicio que cubre varios protocolos de información
encontrados en Internet.
99
ANEXOS
100
ANEXO 1 CUESTIONARIO
1.- ¿La instalación de la red de sus empresa posee normas de cableado estructurado?. Si ______ No ______
NORMAS DE CABLEADO ESTRUCTURADO
SI; 80%
NO; 20%
De acuerdo al análisis realizado el 80% del muestreo de la población establece que las empresas deben tener normas de cableado estructurado, por lo tanto esta política es aplicable. 2.- ¿Qué tipo de control existe para la entrada y salida de equipos del centro de cómputo?
a) Solicitud verbal al jefe de sistemas. b) Solicitud por escrito al jefe de sistemas. c) Las dos anteriores. d) Otros(especifique) __________________________________________ e) Ninguna.
101
ENTRADA SALIDA DE EQUIPOS
D; 20%
C; 0%
B;80%
A; 0%
E; 00%
En consecuencia como política aplicable se la toma al literal B puesto que tiene el 80% de aceptación, es decir para extraer y/o ingresar un equipo se debe pedir autorización por escrito al jefe de sistemas. 3.- ¿Qué tipo de mecanismo existen para prevención de robos?
a) Cerraduras con llaves b) Alarmas c) Guardias de seguridad d) Todas las anteriores e) Ninguna
MECANISMOS PARA PREVENCION DE ROBOS
A; 20%E; 0%
D; 60% C; 20%
B; 0%
En consecuencia el literal D se toma como política aplicable ya que se obtiene como resultado el mayor porcentaje de acuerdo a las encuestas realizadas. 4.- Existe inventario a nivel de:
a) Hardware b) Software c) Los dos anteriores
102
d) Otros(especifique) _____________________________________________ e) Ninguno
INVENTARIO HARDWARE Y SOFTWARE
E; 0%
D; 0%
B; 0%
C; 60%
A; 40%
En consecuencia el literal C se toma como política aplicable, considerando que el hardware y software son los elementos básicos de una empresa por lo tanto se debe tener un inventario actualizado de los mismos. 5.- Todos los computadores y equipos de comunicación de la Empresa tiene un identificador único legible? Si _____ No______
IDENTIFICADOR DE LOS EQUIPOS DE LA EMPRESA
SI; 60%
NO; 40%
En consecuencia la opción SI se toma como política aplicable, porque un 60% de los encuestados tienen un identificador único para cada uno de los equipos de la empresa. 6.- ¿Qué tipo de instalaciones poseen para contrarrestar las variaciones de voltaje y tormentas eléctricas?
a) Puestas a tierra
103
b) Pararrayos c) Reguladores d) Todos los anteriores e) Otras(especifique) _____________________________________________ f) Ninguna
PROTEGER VARIACIONES DE VOLTAJE
; 0%A, B, E,F
C; 40%
D; 60%
De acuerdo al análisis realizado a las encuestas se determina que las empresas deben tener una política de seguridad que proteja las variaciones de voltaje. 7.- ¿Existen planes de contingencia en caso de desastres naturales (incendios, inundaciones, terremotos, etc)? Si _____ No______
PLANES DE CONTINGENCIA
SI; 60%
SI; 40%
De acuerdo al análisis realizado en esta pregunta, se obtiene como conclusión que se debe implementar como política de seguridad porque un 60% de los encuestados establecen que se debe tener planes de contingencia contra los desastres naturales. 8.- Las herramientas utilizadas para el control de desastres son:
a) Extintores b) Censores c) Alarmas
104
d) Acondicionadores de temperatura e) UPS f) Todas las anteriores g) Ninguno
MONITOREO Y CONTROL DE DESASTRES
A; 17%
D; 0%
C; 0%
B; 0%
F; 49%
E; 17%
G; 17%
En consecuencia se determina que la opción F se toma como política, porque para controlar los desastres se debe utilizar como elementos básicos los extintores, censores de temperatura, alarmas, acondicionadores de temperatura y UPS. 9.- La configuración de los equipos lo realza:
a) El departamento técnico b) El usuario c) Otro(especifique) ______________________________________________ d) Ninguno
CONFIGURACIÓN DE LOS EQUIPOS
C, D, 0%
B11%
A89%
En consecuencia esta pregunta se toma como política aplicable a la mayoría de las empresas, porque un 89% señala que los cambios en la configuración de los equipos lo tiene que realizar los encargados del departamento técnico.
10.- Para controlar el acceso a las áreas de los servidores y cuartos de comunicación se utiliza los siguientes medios:
a) Cerraduras
105
b) Tarjetas de ingreso c) Sistemas de seguridad d) Todas las anteriores e) Ninguna f) Otras(especifique) __________________________________________
CONTROL DE ACCESO
D, 60%
A20%
B20%
C, E, F, G 0%
Luego de realizar el análisis a la encuesta sobre esta pregunta se concluye que la misma se debe implementar como una política de seguridad. Si incluye tarjetas de ingreso:
CONFIGURACION DE TARJETAS DE ACCESO
D; 0%
B; 0%C; 25%
A; 75%
En el caso de utilizarse tarjetas de ingreso estas deben estar configuradas de acuerdo a las funciones del empleado. 11.- ¿El área de servidores y equipos de comunicación es compartido con otras áreas? Si _______ No ______
106
SERVIDORES Y EQUIPOS DE CPMUNICACION COMPARTIDOS
SI; 20%
NO; 80%
De acuerdo al análisis realizado el 80% del muestreo de la población establece que el cuarto de comunicaciones no se deben compartir con otras áreas, por lo tanto esta pregunta se debe implementar como política de seguridad. 12.- Los servidores están protegidos por cortafuegos en una zona desmilitarizada? Si ____ No _____
SERVIDORES PROTEGIDOS POR CORTAFUEGOS EN UNA DMZ
NO; 20%
SI; 80%
De acuerdo al análisis realizado el 80% de las encuestas establece que los servidores deben estar protegidos por el cortafuego en una zona desmilitarizada, por lo tanto esta pregunta se debe implementar como política de seguridad 13.-Posee seguro contra robos y fallas provocadas por desastres naturales ( Incendios, inundaciones, terremotos, etc?
107
Si ____ No _____
POSEE SEGUROS CONTRA ROBOS Y DESASTRES NATURALES
SI; 60%
SI; 40%
De acuerdo al análisis realizado el 60% de las encuestas establece que se debe poseer un seguro contra robos y desastres naturales, por lo tanto esta pregunta se debe implementar como política de seguridad 14.- El software utilizado por la empresa es:
a) Legal b) Ilegal
SOFTWARE LEGAL / ILEGAL
A; 80%
B; 20%
108
De acuerdo al análisis realizado el 80% de las encuestas establece que el software que se utiliza en una empresa debe ser legal, por lo tanto esta pregunta se debe implementar como política de seguridad 15.- ¿El software utilizado en su empresa es el autorizado por gerencia, esta actualizado y revisado periódicamente?
Si ____ No _____
SOFTWARE ACTUALIZADO Y AUTORIZADO
SI; 80%
SI; 20%
S
De acuerdo al análisis realizado el 80% de las encuestas establece que el software que se utiliza en una empresa debe ser autorizado por la gerencia de sistemas y debe estar debidamente actualizado, por lo tanto esta pregunta se debe implementar como política de seguridad 16.- Los recursos compartidos tienen:
a) Claves de acceso b) Permisos c) Claves de acceso y permisos de acuerdo a las funciones del empleado d) Ninguna
109
RECURSOS COMPARTIDOS
B; 0%
A; 20% D; 20%
C; 60%
Luego de realizar el análisis a la encuesta sobre esta pregunta se concluye que el literal C se debe implementar como una política de seguridad, porque un 60% señala que los recursos compartidos deben tener claves de acceso y permisos. 17.- ¿Los privilegios de las cuentas van de acuerdo a l as funciones del empleado? Si ____ No _____
PRIVILEGIOS DE CUENTAS SON DE ACUERDO A FUNCIONES DEL EMPLEADO
SI; 80%
SI; 20%
Luego de realizar el análisis a la encuesta sobre esta pregunta se concluye que la misma se debe implementar como una política de seguridad, porque el 80% indica que los privilegios de las cuentas van de acuerdo a las funciones del empleado. 18.- Con que frecuencia se realiza el mantenimiento de las cuentas:
a) Tres meses b) Seis meses c) Año d) Otras(especifique)__________________________________________ e) Ninguna
110
FRECUENCIA DE MANTENIMIENTO DE CUENTAS
C; 0%
A; 0%E; 20%
D; 20% B; 60%
Luego de realizar el análisis a la encuesta sobre esta pregunta se concluye que el literal B se debe implementar como una política de seguridad, porque el 60% indica que la frecuencia que se realiza el mantenimiento de las cuentas es de seis meses. 17.- ¿Sus cuentas de correo electrónico son personales y tienen una capacidad fija de almacenamiento? Si ___ No ___
LAS CUENTAS TIENEN UNA CAPACIDAD FIJA DE ALMACENAMIENTO SI
62%NO38%
Como se ve en la gráfica en la mayor parte de empresas se da una capacidad fija de almacenamiento para el correo electrónico, por lo que se puede tomar como una política de seguridad 19.- ¿Las contraseñas o password se manejan bajo las siguientes normas / reglas?
a) Mínimo 6 caracteres y mayúscula y minúsculas b) Es un dato del usuario c) Es una palabra conocida d) Todas las anteriores e) Otras(especifique)___________________________________________ f) Ninguna
111
CONTRASEÑAS
B, D, E; 0%
F; 20%
C; 20%
A, 60%
Luego de realizar el análisis a la encuesta sobre esta pregunta se concluye que el literal A se debe implementar como una política de seguridad, porque el 60% indica que la las contraseñas deben tener mínimo de 6 caracteres y deben tener mayúsculas y minúsculas 20.- Las contraseñas o password para prevenir el manejo fraudulento deben:
a) Ser cambiadas después de su primer uso b) Ser cambiada si se sospecha que fue copiada c) Ser cambiada regularmente por ejemplo cada mes d) Todas las anteriores e) Otros(especifique)___________________________________________ f) Ninguna
PREVENCION MANEJO FRAUDULENTO DE CONTRASEÑAS
C,E,F; 0% B; 20%
A; 20%D; 60%
Luego de realizar el análisis a la encuesta sobre esta pregunta se concluye que el literal C se debe implementar como una política de seguridad, porque el 60% indica que la las contraseñas deben ser cambiadas regularmente por ejemplo cada mes 21.- Las contraseñas o password no deben:
112
a) Ser guardadas en sitios legibles b) Compartir o revelarla a otros c) Ser la misma para acceder a varios servicios d) Todas las anteriores e) Otros(especifique) ___________________________________________ f) Ninguna
MANEJO DE CONTRASEÑA
C, E,F; 0% A; 20%
B; 20%D; 60%
Luego de realizar el análisis a la encuesta sobre esta pregunta se concluye que el literal D se debe implementar como una política de seguridad, porque el 60% indica que la las contraseñas no deben ser guardadas en sitios legibles, no deben compartirse o revelarla a otros y no debe ser la misma para acceder a varios servicios 22.- El número de intentos para acceder con su contraseña o password es de:
a) Una vez b) Dos Veces c) Tres veces d) Otra(especifique)_____________________________________________ e) Ninguna
NÚMERO DE INTENTOS INFRUCTUOSOS
C80%
E20%
A,B, D 0%
113
Luego de realizar el análisis a la encuesta sobre esta pregunta se concluye que el literal C se debe implementar como una política de seguridad, porque el 80% indica que el número de intentos infructuosos para acceder a un servicio es de tres.
23.- Los archivos logs deben contener lo siguiente:
a) Identificación de usuario y fecha y hora de log-on y log-off b) Guardar los intentos de acceso rechazados o satisfactorios al sistema c) Todos d) Otros(especifique)____________________________________________ e) Ninguno
ARCHIVOS LOGS DEBE CONTENER
A,E; 0% B; 20%
C; 20%D; 60%
De acuerdo al análisis realizado el 60% de las encuestas establece que los archivos logs deben contener la identificación del usuario, fecha y hora de log-on y log-off y guardar los intentos de acceso rechazados o satisfactorios al sistema, por lo tanto esta pregunta se debe implementar como política de seguridad 24.- Los archivos logs son conservados en un lapso de tiempo de:
a) Hasta 3 meses b) Hasta 6 meses c) Hasta 1 año d) Otro(especifique)____________________________________________ e) Ninguno
114
LOS ARCHIVOS LOGS SE CONSERVAN
B; 45%
A; 45%
C;10% D, E 0%
De acuerdo al análisis realizado el 45% de las encuestas establece que los archivos logs se deben guardar en un lapso de tiempo de 3 a 6 meses, por lo tanto esta pregunta se debe implementar como política de seguridad 25.- La información a ser respaldada es indicada por:
a) Gerente de sistemas b) Administrador de la red c) Encargado d) Otros(especifique)____________________________________________ e) Ninguno
INFORMACIÓN RESPALDADA ES INDICADA POR:
C Y E 0%
D 11%
A11%
B 78%
De acuerdo al análisis realizado el 78% de las encuestas establece que la información a respaldarse es señalada por el administrados de la red, por lo tanto esta pregunta se debe implementar como política de seguridad 26.-¿Cuál es la frecuencia de los respaldos?
115
a) Diaria b) Semanal c) Mensual d) Trimestral e) Semestral f) Anual g) Otros (especifique) __________________________________________ h) Ninguno
FRECUENCIA DE RESPALDOS
C, D, E, F,G,H
0%
B 20%
A 80%
De acuerdo al análisis realizado el 80% de las encuestas establece que la frecuencia de respaldo de la información debe ser diaria, por lo tanto esta pregunta se debe implementar como política de seguridad 27.- ¿En que medio se realizan los respaldos?
a) Cintas magnéticas b) Discos duros c) CD´s d) Diskettes e) Otros (especifique) _________________________________________ f) Ninguno
MEDIO PARA REALIZAR RESPALDOS
D,E,F 0%
C 25%
B 25%
A 50%
116
De acuerdo al análisis realizado el 50% de las encuestas establece que los respaldos de la información de debe realizar en cintas magnéticas, por lo tanto esta pregunta se debe implementar como política de seguridad
28.- ¿Cuál es la ubicación de los respaldos?
a) En el mismo edificio b) En un edificio distinto del lugar donde se genero este respaldo c) En la bobeda de un banco d) Otros (especifique) ________________________________________ e) Ninguno
UBICACIÓN DE RESPALDOS
D,E 0%
C 20%
B 60%
A 20%
De acuerdo al análisis realizado el 50% de las encuestas establece que la ubicación respaldos de la información se debe guardar en un lugar distinto donde se generó el respaldo, por lo tanto esta pregunta se debe implementar como política de seguridad 29.- Maneja DNS (Domain Name System) en su empresa:
a) Primario b) Secundario c) Ambos d) Ninguno
MANEJA DNS
D 0%
B 0%
C 80%
A 20%
117
Luego de realizar el análisis a la encuesta sobre esta pregunta se concluye que el literal C se debe implementar como una política de seguridad, porque el 80% indica que en una empresa se debe tener un DNS primario y secundario. 30.- ¿Utiliza protocolos de seguridades para correo electrónico? Si______ No________
UTILIZA PROTOCOLOS DE SEGURIDAD PARA CORREO ELECTRONICO
SI; 60%
SI; 40%
Luego de realizar el análisis a la encuesta sobre esta pregunta se concluye que la opción SI se debe implementar como una política de seguridad, porque el 60% indica que en una empresa se debe utilizar protocolos de seguridad para correo electrónico. 31.- ¿Qué archivos debe restringir el servidor de correo electrónico?
a) .exe b) .jpg c) .mp3 d) Otros(especifique)____________________________________________ e) Ninguno
ARCHIVOS RESTRINGIDOS POR CORREO ELECTRÓNICO
A 80%
C 20%
118
Luego de realizar el análisis a la encuesta sobre esta pregunta se concluye que el literal A se debe implementar como una política de seguridad, porque el 80% indica que los archivos .exe se debe restringir en el servidor de correo electrónico 32.- Las recomendaciones para una buena utilización del correo electrónico pueden ser:
a) No emitir correos en cadena b) No emitir correos con remitente falso c) Ambas d) Otras(especifique)__________________________________________
RECOMENDACIONES DE CORREO ELECTRÓNICO
C 100%
A,B,D, 0%
Luego de realizar el análisis a la encuesta sobre esta pregunta se concluye que el literal C se debe implementar como una política de seguridad, porque el 100% indica las recomendaciones para una buena utilización del correo electrónico pueden ser no emitir correos en cadena ni con remitente falso. 33.- ¿Por qué medio se conecta a Internet su empresa?
a) Línea dedicada b) Dial-Up c)Otras(especifique)______________________________________________
d) Ninguna
119
MEDIO DE CONEXION A INTERNET
A; 100%
D; 0%
B; 0%
C; 0%
De acuerdo al gráfico se puede concluir que el acceso a Internet se lo debe realizar por una sola vía como en este caso se lo hace por línea dedicada y no por vía Dial-Up, por lo tanto se tomará como políticas de seguridad la siguiente: El acceso al Internet será a través de un solo punto para todos los usuarios de la empresa. La empresa prohíbe el uso de módems para el acceso al Internet 34 ¿Que direcciones Web es recomendable bloquear?
a) Pornográficas y Música b) Música c) Hotmail, yahoo d) Otros (especifique): ______________________________________
DIRECCIONES WEB A BLOQUEAR
D; 0%
C; 0%
B; 33%
A; 67%
c
Según se observa en el gráfico se debe bloquear pornografía y música por lo que se toma a la siguiente política como política de seguridad: Se debe restringir el acceso a sitios prohibidos, como pornografía, juegos, música para evitar que el personal no cumpla con sus obligaciones.
120
35.- El servicio de FTP debe pedir un usuario y la debida contraseña para realizar la conexión hacia el servidor y debe utilizar el puerto estándar para FTP que es el 21? SI____________ No_________
ACCESO A FTP
SI; 80%
NO; 20%
Según se observa en el gráfico para ingresar al servicio de FTP se debe proporcionar el usuario y contraseña además se debe utilizar el puerto 21 por lo tanto esta pregunta se toma como política de seguridad ya que el 80% de los encuestados así lo indican.
36.- El servicio de acceso remoto debe tener un usuario y password para establecer la conexión entre el servidor y una estación de trabajo o viceversa, además el administrador debe ser la única persona que acceda al servicio de control remoto? SI______ No_________
ACCESO CONTROL REMOTO
SI; 80%
NO; 20%
121
Según se observa en el gráfico para acceder al servicio de control remoto se debe proporcionar el usuario y contraseña además el administrador debe ser la única persona que pueda utilizar este servicio por lo tanto esta pregunta se toma como política de seguridad ya que el 80% de los encuestados así lo señalan. 37.- Se debe crear listas de acceso en los ruteadores para permitir la entrada y
salida de ciertas direcciones de acuerdo a las necesidades de la empresa?
Si _______ No ______
LISTA DE ACCESO DE RUTEADORES
SI; 80%
NO; 20%
Según se observa en el gráfico se debe crear listas de acceso que permita la entrada y salida de direcciones de acuerdo a las necesidades de la empresa por lo tanto esta pregunta se toma como política de seguridad ya que el 80% de los encuestados así lo señalan. 38.- ¿Una red que se conecte al Internet debe tener un Firewall para controlar el acceso a la red y evitar el ingreso de intrusos? Si ______ No ______
FIREWALL PARA ACCESO A INTERNET Y CONTROL DE INTRUSOS
SI; 100%
NO; 0%
122
Según el gráfico se debe tener un Firewall cuando se conecta al Internet para controlar el acceso a la red y evitar el ingreso de intrusos por lo tanto se la ha tomado como política de seguridad. 39.- ¿El Firewall de la empresa debe presentar una postura de negación preestablecida, configurado de manera que se prohíban todos los protocolos y servicios, luego habilitando los necesarios? Si ______ No ______
NEGACION PREESTABLECIDA EN EL FIREWALL
SI; 100%
NO; 0%
De acuerdo al gráfico se puede observar que el FIREWALL debe estar inicialmente prohibiendo el acceso a todos los protocolos y servicios para luego habilitar los necesarios por lo que so tomará como una política de seguridad 40.- ¿Se debe utilizar más de una herramienta para el control de virus en los servidores? Si ______ No ______
ANTIVIRUS
sI; 60%
NO; 40%
Según el gráfico se puede ver que se debe tener más de una herramienta de antivirus por lo que se la toma como política de seguridad.
123
41.- ¿Se debe seguir un procedimiento establecido en caso de detectar virus? Si ______ No ______
PROCEDIMIENTO EN CASO DE DETECTAR VIRUS
SI; 100%
NO; 0%
De acuerdo al gráfico se puede observar que debe existir un procedimiento establecido en caso de detectar virus. Por lo que se le toma como una política de seguridad. 42.- ¿Con qué frecuencia se actualiza el antivirus?
a) Diaria b) Cada semana c) Otros (especifique): _________________________________
FRECUENCIA DE ACTUALIZCIÓN DEL ANTIVIRUS
A; 80%
B; 0%
C; 20%
Según el gráfico se debe realizar actualizaciones diarias del antivirus, por lo que se la tomará como política de seguridad a la actualización diaria del antivirus. 43.- ¿Existe control de VIRUS, para la descarga de información en sus equipos?
124
Si ____ No _____
CONTROL DE VIRUS PARA DESCARGA DE INFORMACIÓN
SI; 80%
NO; 20%
De acuerdo al gráfico se puede observar que debe existir un control de virus al descargar información en los equipos, por lo que se le toma como política de seguridad. 44.- Cuando un usuario cesa en sus funciones se elimina las cuentas, contraseñas y privilegios asignados a él, además debe entregar las llaves o tarjetas de acceso a la empresa? Si ____ No _____
CESE DE FUNCIONES DE USUARIOS
SI; 80%
NO; 20%
Según el gráfico se puede ver que cuando un trabajador cesa en sus funciones do un trabajador se le debe eliminar las cuentas, privilegios y debe entregar las llaves y tarjetas de acceso, por lo que se la tomará como una política de seguridad. 45.- El monitoreo de la red se realiza sin previo aviso al usuario? Si ___ No _____
125
MONITOREO DE LA RED SIN PREVIO AVISO AL USUARIO
SI; 80%
NO; 20%
Según lo que muestra el gráfico se ve que se debe realizar monitoreos a la red sin aviso previo al usuario para poder tener un mejor resultado por lo que se le tomará como política de seguridad. 46.- Si no ha habido actividad en un terminal, estación de trabajo o computador personal por 10 minutos, el sistema debe automáticamente poner en blanco la pantalla, suspender la sesión y solicitar una contraseña para restablecer la sesión? Si ____ No _____
CONTRASEÑA PARA RESTABLECER LA SESIÓN DEPUÉS DE UN CIERTO
TIEMPO DE INACTIVIDAD
SI; 80%
NO; 20%
Por lo visto en el gráfico se determina que se debe poner suspender la sesión y solicitar una contraseña para poder restablecer la sesión, por lo que se le toma como una política de seguridad.
47.- La información sensible almacenada en el disco duro o en otros componentes internos de un computador personal, esta protegida mediante una contraseña de control de acceso?
126
Si ____ No _____
INFORMACIÒN SENCIBLE ALMACENADA EN EL COMPUTADOR
ESTA PROTEGIDA POR UNA CONTRASEÑA
SI; 60%
SI; 40%
Este gráfico muestra que se debe tener una contraseña de acceso para la información sensible almacenada en los computadores, por su alto porcentaje será considerada como una política de seguridad.
48.- El departamento de Informática prepara, mantiene y distribuye uno o más manuales de seguridad informática?
Si __X__ No _____
DEPARTAMENTO DE INFORMATICA DISTRIBUYE MANUALES DE SEGURIDAD INFORMATICA
SI; 60%
SI; 40%
De acuerdo al gráfico se puede observar que el departamento de informática debe distribuir manuales de seguridad informática de la empresa, por lo que se la tomará como una política de seguridad. 49.- Los usuarios temporales tienen privilegios sobre los sistemas informáticos de la Empresa?
127
Si _____ No ____
USUARIOS TEMPORALES TIENEN PRIVILEGIOS SOBRE LOS SISTEMAS
INFORMATICOS
SI; 20%
NO; 80%
Como se ve en el gráfico los usuarios temporales no deben tener acceso a los sistemas informáticos por esto se la tomará como una política de seguridad. 50.- Los trabajadores firman un documento de confidencialidad al momento de formar parte de la empresa? Si ____ No _____
FIRMA DE DOCUMENTO DE CONFIDENCIALIDAD POR PARTE DE
LOS TRABAJADORES DE LA EMPRESA
SI; 60%
NO; 40%
Según se observa en el gráfico se debe hacer firmar a los trabajadores de la empresa un documento de confidencialita, por lo que se la tomará como política de seguridad. 51.- El departamento de Informática elabora un informe anual de los problemas y violaciones reportados en seguridad informática? Si ____ No _____
128
INFORME ANUAL SOBRE PROBLEMAS DE VIOLACIONES REPORTADOS EN
SEGURIDA INFORMATICA
SI; 80%
NO; 20%
De acuerdo al gráfico el departamento de informática debe emitir un informe anual de los problemas y violaciones reportados en seguridad informática. 52- Se utiliza teléfonos celulares dentro de las salas de computación de la Empresa Si _____ No ____
USO DE CELULARES DENTRO DE LAS SALAS DE COMPUTACIÓN DE LA
EMPRESA
NO; 60%
SI; 40%
Según el gráfico no se debe utilizar celulares dentro de las salas de computación de la empresa, por esta razón se la toma como una política de seguridad 53.- El personal de administración de sistemas revisa semanalmente las notificaciones sobre la vulnerabilidad de la seguridad informática emitidas por organizaciones confiables. Si ____ No _____
129
PERSONAL DE ADMINISTARCIÒN DE SISTEMAS REVISA LOS AVISOS DE
VULNERABILIAD EMITIDOS POR ORGANISMOS CONFIABLES
SI; 80%
SI; 20%
De acuerdo el gráfico el personal de administración debe revisar los avisos de vulnerabilidad emitido por los organismos confiables, por lo que se la toma como una política de seguridad
130
ANEXO 2 Quito, 07 de Abril del 2004 Oficio Nro. 232 Señora María Jaramillo Lanatta DIRECTORA DE LA UNIDAD DE DESARROLLO Y DIFUSION MUS ICAL Presente.- De mi consideración: En atención al oficio Nro. 149-UDDM enviado el día 1 de Abril del presente año, se ha procedido a crear la cuenta de correo electrónico interno y externo de esta Unidad con los siguientes datos: Cuenta de correo electrónico: [email protected] Nombre de Usuario: uddm Esta cuenta es regulada por la Direccion de Informática, el espacio máximo de almacenamiento que tiene es de 25 MB y puede enviar o recibir hasta 1 MB de tamaño por mensaje. También se puede ingresar al correo por la página web del Municipio: www.quito.gov.ec presionando el icono del correo electrónico mostrado a continuación y didgitando el nombre de usuario y clave de usuario arriba indicado.
El uso de dicha cuenta es personal y será constantemente monitoreada por personal de la Dirección de Informática. Atentamente, Ing. Juan Carlos Guijarro JEFE DE REDES Y COMUNICACIONES DIRECCION METROPOLITANA DE INFORMATICA
131
ANEXO 3 Quito, 01 de Agosto del 2001 Yo, Manolo Méndez, Técnico de la Dirección de Informática, entrego a la Sra. Hipatia Camacho, Directora del Centro Cultural Benjamín Carrión, la cuenta de acceso a Internet vía DialUp. La configuración es la siguiente: Usuario: muninfo22 Password: ccnv22qui Para el acceso al correo la configuración es la siguiente: #1 Cuenta personal: Email: [email protected] User: hcamacho Password:hcamacho4534 #2 Cuenta Centro Cultural: Email: [email protected] User: ccbc Password:ccbc4545 El ingreso al correo puede ser realizado también a través del sitio web del municipio: www.quito.gov.ec Servidor POP3: mail.quito.gov.ec Servidor SMTP: mail.quito.gov.ec Los teléfonos de acceso a Access Internet son: 989500, 979500, 674444, 555275, 685111 En conformidad con todo lo anterior, la Sra. Hipatia Camacho se compromete a mantener toda esta información bajo su responsabilidad. Ing. Manolo Méndez Sra. Hipatia Camacho Técnico Dirección de Informática Directora del Centro Cultural Benjamín
132
ANEXO 4
Reporte entregado por el software MRTG
Estadísticas de utilización del ancho de banda
Servidor: Enlace de Internet LAN Velocidad Máxima: 512 Kbps Tipo de Enlace: Ethernet Dirección IP: 172.20.24.240 Puerto: 11
Estadísticas actualizadas el Martes 6 de Abril de 2004 a las 10:00, el dispositivo ha estado funcionando durante 6 dias, 19:29:27.
Gráfico diario (5 minutos : Promedio)
Máx Entrante:508.6 kb/s (0.1%) Promedio Entrante: 128.9 kb/s (0.0%) Actual Entrante:371.5 kb/s (0.0%) Máx Saliente:442.3 kb/s (0.0%) Promedio Saliente: 27.3 kb/s (0.0%) Actual Saliente:69.6 kb/s (0.0%)
Gráfico semanal (30 minutos : Promedio)
Máx Entrante:515.4 kb/s (0.1%) Promedio Entrante: 119.1 kb/s (0.0%) Actual Entrante:395.8 kb/s (0.0%) Máx Saliente:132.9 kb/s (0.0%) Promedio Saliente: 24.4 kb/s (0.0%) Actual Saliente:65.5 kb/s (0.0%)
133
Gráfico mensual (2 horas : Promedio)
Máx Entrante:496.1 kb/s (0.0%) Promedio Entrante: 124.7 kb/s (0.0%) Actual Entrante:2456.0 b/s (0.0%) Máx Saliente:316.5 kb/s (0.0%) Promedio Saliente: 34.3 kb/s (0.0%) Actual Saliente:2928.0 b/s (0.0%)
Gráfico anual (1 día : Promedio)
Máx Entrante:244.9 kb/s (0.0%) Promedio Entrante: 124.0 kb/s (0.0%) Actual Entrante:141.9 kb/s (0.0%) Máx Saliente:80.2 kb/s (0.0%) Promedio Saliente: 34.1 kb/s (0.0%) Actual Saliente:31.0 kb/s (0.0%)
134
135
ANEXO 6
Existe un número máximo de usuario que accede al se rvicio de correo
electrónico interno externo?
La salida al Internet se lo realiza con la aprobación superior y no existe un número de
usuarios máximo.
Existe un plano donde se encuentre el diseño del ca bleado?.
En esta área como no hay cableado estructurado no lo hay, pero en la Zona Centro si
existe este plano ya que existe cableado estructurado con norma 568B.
Para ingreso y salida de equipos en la empresa exis te un documento de
autorización?
No existe un documento
Existen planes de contingencia?.
Si existen planes de contingencia.
Todos los recursos compartidos en redes tienen su d ebida protección y
control de acceso?.
Para evitar problemas de seguridad se trata de no tener nada compartido,
cuando se comparte un recurso se trata de mantenerlo mientras sea
necesario.
136
Existe control de ancho de banda por cada estación de trabajo?.
La asignación de ancho de banda se lo realiza por dependencia y no por
máquina.
Se borra de cada estación de trabajo y de servidore s los temporales y
cookies?.
En los servidores si se lo hace pero se desconoce que los usuarios lo hagan.
Existe un análisis de log de forma manual o automát ica y con que
frecuencia?.
Los logs se chequean cada semana o cuando sea necesario cada 5 minutos
por ejemplo que la red se vuelva lenta y se lo realiza en forma automática.
Cual es el tiempo que se mantiene los respaldos de logs?.
Los respaldos de logs se guardan por mínimo 6 meses, en estos se registran
los intrusos a la red.
Existe un informe sobre el análisis de logs?.
No existe informes de logs se los realiza cuando se los necesita.
El log del FIREWALL es analizado en cuanto a paquet es?.
Se realiza revisiones al log del FIREWALL en cuanto a paquetes en ocasiones
de inconsistencia de paquetes, perdida entre otros.
Para realizar el monitoreo de red interna del Munic ipio lo hacen utilizando
software libre o comprado.
137
El software de monitoreo de red del municipio de Quito se lo obtiene de forma
gratuita en el Internet o por CRACKS.
El acceso a Internet es con usuario y password?.
Para acceder al Internet no hay password se lo realiza por dirección IP.
El password del correo electrónico puede ser cambiado por el usuario.
Se realiza un seguimiento de las últimas vulnerabil idades e incidentes
reportados por sitos especializados en la seguridad en INTERNET.
El administrador de esta área trata de hacer un seguimiento de las últimas
vulnerabilidades a través de las paginas de Internet SYMANTEC y Alerta _
virus, además están suscritos a la página CS, los cuales envían
documentación de nuevas vulnerabilidades y sus posibles soluciones.
Existe FTP anónimo?.
No tiene FTP anónimos.
Se tiene configurado VPNs para acceder a la Intrane t?.
Si se tiene VPNs pero solo para actualización de páginas.
138
Quito, 16 de Marzo del 2004 Señor Ingeniero Carlos Bonilla DIRECTOR METROPOLITANO DE INFORMÁTICA Presente. De mis consideraciones: Nosotras Jimena Arias Tapia y Alicia Lliguicota Aguayo, egresadas de la Escuela Politécnica Nacional de la carrera de Ingeniería Informática Mención en Redes, solicitamos a Usted de una manera muy respetuosa se digne autorizar a quien corresponda, se nos permita realizar la Auditoria a la Seguridad de la Red del Municipio Metropolitano de Quito, ya que es nuestro Tema de Tesis previo a la obtención del titulo de Ingeniera. Como antecedente, nos permitimos informarle que hubo una reunión previa con el Ing. Juan Carlos Guijarro, Jefe de Redes y Comunicaciones, el mismo que estuvo de acuerdo con nuestra petición. A continuación se detalla las actividades a realizarse en esta Auditoria:
• Revisar las Políticas de Seguridades en Redes existentes. • Revisar cada uno de los componentes y servicios de la red para detectar medidas de
prevención y garantizar la seguridad de la misma. • Revisar las seguridades físicas y accesos de la red. • Revisar las seguridades lógicas de la red.
Para esta auditoria se utilizaran software apropiado para esta actividad. Cabe notar que para el desarrollo de las actividades detalladas se lo realizara bajo la supervisión del Ing. Juan Carlos Guijarro a partir del 30 de Marzo del año en curso (Aproximadamente). Por la atención que se digne dar a la presente le anticipamos nuestro agradecimiento. Atentamente, Jimena Arias T. Alicia Lliguicota A. C:I: 171079004-7 C:I: 171325516-2
139
ANEXO 8
Normas 568 A o B
Norma EIA/TIA 568B RJ45
De acuerdo con la Norma EIA/TIA 568B RJ45 :
El Par #2 (blanco/naranja, naranja) y el Par #3 (blanco/verde, verde) son los únicos usados para datos en 10 Base T.
Par # 2 conectado a pin 1 y 2:
Pin 1 color: blanco/naranja
Pin 2 color: naranja
Par # 3 conectado a pin 3 y 6:
Pin 3 color: blanco/verde
Pin 6 color: verde
Los 2 pares trenzados restantes se conectan como sigue:
Par # 1
Pin 4 color: azul
Pin 5 color: blanco/azul
Par # 4
Pin 7 color: blanco/café
Pin 8 color: Café
Para que no haya confusiones aquí esta el ejemplo gráfico de la Norma 568B EIA/TIA (AT&T 258A)
140
Ya ordenados, los cables deben juntarse y cortar las puntas, para que estén todas al mismo nivel y no haya problemas al insertarlos en el conector RJ45. Los pares juntados y nivelados deben verse así:
Asegurese que todas las puntas lleguen hasta el tope del canal dentro del conector. Una vez insertados será necesario "poncharlos" con las pinzas adecuadas. No es necesario "pelar" el cable antes de insertarlo, las laminas en el conector perforarán el recubrimiento de los cables. Además, un seguro, en la parte posterior del conector "sujetará" el cable para evitar que se deslice hacia afuera. Ya "ponchado", el conector y el cable se verá así:
Si se va a usar un concentrador, las dos puntas del cable (la que se conecta al concentrador y la que se conecta a la tarjeta de red en la computadora) deberán poncharse usando la misma norma .
141
Red de Dos Computadoras "Clables Cruzados / Crossover"
¿Solo hay dos maquinas y no se justifica la compra de un concentrador?. Este es un caso muy común en las oficinas pequeñas o en su propia casa. Aquí esta la solución para este dilema. Como siempre, es necesario un cable UTP Categoría 5 y fabricar con el lo que se conoce como "cable cruzado" o "crossover" en el que se cambia el orden de los dos pares que transmiten los datos.
Necesita hacer un cable donde, los pins 1 y 2 de una de las puntas estén conectados los pins 3 y 6 de la otra. y los pins 3 y 6 de la primer punta esten conectados a los pins 1 y 2 de la otra punta. Los pins 4, 5, 7 y 8 no se mueven. ¿Complicado?, claro que no, ahora vamos a explicarlo.
Ya vimos la norma 568B y el orden de colores de sus pares de cables. Para hacer en cable cruzado usaremos otro orden conocido como la norma 568A . Una de las normas se aplicará en una de las puntas del cable y la otra en la otra punta, no importa que norma se conecte en cada computadora ¡solo son dos computadoras!.
Las dos puntas se verán asi:
De un la do: Del otro lado:
Punta Estándar 568B Punta Cruzada 568A (Crossover)
Pin 1 Blanco/Naranja Pin 1 Blanco/Verde Pin 2 Naranja Pin 2 Verde Pin 3 Blanco/Verde Pin 3 Blanco/Naranaja Pin 4 Azul Pin 4 Azul Pin 5 Blanco/Azul Pin 5 Blanco/Azul Pin 6 Verde Pin 6 Naranaja Pin 7 Blanco/Café Pin 7 Blanco/Café Pin 8 Café Pin 8 Café Esta es el orden correcto de los pines y pares de color para la punta cruzada
Par # 2 conectado a pins 1 y 2:
Pin 1 color: blanco/verde
Pin 2 color: verde
Par # 3 conectado a pins 3 y 6:
Pin 3 color: blanco/naranja
Pin 6 color: naranja
142
Una vez más, para evitar las confusiones:
La punta ESTANDAR se vera así: La punta CRUZADA se vera así:
Cuando los pares estén insertados en el conector RJ45 deben verse asi:
NOTA IMPORTANTE:
Es muy importante recordar que cuando se conectan computadoras en red no solo se las esta conectando físicamente, sino que también se las esta conectado eléctricamente. Una descarga de voltaje puede dañar una o varias maquinas. Es por esto que es de vital importancia aplicar una buena tierra física a la instalación eléctrica y así evitar sorpresas desagradables.
143
ANEXO 9 Pruebas con el software languard
144
145
146
147
148
Anexo 10 Pruebas obtenidas con es software spuertos.
149
150
151
ANEXO 11
Inventario De hardware y software
152
153
154
155
156
157
158
159
.
160
161
162
163
ANEXO 12 Pruebas realizadas con el software Lan scan
164
165
166
167
168
ANEXO 13 Reporte de logs utilizando el analizador de logs para proxy PLA.
169
170
171
ANEXO 14 Archivo de logs del firewall
172
173
ANEXO 15 Gráfico del packet shaper
174
175
ANEXO 16
ISO 17799 ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la
gestión de la seguridad de la información dirigidas a los responsables de iniciar,
implantar o mantener la seguridad de una organización.
ISO 17799 define la información como un activo que posee valor para la
organización y requiere por tanto de una protección adecuada. El objetivo de la
seguridad de la información es proteger adecuadamente este activo para asegurar
la continuidad del negocio, minimizar los daños a la organización y maximizar el
retorno de las inversiones y las oportunidades de negocio.
La seguridad de la información se define como la preservación de:
Confidencialidad . Aseguramiento de que la información es accesible sólo para
aquellos autorizados a tener acceso.
Integridad . Garantía de la exactitud y completitud de la información y de los métodos
de su procesamiento.
Disponibilidad . Aseguramiento de que los usuarios autorizados tienen acceso
cuando lo requieran a la información y sus activos asociados.
El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar
normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la
gestión de la seguridad.
176
RFC 1244 Acrónimo de request for comments (petición de comentarios). Resultado y proceso
de creación de un estándar en Internet. Los nuevos estándares se proponen y
publican en Internet como rfc
177
ANEXO 17
HARDWARE SI
CUMPLE
NO CUMPLE
EN PROCES
O CABLES Y CONECTORES
1 Verificar que exista cableado estructurado que siga la norma 568 A o B.
NO
ESTACIONES DE TRABAJO
1 Verificar que existen autorizaciones por escrito para extraer equipos fuera de la sede de la Compañía.
NO
2 Verificar utilizando un software de inventario de hardware para comprobar que se mantiene los mismos componentes del equipo.
NO
3 Comprobar que existan planes de contingencia para contrarrestar los peligros del medio ambiente.
SI
4 Verificar que exista cerraduras con llave, alarmas y personal de seguridad.
NO
5 Verificar que existan puestas a tierra y reguladores.
NO
6
Verificar que todos los equipos tengan un código de identificación y que exista un archivo con esta información y esté actualizado.
NO
7 Verificar que la configuración de los equipos lo realice los encargados del departamento técnico
SI
HARDWARE
SI CUMPL
E
NO CUMPLE
EN PROCES
O
8
Verificar que el ingreso a la información sensible almacenada en el disco duro u otros componentes de la estación de trabajo sea a través de una contraseña
NO
SERVIDORES Y EQUIPOS DE COMUNICACIONES
Verificar que en el cuarto de comunicaciones estén protegidos contra incendio y robos con la instalación de:
178
1 Extintores que sean adecuados para extinguir incendios en los equipos de computación y deben estar ubicados en sitios estratégicos
NO
2 Censores / Alarmas contra intrusos los mismos que deben estar en perfecto funcionamiento
NO
3
Acondicionador de temperatura para mantener la temperatura adecuada en el cuarto de comunicaciones
NO
4
Verificar la existencia de UPS en el cuarto de comunicaciones, y además realizar pruebas para verificar que soporten la carga de vateaje.
SI
5
Comprobar que toda persona con acceso al cuarto de comunicaciones tenga su tarjeta de acceso u otro mecanismo de ingreso, el mismo debe tener un horario establecido.
NO
6
Verificar que existan planes de contingencia para proteger contra los factores del medio ambiente.
SI
7
Constatar que el personal de limpieza no tenga acceso al cuarto de comunicaciones, y que sus actividades se realicen bajo la supervisión de una persona autorizada.
NO
8 Verificar la existencia de los pararrayos. NO
9
Verificar que en el cuarto de comunicaciones sea utilizado como tal, es decir que sus instalaciones no se encuentren equipos que no sean de Telecomunicaciones o datos.
NO
10
Verificar que exista un contrato con una compañía aseguradora en donde todos los equipos de computación y comunicaciones se encuentren asegurados.
SI
11 Verificar que en el cuarto de comunicaciones no se utilice el teléfono celular
NO
SOFTWARE
SISTEMAS OPERATIVOS Y SOFTWARE EN GENERAL
SI CUMPL
E
NO CUMPLE
EN PROCE
SO
1
Verificar que todo software existente en la empresa tengan con licencias y este debidamente autorizado por la gerencia de sistemas.
SI
2 Verificar que cada sistema operativo estén actualizados.
SI
179
3 Verificar en toda estación de trabajo que se encuentre configurado el protector de pantalla
NO
4 Verificar por medio de software si existe software diferente al instalado originalmente
NO
UTILITARIOS
CARPETAS COMPARTIDAS
1 Verificar que la carpeta compartida tenga clave de acceso.
SI
2 Verificar los permisos de la carpeta compartida de acuerdo a las necesidades del usuario que ingrese a las mismas
SI
CUENTAS
SISTEMA, CORREO
ELECTRONICO, ACCESO REMOTO, FTP Y WEB
1 Verificar que exista privilegios especiales solo a personas responsables de la administración o de la seguridad de los sistemas.
SI
2
Verificar que toda cuenta existente corresponda a un usuario activo de la empresa. NO
3 Verificar que no existan dos cuentas con el mismo nombre
SI
ESPECÍFICAS PARA CUENTAS DEL SISTEMA
SI CUMPL
E
NO CUMPLE
EN PROCE
SO
1
Verificar que luego de 3 minutos una cuenta se desconecte del sistema y para su reestablecimiento se necesite una contraseña.
NO
2
Verificar que el mantenimiento de las cuentas sea de 6 meses.
NO
180
ESPECÍFICAS PARA CUENTAS DE CORREO ELECTRONICO
1 Verificar que el uso de la cuenta de correo electrónico sea personal.
NO
2
Verificar con la persona encargada que la capacidad de almacenamiento para correo electrónico sea fija de acuerdo a las necesidades de la empresa.
NO
CONTRASEÑAS Y CONTROL DE ACCESO
SI CUMPL
E
NO CUMPLE
EN PROCES
O
1 SISTEMA, CORREO ELECTRONICO,
ACCESO REMOTO, FTP Y WEB
Las contraseñas deben estar formadas por:
1 Un mínimo de 6 caracteres. SI
2 Usar el alfabeto alternando mayúsculas con minúsculas y caracteres no alfabéticos (dígitos o signos de puntuación) para dificultar su identificación.
SI
3 Usar contraseñas que sean fáciles de recordar, así no tendrá que escribirlas.
NO
4
Las contraseñas no deben formarse con información relacionada con el usuario que pueda adivinarse fácilmente como números de matrículas, de coches, de teléfono, del seguro social, la marca de su coche, el nombre de la calle donde vive, etc.
SI
5
Las contraseñas no deben crearse con palabras que aparezcan en diccionarios de español ni de ningún otro idioma extranjero, listas ortográficas ni ninguna otra lista de palabras para que no sea fácil de adivinar
SI
6 Verificar que las contraseñas iniciales emitidas a un nuevo usuario debe ser válido para la primera sesión.
SI
7
Verificar que las contraseñas predefinidas que traen los equipos nuevos tales como ruteadores, switchs, entre otros, hayan sido cambiadas inmediatamente al ponerse en servicio el equipo ya que esta clave es conocida por el proveedor.
SI
181
8 Verificar el cambio inmediato de la contraseña en caso de creer que esta haya sido comprometida.
SI
9 Verificar que usuario no guarde su contraseña en una forma legible.
SI
10 Verificar que la contraseña no sea compartida. SI
11 Verificar que las contraseñas se cambien cada mes para evitar ser descubierta NO
12 Verificar que no se utilice una misma contraseña para acceder a servicios diferentes.
SI
13
Verificar que el número de accesos infructuosos sean 3 consecutivos
SI
ESPECÍFICAS PARA CORREO
ELECTONICO SI
CUMPLE
NO CUMPLE
EN PROCES
O
1 Comprobar que los usuarios realicen el cambio de clave una vez que el administrador le entregue la cuenta.
NO
VIRUS
1 Comprobar que se tenga en todo los equipos un antivirus que se active periódicamente y este actualizado.
SI
2 Comprobar que exista más de una herramienta antivirus en los servidores.
NO
3 Comprobar que exista un procedimiento a seguir en caso que se detecte un virus en algún equipo.
SI
4 Verificar que se realice comprobaciones periódicas de virus en estaciones de trabajo y servidores
SI
5 Verificar que antes de instalar o copiar cualquier tipo de información este se debe revisar que este libre de virus.
SI
6 Comprobar que no se utilice diskettes u otros medios de almacenamiento que estén infectados con virus.
SI
7 Comprobar que el administrador notifique de nuevas amenazas de virus.
SI
8 Verificar que el administrador efectúe chequeos de los mensajes y registros reportados por el software anti-virus de cualquier estación de trabajo de la red.
SI
9 Verificar que se hayan bloqueado los sitios que se tengan sospechas de difundir virus.
SI
182
DATOS
ANÁLISIS DE LOGS.
Los archivos logs debe contener lo siguiente: 1 User ID NO 2 Fechas y horas de log-on y log-off NO
3 Identificaciones de terminales y/o localizaciones si es posible.
NO
4 Guardar los intentos de acceso rechazados o satisfactorios al sistema.
NO
5 Guardar los intentos de acceso rechazados o satisfactorios a los datos u otros recursos.
NO
PERSONAL
1 Verificar en forma directa con el administrador que sea la única persona que pueda realizar la instalación de nuevo hardware o modificar el existente en las estaciones de trabajo.
NO
2 Verificar que los usuarios no fumen, ni coman ni beban mientras utilizan los computadores.
NO
3
Verificar que cuando un usuario cesa en sus funciones se elimine las cuentas, contraseñas y privilegios asignados a él, además debe entregar las llaves o tarjetas de acceso a la empresa.
SI
4
Verificar que los usuarios temporales no tengan privilegios sobre los sistemas informáticos de la Empresa
SI
5
Los trabajadores deben firmar un documento de confidencialidad al momento de formar parte de la empresa
NO
6 Verificar que el departamento de Informática preparare, mantenga y distribuya uno o más manuales de seguridad informática.
NO
7
Verificar que el departamento de Informática elabore un informe anual de los problemas y violaciones reportados en seguridad informática
NO
8
Verificar que el personal de administración de sistemas revise semanalmente las notificaciones sobre la vulnerabilidad de la seguridad informática emitidas por
SI
183
organizaciones confiables
SERVICIOS
CORREO ELECTRÓNICO. SI CUMPLE
NO CUMPLE
EN PROCES
O 2 Verificar que exista un protocolo de seguridad. NO
3 Verificar que los archivos con extensiones determinadas por el administrador no se puedan enviar a través del correo electrónico.
SI
5 Comprobar que el usuario borre correos sospechosos como aquellos que contengan caracteres inusuales en el campo “asunto” ó anónimos.
NO
7
Comprobar que los mensajes SPAM no sean contestados así como mensajes con falsos contenidos, tales como ofertas de premios, dinero, solicitudes de ayuda caritativa, advertencia de virus de fuentes desconocidas.
SI
9 Comprobar que los usuarios no envíen correo electrónico anónimo o con identidad de remitente falsa.
NO
WEB
1 Verificar que el acceso al Internet será a través de un solo punto para todos los usuarios de la empresa.
SI
2 Verificar que no se puedan descargar archivos determinados por el administrador.
NO
3 Verificar que el administrador mantenga un seguimiento de las últimas vulnerabilidades e incidentes reportados por sitios especializados en la seguridad del Internet.
SI
BLOQUEO DE PÁGINAS WEB SI CUMPLE
NO CUMPLE
EN PROCES
O
1 Comprobar que al navegar en el WEB no se tenga acceso a sitios prohibidos por la empresa
SI
2 Verificar que se haya publicado una lista de direcciones de sitios que hayan afectado a la seguridad y que los mismos estén bloqueados.
SI
FTP
184
1 Verificar que para acceder al servicio de FTP se utilice siempre un usuario con su debida contraseña.
SI
2 Verificar que el puerto para el servicio de FTP sea el 21.
SI
3 Comprobar que no exista el servicio de FTP anónimo para ningún usuario.
SI
ACCESO REMOTO
1 Verificar que exista usuario y password para el acceso remoto.
SI
2 Constatar que no exista conexiones DIAL-UP para acceder al Internet por parte de cualquier usuario.
SI
PROXY.
1 Comprobar que el servicio de PROXY tenga uno de los puertos estándares: 8080, 1080, 80, 81.
SI
2 Comprobar que este negado el acceso a direcciones improductivas como sexo, mp3, entre otras.
SI
CONTROL REMOTO
1 Comprobar que exista un usuario y password para establecer la conexión servidor de control remoto con la estación de trabajo.
SI
3 Comprobar que el servicio de control remoto se halle instalado en el servidor.
SI
DISTRIBUCIÓN DE SOFTWARE, INVENTARIO DE HARDWARE /
SOFTWARE Y MONITOREO DE RED SI CUMPLE
NO CUMPLE
EN PROCESO
1 Verificar que el servicio de distribución de software se encuentre instalado sólo en el servidor.
NO
2 Verificar que el software de control de hardware y software se encuentre instalado sólo en el servidor.
NO
3 Verificar que el software de monitoreo de red se encuentre instalado sólo en el servidor.
NO
4 Verificar que el monitoreo de red se realice sin previo aviso al usuario
NO
ANÁLISIS DE LOGS. SI CUMPLE
NO CUMPLE
EN PROCESO
6 Verificar la existencia de una herramienta que permita obtener en forma estadística los datos generados en el archivo log.
NO
185
7
Verificar que todos los archivos log y los registros de auditoría se revisen periódicamente y se guarden durante tres meses.
SI
8 Verificar que exista un registro semanal del análisis del log.
NO
RESPALDOS DE INFORMACIÓN
1 Verificar con los administradores de los distintos departamentos, los archivos que sé están respaldando, la frecuencia y el método de respaldo.
SI
2 Verificar que exista respaldos de los logs. SI
3
Comprobar que exista los respaldos de programas fuentes, ejecutables, archivos de configuración o booteo del sistema operativo de los equipos de computo, software aplicativo en soportes no reescribibles.
SI
4 Comprobar que los respaldos obtenidos se pueden recuperar en cualquier momento y sin errores.
NO
5 Verificar que las copias de respaldos sean guardados en sitio seguro fuera de la empresa.
NO
PERSONAL
1 Verificar en forma directa con el administrador que sea la única persona que pueda realizar la instalación de nuevo hardware o modificar el existente en las estaciones de trabajo.
NO
2 Verificar que los usuarios no fumen coman ni beban mientras utilizan los computadores.
NO
3 Verificar que si existe un equipo que no pertenezca a la empresa, tenga su debida autorización de ingreso.
NO
SERVICIOS
CORREO ELECTRÓNICO. SI CUMPLE
NO CUMPLE
EN PROCESO
1 Verificar que exista un antivirus para correo electrónico.
SI
2 Verificar que exista un protocolo de seguridad. NO
3 Verificar que los archivos con extensiones determinadas por el administrador no se puedan enviar a través del correo electrónico.
SI
4 Verificar que exista una cuota de disco. SI
186
5 Comprobar que el usuario borre correos sospechosos como aquellos que contengan caracteres inusuales en el campo “asunto” ó anónimos.
NO
6 Comprobar que la información propia de la empresa se la distribuye a través del correo electrónico.
NO
7
Comprobar que los mensajes SPAM no sean contestados así como mensajes con falsos contenidos, tales como ofertas de premios, dinero, solicitudes de ayuda caritativa, advertencia de virus de fuentes desconocidas.
SI
8 Comprobar que los mensajes que estén dirigidos a un gran número de destinatarios sean mensajes oficiales.
NO
9 Comprobar que los usuarios no envíen correo electrónico anónimo o con identidad de remitente falsa.
NO
10 Comprobar que los usuarios no transmitan mensajes por correo electrónico con términos que atenten a la moral y dignidad humana.
NO
11 Verificar que no existan e-mail de cualquier tipo de carta en cadena.
NO
WEB
1 Verificar que el acceso al Internet será a través de un solo punto para todos los usuarios de la empresa.
SI
2 Verificar que no se puedan descargar archivos determinados por el administrador.
NO
3 Verificar que el administrador mantenga un seguimiento de las últimas vulnerabilidades e incidentes reportados por sitios especializados en la seguridad del Internet.
SI
BLOQUEO DE PÁGINAS WEB SI CUMPLE
NO CUMPLE
EN PROCESO
1 Comprobar que al navegar en el WEB no se tenga acceso a sitios prohibidos por la empresa
SI
2 Verificar que se haya publicado una lista de direcciones de sitios que hayan afectado a la seguridad y que los mismos estén bloqueados.
SI
FTP
1 Verificar que para acceder al servicio de FTP se utilice siempre un usuario con su debida contraseña.
SI
187
2 Verificar que el puerto para el servicio de FTP sea el 21.
SI
3 Comprobar que no exista el servicio de FTP anónimo para ningún usuario.
SI
ACCESO REMOTO
1 Verificar que exista usuario y password para el acceso remoto.
SI
2 Constatar que no exista conexiones DIAL-UP para acceder al Internet por parte de cualquier usuario.
SI
PROXY.
1 Comprobar que el servicio de PROXY tenga uno de los puertos estándares: 8080, 1080, 80, 81.
SI
2 Comprobar que este negado el acceso a direcciones improductivas como sexo, mp3, entre otras.
SI
CONTROL REMOTO
1 Comprobar que exista un usuario y password para establecer la conexión servidor de control remoto con la estación de trabajo.
SI
2 Verificar que exista el software cliente o servidor en las maquinas donde necesite este servicio.
SI
3 Comprobar que el servicio de control remoto se halle instalado en el servidor.
SI
DISTRIBUCIÓN DE SOFTWARE, INVENTARIO DE HARDWARE /
SOFTWARE Y MONITOREO DE RED SI CUMPLE
NO CUMPLE
EN PROCESO
1 Verificar que el servicio de distribución de software se encuentre instalado sólo en el servidor.
NO
2 Verificar que el software de control de hardware y software se encuentre instalado sólo en el servidor.
NO
3 Verificar que el software de monitoreo de red se encuentre instalado sólo en el servidor.
NO
188
ANEXO 18
PROFESIONALES EN AUDITORIA DE SISTEMAS COMPUTACIONA LES
Quito, 10 de Abril del 2004
Ing. José Luis Grijalva
Jefe del Área de Sistemas del Municipio de Quito
Presente:
Con atento saludo me dirijo a usted, para remitir el dictamen preliminar de la
auditoría practicada al Área de sistemas, con especial énfasis a la operación de la
red de esa institución misma que se llevo a cabo desde 25 de Marzo al 8 de abril del
año en curso.
De los resultados obtenidos me permito informarle las siguientes observaciones,
a) HARDWARE
Cables y conectores
El área de Redes y Comunicaciones de la Empresa no cuenta con un cableado
estructurado que siga la Norma estandarizada como es la TIA/EIA 568A o 568B
(Ver anexo 8 ), el mismo que recomienda seguir lo siguiente:
• Planos del diseño del cableado
• Utilizar un código de colores para puntos de red
• Etiquetar todos los puntos de red, entre otros.
189
Estaciones de trabajo
Para el egreso de los equipos de la empresa no existe ninguna autorización por
escrito ya que esto es controlado por el personal de seguridad el mismo que solo
anota las características del equipo.
No existe un inventario de hardware y software de las estaciones de trabajo de la
empresa ni una codificación para las mismas, por tal motivo se producen robos
frecuentes del hardware sin que se percaten de lo sucedido el personal del área de
informática.
Existe un proyecto en el que se esta desarrollando planes de contingencia con el fin
de proteger la red de los peligros del medio ambiente.
El acceso físico al área de redes y comunicaciones no tiene algún tipo de seguridad
en buen estado ya que las cerraduras se encuentran en mal estado existen alarmas
que no funcionan y un solo guardia de seguridad.
Existen puestas a tierra pero el voltaje no se encuentra dentro de los rangos
permitidos (0 a 0.5 V) y no tienen reguladores de voltaje.
No existe una contraseña en las estaciones de trabajo al momento del encendido a
menos que sea solicitado por el usuario. Cada usuario es administrador de su propio
equipo por lo que pueden cambiar la configuración, instalar o quitar algún software.
Servidores y equipos de comunicaciones
Actualmente se tiene dos extintores de incendios para la dirección de informática, lo
cual no es suficiente en caso de un incendio y además se encuentran bajo llave.
El cuarto donde se encuentran los equipos de comunicaciones y servidores es
compartido con las estaciones de trabajo del personal técnico del área además no
190
existe detectores de humo, agua, alarmas contra incendios, acondicionador de
temperatura, sensores y/o alarmas contra intrusos. La ubicación de esta área es
peligrosa ya que esta sobre un alcantarillado y si se produjera algún desastre natural
como inundaciones, esta área seria la más afectada.
En la dirección de informática se tiene un UPS que presta servicio en esta dirección
para todos los equipos de comunicación por 2 horas, este se encuentra ubicado en
un lugar distante sin el debido control, ya que en algunas ocasiones no se escucha la
alarma de apagado, lo que provoca, el apagado brusco de todos los equipos que
prestan servicio a la empresa, provocando que algunas dependencias queden
incomunicadas entre sí, lo que ocasiona malestar en los usuarios.
No existe protección contra descargas de tormentas eléctricas.
Los equipos de comunicaciones y estaciones de trabajo cuentan con un seguro
contra robos y daños provocados por el medio ambiente.
b) SOFTWARE
Sistemas operativos y software en general
En cuanto a los sistemas operativos existe un mayor control ya que se encuentra
instalados en la mayoría de los equipos y especialmente en los servidores los
services pack actualizados, y las licencias son corporativas de todo el software
existente las mismas que antes de su utilización, se obtienen respaldos y se trabaja
con las copias.
La mayoría de usuarios no configuran el protector de pantalla ni tampoco borran los
cookies, archivos temporales e historiales mientras que en los servidores si lo hacen.
191
Utilitarios
Carpetas compartidas
El manejo de carpetas compartidas en las estaciones de trabajo la realiza cada
usuario y la única recomendación que existe es que se de acceso solo de lectura la
misma que es acogida por la mayoría de los usuarios. Y en el servidor de
aplicaciones se comparten carpetas con acceso solo de lectura.
Cuentas
Red, sistema, correo electrónico, acceso remoto, ftp y web
Se crean cuentas con privilegios especiales solo para el administrador y a los
usuarios se establecen los privilegios de acuerdo a las funciones que desempeñan.
Para la creación de cuentas utilizan un estándar propio y depende a que servicio va
a tener acceso. Por ejemplo:
Para acceder a la red, el nombre de usuario y clave es la misma, cuya codificación
es la primera letra del nombre y el apellido:
User: jarias
Password: jarias
Pero todos los usuarios que acceden a la red no tienen privilegios de administrador
por lo tanto no pueden ejecutar ningún software en la red.
Para acceso remoto:
Usuario: muninfo22 Password: ccnv22qui
192
Para Correo Electrónico: Email: [email protected] User: hcamacho Password: hcamacho4534 Además se debe realizar una solicitud dirigida al Director del área de Informática
para acceder a los siguientes servicios: correo electrónico, web, ftp. Ver anexo 2.
Las cuentas son revisadas una vez al año para dar de baja las que no se utilicen.
Cuando el usuario esta dentro del sistemas y deja de utilizar por más de 15 minutos
esta no se desconecta.
Especificas para Correo electrónico
El LOTUS NOTES es el software utilizado en la empresa el mismo que emite
mensajes de alerta cuando la cuota asignada a cada cuenta de usuario esta en el
límite. La cuota asignada no es fija para todos los usuarios ya que existen privilegios
de acuerdo al cargo que desempeñan, por ejemplo la máxima autoridad de la
empresa no tiene límite, mientras que los usuarios tienen 25 mb de cuota asignada.
La mayoría de los usuarios no utilizan la cuenta de correo electrónico de forma
personal.
Especificas para acceso remoto
No se puede crear dos cuentas con el mismo nombre.
Contraseñas y control de acceso
193
Red, sistema, correo electrónico, acceso remoto, ftp y web
Las contraseñas tienen su codificación propia especial para cada servicio por
ejemplo tienen una longitud mínima de 8 caracteres, no tiene relación con
información personal, no son fáciles de recordar y no son palabras que existen en
diccionarios. Ver anexo 3.
Ejemplo Acceso Remoto: Usuario: muninfo22 Password: ccnv22qui Ejemplo Correo Electrónico: Email: [email protected] User: hcamacho Password: hcamacho4534
Todas las claves de los servicios como ftp, acceso remoto, son asignadas por el
administrador y solo él los puede cambiar.
Las claves y usuarios se los entrega en un documento sellado.
Las contraseñas no son cambiadas regularmente sino cuando los usuarios soliciten
que se les cambie la contraseña en caso de haberse comprometida la clave ya que
no comparten las mismas.
Las contraseñas predefinidas que traen los equipos nuevos tales como ruteadores,
switch, entre otros son cambiadas inmediatamente al ponerse en servicio el equipo.
El número de intentos infructuosos de acceso a los servicios son de tres.
Especificas para correo electrónico
194
Las contraseñas para acceder al correo electrónico puede ser cambiado por los
usuarios pero la mayoría desconoce como hacerlo por lo que solicita al administrador
hacer esta actividad.
Virus
En cuanto a Antivirus las estaciones de trabajo que existen en la empresa tienen
instalados un programa antivirus Norton 8.0.1, el mismo que se actualiza
constantemente en el servidor a través de Internet, y las estaciones de trabajo
cuando se validan en el servidor automáticamente se actualizan, por medio de este
software se tiene una protección en tiempo real en cada una de las estaciones y un
detalle de virus encontrados, lo que permite tener seguridad cuando se obtiene
información desde Internet, cuando se envía o se recibe cualquier archivo por correo
o cuando se comparte información a través de la red o se utilizan disket u otro medio
de almacenamiento.
En caso de detectar un virus en un equipo, este inmediatamente es retirado de la red
y vacunado.
El administrador se encarga de difundir a todos los usuarios de la red la presencia de
nuevos virus y sus respectivos cuidados. En caso de ser necesario procede a
bloquear sitios que se tengan sospechas de difundir virus.
c) DATOS
Análisis de logs
Para análisis de logs en el Proxy se cuenta con una herramienta de software que
permite obtener datos en forma estadística de los bytes transmitidos, usuarios que
hicieron la petición, ejemplo: PLA (Proxy Logs Analyser)
195
Los logs se revisan semanalmente pero no se obtiene un informe de análisis, estos
logs son guardados por un lapso de seis meses.
Respaldos de información
Los respaldos de la información de los servidores en el área de redes y
comunicaciones se realizan en discos duros en forma diaria y se da de baja cada
semana, el lugar donde guardan los respaldos es en la misma área.
No se ha realizado ningún tipo de comprobación de integridad de la información
respaldada.
Existe respaldos de programas fuentes ejecutables, archivos de configuración o
booteo del sistema operativo de los equipos de cómputo en medios no reescribibles.
d) PERSONAL
Los usuarios fuman, beben, y comen en el área de trabajo a veces ocasionando
daños en el equipo y hasta perdida de información.
e) SERVICIOS
Correo electrónico
En cuanto a Correo electrónico, el Lotus Notes es la aplicación que se utiliza para
correo electrónico, la cuota de espacio en disco (buzón), es de 25Mb para cada
usuario en el servidor.
196
Gráfico Nro. 3.1. Lista de usuarios de correo electrónico
El servidor de correo tiene instalado un software de antivirus, el mismo que permite
proteger a los usuarios de correo cuando envían o reciben mensajes.
Cuando la cuota esta por llegar a su límite, el Lotus Notes envía automáticamente un
mensaje para que vacíen el buzón, caso contrario el Administrador procede a
borrarlo.
No existe restricción para bajar cualquier tipo de archivos como .exe, .jpg, gif, mp3.
La capacidad de envío y recepción de mensajes de correo electrónico es de 2 Mb.
Los protocolos que se utilizan para correo electrónico es SMTP por el puerto 25 y
POP 3 por el puerto 110, no existe restricciones contra SPAM, pero en el programa
197
que utilizan para correo existe un seteo que no permite el ingreso de la mayoría de
correo no deseado.
Los usuarios por lo general solicitan al administrador que borre los correos de su
cuenta.
La información propia de la empresa es distribuida a través de un software diseñado
por la misma llamada SAD.
No existe control en los mensajes enviados por los usuarios.
Web
El servidor web por medidas de seguridad se tuvo que trasladar hacia el ISP, ya que
en ocasiones anteriores existieron modificaciones a la página web de la empresa, lo
que ocasiono pérdida y confusión de la información presentada en esta.
Por medio de un software (MRTG) se puede monitorear y obtener estadísticas de
desempeño del ancho de banda en forma diaria, semanal y mensual de un canal de
comunicaciones, por ejemplo el enlace de Internet entre el ISP (Punto Net) y la
empresa, con estas estadísticas lo que se consigue es saber el momento en que el
enlace estuvo congestionado (horas pico), porcentaje de utilización del canal.
Máx Entrante:496.1 kb/s (0.0%) Promedio Entrante: 124.7 kb/s (0.0%) Actual Entrante:2456.0 b/s (0.0%)
Máx Saliente:316.5 kb/s (0.0%) Promedio Saliente: 34.3 kb/s (0.0%) Actual Saliente:2928.0 b/s (0.0%)
Gráfico Nro. 3.2. Medición del tráfico mensual
198
En el anexo 4 esta los resultados obtenidos por el MRTG.
Bloqueo de páginas web
Existe un bloqueo de páginas web que son improductivas para los intereses de la
empresa en el firewall, mientras que en el Packetshaper existe una restricción por
servicio por ejemplo el Messenger.
FTP
El FTP anónimo no existe y el puerto de comunicación es el 21.
Acceso remoto
Las autorizaciones para utilizar conexiones DIAL UP es de acuerdo al cargo que
desempeña el usuario, por ejemplo la máxima autoridad de la empresa si tiene
acceso a este servicio.
Proxy
Para el ingreso al Internet la autenticación es en el servidor PROXY usando el puerto
80, a través de la dirección IP de cada máquina.
199
Gráfico Nro. 3.3. Autenticaciones para ingresar al Internet por dirección IP
El acceso al Internet es a través del puerto 80, el sistema operativo del servidor es
Windows 2000 server.
Control remoto
Para acceder al los servidores, el personal del área de redes y comunicaciones, de
forma remota utilizan el programa VNC (Virtual Network Control) el mismo que tiene
su contraseña.
Distribución de software, Inventario de hardware y software y monitoreo de red
No disponen de una herramienta para inventario de hardware y software como
también en distribución de software y monitoreo de red.
200
En lo que se refiere a los equipos de comunicaciones como el router y firewall, no se
tuvo acceso a los mismos, pero se obtuvo un archivo logs del firewall (ver anexo 14),
por lo tanto la información que a continuación se describe tiene como referencia
bibliográfica de la tesis “Implementación de un Firewall” realizada por Alexandra
Copo y Gissele Calderón.
El municipio utiliza el ruteador IBM 2210 en el que:
• Tiene clave de acceso
• Utiliza el protocolo RIP (Routing Information Protocol).
• Ingreso de las direcciones IP (reales) a la tabla de ruteo se realiza de forma
manual es decir sin utilizar ruteo dinámico.
• El Administrador es la única persona que puede modificar la tabla de ruteo.
Tabla Nro. 3.4 Tabla de ruteo Fuente: Tesis Implementación de Firewall, Alexandra Copo y Gissele Calderón.
Firewall
El municipio utiliza un Firewall 3com en el que:
• Tiene clave de acceso.
• Restringe acceso interno y externo.
• En el puerto DMZ, se encuentran conectados todos los servidores.
201
La empresa a más del Firewall tiene implementado un equipo llamado PacketShaper
(Ver anexo 15) que se utiliza para bloquear servicios de la red como: Chat y
Messenger.
202
ANEXO 19 Empresa: Area Auditada Fecha
Ilustre Municipio de Quito Sistemas 25 de Marzo al
8 de Abril del 2004
Nr. Situación Causas Solucion Fecha de Solución Responsable
1 Área de informática esta sobre
No existe planificación Reubicar el área
Diciembre del 2004 Administración del
un alcantarillado del lugar IMQ
2 Ingreso /egreso de equipos a la Negligencia Implementar control Mayo del 2004 Personal Sistemas
empresa no hay control Guardias
3 No existe cableado estructurado Económico
Instalar cableado estructurado que Indeterminado Empresa externa
cumpla con ANSI 568 A ó B
4 No existen seguridades Econónimo
Instalar un sistema de seguridad Indeterminado Empresa externa
para acceso físico al área
5 No existe inventario de hardware, Falta de interés
Realizar una base de datos en Junio del 2004 Ing. Alexandra Copo
y software cualquier plataforma para tener un
control
6 Cuarto de comunicaciones es
No existe planificación Reubicación del área
Diciembre del 2004 Administración del
compartido con estaciones del lugar IMQ
7 Algunas estaciones de trabajo no Falta de interés
Actualizar los sitemas operativos Junio del 2004 Personal de sistemas
se encuentran actualizados con
sistemas opreativos actualizados
203
ANEXO 20
PROFESIONALES EN AUDITORIA DE SISTEMAS COMPUTACIONA LES
Quito, 13 de Abril del 2004
Ing. José Luis Grijalva
Jefe del Área de Sistemas del Municipio de Quito
Presente:
Con atento saludo me dirijo a usted, para remitir el informe final de la auditoría
realizada al Área de sistemas, la misma que se llevo a cabo desde 25 de Marzo al 8
de abril del año en curso.
De acuerdo con las pruebas realizadas a la red da la empresa me permito dictaminar
y recomendar los siguiente:
FISICA
Hardware
• Reubicar el área de informática a un lugar que no este sobre el alcantarillado y
crear un área la que sea utilizada solo para los equipos de comunicaciones y
servidores.
• Instalar alarmas o sensores para detección de humo, agua, incendios,
intrusos, acondicionador de temperatura y colocar un UPS que soporte a
todos los servidores y equipos de comunicaciones dentro de la misma área.
• Realizar mantenimientos periódicos de por lo menos dos veces al año en las
alarmas/sensores, acondicionador de temperatura y UPS.
• La oficina del personal técnico debe estar ubicada junto al cuarto de
comunicaciones y servidores.
204
• Se recomienda adquirir por lo menos un extintor por cada área de la dirección
de informática ( mínimo cuatro) y la ubicación de estos debe ser en un lugar
visible y de fácil acceso.
• Se recomienda contratar a personal especializado para mejorar la puesta a
tierra existente en la empresa.
• Instalar pararrayos para proteger de las tormentas eléctricas. Adquirir
reguladores de voltajes para las estaciones de trabajo. .
• Instalar cableado estructurado que siga las normas estándar EIA/TIA 568 A o
B, con personal calificado contratado o propio de la empresa.
• Instalar un sistema de seguridad para acceso físico a las diferentes áreas de
la empresa con horarios establecidos de acuerdo a las funciones de cada
usuario como pueden ser: tarjetas magnéticas, mediante códigos de
seguridad, cerraduras con llaves, entre otros.
Estaciones de trabajo
• Con la información obtenida del software Netsupport, (inventario de hardware
y software) realizar una base de datos en cualquier plataforma para tener un
control del hardware existente en los equipos, y en cuanto a la información
entregada sobre el software se recomienda desinstalar el software que no sea
útil para el usuario.
• Implementar una codificación para los equipos la misma que nos permitirá
llevar de mejor manera la base de datos propuesto.
• Cada usuario se tiene que hacer responsable del equipo que esta utilizando
para lo cual deben firmar un documento en donde se responsabilicen de todos
los componentes del equipo en caso de robo o daño provocado.
• Para la salida de equipos de la empresa se debe tener un documento en
donde el empleado se responsabilice por el equipo y dicho documento debe
ser firmado y archivado.
• Debe existir una campaña para concienciar a los usuarios que el fumar, beber
y comer en el área de trabajo puede ocasionar daños en el equipo y en
ocasiones hasta perdida de información.
205
• El personal encargado de la administración de la red de la empresa debe
organizar charlas dirigidas a los usuarios para concienciar sobre el uso de su
equipo y de los recursos de la red.
• El departamento técnico debe ser el encargado de manipular el hardware y
software de cada estación de trabajo, es decir el usuario no debe ser el
administrador de su equipo.
SOFTWARE
Sistemas Operativos
• Se encontraron numerosas vulnerabilidades de los sistemas operativos, se
recomienda que exista una persona encargada exclusivamente de corregir las
vulnerabilidades y utilizar la información proporcionada por el software
Languard ya que adicionalmente entrega direcciones web donde se obtiene
parches, service pack o actualizadores que se necesiten.
• En la mayoría de los sistemas operativos se encuentran instalados los service
pack actualizados y en los que no se recomienda instalar los mismos. Por
ejemplo para:
o windows 2000 el service pack 4
o windows xp el service pack 2
o office 2000 el service pack 3
Cuentas
• El administrador o personal encargado debe revisar las cuentas de usuarios
por lo menos cada tres meses para borrar las cuentas inactivas o que no se
han utilizado.
• Se recomienda que por lo menos existan dos herramientas antivirus
instalados en los servidores los mismos que deben estar actualizados y
activados.
206
DATOS
Respaldo de información
• Realizar pruebas de integridad con los respaldos y guardar los mismos en un
lugar seguro y alejado de la empresa por ejemplo: Bóveda de algún banco.
Análisis de logs
• Se recomienda revisar los logs de los servidores y equipos de comunicaciones
una vez a la semana y realizar informes de lo encontrado.
SERVICIOS
Correo Electrónico
• Recomendar a los usuarios que borren correos anónimos, correos con
promociones o de fuentes desconocidas. Además que no envíen correos
cadenas, correos anónimos o correos con términos que atenten contra la
moral de la persona.
Web
• Se recomienda que para acceder al Internet se utilice usuario y contraseña a
más de la autenticación de la dirección IP.
Control remoto
• Se recomienda que se instale el VNC cliente en todas las estaciones de
trabajo para tener un control remotamente y de esta manera se ahorra tiempo
del personal técnico ya que puede instalar software, reparar daños lógicos
desde su lugar de trabajo.
207
Monitoreo de red
• Se recomienda tener un software para monitoreo de la red LAN como por
ejemplo SNIFER PRO.
PERSONAL
• El personal encargado de la administración de la red de la empresa debe
implementar políticas de seguridad que ayuden a mejorar la seguridad de la
red basándose en las sugerencias dadas en este proyecto
208
ANEXO 21
ENTREVISTA
1. Existe cableado estructurado de acuerdo a algún estándar internacional?
- Este dentro de la norma 568 A o B
- Cables dentro de canaletas
- Conectores con protección
- Existe un plano donde se hallen todos los puntos de red identificados.
- Hay cableado redundante para futuros puestos de trabajo
- Se mide el grado de interferencia existente
- Entre otros
2. Para ingreso o egreso de equipos en la empresa existe un documento
de autorización?
3. Existe planes de contingencia?
4. Hay seguridad para acceder al departamento de sistemas?
- Puertas con cerraduras
- Tarjetas de acceso
- Personal de seguridad
5. Existe control en las estaciones de trabajo?
- Control del hardware instalado en cada computador (mínimo necesario)
- Control del software instalado en cada computador (mínimo necesario)
- Restricciones de acceso a cada computador. Ejemplo el usuario de
cada equipo ingresa como un usuario sin privilegios de su equipo.
- Existe un inventario de todo hardware con su respectiva codificación de
toda la empresa.
- Hay un password en la bios en cada computador
6. Que medidas se toman en caso de robo de equipos?
7. Existe equipos para proteger contra variaciones de voltaje o fallas de energía
eléctrica?
- Como UPS, reguladores de voltaje, corta picos.
209
8. Existe un control de ancho de banda por cada estación de trabajo?
9. Existe un cuarto de comunicaciones en donde se encuentre los equipos de
comunicaciones?
- En donde haya: sensores de temperatura, alarmas, entre otros.
- Controles de acceso
- UPS, reguladores de voltaje.
- Restricción de acceso
- Planes de contingencia
- Seguros para lo equipos
- Existen pararrayos
10. Existe un seguro contra daños y robos de los equipos
11. Existe copias de todo software antes de su utilización?
12. Esta instalado el último parche de cada sistema operativo?
13. Se borra de cada estación de trabajo y los servidores los temporales, cookies?
14. Todos los recursos compartido en redes tiene su debida protección, controles
de acceso?
15. Existe control en la creación de cuentas?
- Privilegios solo a los que necesiten
- Cuenta debe ser cancelada por salida del empleado
- Revisión de privilegios y uso de las cuentas
- El nombre de usuario sea único
16. Para cuentas de correo electrónico existe un procedimiento formal para
usuarios que deseen acceder al mismo?
17. Quien dispone que usuarios deben tener acceso a correo electrónico?
18. En cuentas de correo electrónico se debe controlar:
- Que su utilización sea personal
- Borre los mensajes cuando lleguen al límite de su cuenta
- Asignación del límite de cuota.
19. Control en contraseñas en :
- Debe tener un mínimo de 6 caracteres
- No debe compartirse
210
- No debe ser información personal del usuario
- No debe ser creada con información que aparezca en el diccionario
- Cuando se utiliza por primera vez la contraseña se debe
cambiar.(cuentas, equipos)
- Cambio de contraseñas debe ser mensual
- No se debe guardar la contraseña en lugares legibles
- Una misma contraseña no se debe utilizar para acceder a varios
servicios
- 3 debe ser los intentos infructuosos para acceder a cualquier servicio
20. Cambio de contraseñas para navegación en el web debe ser de forma directa
con el Administrador
21. Existe una herramienta de antivirus instalada en cada estación de trabajo y
servidores?
22. Como se realiza la actualización de antivirus, y cual es el procedimiento en
caso que se encuentre virus?
23. Cada que tiempo se hace un escaneo por virus en cada máquina?
24. El Administrador notifica a los usuarios la existencia de nuevos virus?
25. El Administrador bloquea diferentes sitios web que considere peligroso para el
contagio de virus?
26. Existe un análisis de log, de forma manual o automática ? Con que
frecuencia?
27. Por que tiempo se guardan los logs?
28. Que información general existe en los logs, servidores, firewall, ruteadores?
29. Existe un informe sobre el análisis de logs?
30. Quien decide la información a respaldarse y la frecuencia?
31. Donde se guardan los respaldos y que tipo de medio se utiliza para obtener
los respaldos?
32. Se realizan comprobaciones de integridad de los respaldos?
33. Quien instala o modifica el hardware y software de cada equipo?
34. Existe control para la correcta utilización del equipo( no comer, beber, cuando
se utiliza el equipo)?
35. Cuantas licencias de sistema operativo tiene la empresa?
211
36. La empresa cuenta con un servidor de DNS?
37. El servidor de correo electrónico posee un antivirus?
38. Se controla a los usuarios que:
- Los mensajes de SPAM no sean contestados así como mensajes con
falsos contenidos, tales como ofertas de premios, dinero, solicitudes de
ayuda caritativa, advertencia de virus de fuentes desconocidas?
- Los archivos con extenciones establecidas por el administrador no se
puedan enviar a través del correo electrónico?
- No envíen correo electrónico anónimo o con identidad de remitente
falsa?
- No transmitan mensajes por correo electrónico con términos que
atenten a la moral y dignidad humana?
39. Se realiza encuestas en donde el usuario indica si borra correos sospechosos
como aquellos que contengan caracteres inusuales en el campo “asunto” ó
anónimos?
40. Los mensajes que son dirigidos a un gran número de destinatarios son
oficiales?
41. La información propia de la empresa se la distribuye a través del correo
electrónico?
42. El tamaño de los archivos adjuntos al correo electrónico interno y externo es
de 2 MB máximo.
43. Se Verifica que no existan mail de cualquier tipo de carta en cadena?
44. El acceso al Internet se realiza a través de un solo punto para todos los
usuarios de la empresa.?
45. Existe un protocolo de seguridad para el envío y recepción de correo?
46. Verificar que no se puedan descargar archivos .mp3 y los archivos que se
descarguen deben pasar por un antivirus actualizado****
47. El administrador mantiene un seguimiento de las ultimas vulnerabilidades e
incidentes reportados por sitios especializados en la seguridad del
Internet............................?
48. El servicio de control remoto se halla instalado en el servidor?
212
49. Existe usuario y password para establecer la conexión servidor de control
remoto con la estación de trabajo?
50. El servicio de distribución de software como se lo realiza (software o manual).
Si es por software donde está instalado.?
51. Se realiza el inventario de hardware y software manualmente o por software.
En caso de software donde esta instalado.?