Proyecto Final Andrés Fuenzalida Leal Auditoría Informática Instituto IACC 18 de junio de 2018
Instrucciones: Su empresa Auditoría Inc. desea participar de una licitación privada del Banco IACC en la que solicitan realizar una auditoría informática de red interna y perimetral que incluya:
100 estaciones de trabajo con Windows 7.
5 bases de datos Oracle con Sistem a Operativo Redhat Enterprise 5.
2 firewalls (uno interno y otro externo).
1 Router perimetral.
1 data center donde se encuentran todos los servidores.
Enlaces redundantes entre las oficinas y el data c enter.
Para participar y adjudicársela, usted debe construir una propuesta técnica en la cual explique el objetivo y alcance de la auditoría, la metodología de trabajo que utilizará, un plan de trabajo con un programa y las actividades a desarrollar. Finalmente, como anexo debe incluir lo siguiente:
Detalle de pruebas a realizar por cada dispositivo (herramientas, checklist, etc.).
Auditoría Informática de red Interna y Perimetral Banco IACC.
OBJETIVO: Una auditoría informática recolecta y evalúa evidencia co n la finalidad de determinar si los sistemas de información y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen provee n información relevante y confiable, logran de forma efectiva las metas organizacionales, usan eficientemente los recursos y tienen controles internos efectivos que proveen una certeza razonable de que los objetivos de negocio, operaciones y de control serán alcanzados y que los eventos no deseados serán evitados o detectados y corregidos de forma oportuna. Las auditorías de redes internas y perimetrales tienen como finalidad determinar si existen problemas de conect ividad el cual podría afectar el desempeño de los distintos funcionarios o equipos que se encuentren en una red, adicionalmente nos ayudan a identificar si tenemos el control de acceso necesario a esta para que no suframos de ataques malintencionados. Dado que las auditorías informáticas poseen distintas aristas, nos enfocaremos en determinar y verificar si el equipamiento de los funcionarios, servidores y todos aquellos dispositivos que se encuentran dentro de la red se encuentran en condiciones para que se realice un trabajo seguro y sin deficiencias en la transmisión de la información, adicionalmente se determinará si la red
perimetral se encuentra entregando la seguridad necesaria que se requiere para este tipo de negocios.
METODOLOGÍA DE TRABAJO A UTILIZAR:
Para llevar a cabo esta auditoría se realizarán técnicas asistidas por computadores (CAAT), estas son herramientas con las cuales recolectaremos información asociada a la red de manera completa, incluyendo los distintos equipos y dispositivos que está presente, se realizarán inspecciones tanto físicas y lógicas, con la finalidad de poder determinar si los servidores, se rvidores, equipos, etc. Cuentan con sus respectivos licenciamientos a nivel de software y si estos poseen las características físicas adecuadas para prestar los distintos servicios, como por ejemplo instalaciones eléctricas, cableado estructurado entre otros. Finalmente se entregará un informe con los resultados de la auditoría.
Inspección de Red: o
En esta sección se realizará una revisión de los equipos de comunicación para determinar si están entregando un desempeño acorde a la estructura de la red y sus necesidades, se realizarán revisiones en base al enlace principal y los enlaces de respaldo que puedan existir.
o
Se realizarán
o
Adicionalmente se realizará una revisión de la estructura de la red y normativas vigentes
o
Verificaciones varias.
Inspección Lógica: o
En esta sección se realizará una revisión detallada de los sistemas operativos, se verificará si estos cuentan con licencia y versión correspondiente (32 o 64 bits), se revisarán aplicaciones adicionales al sistema y sus respectivos licenciamientos, además se verificarán los sistemas operativos de los servidores y firmware de los dispositivos como Router, switch, firewall, etc.
o
Se realizará la verificación de las configuraciones de las tarjetas de red, se revisarán las puertas de enlace, servidores DNS, mascaras de red y direcciones IP.
o
Se revisarán configuraciones de los firewalls y el Router perimetral con la finalidad de verificar que se encuentran entregando los servicios estrictamente necesarios para la red
o
Se verificará los enlaces redundantes entre las oficinas y el data center.
o
Se verificarán la operabilidad de los sistemas de respaldo y recuperación en caso de falla
o
Se verificará las cuentas de usuarios y accesos a las estaciones de trabajo.
o
Se realizará revisión exhaustiva de las cuentas que poseen acceso a los servidores.
o
Se realizará revisión para verificar si las tablas de auditorías de bases de dato están activadas o no.
o
Verificaciones varias.
Inspección Física: o
En esta sección se realizará una inspección visual de cada uno de los equipos que están en la red (computadores, Router, switch, firewall, servidores, etc.), estas revisiones serán apoyadas en conjunto a la ficha de cada equipo o dispositivo, adicionalmente se realizará una revisión de la topología de la red para verificar que esta sea concordante.
o
Se verificará las condiciones habilitantes del data center donde se encuentran los servidores, los medios de seguridad existentes para llegar a ellos y las condiciones que este presenta para que los servidores presenten un óptimo funcionamiento a la red.
o
Se verificará si los servidores poseen equipamiento de respaldo ante posibles fallas eléctricas y como actúan estos sistemas, si son de manera automática o manual.
o
Se verificará que el data center cuente con las medidas de seguridad ante algún tipo de siniestro que pueda ocurrir.
o
Verificaciones varias.
Dado lo anterior se confeccionará un informe que contendrá los resultados de las revisiones y verificaciones descritas anteriormente, dependiendo los resultados de este informe se podrá determinar si se requiere algún plan de mejora para la red, esto con la finalidad de que la entidad pueda contar con los estándares correspondientes.
En caso de ser necesario se entregarán sugerencias relacionadas a configuraciones de firewall, Router, servidores y equipos, solo si es necesario se entregarán sugerencias que permitan reemplazar equipamiento defectuoso u obsoleto que entreguen mejores prestaciones que las actuales.
PLAN DE TRABAJO A REALIZAR:
Revisión de estaciones de trabajo. Se realizará una coordinación para cubrir la revisión de los equipos en el menor tiempo posible, teniendo en cuenta que se debe tener una holgura necesaria por imprevistos que puedan suceder, entendiendo que es una entidad bancaria y que el trabajo se concentra directamente en las cajas durante las mañanas se comenzará con los equipos que que se encuentran en las distintas oficinas del banco, estas revisiones estarán a cargo de dos personas personas se realizarán a partir de las 9 am hasta las 18 horas, descontando 1 hora para colación, establecerá un tiempo promedio de 15 minutos por cada equipo a revisar, por lo que se espera que por cada día se realice una revisión de 30 estaciones de trabajo aproximadamente. Revisión de Data Center y bases de datos Luego de las revisiones de las estaciones de trabajo, bajo la responsabilidad de las mismas dos personas, se realizará de manera simultánea la r evisión del data center, para lo que se estima medio día aproximadamente, de manera simultánea se realizarán las revisiones a las bases de datos, credenciales de acceso y distintos permisos que puedan tener los funcionarios además de las tablas de auditoría, en lo anterior se estima un aproximado de 3 horas por base de datos, por ende el proceso culminaría luego de tres días aproximadamente, en este cálculo se incluyen las holguras necesarias para poder cumplir con los plazos estimados. Revisión Router Perimetral y ambos firewalls Se estima un aproximado de medio día por cada revisión de firewall, en él se revisarán versiones de firmware, configuraciones de seguridad, listas de accesos entre otros. Al mismo tiempo se realizarán las revisiones pertinentes al Router perimetral, en él se realizará un análisis de la arquitectura de la red, configuraciones de seguridad, los servicios que presta el equipo, se verificarán las configuraciones ethernet y sus listas de acceso. Se estima que lo descrito anteriormente tendrá una duración de un día de trabajo
Revisiones de enlaces redundantes. En el plazo de un día se realizarán las revisiones pertinentes a verificar si entre las distintas oficinas y el data center existe un enlace redundante que sea capaz de proporcionar la conectividad necesaria en caso de algún inconveniente que pueda suceder de manera fortuita.
Revisiones varias Con la ayuda de software especializado se realizará una verificación de los servicios que están corriendo a través de la red, al mismo tiempo, con este tipo de software se realizará un inventario de todos los dispositivos conectados a la red y sus características, de esta manera podremos ve rificar de manera certera los componentes de los distintos equipos.
ANEXO CON CHECK LIST A REALIZAR.
Check List a verificar por cada estación de trabajo:
Marca
Modelo
Procesador
Disco Duro
Memoria RAM
Configuración IP
MAC
Periféricos
Conexiones
Sistema operativo y licencia
Aplicaciones adicionales y licencias
Antivirus
Usuario
Dominio
Check List a verificar por Firewalls y Router:
Marca
Modelo
Firmware
Seguridad
Conexiones
Servicios configurados
Check List a verificar en Data center:
Control de acceso
Sistema de seguridad ante imprevistos (incendios, problemas el;ectricos, etc)
Estado de conexiones
Bibliografía
IACC (2018). IACC (2018). IACC (2018). IACC (2018). IACC (2018). IACC (2018). IACC (2018). IACC (2018).
Contenidos de la Semana, Auditoría Auditoría Informática, Semana 1. Contenidos de la Semana, Auditoría Auditoría Informática, Semana 2. Contenidos de la Semana, Auditoría Auditoría Informática, Semana 3. Contenidos de la Semana, Auditoría Auditoría Informática, Semana 4. Contenidos de la Semana, Auditoría Auditoría Informática, Semana 5. Contenidos de la Semana, Auditoría Auditoría Informática, Semana 6. Contenidos de la Semana, Auditoría Auditoría Informática, Semana 7. Contenidos de la Semana, Auditoría Auditoría Informática, Semana 8.