Post29 nn

Auditoria de infraestructura de Tecnología de Información basado en estándares y buenas prácticas.


20160822 110142
Mario Rodríguez

Auditoría de Tecnología de información es un tema relativamente nuevo en nuestra era ya que son pocas las empresas que creen que esta función genere valor a una organización. Pero en efecto, la posición de Auditor de Sistemas/Seguridad es una posición que suma vasto valor a las organizaciones que invierten en mantener este rol, es por ello que en este artículo se resalta de manera global como se debería de realizar una auditoría para obtener información específica  sobre cómo se encuentra un departamento de IT respecto a estándares y buenas prácticas

Para realizar una auditoría de Tecnología de información debemos de tener claro ¿Qué es lo que se quiere conocer sobre el área? Siendo este, un punto de partida para definir evaluaciones futuras y específicas como por ejemplo:

  • Auditoría a Base de Datos.

  • Auditoría a Sistemas de Información (Desarrollo interno/externo).

  • Auditorías de Sistemas de Gestión de Seguridad SGSI.

  • Auditorías de Equipos de Red y Seguridad.

  • Auditorías a Gestión de Servicios de IT.

En fin, puede surgir n cantidad de evaluaciones por ejecutar, teniendo un punto de partida debidamente identificado y definido. Por ello es necesario que nos apoyemos en estantes y buenas prácticas, normas puedes obtener mas información en el curso de ISO 27000.

Inicialmente en importante tomar en cuenta los siguientes puntos:

Se debe de evaluar cómo se encuentra definido el departamento de IT:

Estrategia: Para evaluar la estrategia de IT podemos basarnos en COBIT 5 siendo este un marco de referencia único e integrado, el cual nos brinda una guía mediante principios definidos sobre cómo debe de estar estructurada una estrategia basada en el control, con ello podremos tener una referencia sobre lo que tecnología debe de estar trabajando para hacer que los servicios que brinda y soporta generen valor a la organización.

Resultado de imagen para cobit 5 principios

La estrategia es un factor de suma importancia ya que es nuestro punto de partida para saber hacía donde vamos y como apoyaremos al negocio mediante la tecnología.  El objetivo principal de evaluar su definición es validar que la estrategia de TI se encuentre alienada a la estrategia corporativa y en conjunto se busque el mismo objetivo que es el de generar o sumar valor.

Estructura Organizacional Interna de IT: Importante, tomar en cuenta como se encuentran estructurados los puestos y roles del departamento de TI ya que mediante ello se define la segregación de funciones y responsabilidades, para ello podemos utilizar los libros de ITIL.

ITIL (Information Technology Infrastructure Library): por sus siglas en inglés, es una serie de buenas prácticas que nos dan una línea  de referencia en la cual poder basarnos sobre cómo gestionar y administra los  servicios tecnológicos; Esta serie de buenas prácticas nos apoya con brindarnos una matriz RACI ideal para el departamento de IT la cual puede apoyarnos en la definición de roles y responsabilidades de cada uno de los colaboradores, con esta evaluación obtendremos los resultados suficientes para saber si no existen duplicidad de funciones y por tanto los servicios de TI están resultando más costosos de lo esperado.

Capacidad y Conocimiento del Personal: Muchas de las organizaciones se preocupan más de lo normal por la cantidad de profesionales  capacitadas y bien entrenados que se encuentran el exterior   y que pueden hacernos daño mediante  ataques informáticos, robo de información, espionaje industrial, etc.. Se invierte mucho en tecnología de punta para contraatacar todos estos riesgos  y a veces no evaluamos si nuestro personal interno tiene la capacidad para administrar las herramientas que nos apoyan a la reducción de puntos vulnerables.

Es por ello que el auditor debe  considerar evaluar la capacidad del personal  y conocer si los equipos que actualmente administran se encuentran  en su nivel máximo porque de lo contrario estaríamos en un punto de inadecuado uso de los recursos lo que para cualquier organización no es conveniente estar invirtiendo más de lo que realmente se necesita, para ello podemos basarnos también en el marco de referencia de COBIT ya que nos apoya mucho sobre la capacidad del personal.

Anteriormente se describió de manera general como debía de iniciar para auditar Tecnología de Información, en donde se resaltó que la estrategia y estructura es parte fundamental de toda evaluación a realizar ya que es nuestro punto de partida para saber cuál es el objetivo y rol de TI dentro de la organización.

Ahora  ¿Por dónde continuamos? ¿Infraestructura? ¿Desarrollo? ¿Base de Datos? ¿Seguridad?

Ok, considerándolo en un orden continuar evaluando infraestructura sería una buena opción, pero ¿Por qué? Cómo informáticos hemos de coincidir que la infraestructura es nuestra base, donde subsisten todos nuestros servicios (Casi todos)  ejemplificándolo:

  • No Existe Base de Datos          SI - NO Existe Servidor donde alojarse.

  • No Existe Desarrollo                 SI - NO Existe Base de Datos.

  • No Existe Seguridad                 SI - NO Existen Redes, Servidores, Sistemas y Bases de Datos que Proteger.

Por tanto, es de suma importancia iniciar validando que la plataforma sobre donde nuestros servicios se alojan y transportan se encuentre en óptimas condiciones o por lo menos las adecuadas a nuestras necesidades. Enumeraremos los puntos por donde podremos empezar a evaluar una infraestructura tecnológica:

1.- Diagrama de Red e Infraestructura/Inventario de Equipos: Para iniciar una auditoría de infraestructura es necesario requerirle al administrador que nos proporcione el diagrama de red e inventario de equipos (cual sea el caso de cada empresa)   este documento en muchas ocasiones nosotros los informáticos consideramos que esta de mas, pero NO esta es la base para muchos puntos relevantes, como por ejemplo:

  • Facilitar el soporte
  • Evaluar nuestra infraestructura
  • Sustitución de puestos (Debe de entregarse este documento para que el nuevo administrador conozca de inicio como se encuentra la infraestructura que recibirá)
  • Auditorías de Infraestructura.

En el diagrama de red a simple vista podremos visualizar si se cuenta con una infraestructura robusta y de paso, segura ya que es el diseño físico y lógico de nuestra red y granjas de servidores, por tanto es de suma importancia que se valide que el mismo se encuentre actualizado y que físicamente los equipos se encuentren etiquetados (Identificados) ya que al momento de surgir una necesidad de soporte nos facilitara el encontrar nuestros equipos (En dado caso no conozcamos muy bien el área).

2.- Equipos de Red (Marcas, Modelos, Tipos, etc.): Es importante determinar que equipos  conforma nuestra infraestructura validar si contamos con sistemas híbridos o estandarizados. Si contamos con la experiencia y conocimiento es necesario corroborar que los fierros (Hardware)  sean los actuales y no estén obsoletos de no tener esa capacidad es importante que resaltemos nuestra habilidad de auto aprendizaje e investigar sobre los versionamientos obsoletos esto con el fin de validar que contemos con equipos actualizados.


3.- Segmentación de Red: Partiendo del diagrama de red lo siguiente es consultar y  validar con el administrador como se encuentra segmentada la red ya que debemos de tener una segmentación adecuada a nuestras necesidades empresariales ya que debemos de balancear entre performance y seguridad, mientras más segmentación más saltos de red y bajamos el rendimiento de la misma pero hacemos más robusta nuestra seguridad por lo que hay que buscar ese punto exacto que nos cubra nuestra demanda.


4.- Utilización de Puertos: Seguido a revisar cómo se encuentra segmentada la red  debemos de validar a nivel de nuestro equipos de red que puertos estamos utilizando (Activos) se debe de validar si esos puertos activos son necesarios y si se encuentran en uso de igual forma debemos de corroborar si los que están siendo utilizados no generan alto riesgos.

5.- Monitoreo de Performance: Se debe verificar que el rendimiento de la red este siendo monitoreado por dos puntos de suma importancia los cuales son:

    1. Disponibilidad

    2. Seguridad.

    Evaluaremos la disponibilidad mediante el tráfico de red ya que se debe de ver que no se esté generando demasiado tráfico en un protocolo en específico, debemos de determinar umbrales que nos alerten sobre el sobrepaso de los mismos  ya que de ello podremos prevenir ciertos ataques informáticos como ataques  DoS.

    6.- Cableado Estructurado: Para evaluar el cableado estructurado podemos basarnos en estándares como ANSI, EIA, TIA o ISO 9001 que evalúa calidad de los servicios de igual forma de manera general podemos verificar ciertos aspectos como que el cable no se encuentre expuesto a personal externo ya que en la actualidad existen equipos para sniffear físicamente los cables lo cual nos colocaría en un alto riesgo.


    7.- Registros de Instalaciones y Actualizaciones de Equipos: Para hacer una revisión general sobre este punto en específico podemos basarnos sobre el estándar de OSSTMM el cual nos dicta formas de evaluar y requisitos mínimos de configuración sobre equipos y nos brinda dicha información en nuestro lenguaje informático y de manera técnica. Sobre este punto es importante validar que todos y cada uno de los equipos, que cuenten con SO tengan su proceso de Hardening debidamente registrado.


    Pero.. ¿Qué es Hardening?

    Hardening  que significa Endurecimiento en  seguridad de Tecnología de Información es una herramienta o actividad de aseguramiento de un sistema mediante la reducción de vulnerabilidades en el mismo, regularmente este proceso se debe de realizar al adquirir un equipo que estará próximo a ser instalado, este proceso se logra eliminando software, usuarios servicios innecesarios en el sistema como también cerrando puertos que trae habilitado por defecto y que no serán de utilidad para nuestra necesidad. La razón principal del Hardening es hacerle la vida difícil al atacante mediante el entorpecimiento de sus labores.

    Algunas de las Actividades que se pueden realzar para hacer un proceso de Hardening son:

    • Instalación segura del sistema operativo. ·

    • Activación y/o configuración adecuada de servicios de actualizaciones automáticas,

    • Instalación, configuración de programas de seguridad

    • Configuración de políticas locales a nivel de directorio

    • Política robusta de contraseñas

    • Renombramiento de cuentas estándar del sistema

    • Asignación correcta de derechos de usuario

    • Configuración de opciones de seguridad necesarias  

    • Restricciones de softwareo Activación de auditorías de sistema

    • Configuración de servicios de sistema.

    • Configuración de los protocolos de Red basado en estándares

    • Configuración adecuada de permisos de seguridad en archivos

    • Configuración de opciones de seguridad de los distintos programas,

    • Configuración de accesos remotos

    • Configuración adecuada de cuentas de usuario

    • Cifrado de archivos o unidades según las necesidades de la organización

    • Realizar y programar un sistema de respaldos frecuente a los archivos

    Todas las actividades realizadas en el proceso de Hardening deben de quedar debidamente documentadas y respaldas mediante registros con fecha de realización y persona que ejecuto el proceso esto con el fin de que al momento que se realice la auditoría se pueda evidenciar que se realizan ese tipo de actividades de aseguramiento.



    Artículos que te pueden interesar