Vista previa del material en texto
INST ESCUEL SEM Au TITUTO P LA SUPERI UNID MINARIO INFO uditor QUE POLITÉC IOR DE ING ELÉCTR DAD CULH O: AUDITO RMACIÓ T ría de de la E PARA O P R NICO NA GENIERÍA RICA HUACÁN ORIA DE ÓN Y COM TESIN l Swit a Red OBTENER E S E ACIONAL MECÁNIC E TECNOL MUNICAC NA tch de d LAN R EL TÍTU N T A A Y LOGIAS CIONES e Acc N ULO DE A DE LA ceso LICENCIADO EN CIENCIAS DE LA COMUNICACIÓN ALEJANDRO SAUCEDO VIDALS ASESOR: RAYMUNDO SANTANA ALQUICIRA MARZO 2011 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 2 Y COMUNICACIONES AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 3 Y COMUNICACIONES AGRADECIMIENTOS A nuestras familias por brindarnos las herramientas, apoyo y cariño para lograr esta etapa de nuestra educación y por siempre estar con nosotros. A nuestra institución el Instituto Politécnico Nacional, que a través de la UPIICSA y la ESIIME Culhuacán nos brindaron herramientas y conocimientos para poder aportar a la sociedad como profesionistas, comprometidos con brindar lo mejor de nosotros en cada tarea que emprendamos. A los amigos y aquellas personas que han estado en nuestro camino enseñándonos, apoyándonos y brindándonos un tiempo de calidad que hoy se ve reflejado en lo que somos y que también son parte de esta culminación de una etapa de vida. A nuestros profesores y asesores que nos guiaron y aportaron conocimientos que seguro serán de suma importancia en el camino profesional. Finalmente agradecemos la oportunidad que hoy tenemos de poder obtener el título profesional que nos representa una meta alcanzada, pero que a la vez es el comienzo de una nueva etapa llena de retos que afrontar y que sin duda tomaremos con la mejor de las actitudes. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 4 Y COMUNICACIONES INDICE GENERAL AUDITORIA INFORMÁTICA 8 CONCEPTO DE AUDITORÍA 8 DEFINICIÓN 8 ¿QUIÉN HACE LA AUDITORÍA? 8 EVOLUCIÓN DE LA PRÁCTICA DE AUDITORÍA 8 ENFOQUE TRADICIONAL: 8 NUEVA VISIÓN: 8 DIFERENCIAS ENTRE AUDITORÍA INFORMÁTICA… 9 … Y CONTROL INTERNO 9 INTRODUCCIÓN A LA ADMINISTRACIÓN DE RIESGOS 10 AUDITORÍA INTERNA 10 ¿QUÉ ES UN RIESGO? 10 ADMINISTRACIÓN DE RIESGOS (AR) 10 ESTABLECER Y FUNDAR UN EQUIPO DE ARI 11 ANÁLISIS DE VULNERABILIDADES 11 MAPEO DE AMENAZAS/ VULNERABILIDAD/ RECURSOS 12 MITIGACIÓN DEL RIESGO 12 ANÁLISIS COSTO-BENEFICIO 12 REPORTE FINAL 12 POLÍTICAS GENERALES DE SEGURIDAD 12 CONCEPTOS GENERALES DE RED 17 INTRODUCCIÓN 17 TIPOS DE RED 17 PAN (PERSONAL AREA NETWORK/ÁREA DE RED PERSONAL) 17 LAN (LOCAL AREA NETWORK/RED DE ÁREA LOCAL) 18 MAN (METROPOLITAN AREA NETWORK/RED DE ÁREA METROPOLITANA) 19 WAN (WIDE AREA NETWORK/RED DE ÁREA AMPLIA) 19 GAN (GENERIC ACCESS NETWORK/RED DE ACCESO GENÉRICO) 20 VLAN (VIRTUAL LOCAL AREA NETWORK/RED DE ÁREA LOCAL VIRTUAL) 20 VPN (VIRTUAL PRIVATE NETWORK/RED PRIVADA VIRTUAL) 21 TOPOLOGÍAS DE RED 21 TOPOLOGÍAS EN BUS O LINEAL 22 TOPOLOGÍA DE ÁRBOL 22 TOPOLOGÍA DE ANILLO 23 TOPOLOGÍA EN ESTRELLA 24 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 5 Y COMUNICACIONES TOPOLOGÍA DE MALLA 25 EQUIPOS DE COMUNICACIÓN 26 SWITCH 26 ROUTER 27 PRINCIPALES MARCOS DE REFERENCIA Y METODOLOGÍAS 29 COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) 29 THE CRITERIA OF CONTROL BOARD (COCO) 30 MODELO DE MADUREZ (MATURITY MODEL) 31 INFORMATION TECHNOLOGIES INFRASTRUCTURE LIBRARY (ITIL) 32 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 33 ESTÁNDARES DE IEEE 34 ANSI 35 ORGANIZACIÓN INTERNACIONAL PARA LA NORMALIZACIÓN (ISO) 36 COBIT 36 INTRODUCCIÓN 36 MARCO DE TRABAJO COBIT 37 PLANEAR Y ORGANIZAR (PO) 39 ADQUIRIR E IMPLEMENTAR (AI) 39 ENTREGAR Y DAR SOPORTE (DS) 40 MONITOREAR Y EVALUAR (ME) 41 AUDITORIA DE DISPOSITIVOS DE RED 44 ELEMENTOS A AUDITAR EN UNA RED 44 SEGURIDAD FÍSICA 44 INFRAESTRUCTURA INALÁMBRICA 44 INFRAESTRUCTURA DE DETECCIÓN DE INTRUSOS 45 DISPOSITIVOS FIREWALLS 45 PRINCIPALES PROTOCOLOS DE SEGURIDAD 46 GENERIC ROUTING ENCAPSULATION (GRE 47) 46 POINT-TO-POINT TUNNELING PROTOCOL. 46 IP SEC 47 PROTOCOLO DE TUNELADO DE NIVEL 2 (L2TP) 47 SECURE SHELL (SSH) 47 PROTECCIÓN DE LOS SISTEMAS ELECTRÓNICOS Y ELÉCTRICOS 47 IMPLEMENTACIÓN DE UPS 47 JAULA DE FARADAY 48 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 6 Y COMUNICACIONES ACONDICIONAMIENTO DE AIRE. 48 IMPORTANCIA DE AUDITAR UNA RED Y CONCEPTO DE AUDITORÍA DE RED 49 AUDITORIA DE LA RED FÍSICA 49 AUDITORIA DE LA RED LÓGICA 50 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 51 ESTADO ACTUAL 52 PROBLEMÁTICA 52 PROPUESTA 52 ESTUDIO GENERAL DEL ÁREA A AUDITAR 52 PLANEACIÓN Y PROGRAMA DE TRABAJO 53 REUNIÓN CON ÁREA PARA NOTIFICAR AUDITORÍA 53 ENTREGA DE OFICIO DE ORDEN Y LEVANTAMIENTO DE ACTA DE INICIO DE AUDITORÍA 54 SOLICITUD DE INFORMACIÓN Y DOCUMENTACIÓN 54 ENTREVISTAS CON RESPONSABLES DE ACTIVIDADES 54 ANÁLISIS DE LA INFORMACIÓN 55 EVALUACIÓN DEL CONTROL INTERNO 55 PRUEBAS SUSTANTIVAS Y DE CUMPLIMIENTO 56 IDENTIFICACIÓN DE IRREGULARIDADES 56 REUNIÓN PARA COMENTAR IRREGULARIDADES 56 ELABORACIÓN DE REPORTES E INFORME DE OBSERVACIONES 57 MATRIZ DE RIESGO 57 REUNIÓN DE CONFRONTA, LEVANTAMIENTO DE ACTA DE CIERRE Y FIRMA DE OBSERVACIONES. 60 ELABORACIÓN DE OFICIO DE ENVÍO DE INFORME Y REPORTE DE OBSERVACIONES. 61 CONCLUSIONES. 63 ANEXOS 64 GLOSARIO 103 BIBLIOGRAFÍA 108 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 7 Y COMUNICACIONES Conceptos Generales de Auditoría AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 8 Y COMUNICACIONES Auditoria Informática Concepto de auditoría La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Definición Es un proceso, de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organización, y utiliza eficientemente los recursos. Proceso metodológico para valorar y evaluar la confianza que se puede depositar en TI. La auditoría informática evalúa y comprueba los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software. La auditoría operativa o de gestión es una revisión que comprende las actividades, sistemas y controles dentro de la empresa para conseguir economía, eficiencia, eficacia u otros objetivos. ¿Quién hace la auditoría? La realización de las auditorias corresponde a los auditores, pudiéndose dividir la función auditora en dos grandes grupos: La auditoría externa y la auditoría interna. La función de auditoría informática puede existir en cualquiera de los citados entornos. Evolución de la práctica de Auditoría Enfoque tradicional: Su finalidad está asociada a la evaluación de un conjunto de prácticas operativas vinculadas al diseño, desarrollo y explotación del soporte IT, así como la adquisición de bienes o contratación de servicios requeridos para brindar estas funciones y su administración (cumplimiento). Nueva visión: Evaluar el nivel de seguridad y control del entorno de IT asegurándose que el mismo refuerza la estructura de control interno de la organización (cumplimiento). Asegurar que la organización obtiene en mayor beneficio de sus recursos de IT (Gobierno de TI) contribuyendo a reforzar el Gobierno Corporativo de la Organización (Desempeño y Gestión). AUDITORÍA DEL SWITCH DEACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 9 Y COMUNICACIONES Diferencias entre Auditoría Informática… Tiene la función de vigilancia y evaluación mediante dictámenes y todas las metodologías van encaminadas a esta función. Tiene sus propios objetivos distintos a los auditores de cuentas. Los auditores de cuentas la necesitan para utilizar la información de sus sistemas para evaluaciones financieras y operativas. Evalúan eficiencia, costo y seguridad en su más amplia visión. Operan según el plan auditor. Establecen planes con tiempos definidos y ciclos completos. Sistemas de evaluación de repetición de auditoría por nivel de exposición del área auditada y el resultado de la última auditoria de esta área. Función de soporte informático de todos los auditores … y Control Interno Funciones de control dual con otros departamentos. Función normativa y del cumplimiento del marco jurídico. Tiene funciones propias (Administración de la Seguridad lógica, etc.) Responsable del desarrollo y actualización del plan de contingencias, manuales de procedimientos y plan de seguridad. Dictar normas de seguridad informática. Definir los procedimientos de control. Control de soportes físicos. Control de información sensible o comprometida. Control de calidad del servicio informático. Definición de requerimientos de seguridad en proyectos nuevos. Control de cambios y versiones. El control informático es el componente de la actuación segura entre los usuarios, la informática y control interno, todos ellos auditados por auditoría informática. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 10 Y COMUNICACIONES Tabla. 1.1 Diferencias entre Auditoria Informática y Control Interno Introducción a la Administración de Riesgos Auditoría interna La auditoría interna en una actividad independiente, objetiva en la consulta y el aseguramiento, diseñada para agregar valor y mejorar la operación de las organizaciones. Esta ayuda a las organizaciones a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia en la gestión de riesgo, control y el gobierno de procesos. ¿Qué es un riesgo? La palabra deriva del italiano risicare que significa "atreverse". En este sentido, el riesgo es una opción en lugar de un destino. De las acciones que nos atrevemos a tomar, depende la toma de decisiones, son lo que la historia de riesgos es para todos nosotros. No todos los proyectos requieren un planteamiento formal de gestión de riesgos, pero para obtener el máximo beneficio, la gestión del riesgo debe convertirse en un proceso sistemático. El riesgo está presente en las organizaciones en todos los niveles de operación, desde el nivel estratégico, nivel operativo y nivel táctico, pero normalmente se describe como un negocio o el riesgo operativo. Administración de Riesgos (AR) Un programa de administración de riesgos de la información está basado sobre las buenas políticas de administración de riesgos, las cuales abarcan todos los aspectos relevantes de la infraestructura, y de todo aquello que contenga que ver con la información. La política de AR debe ser de alto nivel basada en los objetivos del negocio, los objetivos de la seguridad, con un enfoque bien definido, Control Interno Informático Auditoria Informática Similitudes Personal Interno Conocimientos Especializados en Tecnologías de la Información Verificación del Cumplimiento de Controles Internos, Normativa y Procedimientos, Establecidos por la Dirección de Informática y la Dirección General para los Sistemas de Información. Diferencias Análisis de los controles en el día a día Análisis de un momento informático determinado Informa a la Dirección del Departamento de Informática Informa a la Dirección General de la Organización Solo personal interno Personal interno y/o Externo El alcance de sus funciones es únicamente sobre el Departamento de Informática Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 11 Y COMUNICACIONES responsabilidades, alcances y desventajas; todos estos aspectos de forma clara y acordados. De igual manera, estas políticas deberán ser bien comunicadas a todo el personal involucrado. Establecer y fundar un equipo de ARI La principal tarea de un equipo de ARI es la valoración de los riesgos (Risk Assessment). Esta tarea constituye la principal para poder justificar los controles necesarios y el presupuesto indicado, de acuerdo a los resultados que un “risk assessment” arroje. Identificar Recursos Análisis de amenazas Amenazas Personales Externas Lista de recursos que se necesitan proteger Identifica amenazas que puedan impactar el ambiente o infraestructura evaluada Gente clave enferma Perdida de servicios (voz y datos) Amplio conocimiento de instalaciones, contratos con proveedores, garantías y leyes, etc. Amenazas ambientales: Fuego, terremotos, explosiones o inundaciones Enfermedades simultaneas (Epidemias) Perdida de Servicios Elementales (luz, agua, teléfono, etc.) por un periodo largo Bienes tangibles e intangibles (todo lo de valor) Incluir eventos raros pero posibles (fallas en la estructura del edificio Perdida (renuncia / terminación de contrato / muerte) de persona Fenómenos Naturales Considerar pérdida o daño de recursos en términos de pérdida de tiempo, costo, reparación, utilidad o reemplazo. Robos (discos, laptops Software malintencionado (Virus, spyware, etc.) Proveedores en quiebra Contratistas Terrorismo político Mal uso de los recursos. Tabla 1.2 Principales actividades del Risk Assessment Análisis de vulnerabilidades Esta tarea incluye la identificación de las vulnerabilidades que puedan incrementar la frecuencia o impacto en el caso de una amenaza que afecte al ambiente en AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 12 Y COMUNICACIONES cuestión. Es el identificar las vulnerabilidades que permitirán a las amenazas ocurrir con mayor frecuencia, mayor impacto, o ambos. Mapeo de Amenazas/ Vulnerabilidad/ Recursos Es necesaria establecer las relaciones entre las amenazas, vulnerabilidad y los recursos que se ven afectados. Esto traerá como consecuencia una manera consistente de medir las consecuencias entre estos tres aspectos. Mitigación del riesgo La primera tarea en esta etapa es la de completar la valoración (risk assessment) con el proceso de mitigación del riesgo, costeo y análisis de costo-beneficio. Selección de salvaguardas (controles) y análisis de la mitigación de riesgos Esta tarea incluye la identificación las salvaguardas que mitiguen las vulnerabilidades y el grado en que dichas salvaguardas puedan reducir el impacto o la frecuencia de una amenaza. En otras palabras, esta tarea abarca la evaluación de riesgos relativo a los recursos y a las amenazas antes y después de que han sido aplicadas las salvaguardas seleccionadas Análisis costo-beneficio Esta tarea incluye la valoración del grado de una reducción de riesgo, la cual se espera alcanzar mediante la implantación de las salvaguardas de reducción de riesgos seleccionadas. El beneficio bruto menos el costo anual de las salvaguardas seleccionadas para alcanzar la reducción del nivel de riesgo, nos lleva al beneficio neto. Herramientas para calcular el retorno de la inversión o el valor presente, siempre son utilizadas para realizar un análisis más detallado de la actividad de los costos de las salvaguardas. Reporte Final Este reporte incluye el reporte interno como losdetalles y recomendaciones de la selección de salvaguardas y el análisis de mitigación del riesgo, además de las tareas realizadas para apoyar el análisis costo-beneficio. Este reporte, con las recomendaciones adecuadas, proporciona a los altos niveles con las bases subsecuentes acciones en la administración de riesgos. Políticas generales de seguridad ¿Por qué hablar de la Seguridad de la Información? Porque el negocio se sustenta a partir de la información que maneja. Porque no sólo es un tema Tecnológico. Porque la institución no cuenta con Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 13 Y COMUNICACIONES Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor. “Ninguna medicina es útil a menos que el paciente la tome”. Reconocer los activos de información importantes para la institución. Información propiamente: bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes. Recursos humanos: empleados internos y externos. Servicios: electricidad, soporte, mantención. Reconocer las Amenazas a que están expuestos Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”. Ejemplos: Desastres naturales (terremotos, inundaciones) Errores humanos Fallas de Hardware y/o Software Fallas de servicios (electricidad) Robo Reconocer las Vulnerabilidades Vulnerabilidad: “Una debilidad que facilita la materialización de una amenaza” Ejemplos: Inexistencia de procedimientos de trabajo Concentración de funciones en una sola persona Infraestructura insuficiente Identificación de Riesgos Riesgo: “La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte un activo” ¿Que debe analizarse? El impacto (leve, moderado, grave) La probabilidad (baja, media, alta) Estándares de Seguridad Normas Internacionales de seguridad Proporcionan un conjunto de buenas prácticas en gestión de seguridad de la información: Ejemplos ISO/IEC 17799, COBIT, ISO 15408 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 14 Y COMUNICACIONES ISO 17799 que tiene la bondad de ser transversal a las organizaciones, abarcando la seguridad como un problema integral y no meramente técnico. Políticas, planes y procedimientos Las Políticas definen qué se debe proteger en el sistema, mientras que los Procedimientos de Seguridad describen cómo se debe conseguir dicha protección ¿Qué es una Política? Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado. ¿Qué es una Política de Seguridad? Conjunto de directrices que permiten resguardar los activos de información. ¿Cómo debe ser la política de seguridad? Definir la postura del Director y de la gerencia con respecto a la necesidad de proteger la información corporativa. Definir la base para la estructura de seguridad de la organización. Ser un documento de apoyo a la gestión de seguridad informática. Tener larga vigencia, manteniéndose sin grandes cambios en el tiempo. Ser general, sin comprometerse con tecnologías específicas. Debe abarcar toda la organización. Debe ser clara y evitar confusiones. No debe generar nuevos problemas. Debe permitir clasificar la información en confidencial, uso interno o pública. Debe identificar claramente funciones específicas de los empleados como: responsables, custodio o usuario, que permitan proteger la información. ¿Qué debe contener una política de seguridad de la información? Políticas específicas Procedimientos Estándares o prácticas Estructura organizacional Políticas Específicas Definen en detalle aspectos específicos que regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general. Procedimiento Define los pasos para realizar una actividad Evita que se aplique criterio personal. Estándar En muchos casos depende de la tecnología AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 15 Y COMUNICACIONES Se debe actualizar periódicamente Aspectos a considerar en una política Alcance: recursos, instalaciones y procesos de la organización sobre los que se aplican. Objetivos perseguidos y prioridades de seguridad. Compromiso de la Dirección de la organización. Clasificación de la información e identificación de los activos a proteger. Análisis y gestión de riesgos. Elementos y agentes involucrados en la implantación de las medidas de seguridad. Asignación de responsabilidades en los distintos niveles organizativos. Definición clara y precisa de los comportamientos exigidos y de los que están prohibidos (“AppropriateUsePolicy”) por parte del personal. Identificación de las medidas, normas y procedimientos de seguridad a implantar. Gestión de las relaciones con terceros (clientes, proveedores, partners. etc). Gestión de incidentes. Planes de contingencia y de continuidad del negocio. Cumplimiento de la legislación vigente. Definición de las posibles violaciones y de las consecuencias derivadas del incumplimiento de las Políticas de Seguridad AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 16 Y COMUNICACIONES Conceptos Generales de Red AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 17 Y COMUNICACIONES CONCEPTOS GENERALES DE RED Introducción La fusión de las computadoras y las comunicaciones ha tenido una influencia profunda en la manera en que están organizados los sistemas computacionales. El modelo antiguo de una sola computadora que realiza todas las tareas ha sido reemplazado por otro en el que un gran número de computadoras separadas pero interconectadas hacen el trabajo. Estos sistemas se denominan “Redes de Computadoras”; el cual se define como un conjunto de computadoras autónomas interconectadas. El objetivo principal de una red es interconectar diferentes sistemas de cómputo y, en general, distintos equipos terminales de datos (EDT), para que compartan recursos, intercambien datos y se apoyen mutuamente. Un segundo objetivo de las redes es proporcionar alta confiabilidad en la preservación y fidelidad de la información que transportan, así como el funcionamiento de la red. Esto significa que los datos no se deben perder durante su manejo y deben conservarse siempre sin alteraciones con respecto a los datos originales. Tipos de Red Las redes de información se pueden clasificar según su extensión y su topología. Una red puede empezar siendo pequeña para crecer junto con la organización o institución. A continuación se presenta los distintos tipos de redes disponibles: Por Cobertura: PAN LAN MAN WAN GAN VLAN VPN PAN (Personal Area Network/Área de Red Personal) Se establece que las redes de área personal son una configuración básica llamada así mismo personal. Actualmente existen diversas tecnologías que permiten su desarrollo, entre ellas se encuentran la tecnología inalámbrica Bluetooth o las tecnologías de infrarrojos. Sin embargo para su completo desarrollo es necesario que estas redes garanticen una seguridad de alto nivel, que sean altamente adaptables a diversos entornos, y que sean capaces de proporcionar una alta gama de servicios y aplicaciones. Las redes para espacios personales continúandesarrollándose hacia la tecnología del Bluetooth y el concepto de redes dinámicas, el cual nos permite una fácil AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 18 Y COMUNICACIONES comunicación con los dispositivos que van adheridos a nuestro cuerpo o a nuestra indumentaria, ya sea que estemos en movimiento o no, dentro del área de cobertura de nuestra red. PAN prevé el acercamiento de un paradigma de redes, la cual atrae el interés de los investigadores y las industrias que quieren aprender más acerca de las soluciones avanzadas para redes, tecnologías de radio, altas transferencias de bits, nuevos patrones para celulares, y un soporte de software más sofisticado. El sistema tendrá que soportar diferentes aplicaciones y distintos escenarios de operación, y así poder abarcar una gran variedad de dispositivos. Fig. 2.1Red de Tipo Personal LAN (Local Area Network/Red de Área Local) En su aplicación más extendida una red LAN, es la interconexión de ordenadores personales y estaciones de trabajo en oficinas, fábricas, etc.; para compartir recursos e intercambiar datos y aplicaciones. Todas las redes están diseñadas para compartir dispositivos y tener acceso a ellos de una manera fácil y sin complicaciones. Características Operan dentro de un Área geográfica limitada. Permite el multiacceso a medios con alto ancho de banda. Controla la red de forma privada con administración Local Proporciona conectividad continua a los servicios locales. Conecta dispositivos físicamente adyacentes Capacidad de transmisión comprendida entre 1 Mbps y 1 Gbps. Extensión máxima no superior a 3 km (una FDDI puede llegar a 200 km). Uso de un medio de comunicación privado. La simplicidad del medio de transmisión que utiliza (cable coaxial, cables telefónicos y fibra óptica). La facilidad con que se pueden efectuar cambios en el hardware y el software. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 19 Y COMUNICACIONES Gran variedad y número de dispositivos conectados. Posibilidad de conexión con otras redes. Limitante de 100 m, puede llegar a más si se usan repetidores. MAN (Metropolitan Area Network/Red de Área Metropolitana) Es una red de alta velocidad (banda ancha) que da cobertura en un área geográfica extensa, proporciona capacidad de integración de múltiples servicios mediante la transmisión de datos, voz y vídeo, sobre medios de transmisión tales como fibra óptica y par trenzado, la tecnología de pares de cobre se posiciona como la red más grande del mundo y es una excelente alternativa para la creación de redes metropolitanas, por su baja latencia (entre 1 y 50 ms), gran estabilidad y la carencia de interferencias radioeléctricas, las redes MAN, ofrecen velocidades de 10Mbps, 20Mbps, 45Mbps, 75Mbps, sobre pares de cobre y 100Mbps, 1Gbps y 10Gbps mediante Fibra Óptica. Las Redes MAN, se basan en tecnologías Bonding, de forma que los enlaces están formados por múltiples pares de cobre con el fin de ofrecer el ancho de banda necesario. Además esta tecnología es muy estable, gracias a que los enlaces están formados por múltiples pares de cobre y es materialmente imposible que 4, 8 ó 16 hilos se averíen de forma simultánea. Estas redes pueden ser públicas o privadas. WAN (Wide Area Network/Red de Área Amplia) Es un tipo de red capaz de cubrir distancias desde unos 100 hasta unos 1000 km, brindando servicio a un país o un continente. Muchas WAN son construidas por y para una organización o empresa particular y son de uso privado, otras son construidas por los proveedores de internet (ISP) para proveer de conexión a sus clientes. Hoy en día internet proporciona WAN de alta velocidad, y la necesidad de redes privadas WAN se ha reducido drásticamente. Normalmente la WAN es una red punto a punto, es decir, red de paquete conmutado. Fig. 2.2 Tipos de Redes AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 20 Y COMUNICACIONES GAN (Generic Access Network/Red de Acceso Genérico) Describe los sistemas de telecomunicación que permiten un roaming transparente con handover entre LAN’s y WAN’s utilizando un mismo teléfono móvil que ha de ser de modo dual. En la parte de red de área local el acceso radio de los sistemas GAN se efectúa en bandas ISM de uso común, del tipo 802.11 (WiFi). Mientras que en la parte de comunicación móvil en el exterior de edificios, donde no hay cobertura WiFi, se emplean servicios de 2,5G del tipo GSM/GPRS, o 3G UMTS. Lo que se persigue con las redes GAN es alcanzar una convergencia plena de servicios fijos y móviles basados en IP, incluida la telefonía vocal. Para ello es preciso que los operadores de telefonía móvil que quieran beneficiarse de esta convergencia tengan redes con arquitectura en Subsistema Multimedia IP (IMS) y los de telefonía fija tengan servicios equivalentes a los móviles mediante redes IP fijas. VLAN (Virtual Local Area Network/Red de Área Local Virtual) Es una red de área local que agrupa un conjunto de equipos de manera lógica y no física. Efectivamente, la comunicación entre los diferentes equipos en una red de área local está regida por la arquitectura física. Gracias a las redes virtuales (VLAN), es posible liberarse de las limitaciones de la arquitectura física (limitaciones geográficas, limitaciones de dirección, etc.), ya que se define una segmentación lógica basada en el agrupamiento de equipos según determinados criterios (direcciones MAC, números de puertos, protocolo, etc.). Tipos de Vlan Se han definido diversos tipos de VLAN, según criterios de conmutación y el nivel en el que se lleve a cabo: VLAN de nivel 1 (también denominada VLAN basada en puerto) define una red virtual según los puertos de conexión del switch. VLAN de nivel 2 (también denominada VLAN basada en la dirección MAC) define una red virtual según las direcciones MAC de las estaciones. Este tipo de VLAN es más flexible que la VLAN basada en puerto, ya que la red es independiente de la ubicación de la estación. VLAN de nivel 3: existen diferentes tipos de VLAN de nivel 3: VLAN basada en la dirección de red: conecta subredes según la dirección IP de origen de los datagramas. Este tipo de solución brinda gran flexibilidad, en la medida en que la configuración de los switches cambia automáticamente cuando se mueve una estación. En contrapartida, puede haber una ligera disminución del rendimiento, ya que la información contenida en los paquetes debe analizarse detenidamente. VLAN basada en protocolo: permite crear una red virtual por tipo de protocolo (por ejemplo, TCP/IP, IPX, AppleTalk, etc.). Por lo tanto, se pueden agrupar todos los equipos que utilizan el mismo protocolo en la misma red. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 21 Y COMUNICACIONES VPN (Virtual Private Network/Red Privada Virtual) Existe Software que nos permiten tener acceso remoto a diferentes computadores simulando que estamos trabajando ahí mismo, el cual nos permite una vez instalado en los dos equipos acceder de forma inmediata a los equipos y aparentar estar trabajando en ellos sin hacer presencia física, todo esto por medio de la red. Tipos de VPN Básicamente existen tres arquitecturas de conexión VPN: VPN de acceso remoto: Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. VPN punto a punto: Este esquema se utiliza para conectar oficinas remotas con la sedecentral de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales (realizados comúnmente mediante conexiones de cable físicas entre los nodos), sobre todo en las comunicaciones internacionales. Tunneling: La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras. El establecimiento de dicho túnel se implementa incluyendo una PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría ser SSH. VPN over LAN: Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi). TOPOLOGÍAS DE RED En el contexto de una red de comunicaciones, el término TOPOLOGÍA se refiere a la forma según la cual se interconectan entre sí los puntos finales, o estaciones, conectados a la red. Las topologías usuales en redes, son: bus o lineal, árbol, AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 22 Y COMUNICACIONES anillo y estrella. El bus es un caso especial de la topología en árbol, con un solo tronco y sin ramas. Topologías en Bus o Lineal En esta tecnología, todas las estaciones de trabajo se conectan a un canal de comunicaciones único (bus). Toda la información fluye por el canal y cada estación recibe solo la información que va dirigida a ella, este tipo de redes son sencillas de instalar y brindan gran flexibilidad para aumentar o disminuir el número de estaciones, La cantidad de cable que se utiliza es mínima, sobre todo en comparación con la topología de estrella, pues el cable no tiene que ir desde el servidor hasta cada una de las estaciones de trabajo. Tiene la ventaja además de que la falla en alguna de las estaciones no repercute en la red, pero una ruptura en la línea común si la inutilizará por completo. Se caracteriza por el uso de un medio multipunto, en este caso, todas las estaciones se encuentran directamente conectadas, a través de interfaces físicas apropiadas conocidas como Tomas de Conexión (taps), a un medio de transmisión lineal o bus. El funcionamiento full-duplex entre la estación y la toma de conexión permite la transmisión y la recepción de datos a través del bus. Una transmisión desde cualquier estación se propaga a través del medio en ambos sentidos y es recibida por el resto de estaciones. En cada extremo del bus existe un terminador que absorbe las señales, eliminándolas del bus. Fig. 2.3 Topología de Bus ó Lineal Topología de Árbol Esta topología es una generalización de la topología de bus o lineal; el medio de transmisión es un cable ramificado, sin bucles cerrados que comienza en un punto conocido como raíz o cabecera (head end). Uno o más cables comienzan en el AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 23 Y COMUNICACIONES punto raíz y cada uno de ellos puede presentar ramificaciones. Las ramas puedes disponer de ramas adicionales, dando lugar a esquemas más complejos. De nuevo la transmisión desde una estación se propaga a través del medio y puede alcanzar el resto de las estaciones. Existen dos problemas en esta disposición. En primer lugar, dado que la transmisión desde una estación se puede recibir en dos estaciones, es necesario algún método para indicar a quién va dirigida la transmisión. En segundo lugar, se precisa un mecanismo para regular la transmisión; para solucionar estos problemas, las estaciones de trabajo transmiten datos en bloques pequeños llamados trama. Cada trama consta de una porción de los datos que una estación desea transmitir, además de una cabecera de trama la cual contiene la información de control. A cada estación en el bus se le asigna una dirección, o identificador, única, incluyéndose en la cabecera la dirección destino de la trama. La estructura de la trama resuelve así el primer problema mencionado anteriormente: proporciona un mecanismo para indicar el receptor de los datos. También proporciona una herramienta básica para resolver el segundo problema, el control de acceso. En particular, en las estaciones transmiten por turnos de acuerdo con alguna forma cooperativa. Fig. 2.4 Topología de árbol Topología de Anillo El bus se cierra sobre sí mismo formando un anillo, de esta manera se asegura que la distancia a recorrer por la información entre dos equipos conectados al anillo es siempre la más corta posible; es decir, cada estación está conectada a la siguiente y la última está conectada a la primera. Cada estación tiene un receptor AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 24 Y COMUNICACIONES y un transmisor que hace la función de repetidor, pasando la señal a la siguiente estación, esto se debe a los protocolos que utilizan el paso de testigo (Token Ring). Esta topología es basada en estándares de facto de IBM para redes locales que no tuvieron mucha aceptación y hoy están prácticamente en desuso. En la actualidad las topologías de anillo se utilizan para redes de área extensa que utilizan otro tipo de protocolos (redes de fibra). En un anillo doble, dos anillos permiten que los datos se envíen en ambas direcciones, esta configuración crea redundancia (tolerancia a fallos). Entre las ventajas que encontramos en este tipo de topologías son: Simplicidad de la arquitectura. La facilidad de la configuración. Facilidad de fluidez de datos. Mientras que las desventajas que presenta son: La longitud de canal es limitada. El canal usualmente se degradará a medida que la red crece. Transferencia de datos será lenta. Fig. 2.5 Topología de Anillo Topología en Estrella Consiste en que todos los equipos finales de la red se conecten a uno intermedio que encamina la información a los destinatarios. Se utiliza en redes algo más extensas que las locales. Normalmente no es práctico que sea un único equipo el que actúa de intermediario (ya que la red sería muy sensible a fallos de un único equipo) y se suele emplear más de uno. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 25 Y COMUNICACIONES Ventajas: Presenta buena flexibilidad para incrementar el número de equipos conectados a la red. Si alguna de las computadoras falla el comportamiento de la red sigue sin problemas, sin embargo, si el problema se presenta en el controlador central se afecta toda la red. El diagnóstico de problemas es simple, debido a que todos los equipos están conectados a un controlador central. Desventajas: No es adecuada para grandes instalaciones, debido a la cantidad de cable que deben agruparse en el controlador central. Esta configuración es rápida para las comunicaciones entre las estaciones o nodos y el controlador, pero lascomunicaciones entre estaciones es lenta. Fig. 2.6 Topología de Estrella Topología de Malla Consiste en que todos los equipos integrantes de una red se conecten todos con todos. Esto solo es viable, desde un punto de vista práctico para redes con un pequeño número de equipos. En la práctica se emplea para redes de área extensa combinada con la topología de estrella. Los equipos finales se conectan a un conjunto de equipos intermedios en forma de estrella, mientras que estos últimos se conectan entre sí, todos con todos con una topología de malla. Esta configuración asegura una máxima disponibilidad de la red en caso de fallo de alguno de los equipos. Presenta ventajas como: La posibilidad de llevar los mensajes de un nodo a otro por diferentes caminos. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 26 Y COMUNICACIONES No puede existir absolutamente ninguna interrupción en las comunicaciones. Cada servidor tiene sus propias comunicaciones con todos los demás servidores. Si falla un cable el otro se hará cargo del tráfico. No requiere un nodo o servidor central lo que reduce el mantenimiento. Si un nodo desaparece o falla no afecta en absoluto a los demás nodos. Y su desventaja es: Red es costosa de instalar ya que requiere de mucho cable. Fig. 2.7 Topología de Malla EQUIPOS DE COMUNICACIÓN Los principales equipos de comunicación con los que se crean las diferentes redes que en la actualidad se conocen son: Switch Router Estos se interconectan entre e indican el camino por donde el tráfico de datos se guiara para llegar al equipo final que realizo la petición. SWITCH Es un dispositivo digital de lógica de interconexión de redes de computadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Su función es interconectar dos o más segmentos de red, de manera similar a los puentes (bridges), pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las tramas en la red. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 27 Y COMUNICACIONES Estos se utilizan cuando se desea conectar múltiples redes, fusionándolas en una sola. Al igual que los puentes, dado que funcionan como un filtro en la red, mejoran el rendimiento y la seguridad de las LAN’s (Local Area Network- Red de Área Local). Los switches poseen la capacidad de aprender y almacenar las direcciones de red de nivel 2 (direcciones MAC) de los dispositivos alcanzables a través de cada uno de sus puertos. Por ejemplo, un equipo conectado directamente a un puerto de un switch provoca que el switch almacene su dirección MAC, esto permite que, a diferencia de los concentradores o hubs, la información dirigida a un dispositivo vaya desde el puerto origen al puerto de destino. En el caso de conectar dos switches o un switch y un concentrador, cada switch aprenderá las direcciones MAC de los dispositivos accesibles por sus puertos, por lo tanto en el puerto de interconexión se almacenan las MAC de los dispositivos del otro switch. ROUTER Es un dispositivo de hardware para interconexión de red de computadoras que opera en la capa tres (nivel de red) del modelo OSI. Un router es un dispositivo para la interconexión de redes informáticas que permite asegurar el enrutamiento de paquetes entre redes o determinar la mejor ruta que debe tomar el paquete de datos. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 28 Y COMUNICACIONES Marcos de Referencia y Metodología AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 29 Y COMUNICACIONES Principales Marcos de Referencia y Metodologías Committee of Sponsoring Organizations of the Treadway Commission (COSO) Busca definir un nuevo marco conceptual del control interno, capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre este tema, logrando así que, al nivel de las organizaciones públicas o privadas, de la auditoría interna o externa, o de los niveles académicos o legislativos, se cuente con un marco conceptual común, una visión integradora que satisfaga las demandas generalizadas de todos los sectores involucrados El marco integrado de control que plantea el informe COSO consta de cinco componentes interrelacionados, derivados del estilo de la dirección, e integrados al proceso de gestión: Ambiente de control Evaluación de riesgos Actividades de control Información y comunicación Supervisión El ambiente de control refleja el espíritu ético vigente en una entidad respecto del comportamiento de los agentes, la responsabilidad con que encaran sus actividades, y la importancia que le asignan al control interno. Sirve de base de los otros componentes, ya que es dentro del ambiente reinante que se evalúan los riesgos y se definen las actividades de control tendientes a neutralizarlos. Simultáneamente se capta la información relevante y se realizan las comunicaciones pertinentes, dentro de un proceso supervisado y corregido de acuerdo con las circunstancias. El modelo refleja el dinamismo propio de los sistemas de control interno. Así, la evaluación de riesgos no sólo influye en las actividades de control, sino que puede también poner de relieve la conveniencia de reconsiderar el manejo de la información y la comunicación. No se trata de un proceso en serie, en el que un componente incide exclusivamente sobre el siguiente, sino que es interactivo multidireccional en tanto cualquier componente puede influir, y de hecho lo hace, en cualquier otro. Existe también una relación directa entre los objetivos (Eficiencia de las operaciones, confiabilidad de la información y cumplimiento de leyes y reglamentos) y los cinco componentes referenciados, la que se manifiesta permanentemente en el campo de la gestión: las unidades operativas y cada agente de la organización conforman secuencialmente un esquema orientado a AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 30 Y COMUNICACIONES los resultados que se buscan, y la matriz constituida por ese esquema es a su vez cruzada por los componentes. The Criteria of Control Board (COCO) El modelo COCO fue emitido en 1995 por el Consejo denominado "The Criteria of Control Board" y dado a conocer por el Instituto Canadiense de Contadores Certificados (CICA) a través de un Consejo encargado de diseñar y emitir criterios o lineamientos generales sobre control interno. El cambio importante que plantea el informe canadiense consiste que en lugar de conceptualizar al proceso de control como una pirámide de componentes y elementos interrelacionados, proporciona un marco de referencia a través de 20 criterios generales, que el personal en toda la organización puede usar para diseñar, desarrollar, modificar o evaluar el control. El llamado ciclo de entendimiento básico del control, como se representa en el informe, consta de cuatro etapas que contienen los 20 criterios generales, conformando un ciclo lógico de acciones a ejecutar para asegurar el cumplimiento de los objetivos de la organización. En la estructura del informe, los criterios son elementos básicos para entender y, en su caso, aplicar el sistema de control. Se requieren adecuados análisis y comparaciones para interpretar los criterios en el contexto de una organización en particular, y para una evaluación efectiva de los controles implantados. El Informe prevé 20 criterios agrupados en cuanto al: Propósito Compromiso Aptitud Evaluación y Aprendizaje. En el propósito, los objetivos deben ser comunicados, se deben identificar los riesgos internos y externos que afecten el logrode objetivos. Las políticas para apoyar el logro de objetivos deben ser comunicadas y practicadas, para que el personal identifique el alcance de su libertad de actuación, se deben establecer planes para guiar los esfuerzos y los objetivos y planes deben incluir metas, parámetros e indicadores de medición del desempeño. En el compromiso se deben establecer y comunicar los valores éticos de la organización, las políticas y prácticas sobre recursos humanos deben ser consistentes con los valores éticos de la organización y con el logro de sus objetivos. La autoridad y responsabilidad deben ser claramente definidas y consistentes con los objetivos de la organización, para que las decisiones se tomen por el personal apropiado y se debe fomentar una atmósfera de confianza para apoyar el flujo de la información. En la etapa de aptitud el personal debe tener los conocimientos, habilidades y herramientas necesarios para el logro de objetivos, el proceso de comunicación AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 31 Y COMUNICACIONES debe apoyar los valores de la organización, se debe identificar y comunicar información suficiente y relevante para el logro de objetivos, las decisiones y acciones de las diferentes partes de una organización deben ser coordinadas y las actividades de control deben ser diseñadas como una parte integral de la organización. Finalmente en la etapa de evaluación y aprendizaje se debe monitorear el ambiente interno y externo para identificar información que oriente hacia la reevaluación de objetivos, el desempeño debe ser evaluado contra metas e indicadores, las premisas consideradas para el logro de objetivos deben ser revisadas periódicamente, los sistemas de información deben ser evaluados nuevamente en la medida en que cambien los objetivos y se precisen deficiencias en la información, debe comprobarse el cumplimiento de los procedimientos modificados y se debe evaluar periódicamente el sistema de control e informar de los resultados. Modelo de Madurez (Maturity Model) Los modelos de madurez para el control de los procesos de TI consisten en desarrollar un método de puntaje de modo que una organización pueda calificarse a sí misma desde inexistente hasta optimizada (de 0 a 5). Este método ha sido derivado del Modelo de Madurez que el Software Engineering Institute definió para la madurez de la capacidad de desarrollo de software. Los Modelos de Madurez se construyen a partir del modelo genérico cualitativo a los que se agregan las prácticas y los principios de los dominios siguientes de forma creciente a través de todos los niveles: Entendimiento y conocimiento de los riesgos y de los problemas de control. Capacitación y comunicación aplicadas a los problemas. Proceso y prácticas que son implementados. Técnicas y automatización para hacer los procesos más efectivos y eficientes. Grado de cumplimiento de la política interna, las leyes y las reglamentaciones. Tipo y grado de pericia empleada La escala 0-5 se basa en una escala simple de madurez que muestra cómo evoluciona un proceso desde Inexistente hasta optimizado. Debido a que son procesos de administración, la madurez y la capacidad aumentada es también sinónimo de mayor manejo del riesgo y mayor eficiencia. 0 Inexistente 1 Inicial 2 Repetible 3 Definida 4 Administrada 5 Optimizada AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 32 Y COMUNICACIONES El inexistente consiste en total falta de un proceso reconocible, la organización ni siquiera ha reconocido que hay un problema que resolver. En el inicial hay evidencia de que la organización ha reconocido que los problemas existen y que necesitan ser resueltos, sin embargo, no hay procesos estandarizados pero en cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso; el método general de la administración es desorganizado. En el repetible los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea, no hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona y hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores. En definida los procedimientos han sido estandarizados y documentados, y comunicados a través de capacitación, sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones y los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes. En la administrada es posible monitorear y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando efectivamente, los procesos están bajo constante mejoramiento y proveen buena práctica y se usan la automatización y las herramientas en una forma limitada o fragmentada. Finalmente en el punto de optimizada los procesos han sido refinados hasta un nivel de la mejor práctica, basados en los resultados de mejoramiento continuo y diseño de la madurez con otras organizaciones y TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez. Information Technologies Infrastructure Library (ITIL) Es un conjunto de mejores prácticas para la dirección y gestión de servicios de tecnologías de la información en lo referente a Personas, Procesos y Tecnología, desarrollado por la OGC (Office of Government Commerce) del Reino Unido, que cumple y desarrolla la norma BS15000 de la BSI (British Standards Institution). A través de las Mejores Prácticas especificadas en ITIL se hace posible para departamentos y organizaciones reducir costos, mejorar la calidad del servicio tanto a clientes externos como internos y aprovechar al máximo las habilidades y experiencia del personal, mejorando su productividad. ITIL es un conjunto de libros, que permiten mejorar notablemente la calidad de los servicios de tecnologías de la información y que presta una organización a sus clientes o un departamento a su organización. ITIL cubre cada escenario del ciclo de vida de los servicios. Service Strategy AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 33 Y COMUNICACIONES Service Design Service Transition Service Operation Continual Service Improvement La estrategia de servicios proporciona una guía para diseñar, desarrollar e implementar el Service Management no sólo como capacidad organizacional, sino también como un valor estratégico. Sirve para revisar los servicios actuales y mejorar la alineación entre las capacidades y las estrategias del negocio. Service Design se ocupa del diseño de servicios y sus procesos relacionados. No afecta solo los nuevos servicios, sino también a los que han sido modificados para su paso a un entorno de producción. El propósito de la etapa de Service Operation es coordinar y llevar a cabo las actividades y procesos requeridos para entregar y administrar los servicios de acuerdo a los niveles de servicio acordados con los clientes y usuarios del negocio, además es responsable de administrar la tecnología que se utiliza para entregar y soportar estos servicios. La Transición del Servicio se enfoca en implementar todos los aspectos del servicio, no solo su aplicación y como es usados en circunstancias normales. Es necesario asegurar que el servicio puede operar bajo extremos previstos o circunstancias anormales y que el soporte por fallas o errores está disponible. Finalmente el Continual Service Improvement se centra en continuamente estar alineando y re-alineando los serviciosde TI a las necesidades del negocio, identificando e implementando mejoras en los servicios de TI que a su vez soportan los procesos de negocio. Control Objectives for Information and related Technology (COBIT) COBIT es un marco de referencia general dirigido a la administración de TI y como tal estas escalas necesitan ser prácticas para aplicar y razonablemente fáciles de entender. Los Criterios de Información contenidos en el Marco Referencial de COBIT ayudan a asegurarse de que estamos enfocados en los aspectos correctos de la administración cuando describimos la práctica real. COBIT brinda un modelo de procesos genéricos que representa todos los procesos que normalmente se encuentran en las funciones de TI, ofreciendo un modelo de referencia común entendible para los gerentes operativos de TI y del negocio. Se establecieron equivalencias entre los modelos de procesos COBIT y las áreas de enfoque del gobierno de TI, ofreciendo así un puente entre lo que los gerentes operativos deben realizar y lo que los ejecutivos desean gobernar. Para lograr un gobierno efectivo, los ejecutivos esperan que los controles a ser implementados por los gerentes operativos se encuentren dentro de un marco de control definido para todo los procesos de TI. Los objetivos de control de TI de COBIT están organizados por proceso de TI; por lo tanto, el marco de trabajo brinda una alineación clara entre los requerimientos de gobierno de TI, los procesos de TI y los controles de TI. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 34 Y COMUNICACIONES Estándares de IEEE 802.1 Define la relación entre los estándares 802 del IEEE y el Modelo de Referencia para Interconexión de Sistemas Abiertos (OSI) de la ISO (Organización Internacional de Estándares). Por ejemplo, este Comité definió direcciones para estaciones LAN de 48 bits para todos los estándares 802, de modo que cada adaptador puede tener una dirección única. Los vendedores de tarjetas de interface de red están registrados y los tres primeros bytes de la dirección son asignados por el IEEE. Cada vendedor es entonces responsable de crear una dirección única para cada uno de sus productos. 802.2 Control de Enlaces Lógicos. Define el protocolo de control de enlaces lógicos (LLC) del IEEE, el cual asegura que los datos sean transmitidos de forma confiable por medio del enlace de comunicación. La capa de Datos-Enlace en el protocolo OSI esta subdividida en las subcapas de Control de Acceso a Medios (MAC) y de Control de Enlaces Lógicos (LLC). En Puentes, estas dos capas sirven como un mecanismo de switcheo modular, como se muestra en la figura I-5. El protocolo LLC es derivado del protocolo de Alto nivel para Control de Datos- Enlaces (HDLC) y es similar en su operación. Nótese que el LLC provee las direcciones de Puntos de Acceso a Servicios (SAP's), mientras que la subcapa MAC provee la dirección física de red de un dispositivo. Las SAP's son específicamente las direcciones de una o más procesos de aplicaciones ejecutándose en una computadora o dispositivo de red. 802.3: Protocolo de IEEE para LAN que especifica la implementación de la capas físicay de la subcapa MAC de la capa de enlace de datos. IEEE 802.3 utiliza el acceso CSMA/ CDa varias velocidades a través de diversos medios físicos. Las extensiones del estándar IEEE 802.3 especifican implementaciones para fast Ethernet. Las variaciones físicas de las especificación IEEE 802.3 original incluyen 10Base2, 10Base5, 10BaseF, 10BaseT, y 10Broad36. Las variaciones físicas para Fast Ethernet incluyen 100BaseTX y 100BaseFX. 802.4: Especifica el bus de señal pasante. 802.5: Protocolo de LAN IEEE que especifica la implementación de la capa físicas y de la subcapa MAC de la capa de enlace de datos. IEEE 802.5 usa de acceso de transmisión de tokens a 4 Mbps ó 16 Mbps en cableado STP O UTP y de punto de vista funcional y operacional es equivalente a token Ring de IBM. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 35 Y COMUNICACIONES ANSI ANSI (Instituto Nacional Americano de Normalización) Organización voluntaria compuesta por corporativas, organismos del gobierno y otros miembros que coordinan las actividades relacionadas con estándares, aprueban los estándares nacionales de los EE.UU. y desarrollan posiciones en nombre de los Estados Unidos ante organizaciones internacionales de estándares. ANSI ayuda a desarrollar estándares de los EE.UU. e internacionales en relación con, entre otras cosas, comunicaciones y networking. ANSI es miembro de la IEC (Comisión Electrotécnica Internacional), y la Organización Internacional para la Normalización. La norma central que especifica un género de sistema de cableado para telecomunicaciones es la norma ANSI/TIA/EIA-568-A, "Norma para construcción comercial de cableado de telecomunicaciones". Esta norma fue desarrollada y aprobada por comités del Instituto Nacional Americano de Normas (ANSI), la Asociación de la Industria de Telecomunicaciones (TIA), y la Asociación de la Industria Electrónica, (EIA) La norma establece criterios técnicos y de rendimiento para diversos componentes y configuraciones de sistemas. Además, hay un número de normas relacionadas que deben seguirse con apego. Dichas normas incluyen la ANSI/EIA/TIA-569,"Norma de construcción comercial para vías y espacios de telecomunicaciones", que proporciona directrices para conformar ubicaciones, áreas, y vías a través de las cuales se instalan los equipos y medios de telecomunicaciones. Otra norma relacionada es la ANSI/TIA/EIA-606, "Norma de administración para la infraestructura de telecomunicaciones en edificios comerciales". Proporciona normas para la codificación de colores, etiquetado, y documentación de un sistema de cableado instalado. Seguir esta norma, permite una mejor administración de una red, creando un método de seguimiento de los traslados, cambios y adiciones. Facilita además la localización de fallas, detallando cada cable tendido por características. ANSI/TIA/EIA-607, "Requisitos de aterrizado y protección para telecomunicaciones en edificios comerciales", que dicta prácticas para instalar sistemas de aterrizado que aseguren un nivel confiable de referencia a tierra eléctrica, para todos los equipos. Cada uno de estas normas funciona en conjunto con la 568-A. Cuando se diseña e instala cualquier sistema de telecomunicaciones, se deben revisar las normas adicionales como el código eléctrico nacional (NEC) de los E.U.A., o las leyes y previsiones locales como las especificaciones NOM (Norma Oficial Mexicana). AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 36 Y COMUNICACIONES Organización Internacional para la Normalización (ISO) Organización internacional que tiene a su cargo una amplia gama de estándares, incluyendo aquellos referidos al networking. ISO desarrolló el modelo de referencia OSI, un modelo popular de referencia de networking. La ISO establece en julio de 1994 la norma ISO 11801 que define una instalación completa (componente y conexiones) y valida la utilización de los cable de 100 o mega o 120 o mega. La ISO 11801 actualmente trabaja en conjunto para unificar criterios. Las ventajas de la ISO es fundamental ya que facilita la detección de las fallas que al momento de producirse esto afecte solamente a la estación que depende de esta conexión, permite una mayor flexibilidad para la expansión, eliminación y cambio de usuario del sistema. Los costos de instalación de UTP son superiores a los de coaxial, pero se evitan las pérdida económicaproducida por la caída del sistema por cuanto se afecte solamente un dispositivo. La ISO 11801 reitera la categoría EIA/TIA (Asociación de industria eléctricas y telecomunicaciones) .Este define las clases de aplicación y es denominado estándar de cableado de telecomunicaciones para edificio comerciales. COBIT Introducción COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los Interesados (Stakeholders); este permite el desarrollo de políticas claras y de buenas prácticas para control de TI a través de las empresas. COBIT constantemente se actualiza y armoniza con otros estándares. Por lo tanto, se ha convertido en el integrador de las mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con TI. La estructura de procesos de COBIT y su enfoque de alto nivel orientado al negocio brindan una visión completa de TI y de las decisiones a tomar acerca de la misma. Los beneficios de implementar COBIT como marco de referencia de gobierno sobre TI incluyen: Mejor alineación, con base en su enfoque de negocios Una visión, entendible para la gerencia, de lo que hace TI Propiedad y responsabilidades claras, con base en su orientación a procesos Aceptación general de terceros y reguladores AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 37 Y COMUNICACIONES Entendimiento compartido entre todos los Interesados, con base en un lenguaje común Cumplimiento de los requerimientos COSO para el ambiente de control de TI Marco de Trabajo COBIT Un marco de control para el Gobierno TI define las razones de por qué se necesita el Gobierno de TI, los interesados y que se necesita cumplir en el gobierno de TI. Por qué: Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de una empresa. La dirección espera un alto entendimiento de la manera en que la tecnología de información (TI) es operada y de la posibilidad de que sea aprovechada con éxito para tener una ventaja competitiva. Quién: Un marco de referencia de gobierno y de control requiere servir a una variedad de interesados internos y externos, cada uno de los cuales tiene necesidades específicas: Interesados dentro de la empresa que tienen interés en generar valor de las inversiones en TI Interesados internos y externos que proporcionan servicios de TI Interesados internos y externos con responsabilidades de control/riesgo Qué: Para satisfacer los requerimientos previos, un marco de referencia para el gobierno y el control de TI, debe satisfacer las siguientes especificaciones generales: Brindar un enfoque de negocios que permita la alineación entre las metas de negocio y de TI. Establecer una orientación a procesos para definir el alcance y el grado de cobertura, con una estructura definida que permita una fácil navegación en el contenido. Ser generalmente aceptable al ser consistente con las mejores prácticas y estándares de TI aceptados, y que sea independiente de tecnologías específicas. Proporcionar un lenguaje común, con un juego de términos y definiciones que sean comprensibles en general para todos los Interesados. Ayudar a satisfacer requerimientos regulatorios, al ser consistente con estándares de gobierno corporativo generalmente aceptados (COSO) y con controles de TI esperados por reguladores y auditores externos. Como respuesta a las necesidades descritas en la sección anterior, el marco de trabajo COBIT se creó con las características principales de ser orientado a negocios, orientado a procesos, basado en controles e impulsado por mediciones. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 38 Y COMUNICACIONES 3.1 Principio Básico de COBIT Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y Monitorear. Dentro del marco de COBIT, estos dominios, como se muestra en la Figura 3.2, se llaman: Planear y Organizar (PO) – Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI) – Proporciona las soluciones y las pasa para convertirlas en servicios. Entregar y Dar Soporte (DS) – Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la dirección provista. 3.2 Dominios en COBIT AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 39 Y COMUNICACIONES Planear y Organizar (PO) Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. Este dominio cubre los siguientes cuestionamientos típicos de la gerencia: ¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Se entienden y administran los riesgos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? Pocesos PO1 Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de la Información PO3 Determinar la Dirección Tecnológica PO4 Definir los Procesos, Organización y Relaciones de TI PO5 Administrar la Inversión en TI PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia PO7 Administrar Recursos Humanos de TI PO8 Administrar la Calidad PO9 Evaluar y Administrar los Riesgos de TI PO10 Administrar Proyectos Adquirir e Implementar (AI) Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: ¿Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios no afectarán a las operaciones actuales del negocio? AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 40 Y COMUNICACIONES Procesos AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios Entregar y Dar Soporte (DS) Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos. Por lo general cubre las siguientes preguntas de la gerencia:¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? ¿Están optimizados los costos de TI? ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? Procesos DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 41 Y COMUNICACIONES Monitorear y Evaluar (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. Por lo general abarca las siguientes preguntas de la gerencia: ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? ¿La Gerencia garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño? Procesos ME1 Monitorear y Evaluar el Desempeño de TI ME2 Monitorear y Evaluar el Control Interno ME3 Garantizar el Cumplimiento Regulatorio ME4 Proporcionar Gobierno de TI A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados (ver figura 3.3 para la lista completa). Mientras la mayoría de las empresas ha definido las responsabilidades de planear, construir, ejecutar y monitorear para TI, y la mayoría tienen los mismos procesos clave, pocas tienen la misma estructura de procesos o le aplicaran todos los 34 procesos de COBIT. COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen todas, y, aun más, se pueden combinar como se necesite por cada empresa. Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que soporta. Información de cómo se pueden medir las metas, también se proporcionan cuáles son sus actividades clave y entregables principales, y quién es el responsable de ellas. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 42 Y COMUNICACIONES 3.3 Marco de Trabajo completo de COBIT AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 43 Y COMUNICACIONES Auditoria de dispositivos de Red AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 44 Y COMUNICACIONES Auditoria de dispositivos de Red Elementos a auditar en una red Seguridad Física El resultado de esta sección es encontrar condiciones que dentro de la infraestructura física, no de TI, pudiese influir en la seguridad de este última. Entre las condiciones que se busca verificar se encuentran: Los mecanismos de control de acceso físico a las instalaciones que albergan componentes del sistema de IT. Que existan mecanismos de respuesta automática ante intrusiones o situaciones anómalas. Ej. Aumento de temperatura, fuego, temblores. Que existan mecanismos adecuados de protección de respaldos y de los equipos ante amenazas de hurto o destrucción accidental. Que existan mecanismos adecuados de control de las condiciones ambientales que pudiesen influir en el funcionamiento de la tecnología, medios de almacenamiento u otros. Que existan medidas de contingencia antes riesgos físicos y que estos estén acorde a las condiciones del lugar y que el personal ha sido entrenado y los conoce. Que existan fuentes adicionales de suministro eléctrico. Que los equipos de suministro eléctrico están adecuadamente dimensionados y protegidos. Infraestructura inalámbrica Actualmente el desarrollo inalámbrico es uno de los aspectos que distingue el crecimiento de las redes de datos. Por otro lado, si bien la utilización de tecnologías inalámbricas permite ampliar el desarrollo de las redes de datos y amplía su campo de incidencia, trae consigo un grupo importante de riesgos. Por ejemplo una red mal configurada permitiría el acceso desde sitios remotos. En la terminología de seguridad se llama a esas redes “redes dulces”. Varias redes inalámbricas coexisten en este ambiente sin protección por lo que es posible conectarse a muchas de ellas e incluso acceder a los recursos internos de las organizaciones. Los siguientes aspectos son cubiertos por esta sección: Verificar la seguridad del esquema de autentificación y control de acceso. Verificar la seguridad del sistema DHCP. Verificar los mecanismos de control de integridad y confidencialidad. Verificar la Seguridad del entorno. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 45 Y COMUNICACIONES Infraestructura de detección de intrusos Uno de los elementos que conforman actualmente cualquier sistema de protección son los detectores de intrusos. Como los programas antivirus, un detector de intrusos busca patrones que puedan ser identificados en estas circunstancias no como virus sino como intrusiones, tráfico no permitido o fuera de rango, comportamiento anómalo de los sistemas, etc. Existen varias subdivisiones de los sistemas de detección de intrusos. Aquí nos referiremos a las dos más comunes. La división entre ellos se basa en el sitio donde se realizan la búsqueda de patrones. Los detectores de intrusos basados en servidores realizan su función buscando en las bitácoras de los sistemas que protegen. El éxito de un sistema de detección de intrusos se basa en la correcta configuración de los filtros de tráfico. Un filtro muy estricto generará tantas alarmas que será poco utilizable y será difícil encontrar información realmente útil dentro de una gran cantidad de registros de alarmas poco significativas. Lo contrario ocurre si los filtros son muy débiles, en este caso no se registrarán las alarmas necesarias. Otro aspecto es que el detector de intrusos verifique todos los sitios de acceso o servidores. Esta sección cubre los siguientes aspectos: Verificar la configuración básica de seguridad de un Detector de Intrusos Basado en red. Verificar la seguridad del sistema los Sistemas de Detección de Intrusos basados en host. Dispositivos Firewalls Los dispositivos cortafuegos (firewalls) son uno de los baluartes de cualquier sistema de seguridad. Muchos son los aspectos que deben tomarse en cuenta para que un dispositivo firewall sea realmente un dispositivo útil y entre los puntos más importantes que están directamente relacionados con el cumplimiento de las funciones de seguridad informática para las cuales una organización coloca un dispositivo firewall en su red son: Verificar efectividad de las reglas de filtrado. Verificar efectividad de las políticas de mantenimiento de la configuración Verificar configuración y seguridad del sistema de bitácoras. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 46 Y COMUNICACIONES Principales protocolos de Seguridad Un escenario típico consiste en algunos,tales como individuos, compañías, computadoras, lectores de tarjetas magnéticas, los cuales se comunican usando una variedad de canales (teléfono, correo electrónico, radio) o dispositivos físicos (tarjetas bancarias, pasajes, cédulas). Un protocolo de seguridad define las reglas que gobiernan estas comunicaciones, diseñadas para que el sistema pueda soportar ataques de carácter malicioso. Existen varios protocolos posibles, en todos los casos se cran túneles entre origen y destino. Dentro de estos túneles viaja la información, bien por una conexión normal (en este caso no se encriptan los datos) o bien por una conexión VPN. El protocolo IP es uno de los más empleados; este se basa en GRE que es un protocolo de tunneling. Este protocolo también se utiliza de forma conjunta con otros protocolos como PPTP. Generic Routing Encapsulation (GRE 47) Point-to-Point Tunneling Protocol (PPTP) IP Sec Protocolo de tunelado nivel 2 (L2TP) Secure shell (SSH) Generic Routing Encapsulation (GRE 47) Es el protocolo de Encapsulación de Enrutamiento Genérico. Se emplea en combinación con otros protocolos de túnel para crear redes virtuales privadas. Está documentado en el RFC 1701 y el RFC 1702. Fue diseñado para proporcionar mecanismos de propósito general, ligeros y simples, para encapsular datos sobre redes IP. El GRE es un protocolo cliente de IP que usa el protocolo IP 47; este protocolo es normalmente usado con VPN de Microsoft entre servidores con acceso remoto (RRAS) configurados para el enrutamiento entre redes de área local. Point-to-Point Tunneling Protocol. El Protocolo de Túnel Punto a Punto (PPTP) encapsula los paquetes (frames) del Protocolo Punto a Punto (Point-to-Point Protocol, PPP) con datagramas IP para transmitirlos por una red IP como Internet o una intranet privada. El PPTP utiliza una conexión TCP conocida como la conexión de control de PPTP para crear, mantener y terminar el túnel, y una versión modificada de GRE, para encapsular los paquetes (frames) PPP como datos para el túnel. Las cargas de los paquetes encapsulados pueden estar encriptadas o comprimidas o ambas cosas. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 47 Y COMUNICACIONES IP Sec Es un grupo de extensiones de la familia del protocolo IP pensado para proveer servicios de seguridad a nivel de red, de un modo transparente a las aplicaciones superiores. IP Sec está ya explicado en su trabajo correspondiente: I Pv 6 e IP Sec Protocolo de tunelado de nivel 2 (L2TP) Es un componente de creación importante para las VPN de acceso. Es una extensión del protocolo Punto a Punto, fundamental para la creación de VPNs; este combina las mejores funciones de los otros dos protocolos: tunneling. Layer 2 Forwarding (L2F) de Cisco Systems y Point-to-Point Tunneling (PPTP) de Microsoft. L2TP es un estándar emergente, que se encuentra actualmente en codesarrollo y que cuenta con el respaldo de Cisco Systems, Microsoft, Ascend, 3Com y otros líderes en la industria de la conectividad. Secure shell (SSH) Tradicionalmente en sistemas Unix en el momento de entrar en el sistema, tanto el login como el password, así como el resto de la sesión, se transmiten a través de la red LAN o incluso a través de routers y nodos ajenos en texto claro. Esto quiere decir que cualquiera que tenga activado un sniffer puede capturar nuestras sesiones con el potencial peligro que ello conlleva. La manera de evitar que alguien pueda espiar las claves y sesiones, es utilizar una herramienta muy potente, fácil de instalar y muy cómoda para el usuario; el ssh/sshd actúan basándose en la arquitectura cliente/servidor , en este caso concreto sshd se ejecuta en el servidor en un puerto (por defecto es el 22), a la espera de que alguien utilice un cliente ssh se conecte para ofrecerle una sesión segura encriptándola de extremo a extremo. Todo es como en una sesión telnet tradicional, pero con la particularidad de que todas las comunicaciones serán encriptadas. El manejo de cualquier programa cliente de SSH es muy sencillo. Básicamente hay que introducir al servidor que se quiere conectar y que algoritmo de encriptación se quiere usar Protección de los Sistemas electrónicos y eléctricos Implementación de UPS Se puede plantear en este punto una definición de UPS, una traducción literal del término aceptado mundialmente, UPS (Uninterrumpible Power Supply/Fuente de poder ininterrumpido). Es un equipo o dispositivo capaz de suministrar potencia o energía frente a alguna interrupción de lo que sería el suministro normal de la AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 48 Y COMUNICACIONES misma. Además puede agregar otras funciones que terminan mejorando el suministro de energía eléctrica a los equipos sofisticados o de alto riesgo eléctrico que tiene conectados a ella. Una UPS nos protege, de todos los problemas eléctricos conocidos, pero no lo hace en el 100% en todos los casos. Con mayor precisión, esto quiere decir que nos protegerá de una caída de voltaje, pero no de todas las caídas. Jaula de Faraday El efecto jaula de Faraday provoca que el campo electromagnético en el interior de un conductor en equilibrio sea nulo, anulando el efecto de los campos externos; esto se debe a que, cuando el conductor está sujeto a un campo electromagnético externo, se polariza, de manera que queda cargado positivamente en la dirección en que va el campo electromagnético, y cargado negativamente en el sentido contrario. Puesto que el conductor se ha polarizado, este genera un campo eléctrico igual en magnitud pero opuesto en sentido al campo electromagnético, luego la suma de ambos campos dentro del conductor será igual a 0. Se pone de manifiesto en numerosas situaciones cotidianas, por ejemplo, el mal funcionamiento de los teléfonos móviles en el interior de ascensores o edificios con estructura de rejilla de acero. Una manera de comprobarlo es con una radio sintonizada en una emisora de Onda Media. Al rodearla con un periódico, el sonido se escucha correctamente. Sin embargo, si se sustituye el periódico con un papel de aluminio la radio deja de emitir sonidos: el aluminio es un conductor eléctrico y provoca el efecto jaula de Faraday. Acondicionamiento de Aire. Es recomendable que todos los dispositivos eléctricos y electrónicos tengan una atmósfera libre de polvo, dentro de unos límites especificados de temperatura y humedad relativa. Tal control es sólo posible mediante el uso de equipos de climatización, que realicen las funciones básicas de mantenimiento de la temperatura del aire dentro de los límites requeridos, bien mediante la extracción del calor, o bien suministrando o haciendo circular el aire y manteniendo la humedad relativa. Es recomendable que el equipo se utilice y almacene a una temperatura de 21± 1°C y una humedad relativa de 50% ± 5%. El aire acondicionado también impide la entrada de polvo mediante presurización de la sala de la computadora con aire fresco para crear un flujo hacia el exterior del aire procedente vía ventanas o cualquier filtración por otro lugar. La seguridad puede verse comprometida por los daños que las partículas de polvo pueden producir en las cabezas y en las superficies de grabación. El polvo puede originarse o bien procedente del exterior de la sala producido por actividades en habitaciones o edificios anejos, o por operaciones industriales cercanas, o bien en el interior de la misma, debido a AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 49 Y COMUNICACIONES manipulaciones de papel, desprendimientos de muros o paredes, o fibras procedentes del techo o de los aislamientos de la sala. Una vez que se ha identificado la procedencia del polvo, puede ser posible vencerel problema en sus fuentes. Las personas que acceden a la sala pueden introducir también polvo en las ropas y en el calzado. Importancia de auditar una red y concepto de auditoría de red La infraestructura de las Tecnologías de la Información y de las Comunicaciones (TIC) se ha convertido en un activo empresarial estratégico y la red constituye su núcleo. Una Auditoria de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información. El primer paso para iniciar una gestión responsable de la seguridad es identificar la estructura física (hardware, topología) y lógica (software, aplicaciones) del sistema (sea un equipo, red, intranet, extranet), y hacerle un análisis de vulnerabilidad, para saber en qué grado de exposición nos encontramos; hecha esta "radiografía" de la red, se procede a localizar sus fallas más críticas, para proponer una estrategia de saneamiento de los mismos; un plan de contención ante posibles incidentes; y un seguimiento continuo del desempeño del sistema. Auditoria De La Red Física Garantiza: Áreas de equipo de comunicación con control de acceso. Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos. Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el tráfico en ella. Prioridad de recuperación del sistema. Control de las líneas telefónicas. Comprobando: El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad física del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas. Las líneas de comunicación estén fuera de la vista. Se dé un código a cada línea, en vez de una descripción física de la misma. Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos a la red. Existan revisiones periódicas de la red buscando pinchazos a la misma. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 50 Y COMUNICACIONES El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro-llamada, código de conexión o interruptores. Auditoria De La Red Lógica Manejar: Se deben dar contraseñas de acceso. Controlar los errores. Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red. Registrar las actividades de los usuarios en la red. Encriptar la información pertinente. Evitar la importación y exportación de datos. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 51 Y COMUNICACIONES Auditoría del Switch de Acceso de la Red LAN AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 52 Y COMUNICACIONES Estado Actual En el diagrama general de la red (Para mayor referencia ver anexo A) podemos observar desde que llegan los servicios de su proveedor INFOTEC hasta llegar a los switch de acceso de cada piso del edificio señalado, en este caso nos enfocamos al switch de acceso ubicado en el piso 9 de la torre Picacho de la Secretaría de Economía, es importante ver lo que engloba para poder tener mayor información del equipo a auditar y de esta manera no dejar ningún elemento que resultara trascendental fuera de la auditoría. Problemática Se suscitó una intrusión en el switch de acceso de la Red LAN, causando la falta de control del mismo y poniendo en riesgo los servicios que pasan por dicho switch para la subdirección de comunicaciones. Debido a esto, el Subdirector de Comunicaciones, se preocupó por el bajo nivel de seguridad en su equipo; como sugerencia el personal que labora en dicha dependencia le propuso la realización de una auditoría de TI y comunicaciones para encontrar las vulnerabilidades. Siguiendo los puntos que se describen a lo largo de este capítulo. Propuesta Con esta auditoría se pretende identificar los riesgos potenciales y vulnerabilidades actuales en el equipo y proponer la implementación de las mejores prácticas para mitigar la mayor cantidad de ellos, permitiendo la mejor administración del equipo. El alcance será auditar el switch de acceso de la Red LAN del edificio Picacho de la Secretaria de Economía, por el periodo de Enero a Febrero del 2011. Partiremos de un estudio general del área a auditar y presentaremos un plan y programa de trabajo en el que se efectuarán pruebas sustantivas y de cumplimiento, además de obtener evidencias con lo que podremos efectuar un reporte de recomendaciones por cada punto de riesgo que se encuentre y poder mitigarlo. Estudio General del Área a Auditar El estudio comenzó con una visita a las instalaciones de la SE (ver anexo I), en dicha visita se tuvo una reunión con el director de Informática y el subdirector de Comunicaciones para conocer la problemática suscitada y una vez concluida la plática se les solicitó acceso al lugar donde se encuentra el equipo afectado, esto con la finalidad de conocer el estado actual de las instalaciones y así obtener un panorama general que nos ayudará a la planeación de las posibles actividades que definirán la auditoria. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 53 Y COMUNICACIONES En este recorrido se observaron las adecuaciones que tiene la SE con respecto a la ubicación e instalación de sus equipos de comunicación, además de medios de seguridad física tales como control de acceso sólo a través de tarjetas magnéticas, el monitoreo de los equipos mediante cámaras de vigilancia y dispositivos de enfriamiento para mantener a toda el área a la temperatura adecuada. Finalmente empezamos con investigar características del equipo a auditar, conocer cómo se manejan las comunicaciones dentro de la secretaría, de los antecedentes del área, el porqué de la migración a equipos CISCO y de cómo está estructurada la red local a nivel global. Planeación y Programa de Trabajo Se establecieron actividades concretas y fechas para las mismas (para mayor referencia consultar el anexo II); para este punto se consideraron sólo días hábiles y se elaboró un cronograma con base de los tiempos planteados a la dirección para no interrumpir actividades propias del área a auditar, así como las acciones concretas para poder obtener las evidencias y las pruebas necesarias del equipo y las entrevistas con los encargados de la administración, control y mantenimiento del switch de acceso, así como la solicitud de oficios necesarios para tener acceso a la información e instalaciones necesarias en el periodo de la auditoría y que los encargados o responsables tuvieran conocimiento y proporcionaran lo solicitado dentro de los tiempos marcados y aprobados por la dirección y los responsables de la auditoría. El cronograma (para mayor referencia consultar el anexo III) abarca del 14 de febrero al 5 de marzo del 2011 teniendo 16 días de actividades concretas dentro de ese periodo y se contemplan el 100% de las actividades a desarrollar en esta auditoría, así como los reportes finales, reuniones y confrontas, además de la entrega de resultados a la Dirección General de Informática con las recomendaciones emitidas en base a las evidencias recabadas en los tiempos marcados y que tienen como alcance el primer bimestre del 2011. Reunión con área para notificar auditoría Se programóuna reunión con el área a auditar, ahí mismo se establecieron los lineamientos para la elaboración del oficio donde se notifica que se realizará la auditoria para poder tener el apoyo del personal involucrado y que se proporcione la evidencia necesaria así como conocer las actividades relacionadas con el switch de acceso de la red LAN. En esta reunión se trataron además los puntos de los alcances de la auditoría, los objetivos planteados y las dudas de la dirección acerca del manejo de la información obtenida y la confidencialidad de los datos y documentación, estableciendo un compromiso de no reproducción y discreción en aquella información de uso exclusivo de la secretaría, así como aquella que si AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 54 Y COMUNICACIONES podría ser expuesta para el análisis de la auditoría (para mayor referencia consultar anexo IV y V). Al término de dicha reunión se aprobó el cronograma de actividades así como se giraron las instrucciones para la elaboración de oficios necesarios para notificar y tener el apoyo de la dirección con el personal involucrado e iniciar las actividades previamente expuestas. Entrega de oficio de Orden y levantamiento de Acta de inicio de Auditoría Al siguiente día de la reunión con el área y de establecer actividades y tiempos para la auditoría, se entregó el oficio de orden de auditoría (ver anexo VI), así como el acta de inicio de la misma, con ello se dieron las indicaciones al personal involucrado para proporcionar las evidencias que se consideren pertinentes en la auditoría y tener acceso al equipo, se establecieron tiempos para las entrevistas y recolección de información así como la visita al SITE a realizar las pruebas pertinentes con el personal sin afectar la operación. Se oficializó con esto el inicio de la auditoría ante el personal operativo con el que estaríamos trabajando los días siguientes en la obtención de evidencias, las cuales servirán para poder efectuar las recomendaciones en el reporte final. Solicitud de Información y Documentación Se solicitó formalmente la documentación y toda aquella información que respaldará las actividades y controles llevados en relación al swith de acceso de la red LAN del piso 9, esto con el fin de recabar los documentos existentes que soportarán la información que será revisada tanto en las entrevistas como en el análisis de la información, parte importante de la auditoria que servirán de evidencias (ver anexo VII). Entrevistas con responsables de actividades Durante tres días se realizaron entrevistas con personal operativo de la secretaría para recabar evidencias e información relacionada a la seguridad física y lógica del switch, la primer entrevista se realizó con el Ingeniero Alonso Zamorate Rentería quien es el responsable de la instalación de equipos de comunicación en el SITE, con el pudimos observar la parte de seguridad física del equipo y se le pidió ver diagramas de red, de acomodo y distribución de equipo y de la forma en la que se mantiene la limpieza dentro del SITE, controles de acceso, regulación de corriente y temperatura, además se le solicitó la información correspondiente a planes de contingencia y los medios de seguridad física instalados. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 55 Y COMUNICACIONES La siguiente entrevista se efectuó con Ingeniero Eudaldo Rivera Melgarejo, coordinador adjunto de la subdirección de comunicaciones, el cual indicó la información más amplia de la estructura general de la red, de los controles que se llevan y no se llevan a cabo en relación a las incidencias, se le pidió información de la documentación de la red y la información de proveedores externos de los servicios, manejo de reportes y planeación de la migración a equipos CISCO expuesta. Finalmente con el Ingeniero Francisco Javier Herrera López, Subdirector de Comunicaciones, se le preguntó acerca de las políticas y procedimientos propios de la subdirección, de la dirección y de la secretaría en general aplicados, de los antecedentes de auditorías de TI y comunicaciones en el área, de la asignación de roles y privilegios de usuarios, del manejo de planes de capacitación y adiestramiento del personal y finalmente de cómo manejan la seguridad física y lógica y si llevan reportes del funcionamiento de los equipos de comunicación. Análisis de la información Una vez que se tiene la información recabada y las evidencias entregadas se procedió a realizar un análisis de dicha información en base a la parte documental obtenida, en esta actividad se contaba con información proporcionada por los encargados y responsables que se señalaron con anterioridad y solo se contó con poca información ya que las actividades que desarrollan en la Subdirección de Comunicaciones carecen de políticas y procedimientos y no hay un respaldo ni bitácoras en muchos de los controles revisados, aun así y con lo que se contaba se analizó la información y revisaron aquellos elementos que mediante dos check list basado en CISCO (que es el proveedor del switch auditado) pudimos obtener más información tanto en seguridad física como lógica (ver anexos VIII y IX) y que nos serviría para, posteriormente, elaborar un reporte de recomendaciones basado en COBIT para que los puntos observados puedan ser mejorados a través de las mejores prácticas y se puedan acreditar posteriores auditorias, tanto externas como internas. Dentro de la información entregada por los encargados se encontraban reportes de su proveedor de servicios llamado INFOTEC, el cual lleva la parte de internet, mantenimiento de la red LAN y conectividad entre otros edificios propios de la Secretaría, estos reportes corresponden al primer bimestre del año en curso, periodo que fue el auditado y que se relaciona en algunas actividades del switch de acceso de la red LAN. Evaluación del Control Interno Se empezó a dar valoración a las evidencias entregadas que son relacionadas al control interno, cabe destacar que no se cuenta con bitácoras de incidencias, no se lleva mucha documentación lo cual hace que los antecedentes de fallas y AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 56 Y COMUNICACIONES eventos se pierda, debido a que no llevan un control interno en muchas de las funciones y lo delegan a su proveedor de servicios mucha información está a nivel global de todos los servicios dejando sin claridad si existe un buen control de cada elemento de la red LAN. Aquí mismo analizamos y evaluamos la seguridad física del equipo, los accesos al SITE y el mantenimiento de los equipos, específicamente enfocándonos al switch auditado, en esta evaluación también consideramos parte del checklist señalado anteriormente y que se encuentra en los anexos en cuanto a seguridad física. Pruebas sustantivas y de Cumplimiento Se realizaron pruebas al switch de acceso mediante el Router Audit Tool (RAT) que es una aplicación que permite, mediante una serie de parámetros, observar y detectar puntos críticos de nuestro switch en cuanto a seguridad lógica (para mayor referencia ver anexo X). Pudimos obtener mayor información mediante los checklist señalados con anterioridad en cuanto a seguridad física y lógica del switch de acceso. La visita al SITE nos permitió de igual manera evaluar la seguridad dentro y fuera de él, que puede afectar a los equipos; en él pudimos apreciar qué puntos pasa la seguridad y en qué otros realizaremos observaciones así como del mantenimiento preventivo y correctivo que le afecta al equipo. Identificación de Irregularidades Ya habiendo efectuado el análisis de la información obtenida a través de las actividades anteriores, se procedió a identificar las irregularidades que se encontraron en todo esteproceso de auditoría para su análisis y posterior elaboración de recomendaciones, así como los riesgos potenciales de cada irregularidad y el cómo reducir riesgos, así como aquellos que tienen un mayor impacto en la continuidad de la operación de la red. Reunión para comentar Irregularidades Se programó una reunión con el Ingeniero Francisco Javier Herrera López para comentar aquellas irregularidades que se detectaron con base al análisis y al recabar la información y las evidencias sustantivas que se requirieron en el proceso de la auditoría, en dicha reunión el ingeniero nos hizo las observaciones de que debido a la migración que están iniciando mucha documentación no se tiene, así como falta de continuidad de actividades entre las administraciones que salieron y la que está actualmente, señala además de que por falta de presupuesto no se han establecido programas de capacitación al personal continuamente. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 57 Y COMUNICACIONES Otro punto es que el proveedor de servicios será cambiado mediante una licitación en menos de un mes, lo cual hace que estén en muchos cambios y el personal tenga actividades en ciertos momentos emergentes y carentes de una guía específica que regule las actividades de la subdirección, así como de los encargados del SITE. Elaboración de Reportes e Informe de Observaciones A partir de lo comentado en la reunión y de todos los elementos con los que contamos a lo largo de estos días, todas las evidencias recabadas y las pruebas efectuadas fueron de suma importancia para la elaboración de este informe de observaciones, en donde se especifican aquellos puntos en la seguridad física y lógica donde hay que poner más énfasis debido a que son de un gran riesgo potencial para la continuidad de los servicios que brinda el switch de acceso auditado. El reporte contiene los elementos recabados tanto en las entrevistas, como las evidencias y la información documental recibida, después del análisis de dichos elementos se efectuará una reunión de confronta, en la cual se podrán resolver los últimos puntos con los responsables de cada área y poder elaborar el reporte final y el levantamiento del acta de cierre correspondiente a la auditoría efectuada al switch de acceso de la red LAN del PISO 9, edificio Picacho de la Secretaría de Economía (Para mayor referencia ver anexo XI). Matriz de Riesgo Los beneficios que se obtienen al efectuar los controles marcados en la matriz de riesgo es que la Subdirección de Comunicaciones cuente con las herramientas mínimas necesarias para operar con eficiencia, eficacia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad el manejo de los datos y recursos de tecnologías de información de la Secretaría de Economía, así como asegurar la calidad de los servicios que ofrece (ver anexo XII). AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 58 Y COMUNICACIONES Riesgos / Controles Consecuencia Probabilidad El control reduce el Riesgo a: PL AN EA CI Ó N Y O RG AN IZ AC IÓ N 1 1.2 1.3 1.4 Probable planeación inadecuada de las actividades y aseguramiento de los controles aplicados a los procesos y áreas de mayor riesgo para prevenir su ocurrencia. Adecuada planeación de actividades Mayor Probable Bajo 2 1.9 Desconocimiento de vulnerabilidades. Implementación de controles adecuados para mitigar pérdidas. Mayor Casi Certeza Bajo Riesgos / Controles Consecuencia Probabilidad El control reduce el Riesgo a: AD Q U IS IC IÓ N E IM PL EM EN TA CI Ó N 3 2.3 Instalación Errona y/o mala configuración que repercute en el desempeño Adquisición, implementación y actualización de equipos de comunicación. Mayor Probable Bajo 4 2.4 No saber cómo corregir alguna falla que se presente. Solicitar, la documentación necesaria del equipo de comunicación al proveedor Mayor Probable Probable 5 2.6 Falta de control en los equipos de comunicación contra posibles incidencias. Establecer la metodología para la administración de cambios. Mayor Probable Bajo 6 2.7 Mala configuración de los equipos al momento de la liberación. Generar las instrucciones a seguir para la adecuada migración y determinar el plan a seguir para la liberación de los nuevos equipos. Mayor Moderadas Bajo AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 59 Y COMUNICACIONES Riesgos / Controles Consecuencia Probabilidad El control reduce el Riesgo a: EN TR EG A Y SO PO RT E 7 3.1 Falta de control en el acceso al equipo de comunicaciones. Crear listas de acceso en el equipo de comunicación que se requieran Catastrófico Probable Probable 8 3.2 Inexistencia de continuidad y falta de mantenimiento. Contratar el servicio de soporte y mantenimiento del proveedor. Mayor Moderas Bajo 9 3.3 Falta de administración por intrusión. Contar con los servicios necesarios para la revisión en los niveles de servicio del equipo de comunicación. Mayor Probable Bajo 10 3.4 No tomar en consideración las recomendaciones necesarias. Elaborar de planes para la continuidad de servicios. Catastrófico Probable Bajo 11 3.5 Posible daño en los equipos de comunicación y la mala operación. Establecer y dar a conocer políticas de seguridad. Catastrófico Probable Bajo 12 3.7 Configuración inadecuada del equipo administrado. Crear programas de capacitación para el personal responsable e de la administración del equipo de comunicaciones. Catastrófico Probable Bajo 13 3.12 El equipo sufra una caída. Instalación adecuada en el rack Catastrófico Casi Certeza Bajo 14 3.12.2 Posible choque eléctrico que puede causar daño al equipo o alguna lesión a la persona. Restringir acceso con objetos metálicos Mayor Moderadas Poco Probable 15 3.13 Posibles fallas en el equipo que no se puedan reparar. Contratación de mantenimiento correctivo. Mayor Probable Bajo AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 60 Y COMUNICACIONES Riesgos / Controles Consecuencia Probabilidad El control reduce el Riesgo a: M O N IT O RE O 16 4.4 Efectuar trabajo sin llegar al objetivo de la dirección. Establecer un marco de gobierno efectivo que permita medir el desempeño y asegurar la efectividad y eficiencia de TI. Mayor Moderadas Bajo PR O BA BI LI DA D Casi Certeza 2 13 Probable 1,3,4,5,9,15 7,10,11,12 Moderadas 6,8,14,16 Poco Probable Bajo Insignificante Menores Moderados Mayor Catastrófico I M P A C T O Reunión de Confronta, Levantamiento de Acta de Cierre y firma de Observaciones. Con todos los reportes elaborados se efectuó una reunión en la cual se confrontaran aquellos elementos que faltaron de evidenciar, un punto de suma importancia que se resaltó en esta reunión fue que muchos de los faltantes han sido a causa de no tener políticas y procedimientos dentro de la dirección y sus subdirecciones en cuestión, ya que ello hace que mucho del trabajo se efectúe de manera poco regulada y sin llevar a los objetivos de la alta dirección. Se inició con el levantamiento del acta de cierre y en esta reunión asistieron los entrevistados, los encargados de las áreas relacionadas a lo auditado: el Ingeniero Eudaldo Rivera Melgarejo, coordinador adjunto de la subdirección de comunicaciones, el Ingeniero Alonso Zamorate Rentería quien es el responsable de la instalación de equipos de comunicación en el SITE, el Ingeniero Francisco Javier Herrera López, Subdirector de Comunicaciones así como el Ingeniero Enrique Vara Solorio, Director General de Informática de laSecretaría de Economía (Ver anexo XIII). AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 61 Y COMUNICACIONES Todas aquellas observaciones hechas se les informaron para poder conocer sus puntos de vista y si había elementos no considerados en ellas, para poder tener el cierre de cada observación y plasmarla en el reporte final, así como las recomendaciones basadas en la metodología COBIT que contiene las mejores prácticas aplicadas en la normatividad que regula las actividades de las secretarías a nivel federal (Ver anexo XIV, XV y XVI). Elaboración de Oficio de envío de Informe y Reporte de Observaciones. Finalmente posterior a la última reunión se elaboró el oficio donde se informa el resultado de la auditoría, así como el reporte de observaciones a la Dirección General de Informática de la Secretaría de Economía, con esta acción se dio por terminado todo el proceso de auditoría que llevamos a cabo al switch de acceso de la red LAN del edificio Picacho, brindando una serie de recomendaciones por cada punto de riesgo que se encontró y señalando además los niveles de riesgo y como mitigarlos (Ver anexo XVII). AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 62 Y COMUNICACIONES Conclusiones AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 63 Y COMUNICACIONES Conclusiones. Los procesos de auditoría en TI y comunicaciones son importantes en cualquier institución, tanto privada como pública, ya que muestra a través de análisis de riesgos, metodologías, reportes e informes, aquellas vulnerabilidades de lo auditado y permite hacer recomendaciones para mitigar riesgos y a su vez verificar aquellos controles tanto preventivos como correctivos necesarios en los equipos de comunicaciones, como en este caso, el switch de acceso de la red LAN auditado en la Secretaría de Economía. Los procesos y niveles de seguridad para el manejo de la información deben de estar establecidos y la auditoría debe de verificar que se apliquen en todas las actividades y se apeguen a la normatividad vigente, las políticas y procedimientos de cada institución, además de que estén alineadas a los objetivos de la alta dirección. Es importante verificar la metodología para la administración de cambios en los niveles dedicados a la infraestructura de TI, que permitan sostener los servicios que estén involucrados. La guía en la que fue basada la auditoría fue un Checklist que evalúa la seguridad física de los Switches manejada por el proveedor del equipo auditado que es CISCO; para evaluar la seguridad lógica se tomó como referencia el Checklist que la NSA (Agencia Nacional de Seguridad de Estados Unidos) ofrece para la revisión del IOS (Sistema Operativo de Interconectividad) de los Switches CISCO y las recomendaciones efectuadas se basan en el modelo COBIT, que es el que se cita en la regulación federal para la elaboración de auditorías a instituciones gubernamentales. Esta auditoría nos permitió adentrarnos a los procesos aplicados al switch de acceso y darnos cuenta de la importancia de lo antes mencionado y de cómo las recomendaciones que efectuamos mitigan riesgos que ponen en peligro la continuidad de las operaciones de una red como la auditada, finalmente la experiencia nos ha dejado un conocimiento amplio de todo lo que implica realizar una auditoría a un equipo de comunicación y nos permitió adentrarnos al mundo de la auditoria de las TI y comunicaciones, en el cual trabajaremos para ir ampliando nuestro panorama y aplicarlo continuamente en diversos proyectos. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 64 Y COMUNICACIONES Anexos AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 65 Y COMUNICACIONES Índice de Anexos I Datos y Croquis II Carta de Planeación III Cronograma IV Programa de Trabajo V Marco Conceptual VI Oficio de Inicio de Auditoría VII Oficio de Petición Documental VIII Check List Seguridad Física IX Check List Seguridad Lógica X Router Audit Tool XI Reporte de Observaciones XII Reporte y Matriz de Riesgo XIII Minuta XIV Informe de Auditoría XV Indice de documentos XVI Supervisión Integración de Expediente XVII Oficio de Observaciones e Informe AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 66 Y COMUNICACIONES AUDITORÍA: AE-01/11 SECRETARIA DE ECONOMIA DIRECCIÓN GENERAL DE INFORMATICA SUBDIRECCION DE COMUNICACIONES AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 67 Y COMUNICACIONES AUDITORÍA: AE-01/11 CROQUIS DE LOCALIZACIÓN ÁREA AUDITADA: SECRETARÍA DE ECONOMÍA DIRECCIÓN GENERAL DE INFORMATICA NOMBRE DEL TITULAR: ING. FRANCISCO JAVIER HERRERA LOPEZ SUBDIRECTOR DE COMUNICACIONES DIRECCIÓN DE LAS OFICINAS: Periférico Sur No. 3025 Piso 9 Col. San Jerónimo Aculco, Delegación Magdalena Contreras, C.P. 10400, Distrito Federal, TELÉFONOS: 56299500 extensión 27435 I.- Datos y croquis DATOS GENERALES DEL ÁREA AUDITADA AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 68 Y COMUNICACIONES CARTA DE PLANEACIÓN SECRETARIA DE ECONOMIA No. de auditoría: AE-01/11 Área a auditar: Dirección General de Informática/ Subdirección de Comunicaciones Fecha: 14/Febrero/2011 Clave y rubro auditado: Seguridad del swich de acceso. Trimestre Primer 2011 Antecedentes No se cuenta con antecedentes de auditorías en este rubro efectuadas a la Secretaría de Economía. Objetivo de la auditoría Verificar los controles generales de seguridad en el switch de acceso que sustenta la red Lan. Alcances / Universo El alcance comprende auditar el switch de acceso de la Red LAN del edificio Picacho de la Secretaria de Economía, por el periodo de Enero a Febrero del 2011; el universo a verificar será el 100% de los recursos asignados del alcance o muestra determinada. Muestra Dependiendo del volumen de información y actividades de gestión del área, se determina como muestra el periodo de Enero a Febrero del 2011 Problemática Se suscitó una intrusión en el switch de acceso de la Red LAN, causando la falta de control del mismo. Estrategia / Procedimientos Su inicio se formalizará mediante la orden y la firma del acta respectiva, en ese mismo acto será entregada la solicitud de información; la cual, una vez proporcionada, será analiza cuantitativa y cualitativamente a efecto de realizar las pruebas sustantivas y de cumplimiento. Posterior al análisis y demás procedimientos y técnicas de auditoría aplicados, se recabará únicamente la documentación que sustente los hallazgos detectados que deberán ser incluidos en el Reporte e Informe de Observaciones. La auditoría está planeada y calendarizada sistemáticamente; su ejecución se realiza conforme a las Normas de Auditoría generalmente aceptadas y los formatos para tal efecto establecidos; el análisis cuantitativo y cualitativo de la información, así como las entrevistas y/o cuestionarios a aplicar a los servidores públicos responsables de la función, servirán para identificar, entre otros aspectos: • El área, sus procesos e información general y detallada, para determinar las pruebas a realizar. • Los puntos críticos de los controles de seguridad y documentales. Personal Comisionado: Nombre Cargo Firma Francisco Javier Herrera López Subdirector de Área AlejandroSaucedo Vidals Auditor David Juárez Avelar Auditor Isaac González Ramírez Auditor Miguel Angel Romero Mora Auditor Elaboró: C. Miguel Angel Romero Mora Vo. Bo. del responsable: Ing Enrique Vara Solorio Nombre y firma Nombre y firma Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 69 Y COMUNICACIONES III.- Cronograma AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 70 Y COMUNICACIONES V!.- PROGRAMA DE TRABAJO AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 71 Y COMUNICACIONES AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 72 Y COMUNICACIONES V!.- PROGRAMA DE TRABAJO AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 73 Y COMUNICACIONES MARCO CONCEPTUAL SECRETARÍA DE ECONOMÍA No. de auditoría: Tipo de auditoría: AE-01/11 Específica Área a auditar: Dirección General de Informática /Subdirección de Comunicaciones Fecha: Auditor: 18/Febrero/2011 DJA Rubro: Seguridad en equipos de comunicación. Objetivo: Verificar los controles generales de seguridad en el switch de acceso que sustenta la red Lan. Universo: El alcance comprende auditar el switch de acceso de la Red LAN del edificio Picacho de la Secretaria de Economía, por el periodo de Enero a Febrero del 2011; el universo a verificar será el 100% de los recursos asignados del alcance o muestra determinada. Muestra: Dependiendo del volumen de información y actividades de gestión del área, se determina como muestra el periodo de Enero a Febrero del 2011. Procedimientos: Para la realización de la auditoría, fue elaborada una Carta de Planeación, el Cronograma de Actividades y un Programa Específico de Auditoría, que detalla secuencial y cronológicamente las etapas de planeación, ejecución e informe de resultados. Las técnicas para su ejecución serán el estudio general, el análisis, la inspección, la confirmación, la investigación, la declaración, la observación, así como los ordenamientos establecidos en el Programa Anual de Auditorías Externas de la Dirección General de Auditorías Externas y basado en los lineamientos del Órgano Interno de Control de la Secretaría de Economía. Conclusión: Se darán a conocer las observaciones con sus causas, efectos, fundamento legal y recomendaciones correctivas y preventivas propuestas, en los Reportes de Observaciones de Auditoría Externa y el Informe de Auditoría respectivo, al finalizar la intervención. V.- Marco Conceptual Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 74 Y COMUNICACIONES Oficio No. DGI/SC/01/2011 Asunto: Se ordena inicio de auditoría México, D. F., a 16 de Febrero de 2011 ING. FRANCISCO JAVIER HERRERA LOPEZ SUBDIRECTOR DE COMUNICACIONES DE LA SECRETARÍA DE ECONOMÍA P R E S E N T E Con fundamento en lo dispuesto en el artículo 37, fracciones I, IV, V, VII y X de la Ley Orgánica de la Administración Pública Federal, se llevará a cabo la auditoría número AE-01/11, denominada “Auditoria del switch de acceso de la red LAN”, específicamente a la Subdirección de Comunicaciones y áreas relacionadas, cuyo objetivo es verificar los controles generales de seguridad involucrados en el cumplimiento de metas y objetivos. Para tal efecto, esta Dirección ha autorizado para su realización a los CC. Alejandro Saucedo Vidals, Isaac González Ramírez, David Juárez Avelar y Miguel Angel Romero Mora, como auditores comisionados para la ejecución de la auditoría, por lo que se solicita el acceso a la documentación conformada por registros, reportes, informes, manuales, correspondencia y demás efectos relativos a la operación y administración de dichas áreas, así como suministrarles todos los datos e información que soliciten para la ejecución de la auditoría. La auditoría iniciará a la presentación de este documento y revisará lo correspondiente al periodo de enero a febrero de 2011, lo cual es enunciativo, más no limitativo, ya que el período y objetivo de la auditoría podrán ser ampliados según se considere pertinente. Asimismo, le agradeceré girar sus instrucciones a quien corresponda a efecto de que el personal comisionado tenga acceso a las instalaciones de esa Unidad Administrativa y se le brinden las facilidades necesarias para la realización de su cometido. Sin otro particular, quedo de usted. A T E N T A M E N T E EL DIRECTOR GENERAL DE INFORMÁTICA ING. ENRIQUE VARA SOLORIO C.c.p. Expediente. VI.- Oficio de Inicio de Auditoria Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 75 Y COMUNICACIONES Asunto: Solicitud de información y documentación México, D. F., a 17 de Febrero de 2011 ING. FRANCISCO JAVIER HERRERA LOPEZ SUBDIRECTOR DE COMUNICACIONES DE LA SECRETARÍA DE ECONOMÍA P R E S E N T E Derivado de la auditoría No. AE-01/11, mediante oficio No. Oficio No. DGI/SC/01/2011 del pasado 16 de Febrero de 2011, y con fundamento en lo dispuesto en el artículo 37, fracciones I, IV, V, VII y X de la Ley Orgánica de la Administración Pública Federal, se solicita la siguiente información y documentación: • Manual Administrativo, en sus rubro organizacional y de procedimientos. • Muestra de los controles y formatos operativos de los procedimientos referenciados en el Manual Administrativo y de los adicionales para atender a las áreas usuarias. • Programas, metas y actividades institucionales. • Inventarios completos de software y hardware con resguardos firmados por usuario. • Requisiciones de compra de equipos de comunicaciones, y relación de contratos de prestación de servicios y/o mantenimiento de tecnologías de información (sistemas y/o aplicativos, telecomunicaciones, redes, etc.) • Política de seguridad. • Plan de contingencias y recuperación de desastres. • Relación de equipos de comunicación con sus respectivas IP´s. Agradeceré el envío por este conducto de la información antes descrita, en archivo electrónico y/o copias fotostáticas; de no contar con la misma, indicar la causa o motivo, en un plazo no mayor a dos días hábiles. Sin otro particular, hago propia la ocasión para enviar a usted un cordial saludo A T E N T A M E N T E AUDITOR C. DAVID JUÁREZ AVELAR C.c.p. Expediente. VII.- Oficio de Petición Documental Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 76 Y COMUNICACIONES AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 77 Y COMUNICACIONES AUDITORÍA DEL SWITCH DE ACCESO DELA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 78 Y COMUNICACIONES Cisco IOS Switch Security Checklist DESCRIPCIÓN PASA FALLA NO APLICA Incluir una sección de switches en las políticas de seguridad X Control de acceso físico al switch sólo para el personal autorizado X Instalar la última versión estable del IOS en cada switch X Crear un ‘enable secret’ password X Administrar el switch separado del tráfico de datos, si el manejo no es factible entonces dedicar un número separado de VLAN para el manejo dentro del tráfico X Establecer tiempos muertos para las sesiones y configurar niveles de privilegios. X Configurar un banner para indicar que el acceso desautorizado está prohibido. X Deshabilitar servicios de red innecesarios X Habilitar servicios de red necesarios y configurar estos servicios adecuadamente X Utilizar SSH en vez de Telnet y establecer contraseñas robustas para SSH X Si el SNMP es necesario, fije una secuencia fuerte de la comunidad para el SNMP. X Implementar puertos seguros para limitar el acceso basado en direcciones MAC. X Deshabilitar auto-trunking en los puertos. X Utilizar la capacidad del puerto de espejo del switch para el acceso IDS. X Deshabilitar puertos en desuso. X Asignar puertos troncos a un número nativo de VLAN que no sea usado en ningún otro puerto. X Limitar las VLANs que puedan ser transportadas sobre un puerto tronco para aquellos que sólo sean necesarios. X Usar configuración VLAN estática. X Si es posible deshabilitar VTP, si no, establecer lo siguiente para AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 79 Y COMUNICACIONES V!.- PROGRAM A DE TRABAJO AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 80 Y COMUNICACIONES REPORTE DE ANÁLISIS DE RIESGOS Fecha: 03-Marzo-2011 No. de auditoría: AE-01/11 Descripción: Controles generales para la seguridad del switch de acceso Dependencia: Secretaría de Economía Área a Verificar: Dirección General de Informática – Subdirección de Comunicaciones SITUACIÓN Como resultado del análisis efectuado a los controles generales para la seguridad del switch de acceso operación, de la Subdirección de Comunicaciones de la Dirección General de Informática, en la Secretaría de Economía, para el periodo Enero – Febrero del 2011; y como resultado de las entrevistas, investigación y análisis efectuado al switch de acceso, se detectó los siguiente: 1.- Planeación y Organización. 1.1 No existe una planeación estratégica en materia de Tecnologías de la Información (TI), que establezca las prioridades de la Subdirección de Comunicaciones acorde a los objetivos de la Secretaria de Economía, para una mejor utilización de los recursos de TI. 1.2 No se cuenta con definición de los procesos, ni niveles de seguridad para información sensitiva y no sensitiva. 1.3 No se cuenta con documentación necesaria para determinar la dirección tecnológica para dar soporte al negocio. 1.4 No se cuenta con la documentación de cada uno de los roles y actividades de los usuarios. 1.5 N/A 1.6 No existe la adecuada comunicación entre la Dirección de TI y los niveles operativos con respecto al marco de trabajo establecido. 1.7 Se cuenta con un plan de capacitación anual dirigido a personal de base, confianza y mandos medios que se encuentra en la Secretaría de Economía. 1.8 N/A 1.9 No se cuenta con un marco de trabajo para la administración de riesgos. 1.10 No se cuenta con un marco de trabajo para la administración de programas y proyectos de TI establecidos. 2.-Adquirir e Implementar 2.1 N/A 2.2 N/A 2.3 No se cuenta con procesos para adquirir, implementar y actualizar equipos de comunicación. 2.4 No existe documentación acerca del equipo de comunicación. 2.5 N/A 2.6 No existe una metodología para la Administración de Cambios. 2.7 No se cuenta con las instrucciones de migración y la planeación para la liberación de los nuevos equipos de comunicación. 3.-Entrega y Soporte: 3.1 No se cuenta con listas de acceso al equipo (ACL) 3.2 No se cuenta con la administración de servicios provistos por un tercero. 3.3 No se cuenta con un servicio de revisión periódica de los niveles de servicio para optimizar el desempeño del equipo de comunicación. 3.4 No se cuenta con un plan de continuidad de servicios. 3.5 No se cuenta con políticas generales de seguridad. 3.6 N/A 3.7 El personal no está entrenado debidamente para enfrentarse algún tipo de contingencia. 3.8 Se cuenta con un sistema de atención a usuarios por medio del cual se le da seguimiento a las fallas en la red. 3.9 Los archivos de configuración de los equipos de comunicación se encuentran asegurados y respaldados, y sólo el personal autorizado tiene acceso a ellos. XI.- Reporte y Matriz de Riesgos Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 Pág. 80 de 7 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 81 Y COMUNICACIONES 3.10 .No se cuenta con una respaldo de Logs de los equipos en caso de incidentes o para auditorias subsecuentes. 3.11 N/A 3.12 Existen controles de seguridad física sin embargo no se cuenta con ciertos lineamientos, tales como: • La adecuada instalación de los equipos en los racks. • Restricción al acceso del SITE con objetos metálicos personales (anillos, pulseras, relojes, etc.). 3.13 No se cuenta con políticas para el mantenimiento y monitoreo de los equipos de comunicación. 4.- Monitoreo 4.1 No se cuenta políticas de monitoreo y evaluación del desempeño de los equipos de comunicación. 4.2 No se cuenta con un programa de control efectivo para el monitoreo interno. 4.3 No se cuenta con una supervisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos contractuales. 4.4 No se cuenta con un marco de gobierno de TI efectivo. CAUSA RIESGO 1.- Planeación y Organización. 1.1 Inobservancia a la normatividad establecida en materia de tecnologías de la información. 1.2 1.3 1.4 Falta de actualización de manuales, políticas, lineamientos y procedimientos internos que regulen y documenten las actividades. 1.6 Falta de conciencia y entendimiento de los objetivos. 1.9 Inexistencia de una metodología para el análisis de riesgos. 1.10 No se cuenta con un marco trabajo para la administración de programas y proyectos. 2.- Adquirir e Implementar 2.3 Faltan procesos para la adquisición, implementación y actualización de equipos de comunicación. 2.4 Documentación inexistente del equipo de cómputo. 2.6 Falta de información para la administración de cambios. 2.7 Falta de planes y documentación para la migración. 3.-Entrega y Soporte: 3.1 Inexistencia de ACL para los equipos de comunicación. 3.2 No hay un contrato con proveedor. 3.3 No existe procedimientos establecidos para el monitoreo de la red. 3.4 Falta de conocimiento del plan a seguir. 3.5 Falta de políticas de seguridad. 3.7 Falta de capacitación para configuración del equipo de comunicación. 3.10 No se cuenta con archivos de bitácora. 3.12 Queda rezagada la realización de la instalación del equipo en el rack. 3.12.1 No hay bitácora de acceso. 1.- Planeación y Organización. 1.2, 1.3, 1.4 Probable planeación inadecuada de las actividades y aseguramiento de los controles aplicados a los procesos y áreas de mayor riesgo para prevenir su ocurrencia. 1.9 Desconocimiento de vulnerabilidades. 2.- Adquirir e Implementar 2.3 No contar con los equipos solicitados en tiempo. 2.4 No saber cómo corregir alguna falla que sepresente. 2.6 Falta de control en los equipos de comunicación contra posibles incidencias. 2.7 Mala configuración de los equipos al momento de la liberación. 3.-Entrega y Soporte: 3.1 Falta de control en el acceso al equipo de comunicaciones. 3.2 Inexistencia de continuidad y falta de mantenimiento. 3.3 Falta de administración por intrusión. 3.4 No tomar en consideración las recomendaciones necesarias. 3.5 Posible daño en los equipos de comunicación y la mala operación. 3.7 Configuración inadecuada del equipo administrado. 3.12 El equipo sufra una caída. XI.- Reporte y Matriz de Riesgos Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 Pág. 81 de 7 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 82 Y COMUNICACIONES 3.12.2 No hay supervisión de objetos metálicos. 3.13 Falta contratos con proveedores. 4.- Monitoreo 4.1, 4.2 No se ha definido ningún tipo de políticas para el monitoreo para el desempeño del equipos de comunicación. 4.3 No se cuenta con la supervisión que garantice el cumplimiento de las leyes, regulaciones y requerimientos contractuales. 4.4 Los procedimientos actuales no están alineados con los objetivos de la dirección. 3.12.2 Posible choque eléctrico que puede causar daño al equipo o alguna lesión a la persona. 3.13 Posibles fallas en el equipo que no se puedan reparar. 4.- Monitoreo 4.4 Efectuar trabajo sin llegar al objetivo de la dirección. RECOMENDACIONES La Subdirección de Comunicaciones de la Dirección General de Informática, deberá generar un plan de trabajo con las actividades requeridas para solventar las recomendaciones señaladas a continuación, e informar y justificar a este Órgano de Control los resultados obtenidos: 1.- Planeación y Organización. 1.1 Elaborar un plan en materia de TI, para una mejor utilización de los recursos de TI. 1.2 Definir los procesos y niveles de seguridad para la información. 1.3 Crear un plan de infraestructura tecnológica. 1.4 Documentar cada uno de los roles y actividades de los distintos usuarios. 1.6 Dar a conocer de manera oportuna las directrices del marco de trabajo. 1.9 Realizar un marco de trabajo adecuado para la administración de posibles riesgos. 1.10 Realizar un marco de trabajo para la administración de programas y proyectos de TI. 2.-Adquirir e Implementar 2.3 Definir los procesos para la adquisición, implementación y actualización de equipos de comunicación. 2.4 Solicitar, la documentación necesaria del equipo de comunicación al proveedor. 2.6 Establecer la metodología para la administración de cambios. 2.7 Generar las instrucciones a seguir para la adecuada migración y determinar el plan a seguir para la liberación de los nuevos equipos. 3.-Entrega y Soporte: 3.1Crear listas de acceso en el equipo de comunicación que se requieran. 3.2 Contratar el servicio de soporte y mantenimiento del proveedor. 3.3 Contar con los servicios necesarios para la revisión en los niveles de servicio del equipo de comunicación. 3.4 Elaborar de planes para la continuidad de servicios. 3.5 Establecer y dar a conocer políticas de seguridad. 3.7 Crear programas de capacitación para el personal responsable e de la administración del equipo de comunicaciones. 3.10 Obtención de los logs de los equipos. 3.12 Realizar bitácoras de acceso al SITE e implementar medidas de seguridad con respecto a objetos personales de tipo metálico y garantizar la correcta instalación en el rack correspondiente. 3.13 Realizar políticas para el mantenimiento y monitoreo de los equipos de comunicación. 4.- Monitoreo 4.1 Fijar métricas para la evaluación del desempeño y monitoreo de los equipos de comunicación. 4.2 Realizar programa de control efectivo para el monitoreo interno de la LAN. 4.3 Determinar la supervisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos contractuales. XI.- Reporte y Matriz de Riesgos Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 Pág. 82 de 7 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 83 Y COMUNICACIONES 4.4 Establecer un marco de gobierno efectivo que permita medir el desempeño y asegurar la efectividad y eficiencia de TI. La Subdirección de Comunicaciones, posterior a la implementación de los mecanismos de control interno observados, deberá revisarlos, actualizarlos y difundirlos periódicamente para evitar su recurrencia. Enviar a esta Dirección evidencia documental que acredite las acciones implementadas. BENEFICIOS Que la Subdirección de Comunicaciones cuente con las herramientas mínimas necesarias para operar con eficiencia, eficacia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad el manejo de los datos y recursos de tecnologías de información de la Secretaría de Economía, así como asegurar la calidad de los servicios que ofrece. XI.- Reporte y Matriz de Riesgos Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 Pág. 83 de 7 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 84 Y COMUNICACIONES MATRIZ DE EVALUACIÓN Riesgos / Controles Consecuencia Probabilidad El control reduce el Riesgo a: PL AN EA CI Ó N Y O RG AN IZ AC IÓ N 1 1.2 1.3 1.4 Probable planeación inadecuada de las actividades y aseguramiento de los controles aplicados a los procesos y áreas de mayor riesgo para prevenir su ocurrencia. Adecuada planeación de actividades Mayor Probable Bajo 2 1.9 Desconocimiento de vulnerabilidades. Implementación de controles adecuados para mitigar pérdidas. Mayor Casi Certeza Bajo Riesgos / Controles Consecuencia Probabilidad El control reduce el Riesgo a: AD Q U IS IC IÓ N E IM PL EM EN TA CI Ó N 3 2.3 Instalación Errona y/o mala configuración que repercute en el desempeño Adquisición, implementación y actualización de equipos de comunicación. Mayor Probable Bajo 4 2.4 No saber cómo corregir alguna falla que se presente. Solicitar, la documentación necesaria del equipo de comunicación al proveedor Mayor Probable Probable 5 2.6 Falta de control en los equipos de comunicación contra posibles incidencias. Establecer la metodología para la administración de cambios. Mayor Probable Bajo 6 2.7 Mala configuración de los equipos al momento de la liberación. Generar las instrucciones a seguir para la adecuada migración y determinar el plan a seguir para la liberación de los nuevos equipos. Mayor Moderadas Bajo XI.- Reporte y Matriz de Riesgos Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 Pág. 84 de 7 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 85 Y COMUNICACIONES Riesgos / Controles Consecuencia Probabilidad El control reduce el Riesgo a: EN TR EG A Y SO PO R TE 7 3.1 Falta de control en el acceso al equipo de comunicaciones. Crear listas de acceso en el equipo de comunicación que se requieran Catastrófico ProbableProbable 8 3.2 Inexistencia de continuidad y falta de mantenimiento. Contratar el servicio de soporte y mantenimiento del proveedor. Mayor Moderas Bajo 9 3.3 Falta de administración por intrusión. Contar con los servicios necesarios para la revisión en los niveles de servicio del equipo de comunicación. Mayor Probable Bajo 10 3.4 No tomar en consideración las recomendaciones necesarias. Elaborar de planes para la continuidad de servicios. Catastrófico Probable Bajo 11 3.5 Posible daño en los equipos de comunicación y la mala operación. Establecer y dar a conocer políticas de seguridad. Catastrófico Probable Bajo 12 3.7 Configuración inadecuada del equipo administrado. Crear programas de capacitación para el personal responsable e de la administración del equipo de comunicaciones. Catastrófico Probable Bajo 13 3.12 El equipo sufra una caída. Instalación adecuada en el rack. Catastrófico Casi Certeza Bajo 14 3.12.2 Posible choque eléctrico que puede causar daño al equipo o alguna lesión a la persona. Restringir acceso con objetos metálicos. Mayor Moderadas Poco Probable 15 3.13 Posibles fallas en el equipo que no se puedan reparar. Contratación de mantenimiento correctivo. Mayor Probable Bajo XI.- Reporte y Matriz de Riesgos Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 Pág. 85 de 7 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 86 Y COMUNICACIONES Riesgos / Controles Consecuencia Probabilidad El control reduce el Riesgo a: M O N IT O R EO 16 4.4 Efectuar trabajo sin llegar al objetivo de la dirección. Establecer un marco de gobierno efectivo que permita medir el desempeño y asegurar la efectividad y eficiencia de TI. Mayor Moderadas Bajo PR O BA BI LI DA D Casi Certeza 2 13 Probable 1,3,4,5,9,15 7,10,11,12 Moderadas 6,8,14,16 Poco Probable Bajo Insignificante Menores Moderados Mayor Catastrófico I M P A C T O Elaboró Revisó Visto Bueno C. Alejandro Saucedo Vidals Subdirector de Comunicaciones Ing. Francisco Javier Herrera López Director General de Informática Ing. Enrique Vara Solorio XI.- Reporte y Matriz de Riesgos Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 Pág. 86 de 7 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 87 Y COMUNICACIONES AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 88 Y COMUNICACIONES AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 89 Y COMUNICACIONES AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 90 Y COMUNICACIONES AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 91 Y COMUNICACIONES AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 92 Y COMUNICACIONES AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 93 Y COMUNICACIONES MINUTA DE LA REUNIÓN DE TRABAJO REALIZADA ENTRE LA SECRETARÍA DE ECONOMÍA Y AUDITORES. MINUTA No. 1 LUGAR HORA Y FECHA: México , D.F. siendo las 12:00 hrs., del día 4 de marzo de 2011, se reunieron en la sala de juntas del piso 9 de la Dirección General de Informática de la Secretaría de Economía en el Distrito Federal, sita en Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, para tratar asuntos relacionados al Programa de Controles generales para la seguridad del switch de acceso. Participaron en la reunión el Ing. Enrique Vara Solorio, Director de Informática; Ing. Francisco Javier Herrera López, Subdirector de Comunicaciones; CC. Alejandro Saucedo Vidals, David Juárez Avelar, Isaac González Ramírez y Miguel Angel Romero Mora, Grupo Auditor. ORDEN DEL DÍA: 1.- Lectura de Orden del Día. 2.- Presentación de Observaciones referente a la Auditoria. 3.- Firma de reporte de Observaciones. OBJETIVO DE LA REUNIÓN: Confronta, levantamiento de acta de cierre y firma de observaciones DESARROLLO DE LA REUNIÓN: El auditor Miguel Angel presentó y dio lectura el documento que contiene las Observaciones encontradas en la Auditoria, abarcando los cuatro dominios que proporciona COBIT y que son Planear y Organizar, Adquirir e Implementar, Entrega y Dar Soporte y Monitoreo. Se informó que la documentación proporcionada por el personal de TI fue insuficiente e hizo evidente la carencia de Políticas y Controles de Seguridad dentro de la Secretaría; además de la inexistencia de un plan de contingencia que garantice la continuidad de los servicios y la falta de redundancia en los procesos críticos de la Institución. Asimismo, se dio a conocer que no existen planes para el monitoreo de la red LAN y no se cuenta con los manuales necesarios para la operación de los equipos de comunicación, todo debido a la falta de contratos de soporte con los proveedores y que dan como resultado la nula administración de cambios en cuanto a la infraestructura de comunicaciones. Se cuestionó la existencia de dicha documentación y se invitó a que fuera presentada para así replantear un análisis distinto que fuera de acuerdo con tal información. El personal responsable aceptó la falta de la documentación y se llegó al siguiente acuerdo: -----------------------------------------------------ACUERDO------------------------------------------------ La Dirección de Informática estará en espera del Informe de Recomendaciones Correctivas para su eventual ejecución. No habiendo más asuntos que tratar, se cierra la presente minuta siendo las 13:00 hrs., del día y la fecha, firmando al margen y al calce los que en ella intervinieron. XIII.- Minuta Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 Pág. 93 de AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 94 Y COMUNICACIONES POR LA SECRETARÍA DE ECONOMÍA Ing. Enrique Vara Solorio Director General de Informática. __________________________________ Ing. Francisco Javier Herrera López Subdirector de Comunicaciones. __________________________________ POR EL GRUPO AUDITOR C. Alejandro Saucedo Vidals __________________________________ C. David Juárez Avelar ___________________________________ C. Isaac González Ramírez ___________________________________ C. Miguel Angel Romero Mora ___________________________________ XIII.- Minuta Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 Pág. 94 de 110 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 95 Y COMUNICACIONES INFORME DE AUDITORÍA Número de auditoría: Descripción: Unidad Administrativa, Dependencia,Órgano Político Administrativo, Órgano Desconcentrado o Entidad: Clave: Área(s) especifica(s): Número de observaciones: Deficiencias no sujetas a observación: AE-01/11 “Auditoria del switch de acceso de la red LAN”” Secretaría de Economía 713 Dirección General de Informática / Subdirección de Comunicaciones. 01 INTRODUCCIÓN: Después haber detectado una intrusión en un equipo de comunicación que sustenta el acceso a la red LAN, la Subdirección de Comunicaciones opto por realizar las medidas pertinentes a este equipo, con la mira a reducir el riego de que el incidente se volviese a suscitar. La justificación de la presente auditoría al switch de acceso de la red LA de la Secretaría de Economía, reviste en su importancia en el no contar con antecedentes de auditorías en este rubro y en los puntos críticos de los controles generales que se debe implementar para reforzar su operación. Fundamento Legal: Fundamento en lo dispuesto en el artículo 37, fracciones I, IV, V, VII y X de la Ley Orgánica de la Administración Pública Federal OBJETIVO: • Determinar si existen políticas de seguridad y si éstas incluyen estándares y responsabilidad de la seguridad física y lógica, así como verificar su vigilancia, comunicación y difusión en tiempo y forma. • Determinar si existen controles para identificar, autenticar y autorizar el acceso a la información. • Verificar que existan relaciones de seguridad internas y externas, se realice la evaluación de violaciones de seguridad, se administren los incidentes, se autoricen las transacciones y se protejan las funciones asociadas a la seguridad. ALCANCE: Uno de los switches de acceso a la red LAN, el cual pertenece a la Subdirección de Comunicaciones de la Dirección General de Informática de la Secretaría de Economía, en el periodo comprendido de enero a febrero de 2011, el universo auditable será el 100% del alcance o muestra auditada.. Período: Enero – febrero 2011. Ejercicio: Primer Bimestre 2011. Monto Auditado: No cuantificable. Porcentaje: El 100% del alcance o muestra determinado. RESULTADOS: De las entrevistas, investigación, inspección y análisis efectuado a instalaciones, equipos, información y documentación proporcionada por el periodo de enero a febrero de 2011, se detectó lo siguiente: 1.- Planeación y organización. En relación a las estrategias para identificar la forma en que la tecnología de información contribuya de la mejor manera al logro de los objetivos, es necesario que la consecución de la visión estratégica sea planeada, comunicada y administrada desde diferentes perspectivas, estableciendo una organización y una infraestructura tecnológica apropiada. XIV.- Informe de Auditoria Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 Pág. 95 de 110 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 96 Y COMUNICACIONES Sobre este particular, la Subdirección de Infraestructura no cuenta con una planeación estratégica en materia de TI, que establezcan sus prioridades en acorde a los objetivos de la Secretaria de Economía para una mejor utilización de los recursos, además de no tener bien definidos los procesos para los niveles de seguridad para el tipo de información sensitiva y no sensitiva. Por otro lado, esta área no cuenta con la documentación necesaria para determinar la dirección tecnológica de la dirección ya que esta no cuenta con un comité de arquitectura que establezca y administre las expectativas realistas y claras de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación. Por otra parte esta área no cuenta con la documentación de cada uno de los roles y actividades que deben realizan cada uno de los responsables de la administración de los equipos de comunicaciones. Otro de los puntos importantes con los que esta área no cuenta es que no existe la adecuada comunicación entre la Dirección de TI y los niveles operativos con respecto al marco de trabajo establecido y por aparte, tampoco se cuenta con un plan para la administración de riesgos y un marco de trabajo para la administración de programas y proyectos de TI establecidos. 2.-Adquisición e Implementación: Para llevar a cabo la estrategia de tecnologías de información, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio, cubriendo los cambios y el mantenimiento realizados a sistemas existentes. En este rubro la Subdirección de Comunicaciones no cuenta con los procesos para adquirir, implementar y actualizar los equipos de comunicaciones, por lo consiguiente no se cuenta con la documentación acerca de estos equipos. Otro punto en particular de consideración alta es que no existe una metodología para el control de cambios y mucho menos se cuenta con instrucciones para la migración y la planeación para la liberación de los nuevos equipos de comunicación. 3.-Entrega y Soporte: En referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad, con el fin de proveer servicios, deben establecerse los procesos de soporte necesarios, incluyendo el procesamiento de los datos por sistemas de aplicación. En este aspecto la Subdirección de Comunicaciones no cuenta con una lista de acceso al equipo de comunicaciones y tampoco cuenta con la administración de servicios provistos por un proveedor. Por otro lado esta subdirección no tienen un servicio de revisión periódica de los niveles de servicio para optimizar el desempeño del equipo de comunicaciones y esto conlleva a que el plan para la administración en la continuidad de servicios no se tenga contemplado, a su vez, tampoco se cuente con políticas generales de seguridad, esto incluye el establecimiento y mantenimiento de roles y responsabilidades en materia de seguridad, políticas, estándares y procedimientos de TI, esto también incluye realizar monitoreo y pruebas periódicas de sustentabilidad. Uno de los aspectos de mayor relevancia que se tiene que considerar es el personal, ya que de ellos depende el buen funcionamiento de los equipos; es por ellos que en este rubro la Subdirección de Comunicaciones tiene una falla, ya que su personal no está debidamente entrenado para enfrentarse a algún tipo de contingencia que se presente con el switch. Por otra parte y realizando un rastreo de evidencia, se encontró que el administrador no cuenta con un respaldo de los archivos Logs de los equipos de comunicación, esto es con la finalidad de contar con un registro en caso de alguna anomalía. Otro de los aspectos a evaluar fue el referente a la parte física, en donde se encontraron con ciertas características las cuales son muy importantes para mantener una integridad operacional bastante alta, en este aspecto se encontró que la Secretaria de Economía cuenta con un SITE de comunicaciones, donde se encuentran albergados la gran mayoría de sus equipos, tanto de comunicaciones como servidores y a su vez cuenta con características altas de seguridad solo que para este caso de estudio, el equipo auditado no se encuentra bien instalado dentro del Rack y esto conlleva un gran riego ya que el equipo puede sufrir una caída de gran impacto y consecuencia. No se cuenta con una bitácora de acceso a esta parte del inmueble y tampoco se cuenta con un control sobre el acceso con joyería al sitio. Por último, cabe mencionar que no se cuenta con políticas para el mantenimiento y monitoreo de los equipos de comunicación que sustentan la red LAN de la Secretaria de Economía. 4.- Monitoreo Todos los procesos necesitan ser evaluados regularmentea través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control, los recursos de tecnología de información necesitan ser administrados por un conjunto de procesos agrupados, con el fin de proporcionar la información necesaria para alcanzar las metas y objetivos. En este apartado la Subdirección de Comunicaciones no cuenta con políticas para el monitoreo y evaluación para el XIV.- Informe de Auditoria Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 Pág. 96 de 110 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 97 Y COMUNICACIONES desempeño de los equipos de comunicación, además de no contar con un programa de control efectivo para el monitoreo interno, aunado a esto, esta Subdirección carece de una supervisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos que se lleguen a estipular en los contratos que se realicen con los distintos proveedores de servicios con los que cuenta. Por último se encontró que no se cuenta con un aspecto de mucha relevancia, que es el no tener estipulado un maco de gobierno de TI efectivo dentro de la Dirección General de Informática y bajo el cual se rigen todos los puntos anteriormente mencionados para una efectiva administración sobre los planes y contingencias para mitigar riesgos informáticos. No se determinaron Deficiencias no sujetas a observación. LIMITANTES: No se pudo contar con información concisa ya que no cuentan con gran parte de ella. CONCLUSIÓN: La subdirección de Comunicaciones de la Dirección General de Informática, representa una función estratégica para las operaciones de la Secretaría de Economía, ya que es la encargada de administrar los servicios de acceso a la red LAN, la cual proporciona el servicio de internet y servicios de red a los distintos usuarios que en esta dependencia laboran. La ejecución de la auditoria a uno de sus equipos de acceso de ya mencionada red, sustento se deben crea políticas, procesos y planes de contingencia para saber el que realizar en caso de encontrar otro tipo de vulnerabilidades en casos subsecuentes, ya que, la carencia de estas metodologías ponen en riesgo la continuidad del servicio en este Edifico de Gobierno; al verse afectada la confidencialidad, la integridad y la disponibilidad de los servicios del equipo auditado, con el fin de incrementar la eficacia y capacidad de respuesta de los equipos ante distintas situaciones de trabajo o posibles contingencias. Se deberán crear listas de acceso a los equipos de comunicación, además de realizar contratos con proveedores para que de esta manera se tenga un mantenimiento a dichos equipos; por otro lado se deberá crear un plan para la continuidad en los servicios y realizar las políticas generales de seguridad esto con el principal objetivo de mitigar riegos, esto incluyendo también el establecimiento de roles y responsabilidades en materia de seguridad, políticas, estándares y procedimientos de TI, para posteriormente continuar con el monitoreo y pruebas periódicas de sustentabilidad a los equipos de comunicación. Se recomienda a la Subdirección de Comunicaciones realizar un entrenamiento adecuado al personal que de ella depende para que estos a su vez puedan realizar de una mejor manera con las labores que de ello dependen. Por otra parte se recomienda a los administradores de los distintos equipos de comunicación se realice de manera periódica un respaldo de los distintos logs de los swithces para la creación de una bitácora. En cuanto a la parte del SITE se refiere se recomienda crear un registro de las personas que ingresan a este sitio, así como la supervisión de los objetos metálicos (joyería) que las personas poseen al momento de estar dentro del SITE y por último se hace la recomendación para la elaboración de políticas para el mantenimiento y monitoreo de los equipos de comunicaciones. Resulta relevante señalar que se debe observar la normatividad en materia de tecnologías de información emitida por la Oficialía Mayor y la Ley Organica de la Administración Pública Federal, a efecto de implementar las acciones inmediatas para su aplicación y, complementariamente, marcos de referencia internacionales como COBIT (Objetivos de control para la información y tecnologías afines), cuyos dominios y procesos permitirán a la Subdirección de Comunicaciones mejorar su operación cotidiana en los rubros de planeación, organización, adquisición, implementación, entrega, soporte y monitoreo, para una mejor operación tanto de su SITE de comunicaciones, como en sí de los propios equipos. ELABORO C. Miguel Angel Romero Mora Auditor AUTORIZÓ: Ing. Enrique Vara Solorio Director General de Informática XIV.- Informe de Auditoria Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 Pág. 97 de 110 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 98 Y COMUNICACIONES Número de auditoría: AE-01/11 Rubro o aspecto auditado: Controles generales para la seguridad del switch de acceso Área / Unidad Administrativa: Secretaría de Economía – Subdirección de Comunicaciones. Fecha de Inicio: 14 de Febrero de 2007 Fecha de Conclusión: 05 de Marzo de 2011 Í N D I C E Concepto Carpeta Páginas A PLANEACIÓN A.1 Índice 1 1 A.2 Cédula Única de Auditoría 1 1 A.3 Supervisión de la Integración del expediente de auditoría 1 1 A.4 Carta de Planeación 1 1 A.5 Cronograma 1 1 A.6 Programa específico de trabajo 1 3 A.7 Marco conceptual 1 1 A.8 Cédula de marcas de auditoría 1 2 B INFORMES B.1 Oficio de envío de Informe y Reportes de Observaciones 1 1 B.2 Informe de Auditoría 1 3 B.3 Reporte de Observaciones de Auditoría 1 7 C EJECUCIÓN C.1 Orden de auditoría 1 1 C.2 Actas de inicio y cierre de auditoría 1 1 C.3 Oficios de requerimiento 1 1 C.4 Minuta de trabajo 1 1 C.5 Oficio contestación requerimientos 1 1 D NORMATIVIDAD D.1 Leyes, códigos, normas, políticas y lineamientos 1 1 XV.- Índice de Documentos Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 99 Y COMUNICACIONES SUPERVISIÓN DE LA INTEGRACIÓN DEL EXPEDIENTE DE LA AUDITORÍA Dependencia: Secretaría de Economía Área auditada: Dirección General de Economía / Subdirección de Comunicaciones Número de auditoría: AE-01/11 Fecha de inicio: 14 de Enero del 2011 Fecha de término: 05 de Marzo del 2011 Período auditado: Enero – febrero 2011 Personal participante: Alejandro Saucedo Vidals, David Juárez Avelar, Isaac González Ramírez, Miguel Angel Romero Mora CONCEPTO EVALUACIÓN COMENTARIOS SI NO N/A 1. ¿Se encuentra en el expediente de la auditoría la Carta de Planeación autorizada por el coordinador responsable de la revisión? X 2. ¿En la carta de Planeación para auditar cada rubro, se incluyó el universo de las operaciones, los alcances, las muestras y los procedimientos? X 3. ¿Se cumplió con el Programa de Trabajo? X 4. ¿Fueron adecuadas las bases para determinar los alcances y muestras de la auditoría? X 5. ¿La auditoría se realizó conforme a lo establecido en la Ley Orgánica de la AdministraciónPublica Federal y los formatos establecidos de auditoría? X 6. ¿Se encuentran en papeles de trabajo bien definidos y soportados legalmente las observaciones determinadas? X 7. ¿Existe evidencia fehaciente de que se hayan revisado los papeles de trabajo de la auditoría? X 8. ¿Los papeles de trabajo fueron elaborados de acuerdo con las especificaciones de la Guía respectiva, incluyendo cruces, marcas y notas aclaratorias y mostrando claramente los procedimientos utilizados? X 9. ¿Se observó durante el desarrollo de la auditoría el apego a las Normas de Auditoría? X 10. ¿Se cuenta en el expediente con el informe o el proyecto respectivo en donde consten las observaciones determinadas en la auditoría? X 11. ¿Los expedientes de la auditoría están debidamente integrados y completos? X Elaboró: C. Isaac González Ramírez Vo. Bo. del responsable: Ing. Enrique Vara Solorio NOMBRE Y FIRMA NOMBRE Y FIRMA XVI.- Supervisión Integración de Expediente Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 100 Y COMUNICACIONES México, D. F., a 5 de Marzo de 2011 Asunto: Observaciones e informe ING ENRIQUE VARA SOLORIO DERECTOR GENERAL DE INFORMATICA DE LA SECRETARIA DE ECONOMÍA. P R E S E N T E De conformidad con lo establecido en el artículo 37, fracciones I, IV, V, VII y X de la Ley Orgánica de la Administración Pública Federal, y en referencia al oficio con fecha 17 de Febrero de 2011, mediante el cual se comunicó la práctica de la auditoría número AE-01/11, denominada “Controles generales para la seguridad del switch de acceso”, realizada a la Subdirección de Comunicaciones de la Dirección General de Informática de la Secretaría de Economía. En el mes de febrero a marzo del presente año, y ante la presencia de una vulnerabilidad se realizó la presente auditoria con el objetivo de verificar los controles generales para la seguridad del equipo de comunicación, la estructura organizacional de la dirección, los planes de seguridad y riego, datos involucrados en el cumplimiento de metas y objetivos institucionales; contemplando el periodo de enero a febrero de 2011, sobre el particular, adjunto y le remito el reporte que contiene las observaciones detectadas, efectos y recomendaciones que se consideran procedentes para su solución, así como el informe de los resultados obtenidos, mismo que contiene el objetivo y alcance de la auditoría, las limitantes en su ejecución, las observaciones generadas, las conclusiones obtenidas y riego(s) indicado(s) como deficiencia(s), el cual si bien no fue considerado como observación, por sus características se estimó pertinente hacerlo de su conocimiento a fin de coadyuvar y mantener la transparencia, legalidad, eficacia, imparcialidad y eficiencia de su gestión, así como el adecuado control interno del servicio encomendado a las áreas a su digno cargo. De los resultados obtenidos, se considera relevante señalar por su importancia, que se debe fortalecer la seguridad física en cuanto al acceso al SITE y lógica referente al equipo de comunicación, reforzar las prácticas de mantenimiento al equipo mencionado para contar con una eficiente administración de cambios, versiones y proyectos. Es necesario definir e implementar las políticas, lineamientos y procedimientos que permitan una operación estructurada, eficiente y consistente, a efecto de contribuir a mitigar riesgos posibles en sus equipos de comunicación y una mejor administración de los mismos. Se sugiere como relevante la revisión de la normatividad oficial aplicable en la materia y la adopción de marcos de referencia internacionales, los cuales permitirán mejorar su operación cotidiana. Las observaciones fueron comentadas en su oportunidad con personal responsables de su administración, mismos que revisaron los reportes que se remiten, señalándose la fecha compromiso para su atención tal y como quedó asentado en los reportes de referencia, solicitando atentamente que la documentación que se envíe a esta Dirección es para solventar las citadas observaciones, sea en copias debidamente certificadas por el personal calificado que cuente con facultades para ello. Asimismo, le agradezco las facilidades otorgadas y la colaboración brindada al grupo de auditores designado para llevar a cabo la auditoría aludida por parte de los servidores públicos que los atendieron, esperando que los resultados y recomendaciones de la auditoría coadyuven al mejor desempeño de su gestión. Sin más por el momento, reitero a usted mi distinguida consideración. A T E N T A M E N T E AUDITOR C. MIGUEL ANGEL ROMERO MORA C.c.p. Expediente. XVII.- Oficio de Observaciones e Informe Dirección General de Informática Subdirección de Comunicaciones Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal, México. Pág. 1 de 1 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 101 Y COMUNICACIONES Índice de Tablas e Imágenes AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 102 Y COMUNICACIONES ÍNDICE DE TABLAS E IMÁGENES Descripción Pág. 1.1 Diferencias entre Auditoria Informática y Control Interno 10 1.2 Principales actividades del Risk Assessment 12 2.1Red de Tipo Personal 19 2.2 Tipos de Redes 20 2.3 Topología de Bus ó Lineal 23 2.4 Topología de árbol 24 2.5 Topología de Anillo 25 2.6 Topología de Estrella 26 2.7 Topología de Malla 27 3.1 Principio Básico de COBIT 39 3.2 Dominios en COBIT 39 3.3 Marco de Trabajo completo de COBIT 43 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 103 Y COMUNICACIONES Glosario AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 104 Y COMUNICACIONES AppleTalk.- Conjunto de protocolos desarrollados por Apple Inc. para la conexión de redes. Fue incluido en un Macintosh en 1984 y actualmente está en desuso en los Macintosh en favor de las redes TCP/IP. AR (Administración de Riesgos).- Es un proceso realizado por el consejo directivo de una entidad, la administración y el personal de dicha entidad. Es aplicado en el establecimiento de estrategias de toda la empresa, diseñada para identificar eventos potenciales que puedan afectar a la entidad y administrar los riesgos para proporcionar una seguridad e integridad razonable referente al logro de objetivos. Arquitectura de TI.- Un marco integrado para evolucionar o dar mantenimiento a TI existente y adquirir nueva TI para alcanzar las metas estratégicas y de negocio de la empresa Autenticación.- El acto de verificar la identidad de un usuario y su elegibilidad para acceder a la información computarizada. La autenticación está diseñada para proteger contra conexiones de acceso fraudulentas. Bucles.- En programación, es una sentencia que se realiza repetidas veces a un trozo aislado de código, hasta que la condición asignada a dicho bucle deje de cumplirse. Generalmente, un bucle es utilizado para hacer una acción repetida sin tener que escribir varias veces el mismo código, lo que ahorra tiempo, deja el código más claro y facilita su modificación en el futuro. Bug (Defecto de software).- Es el resultado de un fallo o deficiencia durante el proceso de creación de programas de computadora (software). Dicho fallopuede presentarse en cualquiera de las etapas del ciclo de vida del software aunque los más evidentes se dan en la etapa de desarrollo. Continuidad.- Prevenir, mitigar y recuperarse de una interrupción. Los términos “planear la reanudación del negocio”, “planear la recuperación después de un desastre” y “planear contingencias” también se pueden usar en este contexto; todos se concentran en los aspectos de recuperación de la continuidad Control de accesos.- El proceso que limita y controla el acceso a los recursos de un sistema computacional; un control lógico o físico diseñado para brindar protección contra la entrada o el uso no autorizados Control interno.- Es un conjunto de áreas funcionales en una empresa u organización y de acciones especializadas en la comunicación y control al interior de la misma. Datagramas.- Cada paquete se trata de forma independiente, conteniendo cada uno la dirección de destino. Los datagramas IP son las unidades principales de información de Internet. Los términos trama, mensaje, paquete de red y segmento también se usan para describir las agrupaciones de información lógica en las AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 105 Y COMUNICACIONES diversas capas del modelo de referencia OSI y en los diversos círculos tecnológicos. DHCP (siglas en inglés de Dynamic Host Configuration Protocol).- es un protocolo de red que permite a los nodos de una red IP obtener sus parámetros de configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado después. Dirección MAC (Media Access Control).- Es un identificador de 48 bits (6 bloques hexadecimales) que corresponde de forma única a una ethernet de red. Se conoce también como la dirección física en cuanto a identificar dispositivos de red. Es individual, cada dispositivo tiene su propia dirección MAC determinada y configurada por el IEEE (los últimos 24 bits) y el fabricante (los primeros 24 bits) utilizando el OUI. Directriz.- La descripción de un modo particular de lograr algo, la cual es menos prescriptiva que un procedimiento Dominio.- Agrupación de objetivos de control en etapas lógicas en el ciclo de vida de inversión en TI EMI/RFI.- Es un fenómeno que ocurre naturalmente cuando el campo electromagnético de un dispositivo interrumpe, degrada o impide el campo electromagnético de otro dispositivo, al encontrarse muy cerca de él. Encriptar.- Es una manera de codificar la información para protegerla frente a terceros. Estándar.-Una práctica de negocio o producto tecnológico que es una práctica aceptada, avalada por la empresa o por el equipo gerencial de TI. Los estándares se pueden Implementar para dar soporte a una política o a un proceso, o como respuesta a una necesidad operativa. Así como las políticas, los estándares deben incluir una descripción de la forma en que se detectará el incumplimiento. Firewall.- Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial. GSM/GPRS.- General Packet Radio Service (GPRS) o servicio general de paquetes vía radio es una extensión del Sistema Global para Comunicaciones Móviles (Global System for Mobile Communications o GSM) para la transmisión de datos no conmutada (o por paquetes). Una conexión GPRS está establecida por la referencia a su nombre del punto de acceso (APN). con GPRS pueden utilizar los servicios tales como Wireless Application Protocol (WAP) , servicio de mensajes AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 106 Y COMUNICACIONES cortos (SMS), servicio de mensajería multimedia (MMS), Internet y para los servicios de comunicación, como el correo electrónico y la World Wide Web (WWW). Handover.- Sistema utilizado en comunicaciones móviles celulares con el objetivo de transferir el servicio de una estación base a otra cuando la calidad del enlace es insuficiente. Este mecanismo garantiza la realización del servicio cuando un móvil se traslada a lo largo de su zona de cobertura. IP (siglas en inglés de Internet Protocol).- es un número que identifica un dispositivo en una red (un ordenador, una impresora, un router, etc…). Estos dispositivos al formar parte de una red serán identificados mediante un número IP único en esa red. ISM.- Son bandas reservadas internacionalmente para uso no comercial de radiofrecuencia electromagnética en áreas industrial, científica y médica. En la actualidad estas bandas han sido popularizadas por su uso en comunicaciones WLAN (e.g. Wi-Fi) o WPAN (e.g. Bluetooth). Login.- Es el término que se usa en computación para referirse al ingreso a las cuentas de usuario, a los sistemas o servicios. Es el momento de autenticación al acceder a un servicio o sistema que funciona normalmente, pidiendo un nombre de usuario y una contraseña, con el fin de tener un control en dicho ingreso. Password.- Es una serie secreta de caracteres que permite a un usuario tener acceso a un archivo, a un ordenador, o a un programa. PDU.- Unidades de Datos de Protocolo. Se utiliza para el intercambio entre unidades parejas, dentro de una capa del modelo OSI. Política.- Por lo general, un documento que ofrece un principio de alto nivel o una estrategia a seguir. El propósito de una política es influenciar y guiar la toma de decisiones presente y futura, haciendo que estén de acuerdo a la filosofía, objetivos y planes estratégicos establecidos por los equipos gerenciales de la empresa. Además del contenido de la política, esta debe describir las consecuencias de la falta de cumplimiento de la misma, el mecanismo para manejo de excepciones y la manera en que se verificará y medirá el cumplimiento de la política. Procedimiento.- Una descripción de una manera particular de lograr algo; una forma establecida de hacer las cosas; una serie de pasos que se siguen en un orden regular definido, garantizando un enfoque consistente y repetitivo hacia las actividades Proceso.- Por lo general, un conjunto de procedimientos influenciados por las políticas y estándares de la organización, que toma las entradas provenientes de un número de fuentes, incluyendo otros procesos, manipula las entradas, y genera salidas, incluyendo a otros procesos, para los clientes de los procesos. Los AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 107 Y COMUNICACIONES procesos tienen razones claras de negocio para existir, dueños responsables, roles claros y responsabilidades alrededor de la ejecución del proceso, así como los medios para medir el desempeño Riesgo.- El potencial de que una amenaza específica explote las debilidades de un activo o grupo de activos para ocasionar pérdida y/o daño a los activos. Por lo general se mide por medio de una combinación del impacto y la probabilidad de ocurrencia Sniffer.- Es un programa que captura datos dentro de una red de cómputo; es utilizado por los hackers para obtener nombres de usuarios y contraseñas, y es una herramienta que permite auditar e identificar paquetes de datos en un red, misma que, puede ser usado legítimamente por los administradores de redes y personal de mantenimiento para identificar problemas de la misma red. SSH (Secure Shell).- es un protocolo que facilita las comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor y que permite a los usuariosconectarse a un host remotamente. Tablero de control.- Una herramienta para establecer las expectativas de una organización en cada nivel y para comparar de forma continúa el desempeño contra las metas establecidas TCP/IP.- Es un conjunto de protocolos de red en los que se basa Internet y que permiten la transmisión de datos entre redes de computadoras. En ocasiones se le denomina conjunto de protocolos TCP/IP, en referencia a los dos protocolos más importantes que la componen: Protocolo de Control de Transmisión (TCP) y Protocolo de Internet (IP), que fueron los dos primeros en definirse, y que son los más utilizados de la familia. TI (Tecnologías de Información/Information Technologies).-. Agrupan los elementos y las técnicas utilizadas en el tratamiento y la transmisión de las informaciones, principalmente de informática, internet y telecomunicaciones. UMTS.- Sistema Universal de Telecomunicaciones Móviles (Universal Mobile Telecommunications System - UMTS) es una de las tecnologías usadas por los móviles de tercera generación (3G, también llamado W-CDMA), sucesora de GSM, debido a que la tecnología GSM propiamente dicha no podía seguir un camino evolutivo para llegar a brindar servicios considerados de Tercera Generación. WiFi.- Es una marca de la Wi-Fi Alliance (anteriormente la WECA: Wireless Ethernet Compatibility Alliance), la organización comercial que adopta, prueba y certifica que los equipos cumplen los estándares 802.11 relacionados a redes inalámbricas de área local. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 108 Y COMUNICACIONES Bibliografía AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 109 Y COMUNICACIONES Redes de Computadoras Andrew S Tanenbaum Pearson PrenticeHall 4ª. Edición, 2008. Tecnologías y Redes de Transmisión de Datos Herrera Editorial Limusa S.A de C.V, Grupo Noriega Editores, 2008. Risk Management Concepts and Guidance Carl L. Pritchard, ESI International Arlington, Virginia. 2nd Edition. 2009. Risk Management for Computer Security Andy Jones, Debi Ashender, 2009. Auditoría Informática: un enfoque práctico Piattini, M., E. De Peso Ed. Ra-Ma, 2008. Auditoría informática en la empresa Juan José Archa Itumendi Ed. Paraninfo. 2008. Auditoría en Informática Echenique García, J. A. Editorial: MCGRAW-HILL, 2009. Fundamentos de control interno Perdomo ECAFSA, 6ª. Edición. 2009. Handbook of Information Security Management. Zella G. Ruthberg. Harold F. Tipton. 2010. Information Systems Security. A Practitioner´s Reference Philip Fites, Martin P.J. Kratz. 2008. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 110 Y COMUNICACIONES Control Interno Informe COSO Samuel Alberto Mantilla ECOE Ediciones, 3ra Edición, 2008. Otras Referencias http://www.datasec.com.uy/ http://www.isaca.org www.nist.gov www.nsa.gov http://www.cisco.com/en/US/products/hw/switches/index.html http://www.cisco.com/web/solutions/smb/espanol/productos/routers_switches/routi ng_switching_primer.html http://es.scribd.com/doc/2081382/MEDIDAS-DE-SEGURIDAD-EN- INSTALACIONES-ELECTRICASY-REDES http://es.scribd.com/doc/51821177/5/Politicas-generales-de-seguridad http://www.itson.mx/dii/epadilla/AUDITORIA%20DE%20REDES.ppt http://www.dirinfo.unsl.edu.ar/seguridadred/teorias/Analisis_de_Vulnerabilidades.p pt Auditoria Informática Concepto de auditoría Definición ¿Quién hace la auditoría? Evolución de la práctica de Auditoría Enfoque tradicional: Nueva visión: Diferencias entre Auditoría Informática… … y Control Interno Introducción a la Administración de Riesgos Auditoría interna ¿Qué es un riesgo? Administración de Riesgos (AR) Establecer y fundar un equipo de ARI Análisis de vulnerabilidades Mapeo de Amenazas/ Vulnerabilidad/ Recursos Mitigación del riesgo Análisis costo-beneficio Reporte Final Políticas generales de seguridad CONCEPTOS GENERALES DE RED Introducción Tipos de Red PAN (Personal Area Network/Área de Red Personal) LAN (Local Area Network/Red de Área Local) MAN (Metropolitan Area Network/Red de Área Metropolitana) WAN (Wide Area Network/Red de Área Amplia) GAN (Generic Access Network/Red de Acceso Genérico) VLAN (Virtual Local Area Network/Red de Área Local Virtual) VPN (Virtual Private Network/Red Privada Virtual) TOPOLOGÍAS DE RED Topologías en Bus o Lineal Topología de Árbol Topología de Anillo Topología en Estrella Topología de Malla EQUIPOS DE COMUNICACIÓN SWITCH ROUTER Principales Marcos de Referencia y Metodologías Committee of Sponsoring Organizations of the Treadway Commission (COSO) The Criteria of Control Board (COCO) Modelo de Madurez (Maturity Model) Information Technologies Infrastructure Library (ITIL) Control Objectives for Information and related Technology (COBIT) Estándares de IEEE ANSI Organización Internacional para la Normalización (ISO) COBIT Introducción Marco de Trabajo COBIT Planear y Organizar (PO) Adquirir e Implementar (AI) Entregar y Dar Soporte (DS) Monitorear y Evaluar (ME) Auditoria de dispositivos de Red Elementos a auditar en una red Seguridad Física Infraestructura inalámbrica Infraestructura de detección de intrusos Dispositivos Firewalls Principales protocolos de Seguridad Generic Routing Encapsulation (GRE 47) Point-to-Point Tunneling Protocol. IP Sec Protocolo de tunelado de nivel 2 (L2TP) Secure shell (SSH) Protección de los Sistemas electrónicos y eléctricos Implementación de UPS Jaula de Faraday Acondicionamiento de Aire. Importancia de auditar una red y concepto de auditoría de red Auditoria De La Red Física Auditoria De La Red Lógica Auditoría del Switch de Acceso de la Red LAN Estado Actual Problemática Propuesta Estudio General del Área a Auditar Planeación y Programa de Trabajo Reunión con área para notificar auditoría Entrega de oficio de Orden y levantamiento de Acta de inicio de Auditoría Solicitud de Información y Documentación Entrevistas con responsables de actividades Análisis de la información Evaluación del Control Interno Pruebas sustantivas y de Cumplimiento Identificación de Irregularidades Reunión para comentar Irregularidades Elaboración de Reportes e Informe de Observaciones Matriz de Riesgo Reunión de Confronta, Levantamiento de Acta de Cierre y firma de Observaciones. Elaboración de Oficio de envío de Informe y Reporte de Observaciones. Consecuencia Consecuencia Conclusiones. Anexos Glosario Bibliografía
