AUDITORIA DE REDESAUDITORIA DE REDES

Ing. Victor Andres Ochoa CorreaIng. Victor Andres Ochoa Correa

��DEFINICIONDEFINICION

SonSon unauna serieserie dedemecanismosmecanismos mediantemediante loslos

cualescuales sese pruebaprueba unauna RedRed Informàtica,Informàtica,

evaluandoevaluando susu desempeñodesempeño yy seguridad,seguridad,evaluandoevaluando susu desempeñodesempeño yy seguridad,seguridad,

lograndologrando unauna utilizacionutilizacionmasmas eficienteeficiente yy

SeguraSegura dede lala informacioninformacion..

��ETAPASETAPASAA IMPLEMENTARIMPLEMENTAR�� Analisis de Vulnerabilidad:Analisis de Vulnerabilidad:PuntoPuntomasmas criticocritico dede todatoda lala auditoriaauditoria porqueporquedede elel dependedepende elel cursocurso dede accionaccion aa tomartomar enen laslassiguientessiguientes etapasetapas yy elel exitoexito dede ellasellas..

22.. EstrategiaEstrategia dede SaneamientoSaneamiento::�� ParcheaParchea lala redred despuesdespues haberhaber identificadoidentificado

laslas brechas,brechas, reconfigurandolasreconfigurandolas ooreemplazandolasreemplazandolas porpor otraotramasmas segurasegura..

�� LasLas basesbases dede datos,datos, servidoresservidores internosinternos correo,correo,comunicacioncomunicacion sinsin cifrar,cifrar, estacionesestaciones dede trabajotrabajosese debendeben reducirreducir elel riesgoriesgo..

33.. PlanPlanContingenciaContingencia::�� ReplantearReplantear lala redred

SoftwareSoftware reconfiguradoreconfigurado oo rediseñadorediseñado�� SoftwareSoftware reconfiguradoreconfigurado oo rediseñadorediseñado�� ReportarReportar nuevosnuevos fallosfallos dede seguridadseguridad

ElEl riesgoriesgo concon estosestos itemsitems deldel planplan dede contingenciacontingenciadisminuyedisminuye..

33.. SeguimientoSeguimiento continuocontinuo::

SeSe debedebe estarestar pendientependiente aa loslos fallosfallos queque sesepresentanpresentan loslos cualescuales facilitanfacilitan intrusionintrusion dede loslossistemassistemas.. PeroPero existenexisten nuevasnuevas tecnologiastecnologiasparapara prevenirprevenir estosestos problemasproblemas.. SeSe debedebe estarestarparapara prevenirprevenir estosestos problemasproblemas.. SeSe debedebe estarestarpendientespendientes dede lolo queque sucedesucede parapara cubrircubrir laslasnuevasnuevas brechasbrechas yy hacerhacer elel trabajotrabajo masmas dificildificilaa nuestrosnuestros atacantesatacantes..

AUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICASe debe garantizar que exista:Se debe garantizar que exista:Se debe garantizar que exista:Se debe garantizar que exista:Se debe garantizar que exista:Se debe garantizar que exista:Se debe garantizar que exista:Se debe garantizar que exista:�� ÁreasÁreas dede equipoequipo dede comunicacióncomunicación concon controlcontrol dede

accesoacceso

�� ProtecciónProtección yy tendidotendido adecuadoadecuado dede cablescables yy líneaslíneas dede�� ProtecciónProtección yy tendidotendido adecuadoadecuado dede cablescables yy líneaslíneas dedecomunicacióncomunicación parapara evitarevitar accesosaccesos físicosfísicos

�� ControlControl dede utilizaciónutilización dede equiposequipos dede pruebaprueba dedecomunicacionescomunicaciones parapara monitorizarmonitorizar lala redred yy elel traficotrafico enenellaella

�� PrioridadPrioridad dede recuperaciónrecuperación deldel sistemasistema

�� ControlControl dede laslas líneaslíneas telefónicastelefónicas

AUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICASe debe Comprobar que:Se debe Comprobar que:Se debe Comprobar que:Se debe Comprobar que:Se debe Comprobar que:Se debe Comprobar que:Se debe Comprobar que:Se debe Comprobar que:

�� ElEl equipoequipo dede comunicacionescomunicaciones debedebe estarestar enen unun lugarlugarcerradocerrado yy concon accesoacceso limitadolimitado

�� SeSe tomentomen medidasmedidas parapara separarseparar laslas actividadesactividades dede loslos�� SeSe tomentomen medidasmedidas parapara separarseparar laslas actividadesactividades dede losloselectricistaselectricistas yy dede cableadocableado dede líneaslíneas telefónicastelefónicas

�� LasLas líneaslíneas dede comunicacióncomunicación esténestén fuerafuera dede lala vistavista

�� SeSe dédé unun códigocódigo aa cadacada línea,línea, enen vezvez dede unauna descripcióndescripciónfísicafísica dede lalamismamisma

�� HayaHaya procedimientosprocedimientos dede protecciónprotección dede loslos cablescables yy laslasbocasbocas dede conexiónconexión parapara evitarevitar pinchazospinchazos aa lala redred

AUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICAAUDITORIA DE LA RED FISICASe debe Comprobar que:Se debe Comprobar que:Se debe Comprobar que:Se debe Comprobar que:Se debe Comprobar que:Se debe Comprobar que:Se debe Comprobar que:Se debe Comprobar que:

�� LaLa seguridadseguridad físicafísica deldel equipoequipo dede comunicacionescomunicaciones seasea adecuadaadecuada

�� ExistanExistan revisionesrevisiones periódicasperiódicas dede lala redred buscandobuscando pinchazospinchazos aa lalamismamismamismamisma

�� ElEl equipoequipo dede pruebaprueba dede comunicacionescomunicaciones haha dede tenertener unosunospropósitospropósitos yy funcionesfunciones específicasespecíficas

�� ExistanExistan alternativasalternativas dede respaldorespaldo dede laslas comunicacionescomunicaciones

�� ConCon respectorespecto aa laslas líneaslíneas telefónicastelefónicas:: NoNo debedebe darsedarse elel númeronúmerocomocomo públicopúblico yy tenerlastenerlas configuradasconfiguradas concon retrollamada,retrollamada, códigocódigo dedeconexiónconexión oo interruptoresinterruptores

AUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONES

Permite:Permite:Permite:Permite:Permite:Permite:Permite:Permite:

�� LaLa gestióngestión dede redred�� LaLa gestióngestión dede redred

�� LaLamonitorizaciónmonitorización dede laslas comunicacionescomunicaciones..

�� LaLa revisiónrevisión dede costescostes yy lala asignaciónasignación formalformal dedeproveedoresproveedores

�� CreaciónCreación yy aplicabilidadaplicabilidad dede estándaresestándares

AUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONES

Objetivos de ControlObjetivos de ControlObjetivos de ControlObjetivos de ControlObjetivos de ControlObjetivos de ControlObjetivos de ControlObjetivos de Control�� TenerTener unauna gerenciagerencia concon autoridadautoridad dede votovoto yy acciónacción

�� LlevarLlevar unun registroregistro actualizadoactualizado dede módems,módems, controladores,controladores,terminales,terminales, líneaslíneas yy todotodo equipoequipo relacionadorelacionado concon laslasterminales,terminales, líneaslíneas yy todotodo equipoequipo relacionadorelacionado concon laslascomunicacionescomunicaciones

�� MantenerMantener unauna vigilanciavigilancia enen laslas accionesacciones enen lala redred

�� RegistrarRegistrar unun costecoste dede comunicacionescomunicaciones

�� MejorarMejorar elel rendimientorendimiento yy lala resoluciónresolución dede problemasproblemaspresentadospresentados enen lala redred

AUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONES

Se debe ComprobarSe debe ComprobarSe debe ComprobarSe debe ComprobarSe debe ComprobarSe debe ComprobarSe debe ComprobarSe debe Comprobar

�� ElEl nivelnivel dede accesoacceso dede laslas funcionesfunciones dentrodentro dede lala redred

�� CoordinaciónCoordinación dede lala organizaciónorganización enen lala comunicacióncomunicacióndede datosdatos yy vozvozdede datosdatos yy vozvoz

�� NormasNormas dede comunicacióncomunicación

�� LaLa responsabilidadresponsabilidad enen loslos contratoscontratos concon proveedoresproveedores

�� LaLa creacióncreación dede estrategiasestrategias dede comunicacióncomunicación aa largolargoplazoplazo

AUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONESAUDITORIA EN COMUNICACIONES

Se debe ComprobarSe debe ComprobarSe debe ComprobarSe debe ComprobarSe debe ComprobarSe debe ComprobarSe debe ComprobarSe debe Comprobar

�� TenerTener documentacióndocumentación sobresobre elel diagramadodiagramado dede lala redred

�� RealizarRealizar pruebaspruebas sobresobre loslos nuevosnuevos equiposequiposRealizarRealizar pruebaspruebas sobresobre loslos nuevosnuevos equiposequipos

�� EstablecerEstablecer laslas tasastasas dede rendimientorendimiento enen tiempotiempo dederespuestarespuesta dede laslas terminalesterminales yy lala tasatasa dede erroreserrores..

�� VigilanciaVigilancia sobresobre todatoda actividadactividad onon--lineline..

�� LaLa facturaciónfacturación dede loslos transportistastransportistas yy vendedoresvendedores haha dederevisarserevisarse regularmenteregularmente..

AUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAObjetivoObjetivoObjetivoObjetivoObjetivoObjetivoObjetivoObjetivoEvitar un daño interno en la Red LógicaEvitar un daño interno en la Red Lógica

Para evitar estas situaciones se Debe:Para evitar estas situaciones se Debe:Para evitar estas situaciones se Debe:Para evitar estas situaciones se Debe:Para evitar estas situaciones se Debe:Para evitar estas situaciones se Debe:Para evitar estas situaciones se Debe:Para evitar estas situaciones se Debe:�� DarDar contraseñascontraseñas dede accesoacceso�� DarDar contraseñascontraseñas dede accesoacceso

�� ControlarControlar loslos erroreserrores

�� GarantizarGarantizar queque enen unauna transmisión,transmisión, seasea recibidarecibida solosolo porpor eleldestinatariodestinatario.. YY parapara esto,esto, sese cambiacambia lala rutaruta dede accesoacceso dede lalainformacióninformación aa lala redred

�� RegistrarRegistrar laslas actividadesactividades dede loslos usuariosusuarios enen lala redred

�� EncriptarEncriptar lala informacióninformación

�� EvitarEvitar lala importaciónimportación yy exportaciónexportación dede datosdatos

AUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICARecomendacionesRecomendacionesRecomendacionesRecomendacionesRecomendacionesRecomendacionesRecomendacionesRecomendaciones

�� InhabilitarInhabilitar elel softwaresoftware oo hardwarehardware concon accesoacceso librelibre

�� CrearCrear protocolosprotocolos concon deteccióndetección dede erroreserrores

�� LosLos mensajesmensajes lógicoslógicos dede transmisióntransmisión hanhan dede llevarllevarorigen,origen, fecha,fecha, horahora yy receptorreceptororigen,origen, fecha,fecha, horahora yy receptorreceptor

�� ElEl softwaresoftware dede comunicación,comunicación, debedebe tenertenerprocedimientosprocedimientos correctivoscorrectivos yy dede controlcontrol anteante mensajesmensajesduplicados,duplicados, perdidosperdidos oo retrasadosretrasados

�� LosLos datosdatos sensibles,sensibles, solosolo puedenpueden serser impresosimpresos enen unaunaimpresoraimpresora especificadaespecificada yy serser vistosvistos desdedesde unauna TerminalTerminaldebidamentedebidamente autorizadaautorizada

AUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICAAUDITORIA DE LA RED LOGICARecomendacionesRecomendacionesRecomendacionesRecomendacionesRecomendacionesRecomendacionesRecomendacionesRecomendaciones�� SeSe debedebe hacerhacer unun análisisanálisis deldel riesgoriesgo dede aplicacionesaplicaciones enen loslos

procesosprocesos

�� AsegurarAsegurar queque loslos datosdatos queque viajanviajan porpor InternetInternet vayanvayan�� AsegurarAsegurar queque loslos datosdatos queque viajanviajan porpor InternetInternet vayanvayancifradoscifrados..

�� DebenDeben existirexistir políticaspolíticas queque prohíbanprohíban lala instalacióninstalación dedeprogramasprogramas oo equiposequipos personalespersonales enen lala redred

�� LosLos accesosaccesos aa servidoresservidores remotosremotos hanhan dede estarestar inhabilitadosinhabilitados

�� GenerarGenerar ataquesataques propiospropios parapara probarprobar solidezsolidez dede lala redred

AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD INFORMATICAINFORMATICAINFORMATICAINFORMATICAINFORMATICAINFORMATICAINFORMATICAINFORMATICA

La seguridad en informática abarca los conceptos de:La seguridad en informática abarca los conceptos de:La seguridad en informática abarca los conceptos de:La seguridad en informática abarca los conceptos de:La seguridad en informática abarca los conceptos de:La seguridad en informática abarca los conceptos de:La seguridad en informática abarca los conceptos de:La seguridad en informática abarca los conceptos de:

�� SeguridadSeguridad FísicaFísica:: SeSe refiererefiere aa lala protecciónprotección deldel hardwarehardware yy dede�� SeguridadSeguridad FísicaFísica:: SeSe refiererefiere aa lala protecciónprotección deldel hardwarehardware yy dedeloslos soportessoportes dede datosdatos..

�� SeguridadSeguridad LógicaLógica:: SeSe refiererefiere aa lala seguridadseguridad deldel usouso deldelsoftwaresoftware aa lala protecciónprotección dede loslos datos,datos, procesosprocesos yy programasprogramas..

AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD AUDITORIA SEGURIDAD INFORMATICAINFORMATICAINFORMATICAINFORMATICAINFORMATICAINFORMATICAINFORMATICAINFORMATICA

Un método eficaz para proteger sistemas de Un método eficaz para proteger sistemas de computación es el software de control de acceso. computación es el software de control de acceso. computación es el software de control de acceso. computación es el software de control de acceso.

Estos protegen contra el acceso no autorizado, Estos protegen contra el acceso no autorizado, solicitan un usuario y contraseña.solicitan un usuario y contraseña.

ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR ETAPAS PARA IMPLEMENTAR UN SISTEMA DE SEGURIDADUN SISTEMA DE SEGURIDADUN SISTEMA DE SEGURIDADUN SISTEMA DE SEGURIDADUN SISTEMA DE SEGURIDADUN SISTEMA DE SEGURIDADUN SISTEMA DE SEGURIDADUN SISTEMA DE SEGURIDAD

LosLosLosLosLosLosLosLos mediosmediosmediosmediosmediosmediosmediosmedios necesariosnecesariosnecesariosnecesariosnecesariosnecesariosnecesariosnecesarios paraparaparaparaparaparaparapara elaborarelaborarelaborarelaborarelaborarelaborarelaborarelaborar susususususususu sistemasistemasistemasistemasistemasistemasistemasistema dededededededede seguridadseguridadseguridadseguridadseguridadseguridadseguridadseguridadsesesesesesesese debedebedebedebedebedebedebedebe considerarconsiderarconsiderarconsiderarconsiderarconsiderarconsiderarconsiderar loslosloslosloslosloslos siguientessiguientessiguientessiguientessiguientessiguientessiguientessiguientes puntospuntospuntospuntospuntospuntospuntospuntos::::::::

�� SensibilizarSensibilizar aa loslos ejecutivosejecutivos dede lala organizaciónorganización enen tornotorno alaltematemadede seguridadseguridad..

�� RealizarRealizar unun diagnósticodiagnóstico dede lala situaciónsituación dede riesgoriesgo yyseguridadseguridad dede lala informacióninformación enen lala organizaciónorganización aa nivelnivelsoftware,software, hardware,hardware, recursosrecursos humanos,humanos, yy ambientalesambientales..

�� ElaborarElaborar unun planplan parapara unun programaprograma dede seguridadseguridad..

PLAN DE SEGURIDADPLAN DE SEGURIDADPLAN DE SEGURIDADPLAN DE SEGURIDADPLAN DE SEGURIDADPLAN DE SEGURIDADPLAN DE SEGURIDADPLAN DE SEGURIDADElElElElElElElEl planplanplanplanplanplanplanplan dededededededede seguridadseguridadseguridadseguridadseguridadseguridadseguridadseguridad debedebedebedebedebedebedebedebe asegurarasegurarasegurarasegurarasegurarasegurarasegurarasegurar lalalalalalalala integridadintegridadintegridadintegridadintegridadintegridadintegridadintegridad yyyyyyyy exactitudexactitudexactitudexactitudexactitudexactitudexactitudexactitud

dededededededede loslosloslosloslosloslos datosdatosdatosdatosdatosdatosdatosdatos debedebedebedebedebedebedebedebe::::::::

�� PermitirPermitir identificaridentificar lala informacióninformación queque eses confidencialconfidencial

�� ContemplarContemplar áreasáreas dede usouso exclusivoexclusivo

�� ProtegerProteger yy conservarconservar loslos activosactivos dede desastresdesastres provocadosprovocados porpor lala�� ProtegerProteger yy conservarconservar loslos activosactivos dede desastresdesastres provocadosprovocados porpor lalamanomano deldel hombrehombre yy loslos actosactos abiertamenteabiertamente hostileshostiles

�� AsegurarAsegurar lala capacidadcapacidad dede lala organizaciónorganización parapara sobrevivirsobreviviraccidentesaccidentes

�� ProtegerProteger aa loslos empleadosempleados contracontra tentacionestentaciones oo sospechassospechasinnecesariasinnecesarias

�� ContemplarContemplar lala administraciónadministración contracontra acusacionesacusaciones porporimprudenciaimprudencia

Implantar un Sistema de Seguridad en MarchaImplantar un Sistema de Seguridad en MarchaImplantar un Sistema de Seguridad en MarchaImplantar un Sistema de Seguridad en MarchaImplantar un Sistema de Seguridad en MarchaImplantar un Sistema de Seguridad en MarchaImplantar un Sistema de Seguridad en MarchaImplantar un Sistema de Seguridad en Marcha1.1. Introducir el tema de seguridad en la visión de la empresa.Introducir el tema de seguridad en la visión de la empresa.

2.2. Definir los procesos de flujo de información y sus riesgos en cuanto a Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes.todos los recursos participantes.

3.3. Capacitar a los gerentes y directivos, contemplando el enfoque Capacitar a los gerentes y directivos, contemplando el enfoque global.global.

4.4. Designar y capacitar supervisores de área.Designar y capacitar supervisores de área.4.4. Designar y capacitar supervisores de área.Designar y capacitar supervisores de área.

5.5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.relativamente rápidas.

6.6. Mejorar las comunicaciones internas.Mejorar las comunicaciones internas.

7.7. Identificar claramente las áreas de mayor riesgo corporativo y Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.trabajar con ellas planteando soluciones de alto nivel.

8.8. Capacitar a todos los trabajadores en los elementos básicos de Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física.respecto a la seguridad física.

Beneficios de un Sistema de Beneficios de un Sistema de Beneficios de un Sistema de Beneficios de un Sistema de Beneficios de un Sistema de Beneficios de un Sistema de Beneficios de un Sistema de Beneficios de un Sistema de SeguridadSeguridadSeguridadSeguridadSeguridadSeguridadSeguridadSeguridad

�� Aumento de la productividad.Aumento de la productividad.

�� Aumento de la motivación del personal.Aumento de la motivación del personal.

�� Compromiso con la misión de la compañía.Compromiso con la misión de la compañía.�� Compromiso con la misión de la compañía.Compromiso con la misión de la compañía.

�� Mejora de las relaciones laborales.Mejora de las relaciones laborales.

�� Ayuda a formar equipos competentes.Ayuda a formar equipos competentes.

�� Mejora de los climas laborales para los R.H.Mejora de los climas laborales para los R.H.

GRACIAS GRACIAS GRACIAS GRACIAS GRACIAS GRACIAS GRACIAS GRACIAS