INSTITUTO TECNOLÓGICO

SUPERIOR
DE PEROTE (ITSPe)

INGENIERIA INFORMATICA

Materia: Auditoria Informática

Docente: José Alfonso López González

Equipo: Anahí Ramírez Alarcón 1505024

J. Eduardo Torres Coba 15050034
Pablo Merino Bello 13050040

Investigación unidad 4
Índice

Introducción.......................................................................................................................3

4. Auditoria de red..............................................................................................................4

4.1 Finalidad de la evaluación de redes............................................................................4

4.2 Requerimientos para la evaluación de redes..............................................................5

4.2.1 Auditoria de la red física........................................................................................7

4.2.2 Auditoria de la red lógica.......................................................................................8

4.3 Administración.............................................................................................................9

4.4 Instalación..................................................................................................................11

4.5 Operación y seguridad..............................................................................................12

4.6 Personal responsable del área..................................................................................14

4.7 Determinar el nivel de aplicación de alguna de las normas consideradas para la

auditoria de redes............................................................................................................15

Conclusión.......................................................................................................................18

Bibliografía.......................................................................................................................19
Introducción

La globalización, la competencia y los avances tecnológicos están aumentando la

importancia de las redes corporativas en todos los sectores empresariales. Las
empresas con mayor visión deberían estar preparadas para una creciente dependencia
de sus redes y, en consecuencia, para un crecimiento de red exponencial.

La Auditoria de Red es un servicio profesional de consultoría que ofrece una auditoria

rigurosa y un análisis de sus redes actuales, con el fin de crear una base sólida para el
posterior diseño de red y para proyectos de despliegue.

Ofrece una imagen precisa de la capacidad de su red para hacer frente a sus
necesidades empresariales actuales, y de su grado de preparación para los crecientes
requisitos del futuro. Los consultores indicarán, con toda precisión, asuntos clave
relacionados con la red, cómo el lugar en el que las nuevas aplicaciones empresariales
generarán nuevas demandas de red.

Son una serie de mecanismos mediante los cuales se prueba una Red Informática,
evaluando su desempeño y seguridad, logrando una utilización más eficiente y segura
de la información.
4. Auditoria de red

Las auditorías de redes son una forma de proteger los recursos, principalmente la
información de la empresa, de amenazas cada vez más complejas y dinámicas.

En el último tiempo, hemos visto una evolución y sofisticación de las amenazas que
afectan a usuarios y empresas que utilizan servicios de Internet y de otras redes. Esto
está convirtiendo en una necesidad el uso de medidas proactivas y ofensivas que
permitan identificar vulnerabilidades, antes de que puedan ser aprovechadas por
atacantes.

Este enfoque busca conocer las motivaciones de los atacantes, así como las
herramientas, métodos o vectores de ataque que utilizan para vulnerar las redes y
sistemas informáticos, de manera que se puedan identificar las debilidades en la
infraestructura tecnológica antes de que alguien ajeno a los recursos también pueda
hacerlo.

El tema de las auditorías de redes, como una manera de proteger los recursos
-principalmente la información– en el contexto de amenazas cada vez más complejas y
dinámicas. Además, distinguiremos entre los distintos tipos de revisiones que se
pueden ejecutar.
4.1 Finalidad de la evaluación de redes

La Auditoria de Red le ofrece las herramientas necesarias para determinar la eficacia

con que su red respalda sus operaciones empresariales y el grado de satisfacción del
cliente sin que influyan cuestiones políticas internas.

Reducción de costes, identifique gastos encubiertos mediante un inventario rápido y

Preciso. Prepárese para la introducción de un sólido servicio de gestión de activos con
el fin de optimizar los niveles de servicio y de dotación de personal, y de reducir costes.

Mayor productividad, mejore el funcionamiento de su red, identificando los problemas,

aislando los errores para proceder a su eliminación.

Preparado para el cambio, la planificación anticipada significa que sus sistemas TI

pueden estar preparados para el cambio a e-Business. Realizamos un seguimiento
permanente de las tendencias de red e identificamos las oportunidades. Una
evaluación centrada del perímetro de seguridad de red y de la seguridad central interna
nos revelará si su red está preparada para las nuevas comunicaciones y aplicaciones
e-Business.

Gane tiempo, su empresa puede ahorrar un tiempo muy valioso gracias a una
planificación óptima y a un proceso de toma de decisiones basado en una información
más precisa. El objetivo de una auditoria de redes es determinar la situación actual,
fortalezas y debilidades, de una red de datos. Una empresa necesita saber en qué
situación está la red para tomar decisiones sustentadas de reemplazo o mejora.
4.2 Requerimientos para la evaluación de redes

Dentro de la evaluación de redes se debe tener en cuenta la necesidad de proteger la

integridad y confidencialidad de la información y el uso de sus activos, para determinar
el grado de confianza que se puede depositar en un sistema informático existen
criterios y normas de seguridad, pero, si se requiere mejorar el nivel de seguridad que
existe en una red, se tiene que realizar una evaluación de seguridad, con lo cuál se
puede determinar el estado de un sistema y los cambios que se pueden realizar para
mejorar dicho estado. Para realizar una evaluación de seguridad se pueden hacer
pruebas de vulnerabilidad que incluyen el análisis de una red y sus políticas y controles
de seguridad; pruebas de seguridad, en las que se realizan auditorias de seguridad,
escaneo de vulnerabilidades y pruebas de penetración, y finalmente, el reporte de las
vulnerabilidades encontradas y las sugerencias para la implementación de mejoras.

Se determinara la ubicación geográfica

Arquitectura y configuración de hardware

Los auditores, en su evaluación inicial deben tener en su poder la distribución e

interconexión de los equipos.

Inventario de hardware

Comunicación y redes de comunicación

Recursos materiales hardware.

Dentro de la evaluación de redes se debe tener en cuenta la necesidad de proteger la

integridad y confidencialidad de la información y el uso de sus activos, para determinar
el grado de confianza que se puede
depositar en un sistema informático existen criterios y normas de seguridad, pero, si se
requiere mejorar el nivel de seguridad que existe en una red, se tiene que realizar una
evaluación de seguridad, con lo cuál se puede determinar el estado de un sistema y los
cambios que se pueden realizar para mejorar dicho estado. Para realizar una
evaluación de

seguridad se pueden hacer pruebas de vulnerabilidad que incluyen el análisis de una

red y sus políticas y controles de seguridad; pruebas de seguridad, en las que se
realizan auditorias de seguridad, escaneo de vulnerabilidades y pruebas de
penetración, y finalmente, el reporte de las vulnerabilidades encontradas y las
sugerencias para la implementación de mejoras.

Se determinará la ubicación geográfica

Arquitectura y configuración de hardware

Los auditores, en su evaluación inicial deben tener en su poder la distribución e

interconexión de los equipos.

Inventario de hardware

Comunicación y redes de comunicación

Recursos materiales hardware.

4.2.1 Auditoria de la red física

Se debe garantizar que exista:

Áreas de equipo de comunicación con control de acceso

Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos

físicos

Control de utilización de equipos de prueba de comunicaciones para monitorizar la red

y el tráfico en ella.

Prioridad de recuperación del sistema

Control de las líneas telefónicas.

Se debe Comprobar que:

La seguridad física del equipo de comunicaciones sea adecuada

Existan revisiones periódicas de la red buscando pinchazos a la misma.

El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones

específicas.

Existan alternativas de respaldo o de las comunicaciones

Con respecto a las líneas telefónicas: No debe darse el número

como público y tenerlas configuradas con retro llamada, código de

Conexión o interruptores

El equipo de comunicaciones debe estar en un lugar cerrado y con acceso limitado

Se tomen medidas para separar las actividades de los electricistas y de cableado de
líneas telefónicas telefónica

Las líneas de comunicación estén fuera de la vista

Haya procedimientos de protección de los cables y las bocas de conexión para evitar
pinchazos a la red.
4.2.2 Auditoria de la red lógica

Objetivo

Evitar un daño interno en la Red Lógica

Para evitar estas situaciones se Debe:

Dar contraseñas de acceso

Controlar los errores

Garantizar que en una transmisión, transmisión, sea recibida solo por el destinatario. Y
para esto, se cambia la ruta de acceso de la información a la red

Registrar las actividades de los usuarios en la red

Encriptar la información

Evitar la importación y exportación de datos.

Recomendaciones

Se debe hacer un análisis del riesgo de aplicaciones en los procesos

Asegurar que los datos que viajan por Internet vayan cifrados.

Deben existir políticas que prohíban la instalación de programas o equipos personales

en la red.

Los accesos a servidores remotos han de estar inhabilitados

Generar ataques propios para probar solidez de la red.

4.3 Administración

Se puede decir que los controles de acceso a la información constituyen uno de los
parámetros más importantes a la hora de administrar seguridad. Con ellos se determina
quién puede acceder a qué datos, indicando a cada persona un tipo de acceso (perfil)
específico. Para este cometido se utilizan diferentes técnicas que se diferencian
significativamente en términos de precisión, sofisticación y costos. Se utilizan por
ejemplo, palabras claves, algoritmos de inscripción, listas de controles de acceso,
limitaciones por ubicación de la información, horarios, etc. Una vez determinados los
controles de accesos a la información, se hace imprescindible efectuar una eficiente
administración de la seguridad, lo que implica la implementación, seguimiento, pruebas
y modificaciones sobre los perfiles de los usuarios de los sistemas.

Deben realizarse evaluaciones periódicas sobre el nivel de cumplimiento de los

procesos relacionados con la administración de sistemas y debe de evaluarse si estos
cubren las necesidades de la empresa de manera adecuada y dentro de los períodos
preestablecidos. Las políticas y normas de seguridad de telecomunicaciones deben
estar formalmente definidas, documentadas y aprobadas. Adicionalmente, deberán
contener objetivos de control de alto nivel que definan los requerimientos de
administración de seguridad en redes.

Al momento de tener el informe de la auditoría de telecomunicaciones se deberá de

implementar las recomendaciones planteadas para subsanar las debilidades de control
interno encontradas, por el auditor, y el área de informática deberá preocuparse en el
futuro en detectar e incorporar las nuevas soluciones que vayan apareciendo respecto
a vulnerabilidades correspondientes al área de telecomunicaciones.

La auditoría de comunicaciones es el proceso mediante el cual la analista determina si

la organización está comunicando eficazmente su identidad y estrategia. Determinar la
eficacia con que se comunican la identidad y la estructura corporativa. Este proceso es
la auditoría visual o de comunicación, que incluye dos objetivos:

1. Cotejar, controlar y evaluar todas las formas de comunicación, externa y interna (así,
el concretar la identidad trata de establecer la lógica y la coherencia de las
comunicaciones)

2. Fase que se basa en las investigaciones que se realizan entre los diversos públicos
de la empresa para establecer el impacto de todas las comunicaciones de la empresa
sobre las percepciones que dichos públicos tienen sobre ella incluye la comparación, el
control y la valoración de todas las formas de comunicación, impresa y visual.
Realización de una auditoria:

Comunicaciones impresas externas. La auditoría de comunicaciones. Se inicia

recogiendo todas las formas de comunicación impresa y visual, incluyendo la memoria
anual, folletos descriptivos de producción, cartas membretadas das o citas de los
consejeros delegados.

Comunicaciones internas Publicaciones a los empleados. También anuncios públicos,

conferencias y seminarios

Comunicaciones y percepciones. (p.ej. Detalles de la vida diaria de la empresa des de

la forma en que se contesta al teléfono hasta la forma en que actúan los vendedores y
la indumentaria del personal) Estos detalles reflejan el sistema de valores vigente en la
empresa.
4.4 Instalación

El costo de comunicación para una organización puede ser significativo. Los gastos
típicos de instalación de telecomunicaciones incluyen lo siguiente:

Las instalaciones de transmisión

Líneas telefónicas con fórmulas de valuación fijas.

Satélite y canales de microonda. -Radio de canal fijo y celular (Instalaciones de

comunicaciones limitadas por una distancia (radio) determinada).

Fibra óptica, cable de cobre, cable coaxial y cable de par trenzado.

Equipo-Terminales.

Módems (Modulador - Demodulador).

Controladores.

Equipo de conmutación.

Cableado local.

Centros de control de la red.

Convertidores de protocolo.

Puentes

Puertas de acceso.

Software:
Paquetes de Seguridad.

Programas de cifrado (criptografía) / descifrado

Software de monitoreo de la red.

Software de control de la red.

Software de conversión de protocolos.

Software de administración de la red (Eje., administración de activos, facturación)

Operadores de Intercambio Privado de Ramificación (PBX)

4.5 Operación y seguridad

Las aplicaciones se hacen disponibles a los usuarios mediante una red de

telecomunicaciones, y los vínculos o nexos de las telecomunicaciones pueden ser una
parte integral de una aplicación usando el procesamiento distribuido o cooperativo.

Los riesgos de las aplicaciones incluyen acceso no autorizado a los datos

confidenciales, manipulación maliciosa de datos, interrupción de operaciones de
negocio, e información inexacta o incompleta. Las aplicaciones que son en línea,
altamente interactivas y caracterizadas por tiempos de respuesta rápido, comúnmente
requieren controles adiciónales de telecomunicaciones.

Mientras se realiza el análisis de una red de telecomunicaciones pueden surgir una

múltiple cantidad de riesgos tanto de costos y de comunicación entre los cuales se
encuentran los siguientes:

La facturación del porteador puede ser incorrecta debido a la complejidad de los

procedimientos de tarifas y a los procedimientos de facturación usados por los
porteadores.

La no disponibilidad de servicio o la pérdida de datos pueden interrumpir negocios y

dañar, destruir, o desconectar los medios de transmisión.

Los costos de operación de la red no pueden ser totalmente proyectados al tomar la

decisión del negocio.

La red puede no apoyar la actividad del negocio o no ser fácil de usar.

Los costos de la red pueden ser demasiado altos para la actividad del negocio.

La red puede no ser entregada de una manera oportuna, causando costos excesivos y
pérdidas en el negocio.
Ante tales riesgos y situaciones se deben de emplear técnicas o métodos que permitían
mitigar tales riesgos la organización debe desarrollar cuidadosamente un plan
estratégico integrado a largo plazo.

Un riesgo clave para una red son los usuarios no autorizados que logran acceso a la
red y tratan de ejecutar aplicaciones o autorizar usuarios para conseguir acceso a las
aplicaciones para las cuales ellos no están autorizados. Los riesgos generales
planteados para una red, por un usuario no autorizado, incluyen el uso no autorizado
de los recursos dé la red para transportar datos, modificaciones o eliminación de datos,
revelación de información y uso de los recursos de la red para negar la utilización
legítima de los servicios.
4.6 Personal responsable del área

Director / Gerente de Informática

Subgerentes de informática

Asistentes de informática

Técnicos de soporte externo

El administrador o gerente de telecomunicaciones, quien comúnmente controla los

aspectos planificadores, presupuestarios y operacionales de comunicaciones.

El administrador o gerente de la red, quien típicamente administra el personal y el

equipó.

El administrador o gerente de voz, quien administra el equipo telefónico, el informe de

llamadas, la facturación, instalación de teléfonos, etc.

El administrador o gerente de aplicaciones de comunicaciones, quien es responsable

de hacer los requerimientos funcionales de las aplicaciones en la realidad técnica.

Técnicos

Instaladores.

Equipo técnico de control de la red.

Equipo técnico (personal) de escritorio de ayuda al usuario.

Analistas de la red.

Operadores de Intercambio Privado de Ramificación (PBX)

4.7 Determinar el nivel de aplicación de alguna de las normas
consideradas para la auditoria de redes

Planificación

La primera norma de auditoría de tecnologías de la información y la comunicación es:

“La auditoría de tecnologías de la información y la comunicación se debe planificar en

forma metodológica, para alcanzar eficientemente los objetivos de la misma.” Se
diseñarán programas de trabajo que se aplicarán durante la ejecución del trabajo de
campo, para el efecto, en función a la evaluación del control interno y evaluación de
riesgos, se determinará la naturaleza, oportunidad y extensión de los procedimientos
de auditoría que se aplicarán para la obtención de evidencia competente y suficiente.
Como resultado del proceso de planificación de la auditoría de tecnologías de la
información y la comunicación, se debe elaborar el Memorándum de Planificación de
Auditoría, el cual debe contener todos los aspectos detallados en la presente norma y
aquéllos que se consideren necesarios incluir, y que tengan relación con los objetivos
del examen, el alcance y la metodología.

Supervisión

La segunda norma de auditoría de tecnologías de la información y la comunicación es:

“Personal competente debe supervisar sistemática y oportunamente el trabajo realizado

por los profesionales que conformen el equipo de auditoría.” La supervisión implica
dirigir los esfuerzos del equipo de auditores gubernamentales hacia la consecución de
los objetivos de auditoría.

Control interno
La tercera norma de auditoría de tecnologías de la información y la comunicación es:
“Debe obtenerse una comprensión del control interno relacionado con el objeto del
examen.”

Se debe evaluar el control interno para identificar las áreas críticas que requieren un
examen profundo y determinar su grado de confiabilidad a fin de establecer la
naturaleza, alcance y oportunidad de los procedimientos de auditoría a aplicar.
Comprende el plan de organización, incluyendo la Unidad de Auditoría Interna, todos
los métodos coordinados y procedimientos adoptados en la entidad para promover la
eficacia y la eficiencia de las operaciones y la confiabilidad de la información, así como
el cumplimiento de las políticas.

Evidencia

La cuarta norma de auditoría de tecnologías de la información y la comunicación es:

“Debe obtenerse evidencia competente y suficiente como base razonable para

sustentar los hallazgos y conclusiones del auditor gubernamental.” La acumulación de
evidencia es un proceso integrado a toda la ejecución de la auditoría y debe sustentar
todos los atributos de los hallazgos de auditoría (condición, criterio, causa y efecto).

Comunicación de resultados

La quinta norma de auditoría de tecnologías de la información y la comunicación es: “El

informe de auditoría de tecnologías de la información y la comunicación debe ser
oportuno, objetivo, claro, convincente, conciso y será el medio para comunicar los
resultados obtenidos durante la misma.”

El informe de auditoría de tecnologías de la información y la comunicación debe ser

emitido en forma escrita, lógica y organizada.
Conclusión

El objetivo de una auditoria de redes es determinar la situación actual, fortalezas y

debilidades, de una red de datos. Una empresa necesita saber en qué situación está la
red para tomar decisiones sustentadas de reemplazo o mejora.

Cuando existen muchos problemas en la red, cuando baja la disponibilidad, cuando la

red está saturada, cuando se quiere implementar nuevas funciones y la red no lo
soporta o cuando los costos operativos se hacen cada vez más caros entonces es un
buen momento para pensar en contratar una auditoria de redes, es decir, un análisis y
diagnóstico de la red, para saber con exactitud la situación actual.

Para ello, tiene que ser un tercero el que haga este trabajo, porque si lo hace el mismo
administrador de red, seria juez y parte. La auditoría de redes podría formar parte de
una auditoria de sistemas más integral.
Bibliografía

http://auditoriainformtica8.blogspot.com/2015/05/auditoria-de-redes-introduccion-
la.html?m=1

http://web.mit.edu/rhel-doc/3/rhel-sg-es-3/s1-netprot-hardware

http://www.monografias.com/trabajos7/ceproc/ceproc.shtml