Proyecto Final

Franco Quintana Morgado

AUDITORÍA INFORMÁTICA

Instituto IACC

Ponga la fecha aquí

 Desarrollo

Instrucciones:

Su empresa Auditoría Inc. desea participar de una licitación privada del Banco IACC en la que

solicitan realizar una auditoría informática de red interna y perimetral que incluya:

• 100 estaciones de trabajo con Windows 7.

• 5 bases de datos Oracle con Sistema Operativo Redhat Enterprise 5.

• 2 firewalls (uno interno y otro externo).

• 1 Router perimetral.

• 1 data center donde se encuentran todos los servidores.

• Enlaces redundantes entre las oficinas y el data center.

Para participar y adjudicársela, usted debe construir una propuesta técnica en la cual explique el

objetivo y alcance de la auditoría, la metodología de trabajo que utilizará, un plan de trabajo con

un programa y las actividades a desarrollar.

Finalmente, como anexo debe incluir lo siguiente:

• Detalle de pruebas a realizar por cada dispositivo (herramientas, checklist, etc.).

Auditoría Informática de red Interna y Perimetral Banco IACC.

OBJETIVO:

“Desarrollar plan de auditoría para Banco IACC.”

Toda auditoría informática aglutina y analiza evidencia con la intención de determinar si

los sistemas de información y los recursos relacionados están protegiendo adecuadamente los

activos, manteniendo la integridad y disponibilidad de la información y del sistema de la

organización o la empresa, proveyendo información relevante y confiable, de tal manera que se

logren de manera efectiva y eficiente las metas organizacionales, se utilizan eficientemente los

recursos, de la misma forma, los controles internos efectivos, que se deben proveer con una

certeza razonable de que todos los objetivos de negocio o la organización, operaciones y de

control serán abarcados y los eventos no deseados serán evitados o detectados y por ende

corregidos de forma oportuna.

Las auditorías de redes internas y perimetrales tienen como finalidad determinar si

existen problemas en la conectividad o el funcionamiento normal de los sistemas, lo que podría

afectar el desempeño de los usuarios o equipos que se encuentren en la red, adicionalmente nos

permite identificar si se tiene el control de acceso necesario a esta de tal forma que no se sufran

ataques malintencionados.

La Auditoría de la Red Interna se centra en evaluar la seguridad de los sistemas de

protección perimetral situados en la red interna de una empresa (routers y firewalls que separan

subredes, etc) así como los diferentes sistemas que están localizados en dicha red (sistemas host,

servidores de ficheros, de impresión, de web, de correo, de noticias, etc).

Se parte de dos posibles situaciones:

 Un atacante ha conseguido superar el router/firewall externo e interno y se ha

conectado a la red interna.

  Un empleado de la empresa con uno de los siguientes perfiles: Usuario normal no

privilegiado, programador con ciertos niveles de privilegio, administrador de

sistemas con alto nivel de privilegio.

La auditoría en este punto deberá contemplar los siguientes aspectos:

 Proporciona una visión detallada del estado de la seguridad en la red interna.

 Conectando un sistema a la red interna se intenta obtener acceso a los servidores e

información privilegiada que está localizada en esta red.

 Se simula la actuación de un hacker que ha conseguido penetrar en la red interna.

 Se simula la actuación de un empleado de la empresa que intenta utilizar recursos

de la red interna para los que no tiene permisos.

 Se utiliza la misma metodología y técnicas que en los Test de Intrusión, excepto

que ahora se ha de tener en cuenta que los ataques se realizan desde dentro de la

red interna.

 Se incluye la revisión de la política de seguridad de la empresa.

 Se aplican técnicas específicas de redes locales (Monitorización de la red, ARP

Spoofing, Suplantación de IPs privadas, etc.).

 La Auditoría se realiza desde las dependencias del cliente.

Puesto que toda auditoría informática tiene diversas aristas, intentaremos enfocarnos en

determinar y verificar si el equipamiento de los usuarios, así como también los servidores y todos

aquellos dispositivos que se encuentren dentro de la red y que, además, estén en condiciones para

realizar un trabajo seguro y sin deficiencias en la transmisión de la información, adicionalmente

se determinará si la red perimetral se encuentra entregando la seguridad necesaria que se requiere

para este tipo de negocios.

 Es necesario recordar que la Auditoría de la Red Perimetral o Externa es aquéllas que se

llevan a cabo desde fuera del perímetro y pueden incluir la evaluación de configuraciones,

revisión de reglas en firewalls, configuración de IDS/IPS y listas de control de acceso en routers,

entre otras actividades.

METODOLOGÍA DE TRABAJO A UTILIZAR:

Para efectuar de manera óptima y eficiente esta auditoría se llevarán a cabo diversas

técnicas asistidas por computadores (CAAT), las cuales, son herramientas con las que

recogeremos información asociada a la red auditada de manera completa, incluyendo los

distintos equipos y dispositivos que estén presentes en ésta.

Debemos recordar que CAAT La norma SAP 1009 (Statement of Auditing Practice)

denominada Computer Assisted Audit Techniques (CAATs) o Técnicas de Auditoría Asistidas

por Computadora (TAAC's), plantea el uso de dichas técnicas en la auditoría de sistemas. Las

TAAC’s son un conjunto de técnicas y herramientas utilizados en el desarrollo de las auditorias

informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los análisis efectuados

por el auditor, a los sistemas y los datos de la entidad auditada.

CAAT comprende engloba métodos y procedimientos empleados para efectuar su trabajo,

que pueden ser administrativos, analíticos, informáticos, entre otros; los cuales, son de suma

importancia para el auditor informático cuando este realiza una auditoría, sin dejar a un lado las

técnicas tradicionales como son la inspección, observación, confirmación, revisión, etc.

Las TAAC’s incluyen distintos tipos de herramientas y de técnicas, las que más se

utilizan son los software de auditoría generalizado, software utilitario, los datos de prueba y

sistemas expertos de auditoría. Se pueden utilizar para realizar varios procedimientos de

auditoría incluyendo:
  Pruebas de detalles de transacciones y balances (Recálculos de intereses,

extracción de ventas por encima de cierto valor, etc.)

 Procedimientos analíticos: identificación de partidas o fluctuaciones significativas.

 Pruebas de controles generales, tales como configuraciones en sistemas operativos

y diferentes aplicativos, procedimientos de acceso al sistema (usuarios y perfiles

definidos), comparación de códigos y versiones.

 Programas de muestreo para extraer datos.

 Pruebas de cumplimiento de los controles informáticos sobre aplicaciones (por

ejemplo, el uso de verificaciones de datos para comprobar el funcionamiento de

un procedimiento o prueba previamente programados).

Se realizarán comprobaciones tanto físicas como lógicas, con la finalidad de poder

determinar de manera sólida si los servidores, equipos, etc., cuentan con sus respectivos

licenciamientos a nivel de software y si, además, estos poseen las características físicas

adecuadas para prestar los distintos servicios que son requeridos por la organización, como por

ejemplo instalaciones eléctricas, cableado estructurado entre otros. Finalmente se entregará un

informe con los resultados de la auditoría.

Inspección de Red:

1. En este punto se llevará a cabo un análisis de los equipos de comunicación para

determinar si estos tienen un desempeño adecuado y esperado para la estructura de la red

y sus necesidades. Las revisiones se ejecutarán teniendo como sustento el enlace

principal y los enlaces de respaldo que puedan existir.

2. Se realizará una revisión de la estructura de la red y de las normativas y políticas de

seguridad vigentes.
 Inspección Lógica:

1. En este punto de la auditoría se realizará un análisis detallado de los sistemas operativos,

verificando si estos cuentan con licencia y versión correspondiente (32 o 64 bits), se

examinarán adicionalmente otras aplicaciones relacionadas al sistema y sus respectivos

licenciamientos, además se verificarán los S.O. de los servidores y firmware de Routers,

switch, firewall, etc.

2. Se efectuará la verificación de las configuraciones de las tarjetas de red, se

inspeccionarán las puertas de enlace, servidores DNS, máscaras de red y direcciones IP.

3. Se revisará la configuración de firewalls y Routers perimetrales para poder verificar que

se encuentren entregando los servicios estrictamente necesarios para la red y por tanto los

requerimientos de la organización.

4. Se verificarán los enlaces redundantes entre las oficinas y el data center.

5. Se verificará la operatividad de los sistemas de respaldo y recuperación en caso de fallas.

6. Se verificarán las cuentas de usuarios y los accesos a las estaciones de trabajo.

7. Se realizarán revisiones profundas de las cuentas que tengan acceso a los servidores.

8. Se analizará de manera cuidadosa que las tablas de auditorías de bases de dato estén

activadas o no.

Inspección Física:

1. En este punto se realizará una inspección visual de los equipos y/o dispositivos que están

dentro de la red (computadores, Router, switch, firewall, servidores, etc.), estas revisiones

serán plasmadas en la ficha de cada equipo o dispositivo.

2. Se realizará revisión de la topología de la red.

 3. Se verificarán las condiciones del data center en el cual se encuentran los servidores, los

medios de seguridad existentes y las condiciones en las que se encuentran para que los

servidores presenten un óptimo funcionamiento.

4. Se verificará que los servidores cuenten con el equipamiento de respaldo necesario ante

la eventualidad de posibles fallas eléctricas. Del mismo modo se analizará cómo

reaccionan estos sistemas, es decir, si lo hacen de manera automática o manual.

5. Se comprobará que el data center cuente con las medidas de seguridad necesarias ante

cualquier tipo de siniestro.

De acuerdo a los puntos anteriores se elaborará un informe en el cual queden de

manifiesto los resultados de los análisis y revisiones descritas previamente. De acuerdo a los

resultados plasmados en el informe, el equipo podrá determinar si es necesario elaborar algún

plan de perfeccionamiento para la red, de tal manera que la organización pueda contar con altos

estándares de seguridad.

Podrá ser necesario entregar sugerencias y concejos relacionados a las configuraciones de

firewall, Router, servidores y equipos, así como sugerencias en caso de reemplazar algún

equipamiento que se encuentre defectuoso u obsoleto para que de esta forma entreguen

prestaciones de calidad y eficientes.

PLAN DE TRABAJO:

Revisión de estaciones de trabajo.

Se revisarán y analizarán los equipos y dispositivos en el menor tiempo posible, teniendo

en cuenta que es necesario contar con un margen de error en el tiempo debido a posibles

imprevistos durante el proceso, entendiendo que es una entidad bancaria y que el trabajo se

concentra directamente en las cajas durante las mañanas.

 El trabajo con los equipos que se encuentran en las distintas oficinas del banco, estará a

cargo de dos miembros del equipo y se realizarán a partir de las 9 am hasta las 18 horas, con 1

hora para colación. Cada equipo contará con un tiempo promedio de 15 minutos por equipo, por

lo que se espera que por cada día se realice una revisión de 30 estaciones de trabajo

aproximadamente.

Revisión de Data Center y bases de datos

Posterior al examen de las estaciones de trabajo, se realizará de forma simultánea la

revisión del data center, para lo cual se estima aproximadamente medio día de trabajo, junto a

esto se realizará un análisis profundo de las bases de datos, credenciales de acceso y permisos

que puedan tener los usuarios, además de las tablas de auditoría, en un tiempo aproximado de 3

horas por base de datos, por lo tanto el proceso tendrá una duración aproximadamente de tres

días.

Revisión Router Perimetral y ambos firewalls

Se estima que la revisión de cada firewall tendrá una duración de medio día. Se

analizarán versiones de firmware, configuraciones de seguridad, listas de accesos entre otros.

Se realizarán, de manera simultánea, las revisiones concernientes al Router perimetral. Se

efectuará un análisis de la arquitectura de la red, configuraciones de seguridad, servicios que

presta el equipo, así como también se verificarán las configuraciones Ethernet y sus listas de

acceso.

Se estima que este proceso tendrá una duración aproximada de un día.

Revisión de enlaces redundantes.

Se realizarán revisiones para determinar si entre las distintas oficinas y el data center

existen enlaces redundantes que sean capaces de proporcionar la conectividad necesaria en caso

de algún inconveniente.
 Revisiones varias

Con la ayuda de software especializado se llevará a cabo la verificación de los servicios

que están corriendo a través de la red, al mismo tiempo, con este tipo de software se realizará un

inventario de todos los dispositivos conectados a la red y sus características, de esta manera

podremos verificar de manera certera los componentes de los distintos equipos.

ANEXO CON CHECK LIST A REALIZAR.

Check List a verificar por cada estación de trabajo:

• Marca

• Modelo

• Procesador

• Disco Duro

• Memoria RAM

• Configuración IP

• MAC

• Periféricos

• Conexiones

• Sistema operativo y licencia

• Aplicaciones adicionales y licencias

• Antivirus

• Usuario

• Dominio

• Check List a verificar por Firewalls y Router:

• Marca

• Modelo

• Firmware

• Seguridad

• Conexiones

• Servicios configurados
• Check List a verificar en Data center:

• Control de acceso

• Sistema de seguridad ante imprevistos (incendios, problemas el;ectricos, etc)

• Estado de conexiones
 Bibliografía

Material de estudio, IACC.

https://www.welivesecurity.com/la-es/2015/04/20/auditorias-de-redes/

https://www.bdo.es/es-es/blogs/coordenadas/febrero-2016/uso-de-herramientas-caats-por-el-

auditor-interno