Proyecto Final

Andrés Fuenzalida Leal

Auditoría Informática

Instituto IACC

18 de junio de 2018
Instrucciones:

Su empresa Auditoría Inc. desea participar de una licitación privada del Banco IACC en la que
solicitan realizar una auditoría informática de red interna y perimetral que incluya:
 100 estaciones de trabajo con Windows 7.
 5 bases de datos Oracle con Sistema Operativo Redhat Enterprise 5.
 2 firewalls (uno interno y otro externo).
 1 Router perimetral.
 1 data center donde se encuentran todos los servidores.
 Enlaces redundantes entre las oficinas y el data center.

Para participar y adjudicársela, usted debe construir una propuesta técnica en la cual explique el
objetivo y alcance de la auditoría, la metodología de trabajo que utilizará, un plan de trabajo con un
programa y las actividades a desarrollar.
Finalmente, como anexo debe incluir lo siguiente:
 Detalle de pruebas a realizar por cada dispositivo (herramientas, checklist, etc.).

Auditoría Informática de red Interna y Perimetral Banco IACC.

OBJETIVO:
Una auditoría informática recolecta y evalúa evidencia con la finalidad de determinar si los sistemas
de información y los recursos relacionados protegen adecuadamente los activos,
mantienen la integridad y disponibilidad de los datos y del sistema, proveen información relevante
y confiable, logran de forma efectiva las metas organizacionales, usan eficientemente los recursos
y tienen controles internos efectivos que proveen una certeza razonable de que los objetivos de
negocio, operaciones y de control serán alcanzados y que los eventos no deseados serán evitados o
detectados y corregidos de forma oportuna. Las auditorías de redes internas y perimetrales tienen
como finalidad determinar si existen problemas de conectividad el cual podría afectar el desempeño
de los distintos funcionarios o equipos que se encuentren en una red, adicionalmente nos ayudan a
identificar si tenemos el control de acceso necesario a esta para que no suframos de ataques
malintencionados.
Dado que las auditorías informáticas poseen distintas aristas, nos enfocaremos en determinar y
verificar si el equipamiento de los funcionarios, servidores y todos aquellos dispositivos que se
encuentran dentro de la red se encuentran en condiciones para que se realice un trabajo seguro y
sin deficiencias en la transmisión de la información, adicionalmente se determinará si la red
perimetral se encuentra entregando la seguridad necesaria que se requiere para este tipo de
negocios.

METODOLOGÍA DE TRABAJO A UTILIZAR:

Para llevar a cabo esta auditoría se realizarán técnicas asistidas por computadores (CAAT), estas son
herramientas con las cuales recolectaremos información asociada a la red de manera completa,
incluyendo los distintos equipos y dispositivos que está presente, se realizarán inspecciones tanto
físicas y lógicas, con la finalidad de poder determinar si los servidores, equipos, etc. Cuentan con sus
respectivos licenciamientos a nivel de software y si estos poseen las características físicas adecuadas
para prestar los distintos servicios, como por ejemplo instalaciones eléctricas, cableado
estructurado entre otros. Finalmente se entregará un informe con los resultados de la auditoría.

Inspección de Red:
o En esta sección se realizará una revisión de los equipos de comunicación para
determinar si están entregando un desempeño acorde a la estructura de la red y
sus necesidades, se realizarán revisiones en base al enlace principal y los enlaces de
respaldo que puedan existir.
o Se realizarán
o Adicionalmente se realizará una revisión de la estructura de la red y normativas
vigentes
o Verificaciones varias.
Inspección Lógica:
o En esta sección se realizará una revisión detallada de los sistemas operativos, se
verificará si estos cuentan con licencia y versión correspondiente (32 o 64 bits), se
revisarán aplicaciones adicionales al sistema y sus respectivos licenciamientos,
además se verificarán los sistemas operativos de los servidores y firmware de los
dispositivos como Router, switch, firewall, etc.
o Se realizará la verificación de las configuraciones de las tarjetas de red, se revisarán
las puertas de enlace, servidores DNS, mascaras de red y direcciones IP.
 o Se revisarán configuraciones de los firewalls y el Router perimetral con la finalidad
de verificar que se encuentran entregando los servicios estrictamente necesarios
para la red
o Se verificará los enlaces redundantes entre las oficinas y el data center.
o Se verificarán la operabilidad de los sistemas de respaldo y recuperación en caso de
falla
o Se verificará las cuentas de usuarios y accesos a las estaciones de trabajo.
o Se realizará revisión exhaustiva de las cuentas que poseen acceso a los servidores.
o Se realizará revisión para verificar si las tablas de auditorías de bases de dato están
activadas o no.
o Verificaciones varias.
Inspección Física:
o En esta sección se realizará una inspección visual de cada uno de los equipos que
están en la red (computadores, Router, switch, firewall, servidores, etc.), estas
revisiones serán apoyadas en conjunto a la ficha de cada equipo o dispositivo,
adicionalmente se realizará una revisión de la topología de la red para verificar que
esta sea concordante.
o Se verificará las condiciones habilitantes del data center donde se encuentran los
servidores, los medios de seguridad existentes para llegar a ellos y las condiciones
que este presenta para que los servidores presenten un óptimo funcionamiento a
la red.
o Se verificará si los servidores poseen equipamiento de respaldo ante posibles fallas
eléctricas y como actúan estos sistemas, si son de manera automática o manual.
o Se verificará que el data center cuente con las medidas de seguridad ante algún tipo
de siniestro que pueda ocurrir.
o Verificaciones varias.

Dado lo anterior se confeccionará un informe que contendrá los resultados de las revisiones y
verificaciones descritas anteriormente, dependiendo los resultados de este informe se podrá
determinar si se requiere algún plan de mejora para la red, esto con la finalidad de que la entidad
pueda contar con los estándares correspondientes.
En caso de ser necesario se entregarán sugerencias relacionadas a configuraciones de firewall,
Router, servidores y equipos, solo si es necesario se entregarán sugerencias que permitan
reemplazar equipamiento defectuoso u obsoleto que entreguen mejores prestaciones que las
actuales.

PLAN DE TRABAJO A REALIZAR:

Revisión de estaciones de trabajo.

Se realizará una coordinación para cubrir la revisión de los equipos en el menor tiempo posible,
teniendo en cuenta que se debe tener una holgura necesaria por imprevistos que puedan suceder,
entendiendo que es una entidad bancaria y que el trabajo se concentra directamente en las cajas
durante las mañanas se comenzará con los equipos que se encuentran en las distintas oficinas del
banco, estas revisiones estarán a cargo de dos personas se realizarán a partir de las 9 am hasta las
18 horas, descontando 1 hora para colación, establecerá un tiempo promedio de 15 minutos por
cada equipo a revisar, por lo que se espera que por cada día se realice una revisión de 30 estaciones
de trabajo aproximadamente.
Revisión de Data Center y bases de datos
Luego de las revisiones de las estaciones de trabajo, bajo la responsabilidad de las mismas dos
personas, se realizará de manera simultánea la revisión del data center, para lo que se estima medio
día aproximadamente, de manera simultánea se realizarán las revisiones a las bases de datos,
credenciales de acceso y distintos permisos que puedan tener los funcionarios además de las tablas
de auditoría, en lo anterior se estima un aproximado de 3 horas por base de datos, por ende el
proceso culminaría luego de tres días aproximadamente, en este cálculo se incluyen las holguras
necesarias para poder cumplir con los plazos estimados.
Revisión Router Perimetral y ambos firewalls
Se estima un aproximado de medio día por cada revisión de firewall, en él se revisarán versiones de
firmware, configuraciones de seguridad, listas de accesos entre otros.
Al mismo tiempo se realizarán las revisiones pertinentes al Router perimetral, en él se realizará un
análisis de la arquitectura de la red, configuraciones de seguridad, los servicios que presta el equipo,
se verificarán las configuraciones ethernet y sus listas de acceso.
Se estima que lo descrito anteriormente tendrá una duración de un día de trabajo
 Revisiones de enlaces redundantes.
En el plazo de un día se realizarán las revisiones pertinentes a verificar si entre las distintas oficinas
y el data center existe un enlace redundante que sea capaz de proporcionar la conectividad
necesaria en caso de algún inconveniente que pueda suceder de manera fortuita.

Revisiones varias
Con la ayuda de software especializado se realizará una verificación de los servicios que están
corriendo a través de la red, al mismo tiempo, con este tipo de software se realizará un inventario
de todos los dispositivos conectados a la red y sus características, de esta manera podremos verificar
de manera certera los componentes de los distintos equipos.
ANEXO CON CHECK LIST A REALIZAR.

Check List a verificar por cada estación de trabajo:

 Marca
 Modelo
 Procesador
 Disco Duro
 Memoria RAM
 Configuración IP
 MAC
 Periféricos
 Conexiones
 Sistema operativo y licencia
 Aplicaciones adicionales y licencias
 Antivirus
 Usuario
 Dominio

Check List a verificar por Firewalls y Router:

 Marca
 Modelo
 Firmware
 Seguridad
 Conexiones
 Servicios configurados

Check List a verificar en Data center:

 Control de acceso
 Sistema de seguridad ante imprevistos (incendios, problemas el;ectricos, etc)
 Estado de conexiones
 Bibliografía

 IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 1.

 IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 2.
 IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 3.
 IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 4.
 IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 5.
 IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 6.
 IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 7.
 IACC (2018). Contenidos de la Semana, Auditoría Informática, Semana 8.