El auditor de SI debe: Revisar los diagramas de red Identificar el diseo de red implementado, incluyendo la estrategia de IP usada, la segmentacin de los

os routers y switches para el ambiente LAN y WAN. Determinar si existen las polticas de seguridad, estndares, procedimientos y orientacin aplicables sobre la administracin y el uso de la red y si stos se han dado a conocer al personal y a los administradores de la red. Identificar quin es el responsable de la seguridad y operacin de las conexiones de Internet y evaluar si tiene suficientes conocimientos y experiencia para asumir dicho rol.

El auditor de SI debe: Determinar si se han considerado los problemas legales que surgen del uso de Internet. Si se externaliza el servicio, revisar los acuerdos de nivel de servicio para asegurar que incluyan disposiciones para la seguridad adems de disponibilidad y calidad de servicio. Revisar los procedimientos del administrador de red para asegurar que los componentes de hardware y software estn actualizados en respuesta a nuevas vulnerabilidades.

Los auditores de SI deben: Determinar que todas las capacidades de acceso remoto usadas por una organizacin provean una seguridad efectiva para los recursos de informacin de la organizacin. Evaluar los puntos de entrada de acceso remoto determinando cuntos existen y si se necesita mayor control centralizado. Revisar los puntos de acceso para verificar que existen controles apropiados. Probar los controles de acceso de llamada. Llamar a la computadora desde un nmero de lneas autorizadas y no autorizadas Probar los controles lgicos tratando de ganar acceso no autorizado a archivos.

El auditor de SI debe: Revisar el uso de Internet (Auditora a los Puntos de Presencia de Internet) Correo electrnico Mercadeo (catlogo de compras)

Canal de ventas/comercio electrnico (pedidos)

Canal de entrega de bienes/servicios Recoleccin de informacin (personal de la empresa) Realizar pruebas de penetracin de la red (Ethical Hacking), para identificar riesgos en tiempo real, tratando de evadir las caractersticas de seguridad del sistema y explotando las vulnerabilidades para tener acceso que de otro modo sera no autorizado.

El auditor de SI debe:
Probar el control de los cambios de configuracin de red, los cuales deben ser autorizados por escrito por la gerencia e implementados a su debido tiempo.

Determinar quin tiene acceso al software de cambio de red (debe estar restringido a los administradores de red senior).
Verificar que existan procedimientos especficos de desarrollo y control de cambios para el hardware y software de los componentes de la red.

Segregacin de funciones entre el desarrollo de software, administracin de software y las operaciones de la computadora. Restringir el acceso del equipo de desarrollo de software al ambiente de desarrollo solamente.

Restringir el acceso a los cdigos fuente de software.

Es el proceso de identificar, preservar, analizar y presentar evidencia digital en una forma que sea aceptable en cualquier proceso legal (es decir, un tribunal). Incluye actividades que involucran la exploracin y aplicacin de mtodos para recolectar, procesar, interpretar y usar evidencia digital que ayuda a sustanciar si ha ocurrido un incidente, como por ejemplo:
Proveer validacin de que un ataque en efecto ocurri Recolectar evidencia digital que pueda ser usada posteriormente en procesos judiciales

Las fallas de energa pueden agruparse en cuatro diferentes categoras:

Falla total (apagn) Voltaje severamente reducido (cada de voltaje)

Depresiones, picos y sobre voltajes

Interferencia electromagntica (EMI)

Dao por agua/inundacin incluso en instalaciones ubicadas en pisos altos.

Otras amenazas naturales

Provocadas por el hombre: amenazas/ataques terroristas, vandalismo, choque elctrico y falla de equipo.

Paneles de control de alarmas

Detectores de agua

Extintores manuales de incendio

Alarmas manuales de incendio

Detectores de humo

Sistemas de supresin de incendios

Ubicacin estratgica de la sala de computadoras

Inspeccin peridica del departamento de bomberos

Paredes, pisos y techos a prueba de incendios alrededor del centro informtico

Protectores de voltaje

Suministro/generador ininterrumpido de energa elctrica (UPS)

Conmutador (switch) de energa de emergencia

Lneas de energa provenientes de dos subestaciones (lneas redundantes)

Cableado colocado en paneles y conductos elctricos Actividades inhibidas (alimentos, bebidas, tabaco) dentro de la IPF (instalaciones de procesamiento de informacin) Materiales de oficina (papeleras, cortinas, escritorios, gabinetes) resistentes al fuego

Planes documentados y probados de evacuacin durante emergencias

Procedimientos de prueba: Detectores de agua y humo Extintores manuales de incendio Sistemas de supresin de incendios (revisin de documentacin) Inspeccin peridica del departamento de bomberos Paredes, pisos y techos a prueba de incendios alrededor de la sala de computadoras Protectores de voltaje Lneas de energa provenientes de dos subestaciones Plan totalmente documentado y probado de la continuidad del negocio Cableado colocado en paneles y conductos elctricos UPS/generador Planes documentados y probados de evacuacin durante emergencias Control de humedad/temperatura

Exposiciones de acceso fsico

Posibles perpetradores

Las exposiciones que se presentan por la violacin accidental o intencional de estas vas de acceso incluyen las siguientes: Acceso no autorizado Dao, vandalismo o robo de los equipos o documentos Copia o visualizacin de informacin sensible o patentada Alteracin de equipos e informacin sensibles

Revelacin al pblico de informacin sensible

Abuso de los recursos de procesamiento de datos Chantaje Fraude

Empleados:
Descontentos

Huelga
Amenazados con una accin disciplinaria o con despido Son adictos a una sustancia o al juego Estn experimentando problemas financieros o emocionales Se les haya notificado su despido

Antiguos empleados

Personas ajenas interesadas o informadas (competidores, ladrones, crimen organizado, hackers)

El ignorante accidental (una persona que sin saberlo comete una violacin)

Cerraduras de pestillo: requieren llave tradicional Cerraduras de combinacin (cipher locks): utiliza teclado numrico Cerraduras de puertas elctricas: utiliza una tarjeta magntica o plstica con un circuito integrado Cerraduras de puertas biomtricas Registro manual: firma de registro de visitantes Registro (logging) electrnico Tarjetas de identificacin (IDs con fotografa) Cmaras de video (CCTV) Guardias de seguridad

Acceso controlado de visitantes: los visitantes deben ser escoltados

Personal afianzado (pe. personal de limpieza): deben contar con una fianza
Puertas esclusa: para que la segunda se abra la primera debe estar abierta No publicar la ubicacin de las reas sensibles Bloqueo (fsico) de las terminales de computadoras Punto nico de entrada controlado: monitoreado por un/una recepcionista Sistema de alarma Carretilla (carrito) segura de distribucin de informes/documentos Ventanas: de vidrio reforzado, con barras

Recorrer el IPF (y cualquier otra instalacin de almacenamiento externo) para lograr una comprensin general y una percepcin de la instalacin que se est inspeccionando.

Inspeccionar las restricciones de acceso fsico

Las pruebas deben extenderse fuera de la IFP/sala de computadoras:

Ubicacin de todas las consolas de operador Salas de impresin Salas de almacenamiento de computadoras (incluye salas de equipos, de papelera y de suministros) UPS/generador Ubicacin de todos los equipos de comunicaciones identificados en el diagrama de red Biblioteca de cintas Instalacin de almacenamiento externo de copias de respaldo

Todas las puertas de entrada Puertas de salida de emergencia Ventanas y paredes de vidrio Paredes movibles y cubculos modulares Por encima de los techos falsos y por debajo de los pisos falsos Sistemas de ventilacin Por encima de una cortina, pared falsa