AUDITORA DE SEGURIDAD

PERIMETRAL
Desarrollando un ataque
perimetral desde el
exterior intentamos
acceder a la red interna
sobrepasando las barreras
de seguridad. De este
modo, las vulnerabilidades
que puedan existir
quedarn a la vista para su
correccin.
Sertec elaborar un
informe con las soluciones
de seguridad a corto y
medio plazo que mejor se

adapten a su empresa
segn los problemas
encontrados.
GRUPO 17
AUDITORA DE REDES Y
TELECOMUNICACIONES
AUDITORA DE SISTEMA
a) Asegurar la integridad
confidenciabilidad y
confiabilidad.
b) Minimizar existencias de
riesgos en el uso de
tecnologa.
c) Conocer la situacin
actual del rea informtica

para lograr los objetivos.

d) Incrementar la
satisfaccin de los usuarios
de los sistemas
informticos.
f) Capacitar y educar sobre
controles en los sistemas
de informacin.
Por que y Para que se hace
la Auditora Informtica en
Redes y
Telecomunicaciones?
INTEGRANTES:

MARINA ANGUIETA
DIANA CASTRO
MARILIN PLAZA
ANDREA VIVAR

La informacin de la
empresa y para empresa
siempre es importante, se
ha convertido en un Activo
Real de la misma, como
sus Stocks o materias
primas si las hay. Por ende
han de realizarse
inversiones informticas.
AUDITORA DE SEGURIDAD
INTERNA

En Sertec analizaremos los

riesgos internos mediante
un test de intrusin dentro
de la LAN. De este modo,
ningn miembro interno de
la empresa podr violar la
seguridad de la misma ni
acceder a datos
confidenciales, protegiendo
el sabotaje y el robo de
informacin.
En Sertec le
proporcionaremos un
informe analizando los
errores y todas las posibles
soluciones a los fallos de

seguridad encontrados.
Protega la autenticidad,
control de accesos,
integridad y
confidencialidad de su
empresa.
AUDITORA DE RED
La globalizacin, la
competencia y los avances
tecnolgicos estn
aumentando la importancia
de las redes corporativas
en todos los sectores
empresariales.
Las empresas con mayor
visin deberan estar

preparadas para una

creciente dependencia de
sus redes y, en
consecuencia, para un
crecimiento de red
exponencial.
AUDITORA DE RED
AUDITORA DE RED
Otorga el control de sus
redes y le ayuda a
identificar las reas que
necesitan medidas
inmediatas.
Es un servicio profesional
de consultora que ofrece
una auditora rigurosa, un

anlisis de sus redes

actuales, con el fin de crear
una base slida para el
posterior diseo de red y
para proyectos de
despliegue.
Ofrece una imagen precisa
de hacer frente a las
necesidades empresariales
actuales, y de su grado de
preparacin para los
crecientes requisitos del
futuro.
AUDITORA DE RED
AUDITORA DE RED
AUDITORA DE RED

Los consultores de red

desarrollan las auditoras
de manera que ofrezcan
una clara imagen de tres
reas cruciales:
Puntos de Accin derivados
de nuevas aplicaciones
empresariales.
Valoracin del riesgo y
comparacin del coste con
respecto a las ventajas.
Revisin de las inversiones
en red en su organizacin
desde el punto de vista
empresarial.
Una Auditora de Red no se
limita a un anlisis de la

infraestructura fsica de red

y Sistemas.
Operativos, su diseo es
especfico para cada
empresa y tiene en cuenta
aspectos que incluyen
tcnicas de control de
funcionamiento, suministro
de informacin, medidas
de seguridad y anlisis de
coste y riesgo.
Los consultores de red
desarrollan las auditoras
de manera que ofrezcan
una clara imagen de tres
reas cruciales:
AUDITORA DE RED

AUDITORA DE RED
Ofrece las herramientas
necesarias para determinar
la eficacia con que su red
respalda sus operaciones
empresariales y el grado
de satisfaccin del cliente
sin que influyan cuestiones
polticas internas.
Reduccin de costes,
identifique gastos
encubiertos mediante un
inventario rpido y preciso.
Preprese para la
introduccin de un slido
servicio de gestin de

activos con el fin de

optimizar los niveles de
servicio .
Mayor productividad,
mejore el funcionamiento
de sus red, identificando
los problemas, aislando los
errores para proceder a su
eliminacin.
VENTAJAS PARA LA
EMPRESA:
AUDITORA DE RED
EL MODELO OSI ESTA
DIVIDIDO EN DIFERENTES
CAPAS:

Capa Fsica: Se encarga de

garantizar la integridad de
la informacin transmitida
por la red.
Capa de Enlace: Garantiza
que la lnea o canal de
transmisin est libre de
errores.
Capa de Red: Determina
como se encaminan los
paquetes, de la fuente al
destino.
Capa de Transporte: Divide
los datos en unidades mas
pequeas y garantiza que
la informacin transmitida
llegue a su destino.

Capa de Sesin: Maneja el

sentido de transmisin de
los datos y la
sincronizacin de
operaciones
Capa de Presentacin: Se
encarga de analizar que el
mensaje es semntica y
sintcticamente correcto.
Capa de Aplicacin:
Implementacin de
protocolos y transferencia
de archivos nos permite
distinguir 3 tipos de fallo
en la seguridad de la red:
1. Alteracin de bits.
2. Ausencia de tramas.

3. Alteracin de la
secuencia.
Otro modelo de referencia
conocido es el TCP/IP con
algunas variaciones como
el de encapsular varios
protocolos, este modelo de
referencia da replicacin de
los canales para posibles
cadas del sistema.
El problema de tales
implementaciones es que
por los puertos de
estandarizacin TCP/IP
puede entrar cualquier
tercero para afectar a la
red de la compaa, para lo

cual como medida de

proteccin se usan
Firewalls.
Debido a que siempre va a
haber un punto de fallo en
las redes de la compaa
se han diseado algunas
herramientas para probar
la eficacia de las polticas
de seguridad tales
herramientas son:
SAFEsuite y COPS.
Intranet
Extranet
Internet
Bajo esta poltica se define
como tipo de clases de

redes a:
AUDITORA DE
TELECOMUNICACIONES
Gestin de red, equipos y
su conectividad.
Monitorizacin de las
comunicaciones.
Revisin de costes y
asignacin formal de
proveedores.
Creacin y aplicacin de
estndares.
Se debe revisar:
AUDITORA DE LA RED
FISICA

reas de equipos de
comunicacin con control
de acceso.
Proteccin y tendido
adecuado de cables y
lneas de comunicacin
para evitar accesos fsicos.
Control de utilizacin de
equipos de prueba de
comunicaciones para
monitorear la red y el
trafico en ella.
Prioridad de recuperacin
del sistema.
Control de las lneas
telefnicas.
Se debe garantizar que

exista:
AUDITORA DE LA RED
LGICA
Dar contraseas de acceso.
Controlar los errores.
Registrar las actividades de
los usuarios en la red.
Encriptar informacin
pertinente.
Evitar la importacin y
exportacin de datos.
Para ste tipo de
situaciones se debe:
Se debe cumplir como
objetivos de control:
Se debe comprobar:
Llevar un registro

actualizado de mdems,
controladores, terminales,
lneas y todo equipo.
relacionado con las
comunicaciones.
Mantener una vigilancia
constante sobre cualquier
accin en la red.
Tener una gerencia de
comunicaciones con plena
autoridad de voto y
accin.
El nivel de acceso a
diferentes funciones dentro
de la red.
La creacin de estrategias
de comunicacin a largo

plazo.
Planificacin de cableado.
Documentacin sobre el
diagramado de la red.
Pruebas sobre los nuevos
equipos.
Vigilancia sobre
actividades online.
Tasas de rendimiento en
tiempo de respuesta de las
terminales y tasa de
errores.
Se debe comprobar que:
El equipo de
comunicaciones ha de
estar en un lugar cerrado y
con acceso limitado

La seguridad fsica del

equipo de comunicaciones
sea adecuada.
Se tomen medidas para
separar las actividades de
los electricistas y de
cableado de lneas
telefnicas.
Se d un cdigo a cada
lnea, en vez de una
descripcin fsica de la
misma.
Existan alternativas de
respaldo de las
comunicaciones.
Las lneas de comunicacin
estn fuera de la vista.

Para sta se debe evitar

daos internos como por
ejemplo, inhabilitar un
equipo que empieza a
enviar mensajes hasta que
satura por completo la red.
Se debe comprobar que :
El sistema pidi el nombre
del usuario y contrasea
para cada sesin.
Inhabilitar el hardware o el
software con acceso libre.
Generar estadsticas con la
tasa de errores y
transmisin.
Crear protocolos con
deteccin de errores.

Los mensajes lgicos de

transmisin han de llevar
origen, fecha, hora y
receptor.
Los datos confidenciales
solo pueden ser impresos
en una impresora
especificada y ser vistos
desde una terminal
debidamente autorizada.
Se debe hacer un anlisis
del riesgo de aplicaciones
en los procesos.
AUDITORA DE SEGURIDAD
Y REDES DE
COMUNICACIN

La criptografa se define
como " las tcnicas de
escrituras tales que la
informacin est oculta de
intrusos no autorizados".
Esto, no incluye el
criptoanlisis que trata de
reventar tales tcnicas
para descubrir el mensaje
oculto.
Criptografa
Existen 2 tipos de
criptoanlisis:
Lineal:
Con variaciones de un bit
en cada intento, trata de
averiguar la clave de

descifrado del mensaje

oculto.
Consideraciones para
Elaborar un Sistema de
Seguridad Integral
Un sistema integral debe
contemplar:
Definir elementos
administrativos
Definir polticas de
seguridad
A nivel departamental
A nivel institucional
Organizar y dividir las
responsabilidades

Definir prcticas de
seguridad para el personal:
Plan de emergencia
(plan de evacuacin, uso
de recursos de emergencia
como extinguidores.
Definir el tipo de plizas de
seguros
Definir elementos tcnicos
de procedimientos
Definir las necesidades de
sistemas de seguridad
para: Hardware y software
Flujo de energa
Cableados locales y
externos.
Aplicacin de los sistemas

de seguridad incluyendo
datos y archivos.
Planificacin de los papeles
de los auditores internos y
externos
Planificacin de programas
de desastre y sus pruebas
(simulacin)
Planificacin de equipos de
contingencia
con carcter peridico.
Control de desechos de los
nodos importantes del
sistema:
Poltica de destruccin
de basura copias,
fotocopias, etc.

Consideracin de
las normas ISO 1400
Etapas para Implementar
un Sistema de Seguridad
Sensibilizar a los ejecutivos
de la
organizacin en torno al
tema de seguridad.
Se debe realizar
un diagnstico de la
situacin de riesgo y
seguridad de la
informacin en la
organizacin a nivel
software, hardware,
recursos humanos, y

ambientales.
Elaborar un plan para
un programa de
seguridad.
Se debe revisar:
Plan de Seguridad Ideal (o
Normativo)
El plan de seguridad debe
asegurar la integridad y
exactitud de los datos.
Debe permitir identificar la
informacin que es
confidencial.
Debe contemplar reas de
uso exclusivo.
Debe proteger y conservar
los activos de desastres

provocados por la mano

del hombre y los actos
abiertamente hostiles.
Debe asegurar la
capacidad de la
organizacin para
sobrevivir accidentes.
Debe proteger a los
empleados contra
tentaciones o sospechas
innecesarias.
Etapas para Implantar un
Sistema de Seguridad en
Marcha
Para hacer que el plan
entre en vigor y los

elementos empiecen a
funcionar y se observen y
acepten las
nuevas instituciones, leyes
y costumbres del nuevo
sistema de seguridad se
deben seguir los siguiente
8 pasos:
1. Introducir el tema de
seguridad en la visin de la
empresa.
2. Definir los procesos de
flujo de informacin y
sus riesgos en cuanto a
todos los recursos
participantes.
3. Capacitar a los gerentes

y directivos, contemplando
el enfoque global.
4. Designar y capacitar
supervisores de rea.
5. Definir y trabajar sobre
todo las reas donde se
pueden lograr mejoras
relativamente rpidas.
6. Mejorar las
comunicaciones internas.
7. Identificar claramente
las reas de mayor riesgo
corporativo y trabajar con
ellas
planteando soluciones de
alto nivel.
8. Capacitar a todos los

trabajadores en los
elementos bsicos de
seguridad y riesgo para el
manejo del software,
hardware y con respecto a
la seguridad fsica.
Diferencial:
Se apoya en variaciones
XOR entre cada par de bits,
hasta que se logre obtener
un nico bit, parte de la
clave.Relacionado con
esto, se ha desarrollado
tambin la esteganografa,
que bajo un camuflaje
totalmente ajeno al
mensaje a transmitir, se

enva la informacin oculta.

Donde:
Riesgo (roles,
fraudes, accidentes, terrem
otos, incendios, etc)
Medidas pre.. (polticas,
sistemas de seguridad,
planes de emergencia, plan
de resguardo, seguridad de
personal, etc).
Beneficios de un Sistema
de Seguridad
Los beneficios de un
sistema de seguridad bien
elaborado son inmediatos,
ya que el la organizacin

trabajar sobre una

plataforma confiable, que
se refleja en los siguientes
puntos:
Aumento de
la productividad.
Aumento de
la motivacin del personal.
Compromiso con
la misin de la compaa.
Mejora de las relaciones
laborales.
Ayuda a formar equipos
competentes.
Mejora de los climas
laborales para los RR.HH.
THANKS..!