UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA

FACULTAD DE INGENIERÍA EN INFORMÁTICA Y SISTEMAS

AUDITORIA DE REDES Y COMUNICACIÓN

Curso:
Auditoría de TI

Docente:
Ing. Edwin Vega Ventocilla

Autor(es):
Inga Atunga, Anthony
Pajuelo Martín, Brayan
Ramos Estela, Juan

Tingo María – Perú

Diciembre, 2019

1
 I. INTRODUCCIÓN

Las redes IP actualmente tienen contexto en base a la implementación de

tecnologías de información que son desplegadas en entornos de red para dar soporte
y brindar conectividad en el servicio, a medida que los avances tecnológicos se
incrementan, debemos considerar la forma de como verificar el funcionamiento de
estas.
Para esto la auditoria de redes se centra en procedimientos para poner a
prueba la red informática, con fines de evaluar el rendimiento y seguridad para lograr
que el flujo de información sea seguro.
La Auditoria de Red debe ser aplicado en base a estándares que dé aporte de
beneficios preventivos, así como una valiosa información para optimizar el
rendimiento de la infraestructura tecnológica en las organizaciones.

II. OBJETIVOS

2.1 Objetivo General

Comprender los conceptos sobre la auditoría de redes y telecomunicaciones y
sus normas establecidas para realizar un informe de auditoría.

2.2 Objetivos Específicos

1. Comprender los objetivos de una auditoría de redes y telecomunicaciones

2. Socializar los métodos y herramientas para una auditoría de redes y

telecomunicaciones.

2
 III. MARCO TEÓRICO Y CONCEPTUAL

3.1. ¿QUÉ ES AUDITORÍA INFORMÁTICA DE COMUNICACIÓN Y REDES?

Según (Douglas & Solivera, 1988). La auditoría informática es el proceso de
recoger, agrupar y evaluar evidencias para determinar si un sistema de
información salvaguarda el activo empresarial, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente
los recursos, y cumple con las leyes y regulaciones establecidas. También
permiten detectar de forma sistemática el uso de los recursos y los flujos de
información dentro de una organización y determinar qué información es crítica
para el cumplimiento de su misión y objetivos, identificando necesidades,
duplicidades, costes, valor y barreras, que obstaculizan flujos de información
eficientes.

. La Auditoría de Redes es una serie de mecanismos mediante los cuales

se pone a prueba una red informática, evaluando su desempeño y seguridad, a
fin de lograr una utilización más eficiente y segura de la información. Consiste en
identificar:

• Estructura Física (Hardware, Topología)

• Estructura Lógica (Software, Aplicaciones)

La identificación se lleva a cabo en los equipos, la red, la Intranet y Extranet.

Las etapas de la Auditoria de Redes son:

• Análisis de la Vulnerabilidad
• Estrategia de Saneamiento
• Plan de Contención ante posibles incidentes
• Seguimiento Continuo del desempeño del Sistema

3.2. ¿POR QUÉ UNA AUDITORÍA DE REDES?

En los últimos tiempos, hemos visto un rápido crecimiento en las redes
corporativas. Las necesidades de adaptación a los cambios en la empresa nos
obligan a ampliaciones y modificaciones cada vez más dinámicas, muchas veces
sin un plan evolutivo previo. El resultado es la interconexión de múltiples
dispositivos y servicios de diversos fabricantes, y cableados de red y arquitecturas
no controladas, convirtiéndose su integración y gestión en algo cada vez más
3
 complejo. Las auditorías se han convertido en algo cada vez más común y
necesario, ya que permiten mostrar el estado actual de la red, la identificación y
el análisis de debilidades en las medidas que han sido aplicadas con unos
objetivos iniciales y que han ido evolucionando con el tiempo.

La auditoría Informática de redes y comunicaciones busca:

a) Asegurar la integridad, confidencialidad y confiabilidad de la información.

b) Minimizar existencias de riesgos en el uso de Tecnología de información
c) Conocer la situación actual del área informática para lograr los objetivos.
d) Asegurar seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente informático, así como también seguridad del personal, los datos,
el hardware, el software y las instalaciones.
e) Incrementar la satisfacción de los usuarios de los sistemas informáticos.
f) Capacitar y educar sobre controles en los Sistemas de Información.
g) Buscar una mejor relación costo-beneficio de los sistemas automáticos y
tomar decisiones en cuanto a inversiones para la tecnología de información.

3.3. ¿QUÉ CARACTERÍSTICAS TIENE LA AUDITORIA INFORMÁTICA EN REDES

Y TELECOMUNICACIONES?
La información de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo Real de la misma, como sus Stocks o materias primas si
las hay. Por ende, han de realizarse inversiones informáticas, materia de la que
se ocupa la Auditoría de Inversión Informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de modo

global y particular: a ello se debe la existencia de la Auditoría de Seguridad
Informática en general, o a la auditoría de Seguridad de alguna de sus áreas,
como pudieran ser Desarrollo o Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza

de alguna forma su función: se está en el campo de la Auditoría de Organización
Informática. Estos tres tipos de auditorías engloban a las actividades auditoras
que se realizan en una auditoría parcial. De otra manera: cuando se realiza una
auditoria del área de Desarrollo de Proyectos de la Informática de una empresa,

4
 es porque en ese Desarrollo existen, además de ineficiencias, debilidades de
organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

3.4. ¿CUÁL ES EL PERFIL DEL AUDITOR INFORMÁTICO EN REDES Y

COMUNICACIONES?
El perfil de un auditor informático en redes y telecomunicaciones es el que
corresponde a un Ingeniero en Informática o en Sistemas especializado en el área
de telemática.

El auditor de informático especializado en esta área deberá inquirir sobre los

índices de utilización de las líneas contratadas con información abundante sobre
tiempos de desuso. Deberá proveerse de la topología de la Red de
Comunicaciones, actualizada, ya que la desactualización de esta documentación
significaría una grave debilidad. La inexistencia de datos sobre las cuantas líneas
existe, cómo son y donde están instaladas, supondría que se bordea la
Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o
importantes se encuentran en las disfunciones organizativas.

3.5. ¿A QUE TIPOS DE EMPRESAS SE APLICA LA AUDITORIA INFORMÁTICA

EN REDES Y COMUNICACIONES?
La Auditoria Informática en Redes y Telecomunicaciones se lo aplica en
especial a empresas que poseen ciertamente de tecnologías de comunicaciones
y/o sistemas de información que están conectados ya sea mediante intranet o
internet

3.6. MODELOS DE REDES: MODELO DE REFERENCIA OSI

✓ Siguiendo el esquema de este modelo se crearon numerosos protocolos, por
ejemplo X.25, que durante muchos años ocuparon el centro de la escena de
las comunicaciones informáticas. El advenimiento de protocolos más flexibles
donde las capas no están tan demarcadas y la correspondencia con los niveles
no era tan clara puso a este esquema en un segundo plano. Sin embargo es
muy usado en la enseñanza como una manera de mostrar cómo puede
estructurarse una "pila" de protocolos de comunicaciones. El modelo en sí
mismo no puede ser considerado una arquitectura, ya que no especifica el
protocolo que debe ser usado en cada capa, sino que suele hablarse de
modelo de referencia. Este modelo está dividido en siete capas:
5
✓ Capa Física: La Capa Física del modelo de referencia OSI es la que se
encarga de las conexiones físicas de la computadora hacia la red, tanto en lo
que se refiere al medio físico (medios guiados: cable coaxial, cable de par
trenzado, fibra óptica y otros tipos de cables; medios no guiados: radio,
infrarrojos, microondas, láser y otras redes inalámbricas); características del
medio (tipo de cable o calidad del mismo; tipo de conectores normalizados o
en su caso tipo de antena; etc.) y la forma en la que se transmite la información
(codificación de señal, niveles de tensión/intensidad de corriente eléctrica,
modulación, tasa binaria, etc.)

✓ Capa de Enlace de Datos: Cualquier medio de transmisión debe ser capaz de

proporcionar una transmisión sin errores, es decir, un tránsito de datos fiable a
través de un enlace físico. Debe crear y reconocer los límites de las tramas,
así como resolver los problemas derivados del deterioro, pérdida o duplicidad
de las tramas. También puede incluir algún mecanismo de regulación del
tráfico que evite la saturación de un receptor que sea más lento que el emisor.
✓ Capa de Red: El cometido de la capa de red es hacer que los datos lleguen
desde el origen al destino, aun cuando ambos no estén conectados
directamente. Los dispositivos que facilitan tal tarea se denominan en
castellano en caminadores, aunque es más frecuente encontrar el nombre
inglés routers y, en ocasiones enrutadores.

✓ Capa de Trasporte: Su función básica es aceptar los datos enviados por las
capas superiores, dividirlos en pequeñas partes si es necesario, y pasarlos a
la capa de red. En el caso del modelo OSI, también se asegura que lleguen
correctamente al otro lado de la comunicación. Otra característica a destacar
es que debe aislar a las capas superiores de las distintas posibles
implementaciones de tecnologías de red en las capas inferiores, lo que la
convierte en el corazón de la comunicación. En esta capa se proveen servicios
de conexión para la capa de sesión que serán utilizados finalmente por los
usuarios de la red al enviar y recibir paquetes.
✓ Capa de Sesión: Esta capa establece, gestiona y finaliza las conexiones entre
usuarios (procesos o aplicaciones) finales. Ofrece varios servicios que son
cruciales para la comunicación, como son:

6
 • Control de la sesión a establecer entre el emisor y el receptor (quién
transmite, quién escucha y seguimiento de ésta).
• Control de la concurrencia (que dos comunicaciones a la misma
operación crítica no se efectúen al mismo tiempo).
• Mantener puntos de verificación (checkpoints), que sirven para que, ante
una interrupción de transmisión por cualquier causa, la misma se pueda
reanudar desde el último punto de verificación en lugar de repetirla desde
el principio.
✓ Capa de Presentación: El objetivo de la capa de presentación es encargarse
de la representación de la información, de manera que aunque distintos
equipos puedan tener diferentes representaciones internas de caracteres
(ASCII, Unicode, EBCDIC), números (little-endian tipo Intel, big-endian tipo
Motorola), sonido o imágenes, los datos lleguen de manera reconocible.
✓ Capa de Aplicaciones: Ofrece a las aplicaciones (de usuario o no) la
posibilidad de acceder a los servicios de las demás capas y define los
protocolos que utilizan las aplicaciones para intercambiar datos, como correo
electrónico (POP y SMTP), gestores de bases de datos y servidor de ficheros
(FTP). Hay tantos protocolos como aplicaciones distintas y puesto que
continuamente se desarrollan nuevas aplicaciones el número de protocolos
crece sin parar.
También existe el modelo TCP/IP, pero este se considera más para casos
prácticos, para una auditoria lo que debemos considera es el modelo de referencia
OSI, con sus 7capas y no la de TCP/IP de 4 capas, aunque en el análisis de datos
podemos tener el modelo TCP/IP, en la Figura 1 encontramos la comparación entre
el modelo de referencia OSI y TCP/IP, según (Oracle, 2010)

Figura N° 1: Modelo de referencia OSI y TCP/IP

7
3.7. TERMINOLOGÍA BÁSICA
✓ ROUTER: Lee las direcciones que se escriben y las identifica, este a su vez
pone los paquetes en otra red si es necesario. El Router es el que se encarga
de organizar y contralar el tráfico.
✓ DNS: Esto lo que hace es que identifica y busca los nombres de los “Domain”
dominios. Se utiliza para buscar principalmente las direcciones IP.
✓ PROXY: Es usado como intermediario; en muchas empresas lo utilizan como
manera de seguridad. Este también tiene la función de establecer y compartir
con todo los usuarios una única conexión de internet. El proxy abre la dirección
web o URL, este aprueba o desaprueba los paquetes para luego enviarlos a
internet.
✓ FIREWALL: Tiene dos propósitos fundamentales: Prevenir intromisiones
indeseables provenientes del internet y evitar que la información de
importancia que existe en nuestra computadora sea enviada al internet.
✓ HUB: Se utiliza para conectar distintos tipos de cable o redes de área local.
Para los que no lo saben, el término “hub” en español significa “Concentrador”.
Es el núcleo o centro de conexión de una red.
✓ IP: Es un tipo de protocolo que empaqueta y etiqueta los paquetes cargados
con datos y los pone en camino.
✓ ROUTER SWITCH: Es tal vez mucho más eficiente que el router y más rápido.
Este suelta los paquetes enlutándoles por su camino. Como si fuera una
maquina de “feedback’ digital.
✓ TCP: Es un estándar de comunicación muy extendido y de uso muy frecuente
para software de redes. El TCP es un tipo de protocolo de Internet. Puertos de
Comunicación: Son herramientas que permiten manejar e intercambiar datos
entre un computadora. Estos están en el “motherboard” o placa madre en
español. Protocolos: Son las distintas maneras que existen de
comunicaciones; Existen distintos tipos de protocolos cada uno diseñado para
una función y actividad específica.

8
 IV. AUDITORÍA DE REDES Y COMUNICACIONES

4.1. VULNERABILIDADES Y ATAQUES INFORMÁTICOS

El análisis de vulnerabilidad representa un diagnóstico de las debilidades
que puedan tener o tienen las organizaciones en sus sistemas de información y
en sus equipos. Como es de suponerse no es lo mismo acceder a la Red durante
unos minutos para recoger el correo, que permanecer conectados las 24 horas
del día. En el mercado existen diferentes herramientas para analizar
vulnerabilidades de una red. Estas herramientas son muy útiles, para los
administradores de red preocupados por la seguridad e integridad de su red y la
información que en ella manejan. Sin embargo, estas herramientas se convierten
en armas de doble filo, pues pueden ser usadas con el objetivo de mejorar la
seguridad de la red o pueden ser usadas por hackers con el objetivo de detectar
vulnerabilidades y realizar ataques. Cada día aumentan los ataques contra redes
y contra computadores conectados a la red. “Los Virus de Internet los están
volviendo pan de cada día y están aumentando su poder”.

El nivel de sofisticación de estos ataques es cada vez mayor, lo cual exige

el desarrollo y actualización de herramientas pertinentes. Se puede por tanto
evidenciar, la gran importancia de desarrollar mecanismos de autoprotección
contra estos ataques, los cuales deben pasar por una fase de identificación de los
potenciales riesgos a los que se está expuesto, luego a una fase de análisis de
las debilidades para posteriormente definir acciones de mejora y defensa así
como planes de mitigación ante sucesos indeseables.

A través de un análisis de vulnerabilidades, un analista en seguridad puede

examinar la robustez y seguridad de cada uno de los sistemas y dispositivos ante
ataques y obtener la información necesaria para analizar cuáles son las
contramedidas que se pueden aplicar con el fin de minimizar el impacto de un
ataque. El análisis de vulnerabilidades debe realizarse:

✓ Cuando ocurran cambios en el diseño de la red o los sistemas.

✓ Cuando se realicen actualizaciones de los dispositivos.
✓ Periódicamente.

9
4.2. METODOS PARA ANÁLISIS DE VULNERABILIDAD
Caja Negra: Al analista se le proporciona sólo la información de acceso a la
red o al sistema (podría ser sólo una dirección IP). A partir de esta información, el
analista debe obtener toda la información posible

Caja Blanca: El analista de seguridad tiene una visión total de la red a

analizar, así como acceso a todos los equipos como super usuario. Este tipo de
análisis tiene la ventaja de ser más completo y exhaustivo.

Test de Penetracion: Durante el test de penetración el analista de

seguridad simula ser un atacante. Desde esta posición, se realizan varios intentos
de ataques a la red, buscando debilidades y vulnerabilidades:

✓ Estudio de la red externa.

✓ Análisis de servicios disponibles.
✓ Estudio de debilidades.
✓ Análisis de vulnerabilidades en dispositivos de red.
✓ Análisis de vulnerabilidades de implementaciones y configuraciones.
✓ Denegación de servicio.
Acuerdo de Confidencialidad entre las Partes: Es importante realizar un
acuerdo de confidencialidad entre todas las partes involucradas en el análisis. A
lo largo del desarrollo del análisis se puede obtener información crítica para la
organización analizada. Desde el punto de vista de la organización, debe existir
confianza absoluta con la parte analizadora. Desde el punto de vista del
analizador, el acuerdo de confidencialidad le ofrece un marco legal sobre el cual
trabajar. Es un respaldo formal a su labor.

Establecer las Reglas del Juego: Antes de comenzar con el análisis de

vulnerabilidades es necesario definir cuáles van a ser las tareas a realizar, y
cuáles serán los límites, permisos y obligaciones que se deberán respetar.
Durante el análisis, deben estar informadas la menor cantidad de personas, de
manera que la utilización de la red por parte del personal sea normal, se deben
evitar cambios en la forma de trabajo.

Reunión de Información: Un análisis de vulnerabilidades comienza con la

obtención de información del objetivo. Si se ha seleccionado realizar un test por
caja negra, el proceso de análisis será muy similar al proceso seguido por un

10
atacante. Si utiliza un método de caja blanca, éste es el momento para recopilar
la información de acceso a servicios, hosts y dispositivos, información de
direccionamiento, y todo lo que considere necesario.

Test Interior: El Test Interior trata de demostrar hasta donde se puede llegar
con los privilegios de un usuario típico dentro de la organización. Para realizarlo
se requiere que la organización provea una computadora típica, un nombre de
usuario y una clave de acceso de un usuario común. Se compone de numerosas
pruebas, entre las que podemos citar:

✓ Revisión de Privacidad
✓ Testeo de Aplicaciones de Internet
✓ Testeo de Sistema de Detección de Intrusos

Test Exterior: El principal objetivo del Test Exterior es acceder en forma

remota a los servidores de la organización y obtener privilegios o permisos que
no deberían estar disponibles. El Test Exterior puede comenzar con técnicas de
Ingeniería Social, para obtener información que luego se utilizará en el intento de
acceso. Los pasos del estudio previo de la organización deben incluir:
✓ Revisión de la Inteligencia Competitiva. Información recolectada a partir
de la presencia en Internet de la organización.
✓ Revisión de Privacidad. Es el punto de vista legal y ético del
almacenamiento, transmisión y control de los datos basados en la
privacidad del cliente.
✓ Testeo de Solicitud. Es un método de obtener privilegios de acceso a
una organización y sus activos preguntando al personal de entrada,
usando las comunicaciones como un teléfono, e-mail, chat, boletines,
etc. desde una posición “privilegiada” fraudulenta.
✓ Testeo de Sugerencia Dirigida. En este método se intenta lograr que un
integrante

Documentación e Informe: Como finalización del análisis de

vulnerabilidades se debe presentar un informe donde se detalle cada uno de los
tests realizados y los resultados. En este informe se debe especificar:
✓ Lista de vulnerabilidades probadas
✓ Lista de vulnerabilidades detectadas
✓ Lista de servicios y dispositivos vulnerables
✓ El nivel de riesgo que involucra cada vulnerabilidad encontrada en cada
servicio y dispositivo

11
4.3. ANALISADORES DE VULNERABILIDADES
Las vulnerabilidades de un sistema surgen a partir de errores individuales
en un componente, sin embargo, nuevas y complejas vulnerabilidades surgen de
la interacción entre varios componentes como el kernel del sistema, sistemas de
archivos, servidores de procesos, entre otros. Estas vulnerabilidades generan
problemas de seguridad para la red en cuestión. Sin embargo, existen fuertes
críticas sobre los analizadores de vulnerabilidades ya que funcionan bajo un
esquema de reglas, que son sólo generadas por expertos en el tema y que se
configuran para vulnerabilidades. La posibilidad de acceder a estas reglas y
conocerlas, permite que personas malintencionadas realicen ataques contra
redes no protegidas para estas vulnerabilidades. Adicionalmente, la identificación
y definición de reglas se deja en manos de expertos.

4.4. EN BUSCA DE AGUJEROS EN RED

Las herramientas de análisis de vulnerabilidades permiten identificar
muchos de los principales agujeros de seguridad que ponen en riesgo los
sistemas de una red, y generalmente con tan sólo unos cuantos movimientos de
ratón. Identificar las debilidades y saber cómo corregirlas es un paso fundamental
para estar seguro. Sin embargo, pese a estar presentes en el mercado desde
hace casi una década, estas herramientas todavía se encuentran muy lejos de la
madurez. Muchos de estos productos aún reportan “falsos positivos” y, cuando
aciertan, no siempre informan con la precisión necesaria.

4.5. DEL HOST A LA RED

En general, las herramientas de análisis de vulnerabilidades obedecen a dos
tipos diferentes: las basadas en host y las basadas en la red. Éstas últimas se
centran en la identificación de cuestiones relacionadas con los servicios que,
como HTTP, FTP y Simple Mail Transfer Protocol, corren en los sistemas de la
red. No ofrecen una información tan detallada ni el mismo grado de control sobre
los sistemas que las herramientas basadas en host, pero a cambio aportan datos
más precisos sobre la red y los servicios. Es más, no obligan a desplegar agentes
en todas las máquinas como los basados en host; simplemente hay que definir la
red a escanear, y listo.

12
 Los escáneres basados en host identifican vulnerabilidades a nivel de
sistema, como permisos de archivos, propiedades de cuenta de usuario y
establecimiento de registros, y usualmente requieren la instalación de un agente
en los sistemas a analizar. Estos agentes reportan a una base de datos
centralizada, desde la que se pueden generar informes y realizar tareas de
administración. Como los agentes se instalan en todos y cada uno de los
sistemas, este tipo de herramientas aportan a los administradores un mayor
control sobre dichos sistemas que las basadas en red. Además, se pueden
combinar con políticas corporativas. Los principales productos dentro de esta
categoría son Enterprise Security Manager de Symantec, bv-Control de BindView
y System Scanner de ISS.
Una nueva aportación a este mercado son los servicios de análisis online,
que a un coste atractivo y de un modo automatizado y online evalúan las
vulnerabilidades potenciales de los dispositivos perimetrales del cliente; algunos
incluso escanean sistemas internos.

4.6. SERVICIOS ONLINE

Como la mayoría de los mercados de hoy en día, el de análisis de
vulnerabilidades tiene un nuevo componente basado en los servicios. Gracias a
estos servicios, las empresas pueden escanear remotamente su perímetro de red
o zona desmilitarizada para identificar vulnerabilidades y debilidades de
seguridad. Con este enfoque, las redes pueden ser analizadas fácilmente desde
la perspectiva del atacante externo a un coste mucho menor que contratando a
una firma consultora. Algunos servicios incluso proporcionan los medios para
escanear sistemas internos, algo que antes se dejaba exclusivamente en manos
de productos específicos, como los probados en esta revisión. Los fabricantes
líderes de este mercado son McAfee, Qualys, Vigilante y Foundstone.Con estos
servicios los escaneados pueden ser programados, por el usuario final o por el
proveedor del servicio, de forma que se realicen automáticamente. Los resultados
se envían por correo electrónico al usuario para ello designado, o se almacena
en un servidor seguro para su posterior revisión. Muchos informes incluyen
análisis diferenciales para ver la evolución en el tiempo del estado de la seguridad
corporativa.

13
 Otros proveedores se centran exclusivamente en la provisión de servicios
de escaneado de vulnerabilidades, que venden a terceros, firmas consultoras
generalmente, que los incluyen en sus ofertas dirigidas al usuario final. Diferentes
enfoques. Una ventaja fundamental de los servicios online es que permiten
desentenderse de las actualizaciones. El proveedor se ocupa de todo: desarrolla
firmas y actualizaciones para nuevas vulnerabilidades y las incluye
automáticamente en el siguiente escaneado a realizar.

4.7. EVALUACIÓN DE VULNERABILIDADES DE LA RED

La evaluación de la vulnerabilidad de la red identifica las vulnerabilidades de
red conocidas utilizando las técnicas más sofisticadas disponibles. A través de la
imitación de un intruso malintencionado, se recopila información de redes y
dispositivos, opera herramientas de escaneo automatizadas y utiliza en gran
medida pruebas manuales para descubrir las vulnerabilidades de la red y
verificarlas. Las pruebas de vulnerabilidad de redes externas investigan los
puntos de presencia en Internet y dispositivos conectados relacionados para
determinar vulnerabilidades de seguridad conocidas.
Las evaluaciones internas utilizan una metodología similar a las externas,
sin embargo el contacto se realiza dentro de la WAN en cada zona de gestión
lógica, segmento físico o simplemente adjunto a la DMZ.
Cada vez más las comunicaciones están tomando un papel determinante en
el tratamiento de datos, cumpliéndose el lema “el computador es la red’ siempre
esta importancia queda adecuadamente reflejada dentro de la estructura
organizativa de proceso de datos, especialmente en organizaciones de tipo
“tradicional”, donde la adaptación a los cambios no se produce inmediatamente.
Mientras que comúnmente el directivo informático tiene amplios
conocimientos de proceso de datos, no siempre sus habilidades y cualificaciones
en temas de comunicaciones están a la misma altura, por lo que el riesgo de
deficiente anclaje de la gerencia de comunicaciones en el esquema organizativo
existe. Por su parte, los informáticos a cargo de las comunicaciones suelen auto
considerarse exclusivamente técnicos, obviando considerar las aplicaciones
organizativas de su tarea. Todos estos factores convergen en que la auditoria de
comunicaciones no siempre se practique con la frecuencia y profundidad
equivalentes a las de otras áreas del proceso de datos Por tanto, el primer punto

14
 de una auditoria es determinar que la función de gestión de redes y
comunicaciones esté claramente definida, debiendo ser responsable, en general
de las siguientes áreas:
✓ Gestión de la red, invento de equipamiento y normativa de conectividad.
✓ Monitorización de las comunicaciones, registro y resolución de
problemas.
✓ Revisión de costes y su asignación de proveedores y servicios de
transporte, balanceo de tráfico entre rutas y selección de equipamiento.
✓ Tener una gerencia de comunicaciones con plena autoridad de voto y
acción.
✓ Llevar un registro actualizado de módems, controladores, terminales,
líneas y todo equipo relacionado con las comunicaciones.
✓ Mantener una vigilancia constante sobre cualquier acción en la red.
✓ Registrar un coste de comunicaciones y reparto a encargados.
✓ Mejorar el rendimiento y la resolución de problemas presentados en la
red.
✓ El nivel de acceso a diferentes funciones dentro de la red.
✓ Planificación de cableado. Coordinación de la organización de
comunicación de datos y voz.
✓ Planificación de la recuperación de las comunicaciones en caso de
desastre.
✓ Ha de tenerse documentación sobre el diagramado de la red.
✓ Se deben hacer pruebas sobre los nuevos equipos.
✓ Se han de establecer las tasas de rendimiento en tiempo de respuesta de
las
✓ terminales y la tasa de errores.
✓ Vigilancia sobre toda actividad on-line.

4.8. AMENAZAS
Por amenaza se entiende la violación potencial de la seguridad de un
sistema a diferencia de ataque, que es la materialización de una amenaza.
Las amenazas pueden ser de varios tipos:
✓ Pasivas, que son aquellas que atentan a la confidencialidad de la
información, pero no la alteran.

15
 ✓ Activas, que son aquellas que cambian el estado de la información o del
sistema y pueden ser:
o la interrupción, la modificación y la generación. o La interrupción
consiste en intermitir una transmisión, lo que significa una amenaza
a la disponibilidad de la información.
o La modificación consiste en alterar un mensaje, lo que es una
amenaza a su integridad.
o La generación es la construcción de mensajes falsos, lo que, en
definitiva, también es una amenaza a la integridad de la información.

4.9. BENEFICIOS DE AUDITORIA DE REDES

✓ Ayuda a adecuar la disponibilidad y el rendimiento de la red a las
necesidades de la empresa.
✓ Proporciona información que maximiza el retorno de las inversiones o
payback en redes y TIC (Tecnologías de la Información y Comunicación)
de la empresa.
✓ Aumenta la estabilidad y fiabilidad de la red.
✓ Reduce el riesgo potencial de las nuevas implantaciones y
actualizaciones en la red, tanto el entorno estrictamente tecnológico como
en los procesos empleados.
✓ Aumenta la satisfacción de los clientes al alcanzar mayores cotas de
rendimiento y disponibilidad de la red. Entendiendo el concepto de cliente,
en su definición más amplia, que abarca al cliente interno, los usuarios
directos de la red (empleados de la entidad u organización)-y al cliente
externo, aquel que solicita un servicio y es la fuente principal de ingresos

4.10. TECNICAS QUE SE PUEDEN UTILIZAR PARA LA AUDITORIA DE REDES

✓ Entrevistas
✓ Cuestionarios
✓ Encuestas
✓ Levantamiento de inventario
✓ Técnicas de observación
✓ Técnicas de revisión documental
✓ Matriz FODA

16
 ✓ Listas de chequeo
✓ Técnicas de muestreo
✓ Trazas o Huellas
✓ Log’s
✓ Modelos de simulación

4.11. HERRAMIENTAS DE SOFTWARE UTILIZADAS

Las principales herramientas de software libre empleadas en las auditorías
de redes, son las siguientes:
1. Para el análisis de red:
✓ Scotty: herramienta de monitorización de agentes que incluye
capacidades de gestión de dispositivos SNMP. Está implementado en
Tcl/Tk con extensiones propias, e incluye un navegador MIBs.
✓ Tcpdump: herramienta de adquisición y análisis de tráfico. Es una fuente
de la librería libpcap.
✓ Ethereal/Wireshark: herramienta de adquisición y análisis de tráfico con
un entorno gráfico de alto nivel. Se pueden realizar distintos tipos de
filtrado de la información capturada.
✓ Kismet: es un sniffer, un husmeador de paquetes, y un sistema de
detección de intrusiones para redes inalámbricas 802.11.
✓ Aircrack-ng: es una suite de seguridad inalámbrica que consiste en un
packet sniffer de red, un crackeador de redes WEP y WPA/WPA2-PSK y
otro conjunto de herramientas de auditoría inalámbrica.
✓ Mrtg: herramienta con interfaz WWW que permite una lectura en tiempo
real de estadísticas de distintos elementos, entre otros, dispositivos
SNMP. Es una de las herramientas más conocidas para monitorización
de tráfico, y una de las más extendidas.
✓ Cheops: herramienta sustitutiva de scotty para la gestión de elementos
de red, también incluye soporte SNMP, además es tremendamente
gráfica e intuitiva.
✓ Mon: se trata de una herramienta integrada para la gestión de red,
soportando múltiples sistemas en los que, a través de agentes, se pueden
monitorizar las aplicaciones de éstos y su rendimiento. Tiene soporte

17
 SNMP y ofrece la posibilidad de definir muchos niveles de alertas, desde
correo electrónico a notificaciones con voz en tiempo real.
✓ Iptraf: es un monitor de red a nivel IP. Permite la obtención del ancho de
banda consumido, monitorizar todas las conexiones relativas a una
máquina, comprobación de checksums errors y detectar ciertas
operaciones no permitidas por parte de los usuarios.

2. Para la realización de gráficos y esquemas:

✓ Tkined: es la interfaz gráfica de la herramienta scotty.
✓ ArgoUML: software que facilita la comunicación entre desarrolladores,
clientes, analistas y demás personas que intervienen en un proyecto
utilizando un lenguaje gráfico denominado UML.
✓ Xfig: Herramienta de dibujo vectorial en 2D.
✓ Dia: Herramienta de propósito general para la creación de diagramas.

4.12. AUDITANDO LA GERENCIA DE COMUNICACIONES

Cada vez más las comunicaciones están tomando un papel determinante en
el tratamiento de datos, cumpliéndose el lema “el computador es la red’ siempre
esta importancia queda adecuadamente reflejada dentro de la estructura
organizativa de proceso de datos, especialmente en organizaciones de tipo
“tradicional”, donde la adaptación a los cambios no se produce inmediatamente.
Mientras que comúnmente el directivo informático tiene amplios
conocimientos de proceso de datos, no siempre sus habilidades y cualificaciones
en temas de comunicaciones están a la misma altura, por lo que el riesgo de
deficiente anclaje de la gerencia de comunicaciones en el esquema organizativo
existe. Por su parte, los informáticos a cargo de las comunicaciones suelen auto
considerarse exclusivamente técnicos, obviando considerar las aplicaciones
organizativas de su tarea. Todos estos factores convergen en que la auditoria de
comunicaciones no siempre se practique con la frecuencia y profundidad
equivalentes a las de otras áreas del proceso de datos Por tanto, el primer punto
de una auditoria es determinar que la función de gestión de redes y
comunicaciones esté claramente definida, debiendo ser responsable, en general
de las siguientes áreas:
✓ Gestión de la red, invento de equipamiento y normativa de conectividad.

18
 ✓ Monitorización de las comunicaciones, registro y resolución de
problemas.
✓ Revisión de costes y su asignación de proveedores y servicios de
transporte, balanceo de tráfico entre rutas y selección de equipamiento.
✓ Tener una gerencia de comunicaciones con plena autoridad de voto y
acción.
✓ Llevar un registro actualizado de módems, controladores, terminales,
líneas y todo equipo relacionado con las comunicaciones.
✓ Mantener una vigilancia constante sobre cualquier acción en la red.
✓ Registrar un coste de comunicaciones y reparto a encargados.
✓ Mejorar el rendimiento y la resolución de problemas presentados en la
red.
✓ El nivel de acceso a diferentes funciones dentro de la red.
✓ Planificación de cableado. Coordinación de la organización de
comunicación de datos y voz.
✓ Planificación de la recuperación de las comunicaciones en caso de
desastre.
✓ Ha de tenerse documentación sobre el diagramado de la red.
✓ Se deben hacer pruebas sobre los nuevos equipos.
✓ Se han de establecer las tasas de rendimiento en tiempo de respuesta de
las terminales y la tasa de errores.
✓ Vigilancia sobre toda actividad on-line.

4.13. AUDITANDO UNA RED FÍSICA

Seguridad Física: La seguridad de los sistemas de información puede
definirse como “la estructura de control establecida para administrar la integridad,
confidencialidad y la accesibilidad a los datos y recursos del sistema de
información.” Existen dos tipos de controles de seguridad que juntos pueden
proteger los sistemas que son:
El Control Físico: Restringiendo el acceso a los recursos de los sistemas y
protegiéndolos de los riegos del ambiente.
El Control Lógico: Permitiendo el acceso a los datos específicos
únicamente a las personas autorizadas. En general, muchas veces se parte del

19
 supuesto de que si no existe acceso físico desde el exterior a la red interna de
una empresa las comunicaciones internas quedan a salvo.
En caso de desastre, bien sea total o parcial, ha de poder comprobarse cuál
es la parte del cableado que queda en condiciones de funcionar y qué
operatividad puede soportar. Ya que el tendido de cables es una actividad
irrealizable a muy corto plazo, los planes de recuperación de contingencias deben
tener prevista la recuperación en comunicaciones. Ha de tenerse en cuenta que
la red física es un punto claro de contacto entre la gerencia de comunicaciones y
la gerencia de mantenimiento general de edificios, que es quien suele aportar
electricistas y personal profesional para el tendido físico de cables y su
mantenimiento.
Se debe garantizar que exista:
✓ Áreas de equipo de comunicación con control de acceso.
✓ Protección y tendido adecuado de cables y líneas de comunicación para evitar
accesos físicos.
✓ Control de utilización de equipos de prueba de comunicaciones para
monitorizar la red y el tráfico en ella.
✓ Prioridad de recuperación del sistema.
✓ Control de las líneas telefónicas.
Se debe comprobar que:
✓ El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso
limitado.
✓ La seguridad física del equipo de comunicaciones sea adecuada.
✓ Se tomen medidas para separar las actividades de los electricistas y de
cableado de líneas telefónicas.
✓ Las líneas de comunicación estén fuera de la vista.
✓ Se dé un código a cada línea, en vez de una descripción física de la misma.
✓ Haya procedimientos de protección de los cables y las bocas de conexión para
evitar fallas en la red.
✓ Existan revisiones periódicas de la red buscando errores y/o daños a la misma.
✓ El equipo de prueba de comunicaciones ha de tener unos propósitos y
funciones específicas.
✓ Existan alternativas de respaldo de las comunicaciones.

20
 ✓ Con respecto a las líneas telefónicas: No debe darse el número como público
y tenerlas configuradas con retro llamada, código de conexión o interruptores.

4.14. AUDITANDO UNA RED LÓGICA

Es necesario monitorizar la red, revisar los errores o situaciones anómalas
que se producen y tener establecidos los procedimientos para detectar y aislar
equipos en situación anómala. Ante estas situaciones anómalas se debe:
✓ Dar contraseñas de acceso
✓ Controlar los errores
✓ Garantizar que, en una transmisión, ésta solo sea recibida por el destinatario.
Para esto, regularmente se cambia la ruta de acceso de la información a la red
✓ Registrar las actividades de los usuarios en la red
✓ Encriptar la información pertinente
✓ Evitar la importación y exportación de datos
En general, si se quiere que la información que viaja por la red no pueda ser
espiada, la única solución totalmente efectiva es la encriptación. Se debe
comprobar si:
“El sistema pidió el nombre de usuario y la contraseña para cada sesión: En
cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin
autorización, ha de inhabilitarse al usuario que tras un número establecido de
veces errado en dar correctamente su propia contraseña, se debe obligar a los
usuarios a cambiar su contraseña regularmente, las contraseñas no deben ser
mostradas en pantalla tras digitarlas, para cada usuario, se debe dar información
sobre su última conexión a fin de evitar suplantaciones”.

✓ Inhabilitar el software o hardware con acceso libre.

✓ Generar estadísticas de las tasas de errores y transmisión.
✓ Crear protocolos con detección de errores.
✓ Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y
receptor.
✓ El software de comunicación ha de tener procedimientos correctivos y de
control ante mensajes duplicados, fuera de orden, perdidos o retrasados.
✓ Los datos sensibles, solo pueden ser impresos en una impresora especificada
y ser vistos desde una terminal debidamente autorizada.

21
 ✓ Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
✓ Se debe hacer un análisis de la conveniencia de cifrar los canales de
transmisión entre diferentes organizaciones.
✓ Asegurar que los datos que viajan por Internet vayan cifrados.

CONCLUSIONES

La auditoría de redes es importante dentro de las organizaciones ya que mediante

ello podremos evaluar el estado en el que se encuentra cada dispositivo y servicios
que operan para la comunicación mediante los protocolos de datos, para ello
consideramos como referencia el modelo de referencia OSI, se deberá conocer la
topología de la red de comunicaciones, ya sea la actual o la desactualizada.
✓ Los objetivos de la auditoría de redes y comunicaciones consisten en
verificar el funcionamiento adecuado de cada ítem teniendo en cuenta una
topología de red física y lógica, ya sea de un área específica o en general
✓ La metodología de auditoría en redes se empieza definiendo los objetivos,
recursos a utilizar, un plan, actividades y su redacción final

22
 BIBLIOGRAFÍA

Douglas, A. T., & Solivera, J. (1988). Auditoría Informática. España.

Oracle. (2010). Modelo de referencia OSI.

23
 ANEXO

ANEXO Nº1: CASO PRÁCTICO:

Auditoria de redes físicas realizada sobre la red de área local de la
Universidad Tecnológica Nacional Facultad Regional de Córdoba - Colombia.

Propósito:
El propósito de esta auditoría es evaluar los controles de seguridad para
proteger los recursos de la red físicas de la Universidad Tecnológica Nacional,
Facultad Regional de Córdoba.

✓ Obtener una visión general de la ubicación de todos los dispositivos de la

red de área local.
✓ Evaluar el ambiente de control físico sobre los dispositivos de la red de
área local.

Cuestión de Fondo:
El funcionamiento de la Universidad se basa en su sistema de informático.
Este es necesario para brindar servicios tanto a estudiantes como a empleados.
Algunos de estos servicios son: Inscripciones, seguimiento de alumnos, dictado
de clases, servicio de comunicaciones, internet y otros.

¿En qué consiste?

Esta auditoría está limitada a la seguridad física de la red de área local de
la Universidad Tecnológica Nacional, Facultad Regional de Córdoba. Las
actividades que protegen el equipamiento de daño físico son:

✓ Permitir que solo los responsables de mantenimiento de los equipos de

cómputos ingresen a las salas de equipamiento.
✓ Proveer mecanismos de detección de fuego, humo, agua, suciedad, etc.
✓ Almacenar materiales peligrosos, como químicos de limpieza, en lugares
separados y alejados de los equipos de cómputos.
✓ Proveer de dispositivos reguladores de tensión y UPSs para salvar el
equipamiento de daños producidos por los niveles de tensión y cortes
abruptos en el suministro eléctrico.
✓ Planificar la manera de recomenzar con las operaciones después de un
fallo, incluyendo las copias de seguridad de programas y datos.
24
Metodología:
Durante la vista preliminar se identificaron todas las salas donde se
encuentra el equipamiento de cómputos y las clasificamos en “principales” y
“secundarias”, entendiéndose por principales aquellas donde se ubican los
dispositivos más importantes para la red tales como servidores, hubs, switch, etc.
Es válido resaltar que las salas principales deben contar con un mayor control de
seguridad que las secundarias.

La Tabla Nº1 y la Tabla Nº2 describen los aspectos típicos a implementar

para el control físico de la red en las salas principales y secundarias.

Para obtener una visión general de la ubicación de todos los dispositivos de

red, nos contactamos con el personal encargado de las aulas G del edificio, el
laboratorio de sistemas y el centro de cómputos. Posteriormente visitamos cada
una de estas salas para evaluar, los controles sobre la seguridad física, las
condiciones ambientales y controles sobre las copias de seguridad e inventarios.
Para esto nos entrevistamos con los responsables de cada una de estas salas.

Hallazgos:
Actualmente no existen políticas ni procedimientos escritos para la gestión
de la seguridad física de la red. Sino que, son los encargados de cada sala
quienes llevan adelante estas tareas a criterio propio y por lo tanto de manera
heterogénea.

25
26
 Análisis:
Los hallazgos identificados, se han agrupado en categorías por su similitud.
Para permitir una visión más global de los problemas. Esto se refleja en la
siguiente tabla:

Para un mejor análisis de los riesgos se dio una ponderación diferenciando

los hallazgos del centro del cableado del resto (ambientales y red horizontal),
asignándoles los valores de 1.0 y 0.6 respectivamente.

27
 Por otra parte, cada hallazgo fue ponderado independientemente, utilizando
una escala de 0.0 a 1.0. Reflejando los resultados en la siguiente tabla.

28
Recomendaciones:
En primer lugar, que se coloquen los centros de cableado en lugares
adecuados, fuera del alcance del alcance de personas no autorizadas. También
recomendamos que se identifiquen los dispositivos principales.

También recomendamos que, se escriban y difundan las políticas y los

procedimientos necesarios para proteger los recursos informáticos de la red de
área local de la universidad. Estos procedimientos deberían ser para
mantenimiento, inventario, registros de errores y soluciones y responsabilidades.
Los mismos deberán servir de guía para que los encargados realicen la correcta
gestión del control físico sobre la red.

Recomendamos, por último, que los encargados de cada sala realicen las
acciones necesarias para:

✓ Mantener el cableado en buenas condiciones.

✓ Mantener los conectores en buen estado.
Estas acciones deben ejecutarse en forma periódica.

Conclusión:
Nuestra opinión es que, los controles sobre los recursos de la red de área
local de la universidad deben ser mejorados puesto que presenta importantes
dificultades. Esto se debe a la ausencia de lineamientos claros para su gestión.

29
 ANEXO Nº2: Auditoria de Redes:
1.-Administracion
1.- ¿La empresa cuenta con red(es) local(es)?

1.1 Si es así, ¿Cuántas micros hay en dicha red, incluyendo el servidor? (Mencione las
características básicas de aquellas y de los periféricos)
_______________________________________________________________________
_______________________________________________________________________

1.2 ¿Qué software (paquetes, lenguajes, sistemas de información, sistemas operativos, bases
de datos, etc.) hay instalados? ¿Cuáles son las versiones correspondientes?
_______________________________________________________________________
_______________________________________________________________________

1.3 Si no tiene una red local, ¿con cuántos micros, periféricos, paquetes, etc. cuenta?
_______________________________________________________________________
_____________________________________________

1.4 ¿Existe una administración formal de la red?

_______________________________________________________________________
_____________________________________________

1.5 En caso de no tener una administración formal de la(s) red(es) o de las computadoras no
conectadas en la red de la empresa, ¿Cómo se da seguimiento a los siguientes aspectos?
• Planeación de nueva tecnología de información(hardware, software, etc.) para la red.
_______________________________________________________________________
_______________________________________________________________________

• Monitoreo de las actividades de la operación y mantenimiento de la red.

_______________________________________________________________________
_______________________________________________________________________

• Procedimientos de control y seguridad de la red.

_______________________________________________________________________
_______________________________________________________________________

• Aspectos legales del software instalado.

_______________________________________________________________________
_______________________________________________________________________

• Capacitación y soporte a usuarios.

_______________________________________________________________________
_______________________________________________________________________

• Otros.
_______________________________________________________________________
_______________________________________________________________________

1.6 Si la empresa tiene una administración de la(s) red(es) local(es) o computadoras no

conectadas en red, ¿Cuáles de las funciones listadas en la tabla E.1? ¿Realiza, con que
tareas efectúa cada función y como les dan seguimiento sus coordinadores o jefes
inmediatos?

Tabla E.1 Administración de redes locales

Función Tareas Acciones de seguimiento

30
2.- ¿Algún personal externo interviene en las funciones de administración mencionadas?
_________________________________________________________________________________
_____________________________________________________

2.1 Si es así, ¿en qué funciones participa y por qué?

__________________________________________________________________________
__________________________________________________________________________

3.- ¿Existe la documentación formal que especifique que hacer y como efectuar cada función
administrativa de la red?
_________________________________________________________________________________
_________________________________________________________________________________

• Elaboración de política y procedimientos para:

✓ La evaluación de hardware, software, etc. De la red
✓ Adquisición o instalación de hardware o software
✓ Asignación y baja de usuarios
✓ Administración de la red
✓ Nivel de servicios para usuarios de la red:
3.1 Si es así, ¿las funciones desarrolladas en la realidad concuerdan con las especificadas en la
documentación?
_________________________________________________________________________________
_________________________________________

4.- En caso de que no exista esta documentación, ¿Cómo se indica al personal responsable y a los
usuarios lo referente a los puntos mencionados en la pregunta 1?
_________________________________________________________________________________
________________________________________________________________________________

5.- ¿Existe un plan vacacional y de reemplazo de personal que asegure el servicio continuo a los
usuarios?
_________________________________________________________________________________
_________________________________________________________________________________
6.- ¿Cómo se canalizan as dudas, sugerencias y compromisos entre los usuarios y los responsables
de la red?
_________________________________________________________________________________
_________________________________________________________________________________
7.- ¿Qué garantiza que se esté utilizando la tecnología de redes más adecuadas para el negocio?
_________________________________________________________________________________
_________________________________________________________________________________
8.- ¿Hay análisis costo/beneficio de las diferentes estrategias de redes implantadas?
_________________________________________________________________________________
_____________________________________________________
¿Se han aprobado de manera formal?
_________________________________________________________________________________
_________________________________________

2.-Instalación
Aspectos claves por evaluar:
1. ¿Existen procedimientos que aseguren la oportuna y adecuada instalación de los diferentes
componentes de la red conforme se hayan realizado los contratos y compras formales de los
mismos?

31
 Responsables de
Procedimiento Responsable de ejecutarlos
seguimiento

2. Mencione las actividades que realizan durante el proceso de instalación de los componentes
de la red local (hardware, software, procedimientos, etc.)
Responsables de
Actividades Responsables de ejecutarlos
seguimiento

3. ¿Las compras de los diferentes elementos de la red, así como su instalación, se derivan de
un proceso de planeación y avaluación formal? ¿Cómo se aseguran de que esto se cumpla?
_________________________________________________________________________________
_________________________________________________________________________________

4. En caso de que las compras e instalación de componentes de la red (sea hardware, software
u otros) no se hayan planeado formalmente, ¿cómo se justifica esto ante los responsables de
informática y de las áreas usuarias?
_________________________________________________________________________________
_________________________________________________________________________________
5. En cuanto a la instalación de software, ¿Cómo se asegura la compra legal? ¿Cómo
aseguran que no sea instalado en otros equipos de la empresa sin licencia de uso? ¿Qué
hacen cuando detectan anomalías al respecto?
_________________________________________________________________________________
_________________________________________________________________________________

5.1 ¿Quién es el responsable de las actividades de seguridad y control para garantizar el

uso adecuado y la protección del software?
_________________________________________________________________________________
___________________________________

6. Cuando son terceros (personal externo) los encargados de la instalación parcial o total de
cualquiera de los elementos que componen la red, ¿Cómo se asegura la empresa de que
esto se haga conforme a sus políticas y lineamientos de servicio, oportunidad y
confidencialidad?
_________________________________________________________________________________
_________________________________________________________________________________

7. ¿Tiene alguna(s) sugerencia(s) que apoyen el proceso de instalación?

_________________________________________________________________________________
_________________________________________________________________________________

3.- Operación y seguridad

1. ¿Se cuentan con manuales de operación de la red? ¿Contemplan aspectos de seguridad?

_________________________________________________________________________________
_________________________________________
1.1 Si es así, ¿el personal responsable de administrarla y operarla fue capacitado y
preparado para el manejo de la misma? ¿Le da seguimiento a la seguridad?
_________________________________________________________________________________
_________________________________________________________________________________

1.2 ¿Qué sucede cuando algunos de estos responsables salen de vacaciones, se

incapacitan o dejan de laborar en la empresa?
_________________________________________________________________________________
2. Indique si existen estándares relativos a la operación y administración de la red como:
32
• Estándares de desempeño:
o Tiempos de respuesta
________________________________________________________

o Trafico (volúmenes de información, velocidad)

________________________________________________________

o Interrupciones
________________________________________________________

o Tiempo de recuperación de la red

________________________________________________________

o Equipos o terminales interconectados

________________________________________________________

o Otros

• Estándares de Mantenimiento:
o Calendarios (fechas, horarios, etc.)
o Responsables
o Otros

2.1 Si existen, ¿Son aplicados formalmente por los responsables de la red?

_________________________________________________________

2.2 ¿Cómo se da seguimiento al cumplimiento de los mismos?

_________________________________________________________

2.3 Una vez que se aplican estos estándares, ¿Qué datos se envían a otras áreas
(usuarios, auditoria en informática)?
_________________________________________________________

2.4 ¿Los costos por el uso de la red se determinan con estos parámetros o son costos
uniformes y fijos que se distribuyen en sumas idénticas entre todos los usuarios?
_________________________________________________________

2.5 ¿Existe otro procedimiento para establecer los costos derivados por el uso de la red?
Si es así, ¿cuál?
_________________________________________________________

2.6 ¿El usuario aprueba formalmente este procedimiento de pago?

_________________________________________________________

3. ¿Se desarrolló o adquirió algún cuestionario estándar que permita saber el nivel de servicios
que brinda la red?

3.1 Si es así, ¿con que periodicidad se distribuye este cuestionario a los usuarios o
encargados de la red?

3.2 ¿Qué indicadores o parámetros importantes salen de estos cuestionarios que sean
utilizados por los responsables de la gerencia o dirección de informática?

4. ¿Hay procedimientos que protejan los datos transmitidos de una red local a otra(s)?
4.1 Si se tienen, ¿cuáles son?

33
 4.2 ¿Se cuenta con un responsable o un software de comunicaciones que vigile de
manera permanente que los datos sean transmitidos con los estándares de
oportunidad, totalidad, exactitud y autorización de una red a otra(s)?

4.3 ¿Existen registros (logs) con información relevante para el administrador de la red o el
auditor en informática?
_________________________________________________________

4.4 Si es así, señale si éstos contienen información relativa a:

• Usuarios que accedieron la red
• Operaciones realizadas en la red (envío, recepción)
• Tiempos de conexión
• Interrupciones en el transcurso del uso de la red
• Causas
• Tiempo para reiniciar cada interrupción
• Terminales o equipos conectados e
• Accesos invalidados a la red
• Terminales donde se llevaron a cabo estos accesos no autorizados
• Otros

4.5 ¿Estos registros son generados por algún software de la red o por los responsables de
la misma?
_________________________________________________________
5. Señale si se tiene identificada formalmente la siguiente información:
• Usuarios de la red
• Registros y niveles de acceso
• Terminales conectadas a la red
• Responsables de la red.
• Procedimientos de contingencia
• Software
• Periféricos conectados
• Software original y pirata instalado
• Software de los micros conectados a la red (duplicidad o carencia de software)
• Tipos de unidades centrales de procesamiento (CPU)
• Capacidad de discos o espacio libre por servidor y micros
• Otros
________________________________________________________

5.1 ¿Estos registros son generados por algún software de la red o los elaboran por
separado los responsables de la misma?

6. ¿Hay una línea telefónica disponible las veinticuatro horas del día para atención de quejas y
dudas de los usuarios de la red?
_____________________________________________________________

7. ¿Existe un procedimiento formal para dar un servicio oportuno y eficiente a los

requerimientos de los usuarios?
_____________________________________________________________

7.1 ¿Lo conocen los usuarios?

_________________________________________________________
8. ¿La red tiene controles de acceso a personas no autorizadas (acceso a equipo, datos y
software)?
_____________________________________________________________
8.1 En caso de contar con esos controles, ¿están diseñados para prevenir, detectar 0
corregir el acceso no autorizado?
_________________________________________________________
8.2 Si es así, ¿cuáles son estos controles y quiénes le dan seguimiento?
8.3 Verificar que los controles contemplen al menos:
34
 • Protección de archivos
• Protección a programas fuente de las aplicaciones en red
• Protección a otro software alojado en la red
• Métodos para prevenir el monitoreo no autorizado de la red
• Detección inmediata y automatizada de accesos no autorizados
• Contraseñas que autoricen el acceso a la red, sin permitir la entrada a archivos no
autorizados
• Otros
______________________________________________________

9. ¿Existen controles relativos a la seguridad física de los diversos componentes de la red

(tarjetas, terminales, manuales, software, documentación, etc.)?
_____________________________________________________________
9.1 En caso de contar con esos controles, ¿cómo se aseguran los responsables de darles
seguimiento?
_____________________________________________________________________
_____________________________________________
9.2 Verificar que estos controles cuenten con:
• Protección adecuada de los componentes de la red (cables, tarjetas, terminales,
servidores, etc.)
• Guardias o personal que vigile el acceso al centro de telecomunicaciones
• Bitácoras de acceso a las áreas conectadas a la red
• Métodos de control de acceso como pases, tarjetas de identificación, puertas con
candados, monitores, etc.
• Listado de personal autorizado con acceso a las terminales y controladores de la
red.
• Otros
______________________________________________________
10. ¿Se tiene un seguro que proteja el software y el equipo de la red?
_____________________________________________________________
11. ¿Se cuenta con alternativas que apoyen a la empresa en caso de una falla generalizada y
prolongada en la(s) red(es)?
_____________________________________________________________
12. ¿Estos convenios están formalizados?
_________________________________________________________
13. ¿Se han tomado en cuenta algunas consideraciones complementarias que ayuden al
mejoramiento continuo de la(s) red(es) local(es) del negocio como las siguientes‘?
• Evaluación periódica de la red: hardware, software, grado de satisfacción, grado de
utilización, etc.
• Acceso a la red de nuevos usuarios, niveles de acceso por perfil de usuario,
asignaciones de software o datos para utilizar, consultar, modificar, borrar, etc.
• Aspectos administrativos: administrador u operadores (tareas, sueldos, capacitación,
vacaciones, reemplazos, otros)
• Capacitación, planeación, ejecución y actualización
• Crecimiento de la red: periféricos, memoria, usuarios, software, aplicaciones
• Respaldo: datos, equipo, periféricos, software, aplicaciones, etc.
• Seguridad: controles, procedimientos, software de auditoría, niveles de acceso,
planes de contingencia, plan de re inicialización y recuperación, etc.

ANEXO Nº3: Auditoria de Comunicaciones:

1.- Administración
1. ¿La empresa cuenta con una RC?

1.1 Si es así, ¿qué tipo de enlaces tiene (satelitales, terrestres)?

__________________________________________________________
1.2 ¿Qué software de comunicaciones utiliza para el manejo de la RC?
35
 __________________________________________________________

1.3 ¿Cuáles son las versiones correspondientes?

1.4 Si no tiene una RC, ¿piensa integrar una a la empresa? ¿Cuándo?

1.5 ¿Existe una administración formal de la RC?

__________________________________________________________
1.6 En caso de no tener una administración formal de la RC, indique cómo se da seguimiento
a los siguientes aspectos:
• Planeación de nueva tecnología de información (hardware, software, etc.) o para la
RC
• Monitoreo de las actividades de la operación y mantenimiento de la RC

• Procedimientos de control y seguridad

• Aspectos legales del software instalado

• Capacitación y soporte a usuarios, operadores y técnicos de la RC

• Otros

1.7 Si la empresa tiene administración de la RC, ¿cuáles de las funciones mencionadas en la

tabla E.3 realiza; con qué tareas efectúa cada función y cómo les dan seguimiento sus
coordinadores o jefes inmediatos?

2 ¿Algún personal externo interviene en la administración de la RC mencionada?

________________________________________________________________
2.1 Si es así, mencione ¿cuál y por qué?

3 ¿Hay documentación formal que especifique qué hacer y cómo realizar cada una de las funciones
de administración de la RC?
3.1 Si es así, ¿las funciones desarrolladas en la realidad concuerdan con las especificadas
en la documentación?
__________________________________________________________

4 En caso de que no exista esta documentación, ¿cómo se indica al personal responsable de la RC

y a los usuarios lo referente a los puntos mencionados en la pregunta 1?

5 ¿Se cuenta con un plan vacacional y de reemplazo de personal que asegure el servicio continuo
a los usuarios?
________________________________________________________________
6 ¿Cómo se canalizan dudas, sugerencias y compromisos entre los usuarios y los responsables de
la RC?
________________________________________________________________
7 ¿Qué garantiza que se está utilizando la tecnología de RC más adecuada para el negocio?
________________________________________________________________
8 ¿Existen análisis costo/beneficio de las diferentes estrategias de la RC implantada? ¿Son
aprobados de manera formal?

2.- Instalación

Aspectos clave por evaluar:

1. ¿Hay procedimientos que aseguren la oportuna y adecuada instalación de los diferentes
componentes de la RC conforme se realizan los contratos y compras formales de los mismos?
2. Mencione las actividades que se realizan durante el proceso de instalación de los componentes
de la RC (hardware, software, procedimientos, etc.):

36
 3. ¿Las compras de los diferentes elementos de la RC, así como su instalación, se derivan
de un proceso de planeación y evaluación formal? ¿Cómo se aseguran de que esto se cumpla?
___________________________________________________________________

4. ¿En caso de que las compras e instalación de componentes de la RC, sea hardware, software, etc.,
no hayan sido planeados formalmente, ¿cómo se justifican ante los responsables de informática y
de las áreas usuarias involucradas en el uso de dicha RC?
_________________________________________________________________________
____________________________________________________________________

5. En cuanto a la instalación del software, ¿cómo se aseguran que éste haya sido comprado
legalmente? ¿Cómo se aseguran de que no sea instalado en otros equipos de la empresa sin
licencia de uso? ¿Qué hacen cuando detectan algunas anomalías al respecto?
_________________________________________________________________________
__________________________________________________________________

5.1 ¿Quién es el responsable de las actividades de seguridad y control para garantizar el uso
adecuado y la protección de dicho software?
____________________________________________________________

6. Cuando el encargado de la instalación parcial o total de cualquiera de los elementos que

componen la RC es externo, ¿cómo se asegura la empresa de que esto se haga conforme a sus
políticas y lineamientos de servicio, oportunidad y confidencialidad?
_______________________________________________________________________

7. ¿Tiene alguna(s) sugerencia(s) que apoyen el proceso de instalación?

________________________________________________________________________

3.- Operación y seguridad

1. ¿Se cuenta con manuales de operación de la RC? ¿Contemplan aspectos de seguridad?
_____________________________________________________________
1.1 Si es así, ¿el personal responsable de administrar y operar la RC fue capacitado y
preparado para el manejo de la misma? ¿Le da seguimiento a la seguridad?
____________________________________________________________
1.2 ¿Qué sucede cuando algunos de estos responsables salen de vacaciones, se incapacitan o
dejan de laborar en la empresa?

2. ¿Existen estándares relativos a la operación y administración?, por ejemplo:

• Estándares de desempeño
________________________________________________
• Tiempos de respuesta.
_______________________________________________
• Tráfico (volúmenes de información, velocidad).
_________________________________________________
• Interrupciones.
_____________________________________________
• Tiempo de recuperación de la RC.
_________________________________________________
• Equipos o terminales interconectados.
_________________________________________________
• Otros.

• Estándares de mantenimiento:
37
 _________________________________________________
• Calendarios (fechas, horarios, etc.).
________________________________________________
• Re spon sa bl es.
______ ____ ____ ____ ____ ____ ____ ____ ___ ______ _
• Otros.
_____________________________________________

2.1 Si existen, ¿los responsables de la RC los aplican de manera formal?

__________________________________________________
2.2 ¿Cómo se da seguimiento al cumplimiento de los mismos?
__________________________________________________________
2.3 Una vez que se aplican estos estándares, ¿qué datos se envían a otras áreas (usuarios,
auditoría en informática)?
___________________________________________________________
2.4 ¿Los costos por el uso de la RC se determinan con estos parámetros o son costos uniformes
y fijos que se distribuyen en sumas idénticas entre todos los usuarios?
_____________________________________________________________
2.5 ¿Existe otro procedimiento para establecer los costos derivados por el uso de la RC? Si es
así, ¿cuál es?
________________________________________________________________________

2.6 ¿El usuario aprueba formalmente este procedimiento de pago?

_______________________________________________________________
3. ¿Se desarrolló o adquirió algún cuestionario estándar que permita saber el nivel, de servicios que
brinda la RC?
________________________________________________________________
3.1 Si es así, ¿con qué periodicidad se distribuye este cuestionario entre los usuarios o
encargados de la RC?
____________________________________________________________

3.2 ¿Qué indicadores o parámetros importantes resultan de estos cuestionarios que sean
utilizados por los responsables de la gerencia o dirección de informática?
___________________________________________________________________________
4. ¿Se tienen procedimientos que protejan los datos transmitidos de una RC propia a otra(s)?
_______________________________________________________________
4.1 Si se tienen, ¿cuáles son?

4.2 ¿Existe un responsable o un software de comunicaciones que revise de manera

permanente que los datos sean transmitidos con los estándares de oportunidad, totalidad,
exactitud y autorización de una RC a otra(s)?
____________________________________________________________
4.3 ¿Existen registros con información relevante para el administrador de la RC o el auditor en
informática?
____________________________________________________________
4.4 Si es así, señale si contienen la siguiente información:
• Usuarios que asesaron la RC.
________________________________________________________
• Operaciones realizadas en la RC (envío, recepción).
_________________________________________________________
• Tiempos de conexión.
______________________________________________________
• Interrupciones durante el uso de la RC.
________________________________________________________
• Causas.
38
 ______________________________________________________
• Tiempo para reinicializar cada interrupción.
_________________________________________________________
• Terminales o equipos conectados.
________________________________________________________
• Accesos invalidados a la RC.
________________________________________________________
• Terminales donde se llevaron a cabo estos accesos no autorizados.
___________________________________________________________
• Otros.
4.4 ¿Estos registros son generados por algún software de RC o los elaboran de manera
independiente los responsables de la administración de la misma?

___________________________________________________________
5. Indique si se tiene identificada formalmente la siguiente información:

• Usuarios de la RC.
___________________________________________________
• Registros y niveles de acceso.
________________________________________________________
• Terminales conectadas.
_______________________________________________________
• Responsables.
___________________________________________________________
• Procedimientos de contingencia.
________________________________________________________
• Software.
______________________________________________________
• Periféricos conectados.
______________________________________________________
• Com ponent es.
______ ____ ____ ____ ____ ____ ____ ____ ___ ______ ____ ____
• Otros.
____________________________________________________
5.1 ¿Estos registros son generados por algún software de la RC o por los responsables de su
administración?
_____________________________________________________________
6. ¿Existe una línea telefónica disponible las veinticuatro horas del día para atención de quejas y
dudas de los usuarios de la RC?
________________________________________________________________
7. ¿Hay un procedimiento formal para dar un servicio oportuno y eficiente a los requerimientos de los
usuarios?
________________________________________________________________
7.1 ¿Lo conocen éstos?
__________________________________________________________
8. ¿La RC cuenta con controles de acceso para personas no autorizadas (equipo, datos y
software)?
________________________________________________________________
8.1 En caso de tener esos controles, ¿están diseñados para prevenir, detectar o corregir el
acceso no autorizado a la RC?
____________________________________________________________
8.2 Si es así, ¿cuáles son esos controles y quiénes son los responsables de darles seguimiento?

________________________________________________________________________

8.3 Verificar que los controles contemplen al menos:

• Protección a datos transmitidos a través de la RC.
____________________________________________________________

39
 • Protección a los componentes de la RC.
___________________________________________________________
• Métodos para prevenir el monitoreo no autorizado de la RC.
____________________________________________________________
• Detección inmediata y automatizada de accesos no autorizados a la RC.
____________________________________________________________
• Contraseñas que autoricen el acceso a la RC y eviten la entrada en archivos no autorizados.
_____________________________________________________________
• Otros.

9. ¿Existen controles relativos a la seguridad física de los diversos componentes de la RC (tarjetas,

terminales, manuales, software, documentación, etc.)?
________________________________________________________________
9.1 En caso de contar con esos controles, ¿cómo se aseguran los responsables de darles
seguimiento?
9.2 Verificar que los controles cuenten con:
• Protección adecuada de los componentes de la RC (cables, tarjetas, terminales, servidores,
etc.)
_________________________________________________________
• Guardias o personal que vigile el acceso al centro de telecomunicaciones.
_________________________________________________________
• Bitácoras de acceso en las áreas conectadas a la RC.
_________________________________________________________
• Métodos de control de acceso como pases, tarjetas de identificación, puertas con
candados, monitores, entre otros.
_________________________________________________________
• Listado de personal con acceso autorizado a las terminales y controladores de la RC.
_________________________________________________________
• Otros.
10. ¿Se tiene un seguro que proteja el software y el equipo de la RC?
______________________________________________________________
11. ¿Hay alternativas que apoyen a la empresa en caso de una falla generalizada y prolongada en la
RC?
______________________________________________________________
12. ¿Estos convenios están formalizados?
____________________________________________________________

13. ¿Se han tomado en cuenta algunas consideraciones complementarias que ayuden al
mejoramiento continuo de la RC del negocio como las siguientes?
• Evaluación periódica de la RC: hardware, software, grado de satisfacción, grado de
utilización, etc.
_________________________________________________________
• Acceso a la RC: nuevos usuarios, niveles de acceso por perfil de usuario, asignaciones
de software o datos para utilizar, consultar, modificar, borrar, etc.
___________________________________________________________
• Capacitación: planeación, ejecución y actualización.
_________________________________________________________
• Crecimiento de la RC: multiplexores, enlaces, usuarios, módems y medios de transmisión.
_________________________________________________________
• Respaldo: datos, equipo, medios de transmisión, software, por mencionar algunos.
_________________________________________________________
• Seguridad: controles, procedimientos, software de auditoría, niveles de acceso. planes de
contingencia, plan de reinicialización y recuperación, etc.
_________________________________________________________
• Otros que se consideren pertinentes.

40