Cuautitln Izcalli a 8 de Octubre de 2013

COREMEX S.A. DE C.V.

Diagnostico Auditoria de red

Antecedentes:
La red se ha ido escalando paulatinamente omitiendo estndares de calidad, normatividad y equipamiento adecuado,
esto es desde los primeros nodos habilitados los cuales son alimentados por un modem infinitum de 5mb hacia la WAN.

Anlisis de topologa:
Hallazgo: la red actualmente se encuentra en topologa rbol con 5 swich de 4 a 6 puertos en cascada frecuente
para abastecer un total de 24 nodos y 6 equipos inalmbricos promedio lo cual al no ser una sola tirada de
cable y si en algunos casos varias uniones del mismo, la perdida de seal y potencia de transmisin de datos se
ve seriamente afectada.
Criticidad: Alta
Accin correctiva: Realizar el cableado estructurado conforme a normas y adoptar la topologa tipo estrella,
entregado servicio punto a punto.

Anlisis de estructura lgica:

Hallazgo: No existe un control de flujo de datos, no existe un hardware para administracin de la red (router)
para balanceo de las cargas o distribucin de nodos (swich), no existe rack, no existe site. No est administrando
la red
Criticidad: Alta
Accin correctiva: Implementar un centro de comunicaciones (site) en el cual se estructure el equipo activo
mediante un rack y un swich administrable para ofrecer calidad de servicio y balanceo de cargas.

Anlisis de cableado estructurado:

Hallazgo: existe una instalacin obsoleta del cableado ya que no es firme ni segura, dicha instalacin est
basada en la categora 5 pasando por canales deterioradas o en proceso de deterioro y no est debidamente
estructurado ni identificado por nodos de punta a punta. Provocando prdidas de potencia de seal e
intermitencias.
Criticidad: Alta
Accin correctiva: Realizar cableado estructurado conforme a normas y adoptar la topologa tipo estrella,
entregado servicio punto a punto.

Anlisis de aplicativos de administracin u operacin interna

Hallazgos: Usan las aplicaciones de Windows y paquetera office y para efectos contables utilizan la plataforma
aspel dicha aplicacin se almacena en un pc habilitado como servidor, mas no se tiene un control sobre el
respaldo y no hay seguridad al compartir la base datos a travs de la red.
Criticidad: Alta
Accin correctiva: implementar una poltica de seguridad la cual inhiba de acceso a los equipos no autorizados e
implementar un sistema peridico de respaldos en medios extrables y/o externos a la empresa.
Anlisis de vulnerabilidad:
Hallazgos: La encriptacin del acces point es WEP (la cual es vulnerable al momento dando acceso inmediato a
la base de datos de la empresa)en la actualidad casi cualquier dispositivo porttil permite averiguar las
contraseas de este tipo en menos de un minuto, adicional a eso no se cuenta con un plan de contingencia ni de
continuidad de negocio, solamente se tiene un disco duro externo donde se hacen respaldos quincenalmente y
se comenta que lo tiene un administrativo el cual hace uso del mismo fuera de las instalaciones. (La operacin
no se encuentra asegurada contra incidentes de tipo: seguridad, naturales o accidentes). No se encuentra con
contraseas seguras ya que no caducan u no cumplen con complejidad mnima (maysculas, minsculas,
caracteres especiales)
Criticidad: Alta
Accin correctiva: reconfigurar los equipos de transmisin inalmbrica (wifi) a que su tipo de inscripcin no se
inferior a WPA. Se recomienda la estructuracin de un plan de continuidad en el cual se ofrezcan posibles
escenarios de vulnerabilidades as como sus mitigaciones. El respaldo seguro es parte importante de la
mitigacin de riesgos por lo que se exhorta a la implementacin de sistemas de respaldos con polticas de
acceso y considerar el respaldo en servidores externos a la empresa, as como asegurar que las contraseas
cumplan con complejidad mnima y tengan periodos de validez.

Anlisis de sistemas de saneamiento:

Hallazgo: los mantenimientos a los equipos fsicos son efectuados en forma aleatoria sin evidencia de su
realizacin. No se cuenta con un plan de mantenimientos programados a equipos fsicos ni con evidencia por
escrito, dado esto como, no se puede procesar la informacin para encontrar puntos crticos y recurrentes.
Criticidad: Media.
Accin correctiva: Realizar conjunto de procedimientos de saneamiento por parte del rea de sistemas, as
como crear un calendario de mantenimientos correctivos y documentar cualquier falla en el equipo en bitcoras
que se procesaran para encontrar fallas cclicas, tratando de ofrecer conjuntamente encuentra de servicio para
buscar la mejora continua.

Anlisis de sistemas de redundancia y plan de continuidad:

Hallazgo: No se cuenta con plan de continuidad, en caso de desastres naturales o provocados, la prdida de
base de datos seria irrecuperable, la puesta en marcha ptima del sistema de datos en otro predio no podra ser
posible, teniendo que empezar una operacin de cero, con informacin incompleta o nula. La recuperacin de
los mismos seria tediosa y prolongada.
Criticidad: Alta
Accin correctiva: Elaborar plan de continuidad estipulando: anlisis de impacto, componentes de los procesos,
inventario de la empresa, tiempos mximo de recuperacin, anlisis de riesgo, listado de amenaza, escenarios
previstos, evaluacin de riesgos, contramedidas, estrategia de recuperacin, comit de crisis, diagrama
jerrquico del comit, plan de recuperacin, puntos de reunin, fases en plan de recuperacin (fase alerta,
ejecucin de plan, transicin y recuperacin).

Anlisis de plan de contencin de incidentes:

Hallazgo: No se cuenta con procedimiento de contencin de incidentes
Criticidad: Alta
Accin correctiva: implementar el riesgo y almacenamiento de incidentes presentados para buscar
contenciones y mitigar las afecciones, esto se puede comenzar por disear una poltica de equipos.
Anlisis de seguimiento de fallas y desempeo:
Hallazgo: No se cuenta con sistema de administracin de tickets de soporte, por lo que no existe forma de
computar la informacin para enfatizar la atencin en los focos rojos. No se tienen formatos para registros de
fallas ni seguimiento de estado (abierto, pendiente, cerrado).
Criticidad: Media
Accin correctiva: Instalar un sistema de tickets que cumpla con las siguientes caractersticas: folio, solicitante,
hora y fecha de solicitud, hora y fecha de atencin tipo de incidente, descripcin de incidente, hora y fecha de
conclusin, firma del solicitante aprobando solucin, adems podra ir junto con una encuesta de calidad de
servicio.

Realizado por:

Alejandro Brcenas
Consultor