sábado, 19 de septiembre de 2009

AUDITORIA

Proceso de Auditoría de La Seguridad en la Red de Datos de la Sala Digital de la Biblioteca Dr. Rogelio Delgado Bogaert del Instituto Tecnológico del Cibao Oriental (ITECO), 2009.-

Introducción


El presente estudio corresponde con una auditoria de Seguridad en la Red de Datos de la Sala Digital de la Biblioteca Dr. Rogelio Delgado Bogaert del Instituto Tecnológico del Cibao Oriental (ITECO), 2009. Para determinar:

* Los estándares utilizados en relación con la seguridad Informática.

* Los estándares utilizados en la configuración de los equipos y/o terminales.

* Entre otros aspectos.


Alcance y Naturaleza



La auditoria de La Seguridad en la Red de Datos de la Sala Digital de la Biblioteca Dr. Rogelio Delgado Bogaert del Instituto Tecnológico del Cibao Oriental (ITECO) 2009, se baso en las siguientes interrogantes.



1. ¿Existe una Política de Seguridad a nivel institucional en los equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES, Servidores de Dominio, Filtros de Contenido, PROXY SERVERS etc.)?



2. ¿Cuáles software y Hardware utilizan para controlar y proteger la integridad y confidencialidad de los datos e informaciones que viajan en la red?



3. ¿Existen Procesos de Respaldo y Restauración (Plan de Contingencia) en caso de avería o daños del sistema de comunicación y redes?

4. ¿Que proceso de autentificación utilizan para que los usuarios ingresen al sistema de comunicación y redes?

5. ¿Existe un estándar para la configuración y asignación de los protocolos a las terminales?

6. ¿Están los equipos físicos (FIREWALLS, ROUTERS, SWITCHES, Servidores de Dominio, Filtros de Contenido, PROXY SERVERS etc.) en un área segura y adecuada para estos?

Organigrama De La Biblioteca















Antecedentes

No existe segmentación en la arquitectura de la red, los servidores de producción están en el mismo segmento de red que las estaciones de trabajo.

La navegación a Internet se realiza desde la red interna lo cual expone tanto la red interna como todas las redes a las cuales esté conectado el usuario

Objetivos General:

Determinar el proceso de seguridad en la redes de la Sala Digital de la Biblioteca del Instituto Tecnológico del Cibao Oriental (ITECO).

Objetivos Específicos:
* Determinar si existen Políticas de Seguridad a nivel institucional y evaluar si están definidas y aplicadas en los equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES, Servidores de Dominio, Filtros de Contenido, PROXY SERVERS etc.)

* Conocer el software y Hardware utilizado para controlar y proteger la integridad y confidencialidad los datos e informaciones que viajan por la red.

* Determinar si existen Procesos de Respaldo y Restauración en caso de avería o danos del sistema de comunicación y redes.

* Determinar el procesó de autentificación de los usuarios hacia el sistema de comunicación redes.

* Determinar el proceso de asignación de IP y Nombre de las terminales.
Resultados:
La seguridad en la red de datos, en las instituciones es de suma importancia, ya que por esta viajan las informaciones confidenciales e institucionales de la organización y si la seguridad no esta bien fundamentada y controlada se pueden distorsionar, manipular o robar dichas informaciones.
Definir perímetro de seguridad
Para definir los controles de seguridad, esta es una de las tareas más fuertes, puede que el control de seguridad no abarque la organización, pero es una responsabilidad de toda la organización.
La seguridad en informática debe atender las siguientes funciones y labores:

* Elaborar políticas en seguridad informática.

* Diseñar estándares de seguridad informática.

* Elaborar un plan de seguridad de Tecnología de Información.

* Velar por una debida segregación de funciones.

* Proponer medidas para la identificación, autenticación y acceso a los sistemas informáticos.
* Procurar la debida administración de las cuentas de usuario.

* Coordinar los incidentes de seguridad.

* Administrar las llaves criptográficas

Taller Demostrativo
Configuraciones IP
Servidor de DCHP
20.0.0.3
Switch de Principal
20.0.0.2
Switchs de la Sala Digital
10.0.0.5
20.0.0.1
10.0.0.1
ROUTER
10.0.0.2
PC del Administrador de la Red
10.0.0.4
Configuraciones de Nombres Terminales
PC1
PC2
PC3
PC4
PC5
PC6
PC7
Hasta doce (12)

Conclusión
Según el instrumento aplicado pudimos arribar a las siguientes conclusiones:
* La institución posee una política de seguridad a nivel institucional.

* Para controlar y proteger la integridad y confidencialidad de los datos e informaciones que viajan en la red, la institución cuenta con los siguientes equipos: Firewall IPCOP, Windows Server 2003, Ubuntu Server 8.10, Switch Cisco Cataliyst 3560G.

* No tienen un plan definido de Respaldo y Restauración (Plan de Contingencia) en caso de avería o daños del sistema de comunicación y redes.

* El proceso de autentificación que utilizan para que los usuarios ingresen al sistema de comunicación y redes, se basa Autenticación Basada en Formularios.

* Los equipos físicos (FIREWALLS, ROUTERS, SWITCHES, Servidores de Dominio, Filtros de Contenido, PROXY SERVERS etc.) están en un área segura y restringida al público.

Recomendaciones

Hacer un inventario de todos los servicios instalados a fin de determinar cuáles son necesarios y cuáles no.

* La identificación o administración de la sesión debe ser llevada a cabo por la aplicación y no por el Servidor de Internet

* La base de datos debe estar en un servidor separado del Servidor de Internet o servidor de aplicaciones.

* No utilizar protocolos que transmiten la información en claro, utilizar por ejemplo el protocolo SSH en lugar de FTP y Telnet o la Criptografía para transmitir la información en forma cifrada.

* Proteger los archivos importantes relacionados a la seguridad, tanto a nivel de sistemas operativos como de datos.

* Establecer políticas de creación y cambio de contraseñas con el fin de dificultar la averiguación de las mismas.

CUESTIONARIO


Tecnológico Del Cibao Oriental
“ITECO”

Universidad Patrimonio de la comunidad
Facultad de Ingeniería y Recursos Naturales
Escuela de Informática


El presente cuestionario se ha elaborado con el objetivo de compilar las informaciones pertinentes sobre La Seguridad en la Red de Datos de la Sala Digital de la Biblioteca Dr. Rogelio Delgado Bogaert del Instituto Tecnológico del Cibao Oriental (ITECO), 2009.

1. ¿Existe una Política de Seguridad a nivel institucional en los equipos de seguridad (FIREWALLS, ROUTERS, SWITCHES, Servidores de Dominio, Filtros de Contenido, PROXY SERVERS etc.)?


2. ¿Cuáles software y Hardware utilizan para controlar y proteger la integridad y confidencialidad de los datos e informaciones que viajan en la red?
3. ¿Existen Procesos de Respaldo y Restauración (Plan de Contingencia) en caso de avería o daños del sistema de comunicación y redes?

4. ¿Que proceso de autentificación utilizan para que los usuarios ingresen al sistema de comunicación y redes?

5. ¿Existe un estándar para la configuración y asignación de los protocolos a las terminales?

6. ¿Están los equipos físicos (FIREWALLS, ROUTERS, SWITCHES, Servidores de Dominio, Filtros de Contenido, PROXY SERVERS etc.) en un área segura y adecuada para estos?