Ao de la Consolidacin Econmica y Social del Per

UNIVERSIDAD NACIONAL DE PIURA

FACULTAD DE INGENIERA INDUSTRIAL
ESCUELA PROFESIONAL DE INGENIERA INFORMTICA
CURSO TEMA DOCENTE INTEGRANTES
: : : :
CONTROL Y AUDITORA INFORMTICA AUDITORA DE REDES ING. HUGO ROSALES GARCA, M.SC.
NEYRA TRUJILLO, MIGUEL NGEL
Piura - Per
2010
1

SEMINARIO PASAPERA, JONATHAN

NDICE DE CONTENIDO
INTRODUCCIN .....................................................................
........................................................ 3 BENEFICIOS DE LAS AUD
ITORAS DE REDES .................................................................
................. 5 CULES SON LOS CONCEPTOS CLAVES EN LA AUDITORA DE REDES?........
................................ 6 TIPOS DE AUDITORAS DE REDES ..................
................................................................................
6 AUDITORA DE LA ARQUITECTURA DE REDES .........................................
.................................. 6 AUDITORA DE RENDIMIENTO DE REDES ...........
....................................................................... 7 AUDITO
RA DE LA DISPONIBILIDAD DE REDES ................................................
.......................... 8 TCNICAS QUE SE PUEDEN UTILIZAR PARA LA AUDITORA DE RE
DES .......................................... 9 HERRAMIENTAS SOFTWARE UTILIZADA
S ..............................................................................
........ 9 CASO PRCTICO..........................................................
................................................................. 10 PROPSITO ...
................................................................................
........................................... 10 CUESTIN DE FONDO .................
................................................................................
............. 10 EN QU CONSISTE?..................................................
.............................................................. 10 METODOLOGA.....
................................................................................
................................... 11 HALLAZGOS ...............................
................................................................................
.............. 12 ANLISIS .......................................................
........................................................................... 14 R
ECOMENDACIONES .................................................................
.............................................. 15 CONCLUSIN .....................
................................................................................
...................... 16 BIBLIOGRAFA ...........................................
................................................................................
... 17
NDICE DE TABLAS
Tabla 1: Aspectos tpicos de seguridad fsica para salas secundarias. ..............
.......................... 11 Tabla 2: Aspectos tpicos de seguridad fsica para sal
as principales........................................... 11 Tabla 3: Hallazgos
de ausencia de polticas y procedimientos para la administracin de la seguridad de
la red fsica.....................................................................
........................................ 12 Tabla 4: Hallazgos referentes a las
salas principales y secundarias. ........................................... 13
Tabla 5: Hallazgos identificados agrupados en categoras..........................
................................ 14 Tabla 6: Ponderacin de los hallazgos. .......
................................................................................
14
NDICE DE ILUSTRACIONES
Ilustracin 1: Anlisis de los hallazgos. ..........................................
............................................. 15
2

INTRODUCCIN
La infraestructura de las Tecnologas de la Informacin y de las Comunicaciones (TIC
) se ha convertido en un activo empresarial estratgico y la red constituye su ncle
o. Las redes de comunicaciones de las empresas e instituciones pblicas se han con
vertido en el sistema circulatorio de las mismas y, a travs de ellas, fluye la in
formacin de las empresas, su verdadero patrimonio informacional. Se puede definir
la auditora de redes como el conjunto de tcnicas y procedimientos de gestin, desti
nados al anlisis y control de los sistemas que componen una red, mediante los cua
les se pone a prueba una red informtica, evaluando su desempeo y seguridad, a fin
de lograr una utilizacin ms eficiente y segura de la informacin. Los sistemas que f
orman parte de una red son bsicamente: nodos de red, sistemas operativos y softwa
re bsico, software de uso especfico y sistemas de informacin (nodos de almacenamien
to masivo y base de datos). El objetivo fundamental de una auditora es la obtencin
de un juicio objetivo, independiente y desinteresado. En el caso concreto de la
auditora de redes es preciso el conocimiento detallado y preciso de las necesida
des de la empresa u organizacin cubierta por la red objeto de auditora. Dada su im
portancia de cara al correcto funcionamiento de las organizaciones, la seguridad
de estas redes es un factor clave. Ahora bien, slo con la implantacin de las nece
sarias medidas de seguridad no es suficiente, hay que auditar las redes para com
probar si, efectivamente, se cumplen y, en algunos casos, dentro de esas auditora
s habr que simular ataques a las mismas para detectar posibles agujeros en su seg
uridad. Tenemos que partir de la idea de que las redes son vulnerables y que las
amenazas que se ciernen sobre ellas son de distinto tipo como veremos a continu
acin. Para desarrollar estos conceptos seguiremos lo que dice el profesor Ribagor
da Garnacho: Vulnerabilidad es la susceptibilidad de un sistema o componente a su
frir daos por un ataque especfico, o equivalentemente una debilidad del sistema de
proteccin de un recurso que puede ser explotado por un ataque. Ejemplos de vulner
abilidades pueden ser: la implantacin en las redes de los sistemas abiertos, la e
xtensin de las mismas o la falta de preparacin especfica y experiencia de los usuar
ios. Por amenaza se entiende la violacin potencial de la seguridad de un sistema
a diferencia de ataque, que es la materializacin de una amenaza.
3

Las amenazas pueden ser de varios tipos: Pasivas, que son aquellas que atentan a
la confidencialidad de la informacin, pero no la alteran. Activas, que son aquel
las que cambian el estado de la informacin o del sistema y pueden ser: la interru
pcin, la modificacin y la generacin. o La interrupcin consiste en intermitir una tra
nsmisin, lo que significa una amenaza a la disponibilidad de la informacin. o La m
odificacin consiste en alterar un mensaje, lo que es una amenaza a su integridad.
o La generacin es la construccin de mensajes falsos, lo que, en definitiva, tambin
es una amenaza a la integridad de la informacin. En la auditora de redes se deben
revisar, entre otros, los siguientes puntos:
Tipos y red
de transacciones. Informacin u programas transmitidos. Uso del cifrado. Tipos de
terminales. Protecciones: fsicas y lgicas. Proteccin de fax y voz, en caso necesar
io. Transferencia de ficheros y controles existentes. Conexiones externas a travs
de pasarelas (gateway) y encaminadores (routers) y controles existentes. Separa
cin de dominios entre Internet e Intranet. Verificacin de accesos no justificados.
Utilizacin del correo electrnico. Proteccin de programas. Control de las pginas web
. Quin puede modificar las pginas web y hasta dnde. Cumplimiento de la LSSI. Cumpli
miento de LOPD. Verificacin de los accesos a redes exteriores registrados.
Con esto no pretendemos hacer una anlisis exhaustivo de lo que se debe tener en c
uenta en una auditora de redes, sino simplemente poner de relieve la importancia
que tienen stas en el funcionamiento normal de la empresa y, por lo tanto, la nec
esidad de verificar que se cumplen las medidas de seguridad propuestas respectos
a las mismas. La seguridad en el procesamiento de informacin, comunicaciones en
redes de rea local (LAN) y en redes de rea extensa (WAN) y en la transmisin de dato
s, es una premisa imprescindible en la mayora de las entidades, que avala las inv
ersiones realizadas de recursos tanto humanos como materiales. En muchas ocasion
es, los beneficios de una entidad empresarial no son susceptibles de incremento
mediante el aumento de ingresos, sino por la reduccin de costes. Y es precisament
e en este aspecto donde la auditora acta como elemento sinrgico del sistema de cont
rol interno de la entidad. 4

En la actualidad no es concebible el desarrollo de la gestin empresarial sin la e

xistencia de los procedimientos y las herramientas de control correspondientes.
En multitud de empresas y organismos, la auditora convencional referida a aspecto
s econmicos-financieros est siendo acompaada y en cierto modo, complementada por un
a auditora de redes. No mucho tiempo atrs, una empresa con una organizacin ejemplar
en cuanto a divisin y competencias poda estar cometiendo errores inadvertidos en
su sector de comunicaciones e informtico, proporcionando debilidades a corto y me
diano plazo extensibles al resto de los mbitos de la empresa, mediante un efecto
mariposa o efecto domin. Con las actividades de anlisis y sntesis que supone una au
ditora de red, la empresa u organismo comprobar el estado de su instalacin de red,
desde los niveles ms bajos (componentes electrnicos, lgica digital y sistemas micro
programados) hasta los protocolos empleados por las aplicaciones de usuario de m
ayor nivel en la arquitectura de red. La arquitectura de red se define por la vi
sin de cada uno de los esquemas de cada parte: Fsico, desde el punto de vista del
hardware, mostrando la topologa o distribucin fsica de las mquinas que componen la r
ed. Lgico, desde la perspectiva de la distribucin de los servicios prestados por c
ada nodo de la red, clasificacin de los distintos tipos de trfico, la estructura lg
ica de la red (divisin en subredes, VLANs, etc.) Administrativo, desde la perspec
tiva en posesin de los recursos humanos encargados de las tareas relacionadas con
la gestin, administracin y mantenimiento de la red.
BENEFICIOS DE LAS AUDITORAS DE REDES
Ayuda a adecuar la disponibilidad y el rendimiento de la red a las necesidades d
e la empresa. Proporciona informacin que maximiza el retorno de las inversiones o
payback en redes y TIC (Tecnologas de la Informacin y Comunicacin) de la empresa.
Aumenta la estabilidad y fiabilidad de la red. Reduce el riesgo potencial de las
nuevas implantaciones y actualizaciones en la red, tanto el entorno estrictamen
te tecnolgico como en los procesos empleados. Aumenta la satisfaccin de los client
es al alcanzar mayores cotas de rendimiento y disponibilidad de la red. Entendie
ndo el concepto de cliente, en su definicin ms amplia, que abarca al cliente inter
no, los usuarios directos de la red (empleados de la entidad u organizacin)-y al
cliente externo, aquel que solicita un servicio y es la fuente principal de ingr
esos.
5

CULES SON LOS CONCEPTOS CLAVES EN LA AUDITORA DE REDES?

Finalidad y utilidad. Estos dos conceptos sern el referente para diferenciar dist
intos tipos de auditora que se pueden plantear en una red.
TIPOS DE AUDITORAS DE REDES
Existen diversos tipos de auditoras de redes debido fundamentalmente al grado de
escalabilidad y personalizacin obtenidos. De forma sinttica, se puede hablar de tr
es tipos bsicos de auditoras en redes, que pueden ser complementadas mediante audi
toras ad-hoc.
AUDITORA DE LA ARQUITECTURA DE REDES
La finalidad principal de este tipo de auditoras es la obtencin de un mapa bsico de
topologa de red como punto de partida del diseo del entorno de red en su conjunto
. Por otro lado, la utilidad de este tipo de auditoras es la generacin de recomend
aciones para las reas susceptibles de cambio y/o actualizacin de la empresa u orga
nizacin, evitando los puntos potenciales de criticidad y fallo en la red auditada
. La primera fase de una auditora de la arquitectura de redes es la recopilacin de
informacin sobre las necesidades empresariales o corporativistas y de datos tcnic
os sobre los equipos de red activos. Mediante un proceso especfico de entrevistas
al equipo de recursos humanos dedicado a la gestin-administracin, provisin y mante
nimiento de la red, se identifican las necesidades empresariales relacionadas co
n la red. Adems, se recolecta la informacin pertinente sobre los procesos aplicati
vos que se ejecutan en la red y los planes de crecimiento futuro. Para la recogi
da de datos tcnicos sobre los equipos activos de red, se utilizan herramientas so
ftware y hardware de red seguras. La utilidad de esta auditora se desglosa en el
informe que incluye la siguiente informacin: Un listado de los equipos activos en
la red WAN/LAN Un mapa de la topologa de red fsica. Un resumen analtico de ingenie
ra donde destacan los puntos potenciales de fallo y/o mejora de la red auditada.
6

AUDITORA DE RENDIMIENTO DE REDES

La finalidad principal de este tipo de auditora es proporcionar datos del rendimi
ento, siendo la utilidad de la misma la generacin de recomendaciones en forma de
informes que ayuden a determinar las mejoras que precisa la red para garantizar
las necesidades de los usuarios de los aplicativos, tanto en el presente como en
el futuro. Se debe contar con un mapa de la topologa de red, como punto de parti
da para la primera de las fases de este tipo de auditora, el anlisis del rendimien
to. Como resultado, se obtendr principalmente una solucin ERP (Enterprise Resource
Planning o Planificacin de Recursos Empresariales). Un ERP es un software de ges
tin integral de empresa cuyas caractersticas fundamentales son: Resuelve todas las
necesidades de flujos de informacin dentro de la organizacin. La aplicacin posee n
aturaleza estndar, con la disponibilidad de un entorno propio de desarrollo a dis
posicin de la empresa, facilitando las adaptaciones necesarias en el sistema de g
estin para responder a los cambios de su entorno. La siguiente fase de la auditora
, es la Evaluacin de planes de crecimiento futuro de la red y/o planes de cambios
necesarios en el entorno de aplicaciones crticas de la empresa. A continuacin, se
elige el momento ms adecuado para realizar la recopilacin de datos del rendimient
o de la red, mediante la implantacin de herramientas que recojan datos de rendimi
ento de la red a travs de los siguientes tems: Uso comparativo. Salud de la red en
aspectos globales. Anlisis de errores. Determinacin de los diez principales emiso
res de trfico en la red. Determinacin de los diez principales receptores de trfico
en la red. Distribucin y uso de los protocolos de comunicaciones. Finalmente, se
realiza el informe ad-hoc a la red auditada, donde se incluye un resumen para la
direccin de la empresa u organizacin, describiendo los resultados de la auditora d
e rendimiento y ofreciendo las recomendaciones oportunas de toma de decisiones.
Complementariamente, se adjunta el informe resumido de ingeniera que interpreta l
os datos de rendimiento y proporciona un resumen de referencia del rendimiento d
el entorno de red en su conjunto, las recomendaciones para mejorar el rendimient
o actual en base a las necesidades empresariales, las recomendaciones para preve
r el crecimiento futuro de la red, datos indicadores de problemas potenciales af
ectando al tiempo de retorno y tiempo de respuesta de los procesos y un apndice c
on todos los datos del rendimiento en formato grfico. De forma opcional, se suele
fijar una reunin-presentacin con el equipo directivo, para ofrecer una presentacin
interactiva de observaciones y recomendaciones relativas al rendimiento del ent
orno en relacin a las necesidades empresariales.
7

AUDITORA DE LA DISPONIBILIDAD DE REDES

La finalidad de esta auditora es la comprensin profunda de los requerimientos para
alcanzar y mantener la disponibilidad y fiabilidad de la red que la empresa u o
rganizacin precisa. El desarrollo de este tipo de auditora se basa en una serie de
entrevistas a miembros clave de la plantilla de la empresa u organizacin en sus
propias dependencias, que versan sobre los siguientes aspectos: Planificacin de s
ervicios: objetivos de alta disponibilidad, gestin de niveles y acuerdos de servi
cios (SLA, Service Level Agreement), aplicaciones y sistemas crticos de la red. E
structura de la organizacin: personal encargado de la red, necesidades de formacin
y conocimientos especficos, funciones, dependencias y responsabilidades. Relacio
nes con el proveedor: comunicaciones, contratos de soporte y tipos de soporte (p
resencial, remoto, 24x7, etc.) Gestin de cambios: traslados, incorporaciones y ca
mbio; verificacin previas de la red antes de actualizar la red y procedimientos d
e actualizacin de software. Gestin de fallos e incidencias: procedimientos de cont
rol de incidencias en el servicio, procedimientos de escalado tcnico, procedimien
tos de escalado gerencial, procedimientos de seguimiento y anlisis, prevencin y es
trategias de aislamiento de fallos en la red. Entorno fsico: seguridad fsica, cons
ideraciones ambientales, estrategia de cableado estructural y etiquetado, acceso
s a los emplazamientos a mantenedores y suministradores. Planificacin de continge
ncias: copias de seguridad y respaldo, recuperacin proactivas y reactivas de la i
nformacin. Seguridad: revisin de reglas en firewalls, polticas y procedimientos, ac
ceso remoto, autentificacin de mtodos y polticas de intranet y extranet. Para concl
uir, se planifica una presentacin con el personal directivo y con personal clave
encargado de la red, donde se realiza una comparacin entre los objetivos empresar
iales con estrategias de operaciones TIC y sus planes de implantacin, indicando l
as vulnerabilidades de la red, obstculos y factores crticos.
8

TCNICAS QUE SE PUEDEN UTILIZAR PARA LA AUDITORA DE REDES

Entrevistas Cuestionarios Encuestas Levantamiento de inventario Tcnicas de observ
acin Tcnicas de revisin documental Matriz FODA Listas de chequeo Tcnicas de muestreo
Trazas o Huellas Logs Modelos de simulacin
HERRAMIENTAS SOFTWARE UTILIZADAS
Las principales herramientas de software libre empleadas en las auditoras de rede
s son las siguientes: 1. Para el anlisis de red: Scotty: herramienta de monitoriz
acin de agentes que incluye capacidades de gestin de dispositivos SNMP. Est impleme
ntado en Tcl/Tk con extensiones propias, e incluye un navegador MIBs. Tcpdump: h
erramienta de adquisicin y anlisis de trfico. Es una fuente de la librera libpcap. E
thereal/Wireshark: herramienta de adquisicin y anlisis de trfico con un entorno grfi
co de alto nivel. Se pueden realizar distintos tipos de filtrado de la informacin
capturada. Kismet: es un sniffer, un husmeador de paquetes, y un sistema de det
eccin de intrusiones para redes inalmbricas 802.11. Aircrack-ng: es una suite de s
eguridad inalmbrica que consiste en un packet sniffer de red, un crackeador de re
des WEP y WPA/WPA2-PSK y otro conjunto de herramientas de auditora inalmbrica. Mrt
g: herramienta con interfaz WWW que permite una lectura en tiempo real de estadst
icas de distintos elementos, entre otros, dispositivos SNMP. Es una de las herra
mientas ms conocidas para monitorizacin de trfico, y una de las ms extendidas. Cheop
s: herramienta sustitutiva de scotty para la gestin de elementos de red, tambin in
cluye soporte SNMP, adems es tremendamente grfica e intuitiva. 9

Mon: se trata de una herramienta integrada para la gestin de red, soportando mltip
les sistemas en los que, a travs de agentes, se pueden monitorizar las aplicacion
es de stos y su rendimiento. Tiene soporte SNMP y ofrece la posibilidad de defini
r muchos niveles de alertas, desde correo electrnico a notificaciones con voz en
tiempo real. Iptraf: es un monitor de red a nivel IP. Permite la obtencin del anc
ho de banda consumido, monitorizar todas las conexiones relativas a una mquina, c
omprobacin de checksums errors y detectar ciertas operaciones no permitidas por p
arte de los usuarios. 2. Para la realizacin de grficos y esquemas: Tkined: es la i
nterfaz grfica de la herramienta scotty. ArgoUML: software que facilita la comuni
cacin entre desarrolladores, clientes, analistas y dems personas que intervienen e
n un proyecto utilizando un lenguaje grfico denominado UML. Xfig: Herramienta de
dibujo vectorial en 2D. Dia: Herramienta de propsito general para la creacin de di
agramas.
CASO
Este
e la
doba

PRCTICO
informe contiene el resultado de la auditoria de redes fsicas realizada sobr
red de rea local de la Universidad Tecnolgica Nacional Facultad Regional de Cr
- Colombia.

PROPSITO
El propsito de esta auditora es evaluar los controles de seguridad para proteger l
os recursos de la red fsicas de la Universidad Tecnolgica Nacional, Facultad Regio
nal de Crdoba. Obtener una visin general de la ubicacin de todos los dispositivos d
e la red de rea local. Evaluar el ambiente de control fsico sobre los dispositivos
de la red de rea local.
CUESTIN DE FONDO
El funcionamiento de la Universidad se basa en su sistema de informtico. Este es
necesario para brindar servicios tanto a estudiantes como a empleados. Algunos d
e estos servicios son: Inscripciones, seguimiento de alumnos, dictado de clases,
servicio de comunicaciones, internet y otros.
EN QU CONSISTE?
Esta auditora est limitada a la seguridad fsica de la red de rea local de la Univers
idad Tecnolgica Nacional, Facultad Regional de Crdoba. Las actividades que protege
n el equipamiento de dao fsico son:
10

Permitir que solo los responsables de mantenimiento de los equipos de cmputos ing
resen a las salas de equipamiento. Proveer mecanismos de deteccin de fuego, humo,
agua, suciedad, etc. Almacenar materiales peligrosos, como qumicos de limpieza,
en lugares separados y alejados de los equipos de cmputos. Proveer de dispositivo
s reguladores de tensin y UPSs para salvar el equipamiento de daos producidos por
los niveles de tensin y cortes abruptos en el suministro elctrico. Planificar la m
anera de recomenzar con las operaciones despus de un fallo, incluyendo las copias
de seguridad de programas y datos.
METODOLOGA
Durante nuestra visita preliminar identificamos todas las salas donde se encuent
ra el equipamiento de cmputos y las clasificamos en principales y secundarias, entend
indose por principales aquellas donde se ubican los dispositivos ms importantes pa
ra la red tales como servidores, hubs, switch, etc. Es vlido resaltar que las sal
as principales deben contar con un mayor control de seguridad que las secundaria
s. La Tabla 1 y la Tabla 2 describen los aspectos tpicos a implementar para el co
ntrol fsico de la red en las salas principales y secundarias.
Para Salas Secundar
ias Escritura de estndares para la administracin de seguridad de los recursos de l
a red.

Bloqueo de salas permitiendo solo el ingreso a personas autorizadas. Monitoreo y

registro de los accesos a las salas. Deteccin de fuego, humo y agua.
Extintores de fuego adecuados y habilitados.
Tabla 1: Aspectos tpicos de seguridad fsica para salas secundarias.

Para las Salas Principales (Adems de los aspectos necesarios para las salas secun
darias) Escritura de polticas y procedimientos para la realizacin y recuperacin de
copias de seguridad. Ubicacin de las salas en el interior del edificio. Y en lo p
osible sin ventanas ni puertas al exterior o patios internos.

Dispositivos alejados del piso. UPSs para asegurar la continuidad de las operaci
ones. Copias de seguridad ubicadas fuera de la sala y adecuadamente protegidas
Tabla 2: Aspectos tpicos de seguridad fsica para salas principales.
Para obtener una visin general de la ubicacin de todos los dispositivos de red, no
s contactamos con el personal encargado de las aulas G del edificio, el Laborato
rio de Sistemas y el centro de cmputos. Posteriormente visitamos cada una de esta
s salas para evaluar, los controles sobre la seguridad fsica, las condiciones amb
ientales y controles sobre las copias de seguridad e inventarios. Para esto nos
entrevistamos con los responsables de cada una de estas salas.
11

HALLAZGOS
Actualmente no existen polticas ni procedimientos escritos para la gestin de la se
guridad fsica de la red. Sino que, son los encargados de cada sala quienes llevan
adelante estas tareas a criterio propio y por lo tanto de manera heterognea. HAL
LAZGO DESCRIPCIN Debido a la ausencia de estos, el mantenimiento, lo realiza el e
ncargado de turno basndose en su experiencia. Adems tampoco se cuenta con procedim
ientos para el monitoreo de las conexiones de la red por lo que es difcil determi
nar el estado de los equipos. Por lo que no se conoce la disponibilidad de equip
os, su ubicacin, estado ni procedencia. No est disponible informacin referente a er
rores comunes y sus soluciones encontradas. Por lo que cada encargado debe, a ca
da error, encontrarle una nueva solucin aunque se trate de problemas recurrentes.
Tampoco es posible realizar un seguimiento de las fallas y sus causas, con el o
bjeto de implementar medidas correctivas. Esto genera la necesidad de la presenc
ia permanente del encargado. No se cuenta con una metodologa para el diagnstico de
fallas. No estn claramente definidas las responsabilidades del personal, lo que
ocasiona confusin acerca de las tareas que debe realizar cada persona.
No existen polticas ni procedimientos para Mantenimiento.
No existen polticas ni procedimientos para inventarios. No existen polticas ni pro
cedimientos para registros de errores y soluciones.
No existen polticas ni procedimientos para la asignacin de responsabilidades.
Tabla 3: Hallazgos de ausencia de polticas y procedimientos para la administracin
de la seguridad de la red fsica.
12

HALLAZGO Referentes a las salas principales y secundarias. (No existe distincin e

ntre estas.) AMBIENTAL
Tubos fluorescentes sin coberturas.
Cielo raso en mal est
ado. Matafuego con candado.
Matafuego alejado. No se conoce el uso del matafuego
. Cable canal deteriorado.
Espacio reducido entre maquina.
Tomacorrientes instal
ados sobre muebles de cao.
Cable dificultando el paso de la persona.
Cable en el
piso. El cableado de la red se encuentra junto al de la red elctrica. No se restr
inge el acceso a persona no autorizadas a los dispositivos mayores ni menores (d
ebido a que estos dispositivos coexisten en la misma sala).
No existen carteles
que prohban comer y/o fumar dentro de las salas. CABLEADO DE LA RED HORIZONTAL
Co
nectores de pared no se encuentran fijos. Conectores sin capuchones. Conectores
al descubierto.
Conectores en el piso. Conectores de PC sin atornillar.
Cableado
sin identificadores. Cableado suelto. Cableado sin proteccin.
Cableado anudado.
Cableado de longitud excesiva. Ausencia de precintos.
Precintos con presin excesi
va. Cables precintados a muebles. CENTRO DEL CABLEADO
Dispositivos sin identific
adores. Dispositivos accesibles a personas no autorizadas. Centro de cableado en
el piso La puerta del centro de cableado no se abre con facilidad.
Tabla 4: Hallazgos referentes a las salas principales y secundarias.
13

ANLISIS
Los hallazgos identificados, se han agrupado en categoras por su similitud. Para
permitir una visin ms global de los problemas. Esto se refleja en la siguiente tab
la: CATEGORA Ambiental PROBLEMAS
Tubos fluorescentes sin coberturas. Tomacorrientes instalados sobre muebles de c
ao. Problemas con Matafuego. Cables en el piso o junto a la red elctrica. Cielo ra
so en mal estado.
VISITADAS 5 5 5 5 5 5 5 5 3 3 3 3
CON PROBLEMA 5 5 4 3 2 5 5 3 3 2 2 3
Red Horizontal
Problemas con conectores. Problemas con cableado. Problemas con precintos.
Centro de Cableado
Dispositivos sin identificadores. Dispositivos accesibles a personas no autoriza
das. Centro de cableado en el piso. Centro de cableado mal ubicado.
Tabla 5: Hallazgos identificados agrupados en categoras.
Para un mejor anlisis de los riesgos se dio una ponderacin diferenciando los halla
zgos del centro del cableado del resto (ambientales y red horizontal), asignndole
s los valores de 1.0 y 0.6 respectivamente. Por otra parte, cada hallazgo fue po
nderado independientemente, utilizando una escala de 0.0 a 1.0. Reflejando los r
esultados en la siguiente tabla.
DESCRIPCION DEL PROBLEMA
Centro de cableado mal ubicado Dispositivos accesibles a personas no autorizadas
. Dispositivos sin identificadores. Problemas con conectores. Tomacorrientes ins
talados sobre muebles de cao. Problemas con cableado. Centro de cableado en el pi
so. Problemas con Matafuego. Tubos fluorescentes sin coberturas. Cables en el pi
so o junto a la red elctrica. Problemas con precintos. Cielo raso en mal estado.
CC 3 3 3
SALAS
PROBLEMAS 3 2 3 5 5 5 2 4 5 3 3 2
PP PC 100% 1.0 67% 1.0 100% 100% 100% 100% 67% 80% 100% 60% 60% 40% 1.0 0.6 0.6
0.6 1.0 0.6 0.6 0.6 0.6 0.6
PI 0.7 0.7 0.4 0.6 0.5 0.5 0.3 0.4 0.2 0.3 0.3 0.4
VR 70 47 40 36 30 30 20 19 12 11 11 10
5 5 5 3 5 5 5 5 5
Tabla 6: Ponderacin de los hallazgos.
14

Ilustracin 1: Anlisis de los hallazgos.

RECOMENDACIONES
En primer lugar que se coloquen los centros de cableado en lugares adecuados, fu
era del alcance del alcance de personas no autorizadas. Tambin recomendamos que s
e identifiquen los dispositivos principales.
Tambin recomendamos que, se escriban y difundan las polticas y los procedimientos
necesarios para proteger los recursos informticos de la red de rea local de la uni
versidad. Estos procedimientos deberan ser para mantenimiento, inventario, regist
ros de errores y soluciones y responsabilidades. Los mismos debern servir de gua p
ara que los encargados realicen la correcta gestin del control fsico sobre la red.
Y por ltimo, que los encargados de cada sala realicen las acciones necesarias pa
ra:
Mantener el cableado en buenas condiciones. Mantener los conectores en buen
estado.
Estas acciones deben ejecutarse en forma peridica.
15

CONCLUSIN
Nuestra opinin es que, los controles sobre los recursos de la red de rea local de
la universidad deben ser mejorados puesto que presenta importantes dificultades.
Esto se debe a la ausencia de lineamientos claros para su gestin.
16

BIBLIOGRAFA
DEL PESO NAVARRO, EMILIO (2003). Servicios de la Sociedad de la Informacin. Madri
d: Daz de Santos. DEL PESO NAVARRO, EMILIO; DEL PESO, MAR; PIATTINI VELTHUIS, MAR
IO G. (2008). Auditora de Tecnologas y Sistemas de Informacin. Mxico: Alfaomega Ra-M
a. DELGADO ROJAS, XIOMAR (1998). Auditora Informtica. Costa Rica: EUNED. DE MIGUEL
ALBITE, ENRIQUE (2005). Auditoras en Redes Telemticas.
17