Controles y auditoría en redes de datos : guía práctica

De
Publicado por


El objetivo de este proyecto ha sido la elaboración de una guía actualizada para realizar una auditoría a los sistemas de Comunicación y Redes de una empresa. Para ello se han seguido las directrices marcadas por la ISO/IEC 27002: 2005. Además de las directrices marcadas por la ISO se han llevado a cabo ciertas comparativas en los puntos procedentes de la guía relacionándolos con COBIT e ITIL. No todos los puntos de esta ISO son acerca de sistemas de redes por lo que se ha procedido a filtrar aquellos puntos que están más relacionados sobre el tema. Con estos puntos se ha redactado una propuesta para aplicar una auditoría a una empresa en el ámbito específico de las redes de comunicaciones. Una vez elaborada la guía se ha procedido a la elaboración de un cuestionario el cual es una aplicación en el que se pregunta acerca de los puntos ya filtrados de la ISO para hacer más cómoda la labor del auditor. Dicho cuestionario está formado por veintidós preguntas de índole sencilla en la que a través de las respuestas de las mismas se podrá saber si la auditoría ha pasado con éxito o no. Además la aplicación tendrá la posibilidad de configurar los pesos de las preguntas pudiéndolas adaptar así al ejercicio que ejerza cada empresa. El Proyecto está dividido en varias partes, pero la parte central se basa en los distintos controles de la ISO 27002 aplicables para la empresa para comprobar en qué estado se encuentran las redes de datos, ya sea por conocimiento interno o por vistas a una futura certificación. Cabe decir que la ISO 27002 no es certificable, esta ISO trata los distintos controles y buenas prácticas aplicables a la empresa y que serán una parte para el cumplimiento de la ISO 27001 que en este caso sí es certificable. Durante el proyecto hay una primera parte que comenta un poco el tema de redes de datos, es un englobe general del tema. A continuación se trata el tema de la auditoría con información sobre todo de la web de ISACA. La parte central del proyecto son los siguientes puntos que son la elaboración de la guía aplicable a las redes de datos de la empresa. Consiste en filtrar los controles de la ISO 27002 aplicables a las redes. De estos controles se comenta un poco de cada uno para conocer sobre que tratan y en qué consisten. Una vez tenemos los puntos localizados podemos pasar a la aplicación que se ha codificado sobre Delphi. Dicha aplicación consta de veintidós preguntas que son verificaciones sobre dichos controles y se pueden valorar de uno a cinco. Dependiendo de los resultados podremos valorar en qué estado se encuentra nuestro sistema de cara a una auditoría.
Ingeniería Técnica en Informática de Gestión
Publicado el : miércoles, 01 de diciembre de 2010
Lectura(s) : 887
Fuente : e-archivo.uc3m.es
Licencia: Más información
Atribución, no uso comercial, sin cambios
Número de páginas: 344
Ver más Ver menos




ESCUELA POLITÉCNICA SUPERIOR


INGENIERÍA TÉCNICA
EN INFORMÁTICA DE GESTIÓN


CONTROLES Y AUDITORÍA
EN REDES DE DATOS.
GUÍA PRÁCTICA.


DICIEMBRE 2010

Autora: Ángeles Tapiador Sanz. NIA: 100053016
Tutor: Miguel Ángel Ramos González.
CONTROLES Y AUDITORÍA EN REDES DE DATOS. GUÍA PRÁCTICA.

Título: CONTROLES Y AUDITORÍA EN REDES DE DATOS. GUÍA PRÁCTICA.
Autor: ÁNGELES TAPIADOR SANZ.
Director: MIGUEL ÁNGEL RAMOS GONZALEZ





EL TRIBUNAL



Presidente: AGUSTÍN ORFILA DÍAZ-PABÓN


Vocal: JESÚS M. GAGO MEJÍAS


Secretario: JOSÉ MONTERO CASTILLO




Realizado el acto de defensa y lectura del Proyecto Fin de Carrera el día 17 de Diciembre de
2010 en Leganés, en la Escuela Politécnica Superior de la Universidad Carlos III de Madrid,
acuerda otorgarle la CALIFICACIÓN de







VOCAL







SECRETARIO PRESIDENTE

2 CONTROLES Y AUDITORÍA EN REDES DE DATOS. GUÍA PRÁCTICA.
AGRADECIMIENTOS


Hace ya unos pocos años que empecé la Universidad. Primeramente y un poco perdida
empecé la diplomatura en estadística, y al año siguiente se me brindó la oportunidad de
empezar la carrera que ahora termino. Sabía que me costaría y que tendría que esforzarme
pero a pesar de ello para mí era una gran ilusión que pudiera decirme a mí misma que lo había
conseguido, que pudiera decir que había conseguido ser ingeniero, técnico en este caso.
Cuando empecé esta carrera tuve el mayor apoyo que podía tener por parte de mi madre, que
desde el primer día confió en mí, y que sabía que si me lo propondría lo conseguiría.
Recuerdo que el verano antes de empezar la carrera lo hablábamos en el balcón de mi casa y
que desde el primer día me apoyó y sigue haciéndolo siempre como la que más. A ella va
dedicado este proyecto.

Por otra parte, una vez empecé la carrera me vino otro gran apoyo, que también me convenció
para hacer esta carrera antes de empezar. El que antes de empezar la carrera era mi amigo, y
que se puede decir que nada más empezarla se convirtió en mi novio, y el que poco antes de
acabarla ya era y es mi marido. Con él han sido muchas las horas de tener que aguantarme
con prácticas para arriba y para abajo, y el que sin duda me enseñó que con esfuerzo todo se
saca. A él también va dedicado este proyecto.

Y finalmente no puedo dejar de mencionar a las dos personas que más me han dicho toda la
vida: “estudia, estudia”, y que han sido y son de lo más importante para mí. Mis abuelos,
Félix y Ángela. Ellos me han enseñado otras cosas que no se aprenden en la carrera pero que
son las mejores lecciones de vida. A ellos también les dedico este proyecto.

Y ya para terminar, pues también le doy las gracias a mi hermano y mi padre ¡que también me
han estado soportando muchos años de carrera!


MIL GRACIAS A TODOS, ¡SOIS LO MEJOR QUE TENGO!


3 CONTROLES Y AUDITORÍA EN REDES DE DATOS. GUÍA PRÁCTICA.
ÍNDICE

ÍNDICE ................................................................................................................................. 4
CAPÍTULO I INTRODUCCIÓN .......................................................................................... 8
OBJETIVO ........................................................................................................................ 9
IMPORTANCIA DEL TEMA ..........................................................................................10
ESTRUCTURA ................................................................................................................11
CAPÍTULO II INTRODUCCIÓN A REDES .......................................................................13
1. INTRODUCCIÓN ........................................................................................................14
2. TIPOS DE ENLACES ..................................................................................................14
3. OTRAS CLASIFICACIONES ......................................................................................16
3.1 REDES DE CONMUTACIÓN ...............................................................................16
3.2 SEGÚN LA EXTENSIÓN ......................................................................................20
4. TOPOLOGÍAS DE RED ..............................................................................................21
4.1 TOPOLOGÍA BUS ................................................................................................21
4.2 TOPOLOGÍA ESTRELLA .....................................................................................22
4.3. TOPOLOGÍA ANILLO .........................................................................................22
4.4 TOPOLOGÍA MALLA ...........................................................................................22
4.5 TOPOLOGÍA ÁRBOL ...........................................................................................23
5. PROTOCOLOS ............................................................................................................23
5.1 MODELOS DE REFERENCIA ..............................................................................24
5.2 MODELO TCP/IP ..................................................................................................31
6. MEDIOS DE TRANSMISIÓN .....................................................................................34

4 CONTROLES Y AUDITORÍA EN REDES DE DATOS. GUÍA PRÁCTICA.
6.1 MEDIOS GUIADOS ..............................................................................................34
CAPÍTULO III INTRODUCCIÓN A LA AUDITORÍA .......................................................43
1. INTRODUCCIÓN A LA AUDITORÍA ........................................................................44
AUDITORÍA EN INFORMÁTICA ..............................................................................44
AUDITORÍA EN SISTEMAS DE INFORMACIÓN ....................................................45
2. TEMAS A TRATAR ....................................................................................................48
P2 FIRMA DIGITAL ..................................................................................................48
P3 DETECCIÓN DE INTRUSOS ................................................................................49
P4 CÓDIGO MALICIOSO Y VIRUS ...........................................................................56
P6 CORTAFUEGOS ....................................................................................................58
P8 EVALUACIÓN DE SEGURIDAD, PRUEBAS, ANÁLISIS DE
VULNERABILIDADES...............................................................................................64
CAPÍTULO IV ELABORACIÓN DE UNA GUÍA BASADA EN LA ISO/IEC27002:2005.68
INTRODUCCIÓN GUÍA .................................................................................................69
TERMS AND DEFINITIONS ..........................................................................................69
COMPOSICIÓN...............................................................................................................72
GUÍA ...............................................................................................................................73
5. Security policy ..........................................................................................................73
9. Physical and environmental security .........................................................................78
10. Communications and operations management .........................................................88
11. Access control ....................................................................................................... 100
RELACIÓN COBIT CON ASPECTOS DE LA GUÍA ............................................... 127
RELACIÓN COBIT, ITIL, E ISO/IEC 27002 ............................................................. 134
CAPÍTULO V CUESTIONARIO ....................................................................................... 141
INTRODUCCIÓN AL CUESTIONARIO ...................................................................... 142

5 CONTROLES Y AUDITORÍA EN REDES DE DATOS. GUÍA PRÁCTICA.
PREGUNTAS CUESTIONARIO ................................................................................... 143
EXPLICACIÓN CUESTIONARIO ................................................................................ 146
PANTALLAS DE LA APLICACIÓN ............................................................................ 148
CAPÍTULO VI ANEXOS .................................................................................................. 165
TÍTULO VIII DEL REGLAMENTO DE DESARROLLO DE LA LOPD ...................... 166
TÍTULO VIII .............................................................................................................. 167
PUNTOS RELACIONADOS CON LA AUDITORÍA INFORMÁTICA ........................ 183
CÓDIGO APLICACIÓN ................................................................................................ 269
PRESUPUESTO............................................................................................................. 331
GLOSARIO.................................................................................................................... 334
CONCLUSIONES .......................................................................................................... 339
OBJETIVOS CUMPLIDOS ........................................................................................... 341
BIBLIOGRAFÍA ................................................................................................................ 342

6 CONTROLES Y AUDITORÍA EN REDES DE DATOS. GUÍA PRÁCTICA.
Este proyecto está dividido en varias partes, pero la parte central se basa en los distintos
controles de la ISO 27002 aplicables para la empresa para comprobar en qué estado se
encuentran las redes de datos, ya sea por conocimiento interno o por vistas a una futura
certificación. Cabe decir que la ISO 27002 no es certificable, esta ISO trata los distintos
controles y buenas prácticas aplicables a la empresa y que serán una parte para el
cumplimiento de la ISO 27001 que en este caso sí es certificable.

Durante el proyecto hay una primera parte que comenta un poco el tema de redes de datos, es
un englobe general del tema. A continuación se trata el tema de la auditoría con información
sobre todo de la web de ISACA.

La parte central del proyecto son los siguientes puntos que son la elaboración de la guía
aplicable a las redes de datos de la empresa. Consiste en filtrar los controles de la ISO 27002
aplicables a las redes. De estos controles se comenta un poco de cada uno para conocer sobre
que tratan y en qué consisten.

Una vez tenemos los puntos localizados podemos pasar a la aplicación que se ha codificado
sobre Delphi. Dicha aplicación consta de veintidós preguntas que son verificaciones sobre
dichos controles y se pueden valorar de uno a cinco. Dependiendo de los resultados podremos
valorar en qué estado se encuentra nuestro sistema de cara a una auditoría.




















7 CONTROLES Y AUDITORÍA EN REDES DE DATOS. GUÍA PRÁCTICA.













CAPÍTULO I
INTRODUCCIÓN
_____________________________________________________________________
_______________________________________________________________
_________________________________________________________

















8 CONTROLES Y AUDITORÍA EN REDES DE DATOS. GUÍA PRÁCTICA.
OBJETIVO



El objetivo de este proyecto ha sido la elaboración de una guía actualizada para realizar una
auditoría a los sistemas de Comunicación y Redes de una empresa. Para ello se han seguido
las directrices marcadas por la ISO/IEC 27002: 2005.

Además de las directrices marcadas por la ISO se han llevado a cabo ciertas comparativas en
los puntos procedentes de la guía relacionándolos con COBIT e ITIL.

No todos los puntos de esta ISO son acerca de sistemas de redes por lo que se ha procedido a
filtrar aquellos puntos que están más relacionados sobre el tema.

Con estos puntos se ha redactado una propuesta para aplicar una auditoría a una empresa en el
ámbito específico de las redes de comunicaciones.

Una vez elaborada la guía se ha procedido a la elaboración de un cuestionario el cual es una
aplicación en el que se pregunta acerca de los puntos ya filtrados de la ISO para hacer más
cómoda la labor del auditor.

Dicho cuestionario está formado por veintidós preguntas de índole sencilla en la que a través
de las respuestas de las mismas se podrá saber si la auditoría ha pasado con éxito o no.
Además la aplicación tendrá la posibilidad de configurar los pesos de las preguntas
pudiéndolas adaptar así al ejercicio que ejerza cada empresa.












9 CONTROLES Y AUDITORÍA EN REDES DE DATOS. GUÍA PRÁCTICA.
IMPORTANCIA DEL TEMA


En evidente la importancia que tiene este tema para la seguridad de cualquier empresa. Sea
cual sea el ejercicio al que se dedique una empresa ésta va a trabajar con datos.
Los datos son la esencia de cualquier empresa, es lo que la mueve. Es por ello que la
importancia de los mismos se manifiesta de una manera evidente.

Los datos hay que tratarlos teniendo en cuenta la LOPD y todo lo que ello conlleva, a lo largo
de este proyecto se cuenta la importancia de las política de seguridad de la empresa o cosas
que a simple vista pueden parecer prescindibles pero que en la práctica son vitales.

Las copias de respaldo de los datos son esenciales, imaginemos que pasa cualquier altercado
en la empresa y perdemos todos los datos. Esa empresa estaría perdida.
Cosas que pueden parecer menos importantes podrían ser por ejemplo el tener debidamente
protegidos los cables de un CPD o debidamente etiquetados. En la actualidad muchas
empresas no etiquetan los cables. El no hacerlo conlleva problemas en el futuro. No hay que
olvidar que un trabajo tan sencillo como etiquetar un cable nos puede evitar muchos
problemas futuros.
Otro ejemplo podría ser equipos que no estén debidamente ventilados, podríamos perder el
equipo, y si hablamos de un servidor podría provocar la parada de una parte de la empresa.

Todos estos problemas como comentaba anteriormente tienen solución, y esta solución es
poner medios antes de que ocurran las cosas, con el trabajo de todos, poco trabajo, podemos
ayudar a que en el futuro no tengamos otros problemas mayores, que ya no tengan solución y
que puedan llevar a tener grandes pérdidas a la empresa.





10

¡Sé el primero en escribir un comentario!

13/1000 caracteres como máximo.