AUDITORÍA INFORMÁTICA
Nuestra propuesta contiene la solución de auditoría a la Infraestructura Tecnológica y de Comunicaciones aplicándose a un alcance WAN/LAN de las empresas, lo que permitirá a la organización contar con una visión objetiva e independiente del nivel de seguridad de los activos a nivel de configuración y brechas tecnológicas del orden general con el que cuentan sus sistemas de información, y de esta forma estructurar las mejoras continuas de la plataforma tecnológica y dar cumplimiento a la normativa relacionada al negocio, dentro de las solicitadas destacamos las siguientes (ISO/IEC 27001:2013 – ISO/IEC 22301:2013 – PMG/MEI SSI – CGR – CAIGG).
La auditoría está diseñada en dos fases estratégicas, a continuación, se detallan los escenarios para cada una de esta.
La auditoría está diseñada en dos fases estratégicas, a continuación, se detallan los escenarios para cada una de esta.
En primera instancia se procede a enumerar en modalidad de caja negra, los activos de información que se encuentren expuestos en el perímetro Internet, de tal manera de identificar la arquitectura, analizar las vulnerabilidades de software y hardware que residen en cada activo.
Este análisis incluye pruebas de intrusión de diferentes puntos estratégicos a nivel mundial y a su vez permite validar los controles tecnológicos y/o procedimientos a nivel de gestión mediante distintos tipos de amenazas. En algunos casos la protección del perímetro WAN se encuentra externalizado (proveedores/hosting/housing/VPS), por lo que este análisis permite obtener una PERCEPCIÓN del mantenimiento y administración de esta capa, para lo cual se aplicará un informe especifico el cual va dirigido al proveedor detallando el porcentaje (%) de cumplimiento en relación a los estándares ya descritos, contratos celebrados por el cliente y terceros, incluye la evidencia registrada durante este escenario de auditoría. De manera paralela se identificará “¿Qué es lo que Internet conoce de nuestra organización?” principalmente asociado a los activos de información y ciertos parámetros de difusión de información hacia el público en general. Los resultados de esta etapa incluyen;
Este análisis incluye pruebas de intrusión de diferentes puntos estratégicos a nivel mundial y a su vez permite validar los controles tecnológicos y/o procedimientos a nivel de gestión mediante distintos tipos de amenazas. En algunos casos la protección del perímetro WAN se encuentra externalizado (proveedores/hosting/housing/VPS), por lo que este análisis permite obtener una PERCEPCIÓN del mantenimiento y administración de esta capa, para lo cual se aplicará un informe especifico el cual va dirigido al proveedor detallando el porcentaje (%) de cumplimiento en relación a los estándares ya descritos, contratos celebrados por el cliente y terceros, incluye la evidencia registrada durante este escenario de auditoría. De manera paralela se identificará “¿Qué es lo que Internet conoce de nuestra organización?” principalmente asociado a los activos de información y ciertos parámetros de difusión de información hacia el público en general. Los resultados de esta etapa incluyen;
- MAX 20 IP PÚBLICAS
- 02 DOMINIOS DE NOMBRE
- Anexo Técnico con la documentación técnica de cada brecha Identificada. (Anexo WORD)
- Generación de una Matriz Técnica para el tratamiento de los Hallazgos Evidenciados. “Aceptar, Transferir, Reducir, Rechazar” (Anexo EXCEL)
- Plan de Mitigación y/o Acciones a priorizar. (Anexo WORD)
En segunda instancia se procede a enumerar y definir el alcance interno de la organización; dependiendo de la manera de administrar y externalizar tecnología, se recomienda utilizar el siguiente marco teórico practico:
- Definir usuarios y servidores internos de la organización y de administración propia.
- Definir servidores externalizados dentro fuera del parque informático y segmentarlo por contrato vigente de externalización.
- Definir los dispositivos de capa 2 y 3 más críticos de la organización, principalmente orientado a dispositivos del tipo Firewall, complementos UTM y/o derivados y activos de Core.
- Definir análisis de perímetro inalámbrico y de irradiación de espectro; esto incluye análisis en oficinas de Alta Dirección en búsqueda de señales de espionaje. (10Mhz – 3GHz)
- Análisis de Contratos informáticos en relación a la evidencia recopilada.