Auditoria en Redes, Comunicaciones,
servidores web,
Computación/Telefonía móvil e
Internet (Switches, enrutadores y
firewall)
Auditoria en Redes
Es una serie de mecanismos mediante los
cuales se pone a prueba una red informática,
evaluando su desempeño y seguridad, a fin de
lograr una utilización más eficiente y segura
de la información
Auditoria Red Física
Se debe garantizar que exista:
• Áreas de equipo de comunicación con control de
acceso.
• Protección y tendido adecuado de cables y líneas
de comunicación para evitar accesos físicos.
• Control de utilización de equipos de prueba de
comunicaciones para monitorizar la red y el
trafico en ella.
• Prioridad de recuperación del sistema.
• Control de las líneas telefónicas.
Auditoria Red Lógica
●Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
●Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión
entre diferentes organizaciones.
●Asegurar que los datos que viajan por Internet vayan cifrados.
● Si en la LAN hay equipos con modem entonces se debe revisar el control de
seguridad asociado para impedir el acceso de equipos foráneos a la red.
● Deben existir políticas que prohíban la instalación de programas o equipos
personales en la red.
● Los accesos a servidores remotos han de estar inhabilitados.
● La propia empresa generará propios ataques para probar solidez de la red y
encontrar posibles fallos en cada una de las siguientes facetas:
○ Servidores = Desde dentro del servidor y de la red interna.
○ Servidores web.
○ Intranet = Desde dentro.
○ Firewall = Desde dentro.
○ Accesos del exterior y/o Internet.
Auditorias de Red Internas que verifican el estado de seguridad
interior de la empresa, contemplando los controles a sus usuarios
internos, la aplicación de sistemas antivirus, las restricciones de
acceso, los sistemas de autenticación y la correcta configuración de
los distintos servidores y equipos de comunicaciones en
funcionamiento como switches, routers, servidores de correo y
servidores web
Auditorias de Red Externas que verifican la aplicación de las
políticas de seguridad concernientes a reglas de cortafuegos, filtros
de contenidos, accesos remotos, protecciones contra denegación de
servicios y accesos no autorizados.
Las políticas y normas de seguridad de telecomunicaciones deben
estar formalmente definidas, documentadas y aprobadas.
Adicionalmente, deberán contener objetivos de control de alto nivel
que definan los requerimientos de administración de seguridad en
redes.
En estas primeras etapas del desarrollo de seguridad en
Internet, se ha comenzado a trabajar con cuatro
componentes fundamentales, que son:
Autenticación e identificación: técnica que nos permiten
individualizar al autor de determinada acción.
Autorización: técnica que permite determinar a qué
información tienen acceso determinadas personas.
Integridad de datos: técnica que garantiza que los datos
que viajan por la red lleguen intactos a su destino.
Privacidad de datos: técnica que determina quién puede
leer la Información una vez que salió del sistema de
almacenamiento.
Evaluación de seguridad, pruebas y
análisis de vulnerabilidades
Existen varios tipos de pruebas de intromisión
que, dependiendo de las circunstancias, afecta
al ámbito de la evaluación, la metodología
adoptada y los niveles de garantía de la
auditoría.
Internet
La finalidad de las pruebas de Internet es poner en peligro
la red de destino. La metodología necesaria para realizar
esta prueba permite una comprobación sistemática de las
vulnerabilidades conocidas y la búsqueda de posibles
riesgos de seguridad. La metodología empleada
habitualmente incluye los procesos de:
• Recogida de la información (reconocimiento)
• Red de enumeración
• Análisis de la vulnerabilidad
• Explotación
• Resultados de los análisis e informes
Wireless
Las vulnerabilidades más graves son:
• Dependencia WEP para el cifrado.
• Que las redes inalámbricas no estén separadas de
otras redes.
• Las direcciones MAC.
• Débil o inexistente gestión de claves.
• Los paquetes Beacon que no se han deshabilitado o
"activado".
• Contraseñas por defecto / IP
• Evitar la clave WEP débil
Aplicación WEB
• las pruebas incluyen pruebas manuales y automatizadas del
portal como un extraño, sin información de acceso. Esta prueba
complementa las pruebas de penetración externa. El objetivo de
esta prueba es obtener una comprensión de cómo las personas
interactúan con el sistema de acceso a datos sensibles.
• Las pruebas adicionales pueden incluir la comprobación del
portal Web por una información privilegiada a través de una
cuenta de entrada estándar.
• Identificación y explotación de las vulnerabilidades se puede
lograr mediante el uso de diversas herramientas comerciales y
de código abierto evaluación de la vulnerabilidad.
Network routing control
Se debe implementar controles de encaminamiento de
red (routing) para asegurar que las conexiones de los
ordenadores y los flujos de información no violan la
política de control de acceso de las aplicaciones del
negocio.
Los requisitos para el control de enrutamiento de red
deben basarse en la política de control de acceso.
Finalmente comentar que las redes compartidas y las
que se extienden fuera de las fronteras requieren
controles de enrutamiento adicionales. Esto se aplica
especialmente cuando las redes son compartidas con
terceros.
Mobile computing and
communications
se debe implementar una política formal y se
deben adoptar las medidas de seguridad
adecuadas de protección contra los riesgos de la
utilización de ordenadores portátiles y
comunicaciones móviles.
política de informática móvil en entornos
desprotegidos. Esta política debe incluir los
requisitos de protección física, controles de
acceso, técnicas de cifrado, backups, y protección
antivirus entre otros.
También deberá incluir las reglas y consejos
sobre la conexión de dispositivos móviles a las
redes y orientación sobre el uso de estas
instalaciones en lugares públicos.
Teleworking
Trabajar desde fuera haciendo lo mismo que
desde dentro. El control pone que se debe
redactar e implementar una política de
actividades de teletrabajo, así como planes y
procedimientos
de
operación
correspondientes.
Las
organizaciones
deben
autorizar
actividades de teletrabajo si se consideran que
las medidas de seguridad son adecuadas y los
controles se cumplan según lo establecido en
la política de seguridad de la empresa.
Descargar

Auditoria