Auditoría de Redes AUD 721 Módulo 6a. Carmen R. Cintrón Ferrer, , Derechos Reservados

Transcripción

1 Auditoría de Redes AUD 721 Módulo 6a Carmen R. Cintrón Ferrer, , Derechos Reservados

2 Contenido Temático Tecnología de redes Planificación y evaluación de redes Seguridad y protección de redes Integración de peritos técnicos Proceso de auditoría de redes Informe de auditoría de redes Carmen R. Cintrón Ferrer, , Derechos Reservados 2

3 Sexto módulo Procesos preliminares a la auditoría Proceso de auditoría Procesos luego de concluir la auditoría Carmen R. Cintrón Ferrer, , Derechos Reservados 3

4 Sexto módulo Procesos preliminares a la auditoría: Ámbito de la auditoría Expectativas Personal asignado Colaboración requerida Itinerario Proceso de auditoría: Avalúo previo a la visita Determinación de procesos y sistemas críticos Examen del entorno de seguridad de sistemas Avalúo técnico Procesos luego de concluir la auditoría: Análisis de hallazgos Entrevistas y presentaciones Informe de auditoría Carmen R. Cintrón Ferrer, , Derechos Reservados 4

5 Procesos preliminares a la auditoría Ámbito de la auditoría Expectativas Personal asignado Colaboración requerida Itinerario Carmen R. Cintrón Ferrer, , Derechos Reservados 5

6 Procesos preliminares Definir el ámbito de la auditoría: Tipo de auditoría: o Periódica interna o De Cumplimiento o Verificación o Reacción a evento incidental o de emergencia Servicios de: o Comunicación de voz o Comunicación de datos o Conexión a Internet y/o VPN Infraestructura de Red: o Amplia (WAN) o Local (LAN) o Inalámbrica (WLAN) o Servidores y servicios en la red Carmen R. Cintrón Ferrer, , Derechos Reservados 6

7 Procesos preliminares Determinar o afinar expectativas: Nivel de inversión: o Tiempo o Recursos o Esfuerzos Liderazgo y compromiso organizacional: o Líder de projecto y contactos o Canales de comunicación internos y externos o Enfoque colaborativo / de no confrontación Ajuste o modificación de expectativas: o Definición de premisas o Establecer y ajustar prioridades o Identificar áreas de responsabilidad: seguros/legislación Carmen R. Cintrón Ferrer, , Derechos Reservados 7

8 Procesos preliminares Determinar personal a asignar o solicitar: Interno: o Coordinador o enlace o Gerencial o Unidades críticas o Tecnología informática o Técnicos internos o Asesor legal Externo: o Consultores o técnicos externos o Especialista en documentación de seguridad o Contacto en proveedores de servicios o Contacto entidades asociadas (EDI) Carmen R. Cintrón Ferrer, , Derechos Reservados 8

9 Procesos preliminares Colaboración requerida: Acceso a equipo, documentos y archivos, procesos Personal Redes, de respaldo, usuarios Respaldo de la gerencia Contactos externos: o Otras organizaciones integradas o Proveedores de servicios o Aseguradoras o Auditores externos o Consultores Comunicar progreso en el proceso Carmen R. Cintrón Ferrer, , Derechos Reservados 9

10 Procesos preliminares Itinerario: Definir aspectos fundamentales ( milestones ) Ajustar a expectativas / requerimientos cliente Integrar disponibilidad de recursos internos/externos Proveer margen para ajustes Consideraciones de costos (tiempo recursos) Carmen R. Cintrón Ferrer, , Derechos Reservados 10

11 Procesos preliminares Best Practices : Definir y acordar requerimientos ( scope ) Comprender las restricciones del cliente: o Recursos técnicos y económicos disponibles que afectarán las recomendaciones a implantar o Documentar adecuadamente el proceso de avalúo preliminar o Evitar proyección de esfuerzos inadecuada ( under/over ) Identificar y asignar los recursos idóneos: o Líderes y técnicos o Identificar otros recursos para reemplazo o ampliación del equipo Lograr consenso sobre las expectativas: o Identificarlas y comprenderlas e incluirlas en proceso e informes o Confirmar si se está cumpliendo con éstas Carmen R. Cintrón Ferrer, , Derechos Reservados 11

12 Proceso de auditoría Avalúo previo a la visita Determinación de procesos y sistemas críticos Examen del entorno de seguridad de sistemas Avalúo técnico Carmen R. Cintrón Ferrer, , Derechos Reservados 12

13 Proceso de auditoría Procesos previos al avalúo: Reunión preliminar y presentación de itinerario Confirmar expectativas y dimensión del proceso: o Verificación ( Assessment ) o Auditoría o Profundidad en la investigación e interferencia en operaciones Afinar roles y responsabilidades de parte del cliente: o Gerente con capacidad decisoria o Cliente primario o Líder del proyecto o Personal técnico a integrar o Usuarios a integrar Carmen R. Cintrón Ferrer, , Derechos Reservados 13

14 Proceso de auditoría Procesos previos al avalúo (continuación): Recopilación de datos: o Entrevistas o Cuestionarios o Documentación y archivos Plan de avalúo y actividades: o Misíon, visión y objetivos de la organización/unidad o Prioridades o Sistemas críticos o Objetivos específicos o Nivel de esfuerzo acordado o Respaldo requerido o Protocolo de operación y de modificación o Itinerario del proyecto Carmen R. Cintrón Ferrer, , Derechos Reservados 14

15 Proceso de auditoría Procesos previos al avalúo (continuación): Definir y diagramar entorno de red Documentar infrestructura de seguridad Presentar resúmenes de documentación y afinar Presentar equipo de avalúo Ajustar Plan, actividades y prioridades Acordar dimensión del informe y sus implicaciones Carmen R. Cintrón Ferrer, , Derechos Reservados 15

16 Proceso de auditoría Identificación del entorno de seguridad : Arquitectura de seguridad ( Information security architecture ) Programa y personal de seguridad Divulgación de Plan de seguridad ( Security awareness ) Controles del entorno: o Energía eléctrica o Fuego / Humedad /Temperatura o Mantenimiento Controles de acceso físico Recursos de seguridad disponibles Carmen R. Cintrón Ferrer, , Derechos Reservados 16

17 Proceso de auditoría Determinación de procesos y sistemas críticos : Configuración de servidores y servicios en la red Cuentas de usuarios con acceso a la red Configuración de Routers Configuración de Firewalls Configuración del DMZ Configuración de Proxies Configuración de VPN s Conexiones de terceros Proveedores de servicios Carmen R. Cintrón Ferrer, , Derechos Reservados 17

18 Proceso de auditoría Determinación de procesos y sistemas críticos : Aplicaciones: o Control de acceso y modificación a servidor(es) WEB o Control de acceso y modificación a servidor(es) de Correo o Control de acceso y modificación a servidor(es) Databases o Control de acceso a servidor(es) de archivos, impresión, etc. Protección contra virus Fiscalización de: o Logging o Network Intrussion (IDS) o Security monitoring and testing Respuesta a incidentes ( Incident response procedures ) Carmen R. Cintrón Ferrer, , Derechos Reservados 18

19 Proceso de auditoría Determinación de procesos y sistemas críticos : Aplicaciones: o Control de acceso y modificación a servidor(es) WEB o Control de acceso y modificación a servidor(es) de Correo o Control de acceso y modificación a servidor(es) Databases o Control de acceso a servidor(es) de archivos, impresión, etc. Protección contra virus Fiscalización de: o Logging o Network Intrussion (IDS) o Security monitoring and testing Respuesta a incidentes ( Incident response procedures ) Carmen R. Cintrón Ferrer, , Derechos Reservados 19

20 Proceso de auditoría Limitaciones atribuibles al cliente: Períodos o tiempo crítico (pico) de la red Horario regular de operaciones Actividades especiales que pueden afectar el avalúo Consideraciones de OSHA / Entorno aplicables Staffing Plan de seguridad de la Red SOP s ( Standard Operating Procedures ) Documentación provista: o Medio y versión o Verificada y certificada por el equipo de usuarios del cliente Carmen R. Cintrón Ferrer, , Derechos Reservados 20

21 Proceso de auditoría Avalúo técnico: Documentos a examinar: o Los identificados en procesos y sistemas críticos o Plan de Seguridad de sistemas y de la red o Plan de continuidad de operaciones de sistemas y de la red o Plan de contingencia de operación de sistemas y de la red o Políticas y procedmientos o Proceso para responder a eventos de interrupción en la red Entrevistar: o Gerente a cargo de la red o Gerente u oficial de seguridad o Técnicos de redes, seguridad y de sistemas operativos o Administradores y usuarios de sistemas en la red o Information owners de depósitos respalda la red Carmen R. Cintrón Ferrer, , Derechos Reservados 21

22 Proceso de auditoría Avalúo técnico: Evaluar seguridad de los servidores ( host based ): o Versiones y parchos o Servicios mínimos necesarios disponibles o Fijar nuevos códigos de usarios y claves ( reset defaults ) o Reasignar puertos cuando sea posible o Integrar encifrado ( encryption ) o Activar bitácoras de acceso o Revisar bitácoras para identificar discrepancias o Integrar restricciones de acceso y claves sólidas o Procesos de backup/restore o Limitar el acceso del personal técnico o Integrar controles de acceso físico o Integrar protección contra virus Carmen R. Cintrón Ferrer, , Derechos Reservados 22

23 Proceso de auditoría Avalúo técnico: Evaluar controles sobre estaciones fijas y portátiles: o Acceso a disco fijo y unidades removibles o Configuración estándar (comparar contra funciones usuario) o Capacidad de quemar CD s o Revisar control de virus, juegos, background/screen saver o Conexión a Internet o Capacidad de bajar archivos de Internet o Acceso a modems o Autorización para instalar/modificar programación o #IP asignado fijo o variable (DHCP) o Contrastar configuración y uso con políticas aplicables Carmen R. Cintrón Ferrer, , Derechos Reservados 23

24 Avalúo técnico: Proceso de auditoría Evaluar componentes y servicios de la red: o Cotejo de contratos o Cotejo de servicios o Revisión de proceso de selección y contratación o Revisión de proceso de fiscalización cumplimiento o Analizar condiciones del Service Level Agreement o Revisar estadísticas de servicio del proveedor o Identificar servicios sobre/sub utilizados o Verificar licencias de programación provista o Verificar inventario de equipo adquirido, prestado o Identificar servicios críticos que respalda o Determinar cubiertas de seguro aplicables Carmen R. Cintrón Ferrer, , Derechos Reservados 24

25 Proceso de auditoría Avalúo técnico: Evaluar componentes y servicios de la red: o Identificar los distintos tipos de conexión disponibles o Identificar los modems activos o accequibles o Verificar documentación o Revisar procedimientos para atender problemas o Avalar Plan (DRP) desde la perspectiva de conexiones o Revisar y documentar controles en operación o Verificar sistemas de cifrar en uso Carmen R. Cintrón Ferrer, , Derechos Reservados 25

26 Proceso de auditoría Avalúo técnico: Tipos de pruebas o análisis de componentes: o Pruebas de cumplimiento operacional o Análisis de baselines o Cotejo de capacidad de ejecución (carga máxima) o Probing para identificar riesgos / áreas comprometidas Carmen R. Cintrón Ferrer, , Derechos Reservados 26

27 Avalúo técnico: Proceso de auditoría Firewall DMZ Proxies Componente Backdoors Ubicación Reglas y volumen Segmentación Énfasis en Exposición (qué servicios/servidores) Relación con el Firewall Planes de recuperación para aplicaciones Procedimientos de verficación periódica Configuración y ubicación Reglas y controles Carmen R. Cintrón Ferrer, , Derechos Reservados 27

28 Proceso de auditoría Avalúo técnico: Componente Cifrado ( Encryption ) Virtual Private Networks WEB WEB Content Depositario Políticas y estándares Énfasis en Certificados digitales (custodio/renovación) Tipo de VPN Esquemas de autenticación Sólidez de las llaves ( encryption keys ) Propósito para permitir acceso WEB Acceso a archivos WEB Ubicación de servidores WEB Programación WEB integra otros servicios Contenido público/privado Controles de acceso y autenticación Carmen R. Cintrón Ferrer, , Derechos Reservados 28

29 Avalúo técnico: Proceso de auditoría Componente Correo Electrónico Antivirus Logging Énfasis en Privacidad de la comunicación (Políticas) Protección de confidencialidad comunicación Esquemas de cifrado Protección de servidores Políticas (conexión, responsabilidad, actualizar) Conexión a Internet ( downloading ) Bitácoras Educación de usuarios Registro y archivo de bitácoras Revisión de bitácoras Actuación ante eventos sospechosos Carmen R. Cintrón Ferrer, , Derechos Reservados 29 Control sobre bitácoras

30 Proceso de auditoría Avalúo técnico: Análisis de vulnerabilidades: o Router o Firewall o VPN s o DMZ o DNS o Servidores o Servicios o VLAN s o Periferales o Passwords y Sistema de cifrado ( Encryption ) o WEB o ISP Carmen R. Cintrón Ferrer, , Derechos Reservados 30

31 Avalúo Técnico Avalúo técnico (vulnerabilidades): Detección de intrusos o Pruebas externas o Pruebas internas o Evaluación de herramientas implantadas o Análisis de bitácoras e informes Respuesta a eventos o incidentes: o CERT o Procedimiento para reaccionar a incidentes o Procedimiento para notificar autoridades: Institucionales Externas o Procedimiento para investigar causas ( computer forensics ) Integración de técnicos o peritos externos Carmen R. Cintrón Ferrer, , Derechos Reservados 31

32 Análisis de vulnerabilidades Otros factores Legislación aplicable Ingeniería social Manejo de cuentas Políticas Énfasis en Conocimiento operacional Conciencia de responsabilidad Asignación de códigos y claves de acceso Reemplazo de códigos y claves de acceso Información provista: WEB, teléfono Controles de acceso físico ( piggybacking ) Monitores activos/documentos expuestos Impostura o robo de identidad Activación Modificación Terminación Carmen R. Cintrón Ferrer, , Derechos Reservados 32

33 Análisis de otros elementos de riesgo (entorno) Electricidad Temperatura Incedios Elementos Énfasis en Capacidad Voltaje ( clean ) UPS (carga /tiempo máximo) Planes Interrupción/Desastres (pruebas) Alarmas (cambios drásticos del margen básico) Insulación Almacenamiento de materiales Cumplimiento con especificaciones de equipo Medidas de protección y alarmas Sistemas de supresión Planes de evacuación Carmen R. Cintrón Ferrer, , Derechos Reservados 33

34 Análisis de otros elementos de riesgo (entorno) Elementos Humedad Mantenimiento Énfasis en Medir nivel en Wiring closets Líqueo (calcificaciones), resequedad (estática) Cablería (tubos con agua) Alarmas para inundaciones Efecto en equipo y personal (riesgos de epidemias o electrocutarse) Procedimientos en vigor Recursos respaldan procesos Récords o bitácoras de mantenimiento Certificación de cumplimiento con estándares Carmen R. Cintrón Ferrer, , Derechos Reservados 34

35 Análisis de otros elementos de riesgo (físicos) Elementos Ubicación Profile Visitantes Seguridad del personal Énfasis en Edificio Acceso y nivel Controles de protección Visibilidad Proveedores Respaldo técnico externo Otros Exposición a riesgos Evacación de emergencia Salidas de escape Condiciones de trabajo Políticas de empleo Carmen R. Cintrón Ferrer, , Derechos Reservados 35

36 Análisis de otros elementos de riesgo (físicos) Elementos Copias de archivos y documentos Disposición de archivos y documentos Disposición de equipos Énfasis en Controles de seguridad Acceso a impresoras públicas o compartidas Capacidad de imprimir en otros dispositivos Rotulación de los impresos y de las copias de archivos Cumplimiento con regulaciones aplicables Políticas de retención y almacenamiento Procedimientos para copias (ciclo) Unidad/persona responsable Shredding y/o limpieza de medios magnéticos Cumplimiento con regulaciones aplicables Políticas de retención y almacenamiento Limpieza de medios magnéticos Carmen R. Cintrón Ferrer, , Derechos Reservados 36

37 Procesos luego de concluir la auditoría Análisis de hallazgos Entrevistas y presentaciones Informe de auditoría Carmen R. Cintrón Ferrer, , Derechos Reservados 37

38 Procesos luego de concluir la auditoría Análisis de hallazgos: Clasificar por dimensión: o Impacto en operaciones/imagen o Riesgo o Costo o Inversión de recursos o Inversión de tiempo y esfuerzo Categorizar: o Gerenciales o Técnicos o Operacionales Carmen R. Cintrón Ferrer, , Derechos Reservados 38

39 Procesos luego de concluir la auditoría Análisis de hallazgos (categorías): Gerenciales: o Documentación o Roles y responsabilidades o Planificación de contingencias y continuidad de operaciones o Mantenimiento y configuración Técnicos: o Manejo de cuentas (autenticación) o Control de sesiones ( monitoring ) o Protección frente a intrusos, código malicioso o Garantía de conexividad y seguridad en comunicaciones Operacionales: o Rotulación y control de medios o Entrono físico o Seguridad del personal o Concienzar a la comunidad de usuarios Carmen R. Cintrón Ferrer, , Derechos Reservados 39

40 Procesos luego de concluir la auditoría Entrevistas y presentaciones: Alta gerencia Personal de seguridad y de redes Personal de operaciones Usuarios Carmen R. Cintrón Ferrer, , Derechos Reservados 40

41 Procesos luego de concluir la auditoría Entrevistas y presentaciones: Alta gerencia: o CEO o CIO o CFO o CSO Carmen R. Cintrón Ferrer, , Derechos Reservados 41

42 Procesos luego de concluir la auditoría Negociación de recomendaciones por: Áreas críticas o prioridades Impacto organizacional Tipo de control o medida propuesta Itinerario de cumplimiento sugerido Revisión del informe final Presentación del informe final Seguimiento a la implantación de medidas Carmen R. Cintrón Ferrer, , Derechos Reservados 42