Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Curso:
Auditoría de TI
Docente:
Ing. Edwin Vega Ventocilla
Autor(es):
Inga Atunga, Anthony
Pajuelo Martín, Brayan
Ramos Estela, Juan
1
I. INTRODUCCIÓN
II. OBJETIVOS
2
III. MARCO TEÓRICO Y CONCEPTUAL
• Análisis de la Vulnerabilidad
• Estrategia de Saneamiento
• Plan de Contención ante posibles incidentes
• Seguimiento Continuo del desempeño del Sistema
4
es porque en ese Desarrollo existen, además de ineficiencias, debilidades de
organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
✓ Capa de Trasporte: Su función básica es aceptar los datos enviados por las
capas superiores, dividirlos en pequeñas partes si es necesario, y pasarlos a
la capa de red. En el caso del modelo OSI, también se asegura que lleguen
correctamente al otro lado de la comunicación. Otra característica a destacar
es que debe aislar a las capas superiores de las distintas posibles
implementaciones de tecnologías de red en las capas inferiores, lo que la
convierte en el corazón de la comunicación. En esta capa se proveen servicios
de conexión para la capa de sesión que serán utilizados finalmente por los
usuarios de la red al enviar y recibir paquetes.
✓ Capa de Sesión: Esta capa establece, gestiona y finaliza las conexiones entre
usuarios (procesos o aplicaciones) finales. Ofrece varios servicios que son
cruciales para la comunicación, como son:
6
• Control de la sesión a establecer entre el emisor y el receptor (quién
transmite, quién escucha y seguimiento de ésta).
• Control de la concurrencia (que dos comunicaciones a la misma
operación crítica no se efectúen al mismo tiempo).
• Mantener puntos de verificación (checkpoints), que sirven para que, ante
una interrupción de transmisión por cualquier causa, la misma se pueda
reanudar desde el último punto de verificación en lugar de repetirla desde
el principio.
✓ Capa de Presentación: El objetivo de la capa de presentación es encargarse
de la representación de la información, de manera que aunque distintos
equipos puedan tener diferentes representaciones internas de caracteres
(ASCII, Unicode, EBCDIC), números (little-endian tipo Intel, big-endian tipo
Motorola), sonido o imágenes, los datos lleguen de manera reconocible.
✓ Capa de Aplicaciones: Ofrece a las aplicaciones (de usuario o no) la
posibilidad de acceder a los servicios de las demás capas y define los
protocolos que utilizan las aplicaciones para intercambiar datos, como correo
electrónico (POP y SMTP), gestores de bases de datos y servidor de ficheros
(FTP). Hay tantos protocolos como aplicaciones distintas y puesto que
continuamente se desarrollan nuevas aplicaciones el número de protocolos
crece sin parar.
También existe el modelo TCP/IP, pero este se considera más para casos
prácticos, para una auditoria lo que debemos considera es el modelo de referencia
OSI, con sus 7capas y no la de TCP/IP de 4 capas, aunque en el análisis de datos
podemos tener el modelo TCP/IP, en la Figura 1 encontramos la comparación entre
el modelo de referencia OSI y TCP/IP, según (Oracle, 2010)
7
3.7. TERMINOLOGÍA BÁSICA
✓ ROUTER: Lee las direcciones que se escriben y las identifica, este a su vez
pone los paquetes en otra red si es necesario. El Router es el que se encarga
de organizar y contralar el tráfico.
✓ DNS: Esto lo que hace es que identifica y busca los nombres de los “Domain”
dominios. Se utiliza para buscar principalmente las direcciones IP.
✓ PROXY: Es usado como intermediario; en muchas empresas lo utilizan como
manera de seguridad. Este también tiene la función de establecer y compartir
con todo los usuarios una única conexión de internet. El proxy abre la dirección
web o URL, este aprueba o desaprueba los paquetes para luego enviarlos a
internet.
✓ FIREWALL: Tiene dos propósitos fundamentales: Prevenir intromisiones
indeseables provenientes del internet y evitar que la información de
importancia que existe en nuestra computadora sea enviada al internet.
✓ HUB: Se utiliza para conectar distintos tipos de cable o redes de área local.
Para los que no lo saben, el término “hub” en español significa “Concentrador”.
Es el núcleo o centro de conexión de una red.
✓ IP: Es un tipo de protocolo que empaqueta y etiqueta los paquetes cargados
con datos y los pone en camino.
✓ ROUTER SWITCH: Es tal vez mucho más eficiente que el router y más rápido.
Este suelta los paquetes enlutándoles por su camino. Como si fuera una
maquina de “feedback’ digital.
✓ TCP: Es un estándar de comunicación muy extendido y de uso muy frecuente
para software de redes. El TCP es un tipo de protocolo de Internet. Puertos de
Comunicación: Son herramientas que permiten manejar e intercambiar datos
entre un computadora. Estos están en el “motherboard” o placa madre en
español. Protocolos: Son las distintas maneras que existen de
comunicaciones; Existen distintos tipos de protocolos cada uno diseñado para
una función y actividad específica.
8
IV. AUDITORÍA DE REDES Y COMUNICACIONES
9
4.2. METODOS PARA ANÁLISIS DE VULNERABILIDAD
Caja Negra: Al analista se le proporciona sólo la información de acceso a la
red o al sistema (podría ser sólo una dirección IP). A partir de esta información, el
analista debe obtener toda la información posible
10
atacante. Si utiliza un método de caja blanca, éste es el momento para recopilar
la información de acceso a servicios, hosts y dispositivos, información de
direccionamiento, y todo lo que considere necesario.
Test Interior: El Test Interior trata de demostrar hasta donde se puede llegar
con los privilegios de un usuario típico dentro de la organización. Para realizarlo
se requiere que la organización provea una computadora típica, un nombre de
usuario y una clave de acceso de un usuario común. Se compone de numerosas
pruebas, entre las que podemos citar:
✓ Revisión de Privacidad
✓ Testeo de Aplicaciones de Internet
✓ Testeo de Sistema de Detección de Intrusos
11
4.3. ANALISADORES DE VULNERABILIDADES
Las vulnerabilidades de un sistema surgen a partir de errores individuales
en un componente, sin embargo, nuevas y complejas vulnerabilidades surgen de
la interacción entre varios componentes como el kernel del sistema, sistemas de
archivos, servidores de procesos, entre otros. Estas vulnerabilidades generan
problemas de seguridad para la red en cuestión. Sin embargo, existen fuertes
críticas sobre los analizadores de vulnerabilidades ya que funcionan bajo un
esquema de reglas, que son sólo generadas por expertos en el tema y que se
configuran para vulnerabilidades. La posibilidad de acceder a estas reglas y
conocerlas, permite que personas malintencionadas realicen ataques contra
redes no protegidas para estas vulnerabilidades. Adicionalmente, la identificación
y definición de reglas se deja en manos de expertos.
12
Los escáneres basados en host identifican vulnerabilidades a nivel de
sistema, como permisos de archivos, propiedades de cuenta de usuario y
establecimiento de registros, y usualmente requieren la instalación de un agente
en los sistemas a analizar. Estos agentes reportan a una base de datos
centralizada, desde la que se pueden generar informes y realizar tareas de
administración. Como los agentes se instalan en todos y cada uno de los
sistemas, este tipo de herramientas aportan a los administradores un mayor
control sobre dichos sistemas que las basadas en red. Además, se pueden
combinar con políticas corporativas. Los principales productos dentro de esta
categoría son Enterprise Security Manager de Symantec, bv-Control de BindView
y System Scanner de ISS.
Una nueva aportación a este mercado son los servicios de análisis online,
que a un coste atractivo y de un modo automatizado y online evalúan las
vulnerabilidades potenciales de los dispositivos perimetrales del cliente; algunos
incluso escanean sistemas internos.
13
Otros proveedores se centran exclusivamente en la provisión de servicios
de escaneado de vulnerabilidades, que venden a terceros, firmas consultoras
generalmente, que los incluyen en sus ofertas dirigidas al usuario final. Diferentes
enfoques. Una ventaja fundamental de los servicios online es que permiten
desentenderse de las actualizaciones. El proveedor se ocupa de todo: desarrolla
firmas y actualizaciones para nuevas vulnerabilidades y las incluye
automáticamente en el siguiente escaneado a realizar.
14
de una auditoria es determinar que la función de gestión de redes y
comunicaciones esté claramente definida, debiendo ser responsable, en general
de las siguientes áreas:
✓ Gestión de la red, invento de equipamiento y normativa de conectividad.
✓ Monitorización de las comunicaciones, registro y resolución de
problemas.
✓ Revisión de costes y su asignación de proveedores y servicios de
transporte, balanceo de tráfico entre rutas y selección de equipamiento.
✓ Tener una gerencia de comunicaciones con plena autoridad de voto y
acción.
✓ Llevar un registro actualizado de módems, controladores, terminales,
líneas y todo equipo relacionado con las comunicaciones.
✓ Mantener una vigilancia constante sobre cualquier acción en la red.
✓ Registrar un coste de comunicaciones y reparto a encargados.
✓ Mejorar el rendimiento y la resolución de problemas presentados en la
red.
✓ El nivel de acceso a diferentes funciones dentro de la red.
✓ Planificación de cableado. Coordinación de la organización de
comunicación de datos y voz.
✓ Planificación de la recuperación de las comunicaciones en caso de
desastre.
✓ Ha de tenerse documentación sobre el diagramado de la red.
✓ Se deben hacer pruebas sobre los nuevos equipos.
✓ Se han de establecer las tasas de rendimiento en tiempo de respuesta de
las
✓ terminales y la tasa de errores.
✓ Vigilancia sobre toda actividad on-line.
4.8. AMENAZAS
Por amenaza se entiende la violación potencial de la seguridad de un
sistema a diferencia de ataque, que es la materialización de una amenaza.
Las amenazas pueden ser de varios tipos:
✓ Pasivas, que son aquellas que atentan a la confidencialidad de la
información, pero no la alteran.
15
✓ Activas, que son aquellas que cambian el estado de la información o del
sistema y pueden ser:
o la interrupción, la modificación y la generación. o La interrupción
consiste en intermitir una transmisión, lo que significa una amenaza
a la disponibilidad de la información.
o La modificación consiste en alterar un mensaje, lo que es una
amenaza a su integridad.
o La generación es la construcción de mensajes falsos, lo que, en
definitiva, también es una amenaza a la integridad de la información.
16
✓ Listas de chequeo
✓ Técnicas de muestreo
✓ Trazas o Huellas
✓ Log’s
✓ Modelos de simulación
17
SNMP y ofrece la posibilidad de definir muchos niveles de alertas, desde
correo electrónico a notificaciones con voz en tiempo real.
✓ Iptraf: es un monitor de red a nivel IP. Permite la obtención del ancho de
banda consumido, monitorizar todas las conexiones relativas a una
máquina, comprobación de checksums errors y detectar ciertas
operaciones no permitidas por parte de los usuarios.
18
✓ Monitorización de las comunicaciones, registro y resolución de
problemas.
✓ Revisión de costes y su asignación de proveedores y servicios de
transporte, balanceo de tráfico entre rutas y selección de equipamiento.
✓ Tener una gerencia de comunicaciones con plena autoridad de voto y
acción.
✓ Llevar un registro actualizado de módems, controladores, terminales,
líneas y todo equipo relacionado con las comunicaciones.
✓ Mantener una vigilancia constante sobre cualquier acción en la red.
✓ Registrar un coste de comunicaciones y reparto a encargados.
✓ Mejorar el rendimiento y la resolución de problemas presentados en la
red.
✓ El nivel de acceso a diferentes funciones dentro de la red.
✓ Planificación de cableado. Coordinación de la organización de
comunicación de datos y voz.
✓ Planificación de la recuperación de las comunicaciones en caso de
desastre.
✓ Ha de tenerse documentación sobre el diagramado de la red.
✓ Se deben hacer pruebas sobre los nuevos equipos.
✓ Se han de establecer las tasas de rendimiento en tiempo de respuesta de
las terminales y la tasa de errores.
✓ Vigilancia sobre toda actividad on-line.
19
supuesto de que si no existe acceso físico desde el exterior a la red interna de
una empresa las comunicaciones internas quedan a salvo.
En caso de desastre, bien sea total o parcial, ha de poder comprobarse cuál
es la parte del cableado que queda en condiciones de funcionar y qué
operatividad puede soportar. Ya que el tendido de cables es una actividad
irrealizable a muy corto plazo, los planes de recuperación de contingencias deben
tener prevista la recuperación en comunicaciones. Ha de tenerse en cuenta que
la red física es un punto claro de contacto entre la gerencia de comunicaciones y
la gerencia de mantenimiento general de edificios, que es quien suele aportar
electricistas y personal profesional para el tendido físico de cables y su
mantenimiento.
Se debe garantizar que exista:
✓ Áreas de equipo de comunicación con control de acceso.
✓ Protección y tendido adecuado de cables y líneas de comunicación para evitar
accesos físicos.
✓ Control de utilización de equipos de prueba de comunicaciones para
monitorizar la red y el tráfico en ella.
✓ Prioridad de recuperación del sistema.
✓ Control de las líneas telefónicas.
Se debe comprobar que:
✓ El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso
limitado.
✓ La seguridad física del equipo de comunicaciones sea adecuada.
✓ Se tomen medidas para separar las actividades de los electricistas y de
cableado de líneas telefónicas.
✓ Las líneas de comunicación estén fuera de la vista.
✓ Se dé un código a cada línea, en vez de una descripción física de la misma.
✓ Haya procedimientos de protección de los cables y las bocas de conexión para
evitar fallas en la red.
✓ Existan revisiones periódicas de la red buscando errores y/o daños a la misma.
✓ El equipo de prueba de comunicaciones ha de tener unos propósitos y
funciones específicas.
✓ Existan alternativas de respaldo de las comunicaciones.
20
✓ Con respecto a las líneas telefónicas: No debe darse el número como público
y tenerlas configuradas con retro llamada, código de conexión o interruptores.
21
✓ Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
✓ Se debe hacer un análisis de la conveniencia de cifrar los canales de
transmisión entre diferentes organizaciones.
✓ Asegurar que los datos que viajan por Internet vayan cifrados.
CONCLUSIONES
22
BIBLIOGRAFÍA
23
ANEXO
Propósito:
El propósito de esta auditoría es evaluar los controles de seguridad para
proteger los recursos de la red físicas de la Universidad Tecnológica Nacional,
Facultad Regional de Córdoba.
Cuestión de Fondo:
El funcionamiento de la Universidad se basa en su sistema de informático.
Este es necesario para brindar servicios tanto a estudiantes como a empleados.
Algunos de estos servicios son: Inscripciones, seguimiento de alumnos, dictado
de clases, servicio de comunicaciones, internet y otros.
Hallazgos:
Actualmente no existen políticas ni procedimientos escritos para la gestión
de la seguridad física de la red. Sino que, son los encargados de cada sala
quienes llevan adelante estas tareas a criterio propio y por lo tanto de manera
heterogénea.
25
26
Análisis:
Los hallazgos identificados, se han agrupado en categorías por su similitud.
Para permitir una visión más global de los problemas. Esto se refleja en la
siguiente tabla:
27
Por otra parte, cada hallazgo fue ponderado independientemente, utilizando
una escala de 0.0 a 1.0. Reflejando los resultados en la siguiente tabla.
28
Recomendaciones:
En primer lugar, que se coloquen los centros de cableado en lugares
adecuados, fuera del alcance del alcance de personas no autorizadas. También
recomendamos que se identifiquen los dispositivos principales.
Recomendamos, por último, que los encargados de cada sala realicen las
acciones necesarias para:
Conclusión:
Nuestra opinión es que, los controles sobre los recursos de la red de área
local de la universidad deben ser mejorados puesto que presenta importantes
dificultades. Esto se debe a la ausencia de lineamientos claros para su gestión.
29
ANEXO Nº2: Auditoria de Redes:
1.-Administracion
1.- ¿La empresa cuenta con red(es) local(es)?
1.1 Si es así, ¿Cuántas micros hay en dicha red, incluyendo el servidor? (Mencione las
características básicas de aquellas y de los periféricos)
_______________________________________________________________________
_______________________________________________________________________
1.2 ¿Qué software (paquetes, lenguajes, sistemas de información, sistemas operativos, bases
de datos, etc.) hay instalados? ¿Cuáles son las versiones correspondientes?
_______________________________________________________________________
_______________________________________________________________________
1.3 Si no tiene una red local, ¿con cuántos micros, periféricos, paquetes, etc. cuenta?
_______________________________________________________________________
_____________________________________________
1.5 En caso de no tener una administración formal de la(s) red(es) o de las computadoras no
conectadas en la red de la empresa, ¿Cómo se da seguimiento a los siguientes aspectos?
• Planeación de nueva tecnología de información(hardware, software, etc.) para la red.
_______________________________________________________________________
_______________________________________________________________________
• Otros.
_______________________________________________________________________
_______________________________________________________________________
30
2.- ¿Algún personal externo interviene en las funciones de administración mencionadas?
_________________________________________________________________________________
_____________________________________________________
3.- ¿Existe la documentación formal que especifique que hacer y como efectuar cada función
administrativa de la red?
_________________________________________________________________________________
_________________________________________________________________________________
4.- En caso de que no exista esta documentación, ¿Cómo se indica al personal responsable y a los
usuarios lo referente a los puntos mencionados en la pregunta 1?
_________________________________________________________________________________
________________________________________________________________________________
5.- ¿Existe un plan vacacional y de reemplazo de personal que asegure el servicio continuo a los
usuarios?
_________________________________________________________________________________
_________________________________________________________________________________
6.- ¿Cómo se canalizan as dudas, sugerencias y compromisos entre los usuarios y los responsables
de la red?
_________________________________________________________________________________
_________________________________________________________________________________
7.- ¿Qué garantiza que se esté utilizando la tecnología de redes más adecuadas para el negocio?
_________________________________________________________________________________
_________________________________________________________________________________
8.- ¿Hay análisis costo/beneficio de las diferentes estrategias de redes implantadas?
_________________________________________________________________________________
_____________________________________________________
¿Se han aprobado de manera formal?
_________________________________________________________________________________
_________________________________________
2.-Instalación
Aspectos claves por evaluar:
1. ¿Existen procedimientos que aseguren la oportuna y adecuada instalación de los diferentes
componentes de la red conforme se hayan realizado los contratos y compras formales de los
mismos?
31
Responsables de
Procedimiento Responsable de ejecutarlos
seguimiento
2. Mencione las actividades que realizan durante el proceso de instalación de los componentes
de la red local (hardware, software, procedimientos, etc.)
Responsables de
Actividades Responsables de ejecutarlos
seguimiento
3. ¿Las compras de los diferentes elementos de la red, así como su instalación, se derivan de
un proceso de planeación y avaluación formal? ¿Cómo se aseguran de que esto se cumpla?
_________________________________________________________________________________
_________________________________________________________________________________
4. En caso de que las compras e instalación de componentes de la red (sea hardware, software
u otros) no se hayan planeado formalmente, ¿cómo se justifica esto ante los responsables de
informática y de las áreas usuarias?
_________________________________________________________________________________
_________________________________________________________________________________
5. En cuanto a la instalación de software, ¿Cómo se asegura la compra legal? ¿Cómo
aseguran que no sea instalado en otros equipos de la empresa sin licencia de uso? ¿Qué
hacen cuando detectan anomalías al respecto?
_________________________________________________________________________________
_________________________________________________________________________________
6. Cuando son terceros (personal externo) los encargados de la instalación parcial o total de
cualquiera de los elementos que componen la red, ¿Cómo se asegura la empresa de que
esto se haga conforme a sus políticas y lineamientos de servicio, oportunidad y
confidencialidad?
_________________________________________________________________________________
_________________________________________________________________________________
o Interrupciones
________________________________________________________
o Otros
• Estándares de Mantenimiento:
o Calendarios (fechas, horarios, etc.)
o Responsables
o Otros
2.3 Una vez que se aplican estos estándares, ¿Qué datos se envían a otras áreas
(usuarios, auditoria en informática)?
_________________________________________________________
2.4 ¿Los costos por el uso de la red se determinan con estos parámetros o son costos
uniformes y fijos que se distribuyen en sumas idénticas entre todos los usuarios?
_________________________________________________________
2.5 ¿Existe otro procedimiento para establecer los costos derivados por el uso de la red?
Si es así, ¿cuál?
_________________________________________________________
3. ¿Se desarrolló o adquirió algún cuestionario estándar que permita saber el nivel de servicios
que brinda la red?
3.1 Si es así, ¿con que periodicidad se distribuye este cuestionario a los usuarios o
encargados de la red?
3.2 ¿Qué indicadores o parámetros importantes salen de estos cuestionarios que sean
utilizados por los responsables de la gerencia o dirección de informática?
4. ¿Hay procedimientos que protejan los datos transmitidos de una red local a otra(s)?
4.1 Si se tienen, ¿cuáles son?
33
4.2 ¿Se cuenta con un responsable o un software de comunicaciones que vigile de
manera permanente que los datos sean transmitidos con los estándares de
oportunidad, totalidad, exactitud y autorización de una red a otra(s)?
4.3 ¿Existen registros (logs) con información relevante para el administrador de la red o el
auditor en informática?
_________________________________________________________
4.5 ¿Estos registros son generados por algún software de la red o por los responsables de
la misma?
_________________________________________________________
5. Señale si se tiene identificada formalmente la siguiente información:
• Usuarios de la red
• Registros y niveles de acceso
• Terminales conectadas a la red
• Responsables de la red.
• Procedimientos de contingencia
• Software
• Periféricos conectados
• Software original y pirata instalado
• Software de los micros conectados a la red (duplicidad o carencia de software)
• Tipos de unidades centrales de procesamiento (CPU)
• Capacidad de discos o espacio libre por servidor y micros
• Otros
________________________________________________________
5.1 ¿Estos registros son generados por algún software de la red o los elaboran por
separado los responsables de la misma?
6. ¿Hay una línea telefónica disponible las veinticuatro horas del día para atención de quejas y
dudas de los usuarios de la red?
_____________________________________________________________
1.- Administración
1. ¿La empresa cuenta con una RC?
• Otros
3 ¿Hay documentación formal que especifique qué hacer y cómo realizar cada una de las funciones
de administración de la RC?
3.1 Si es así, ¿las funciones desarrolladas en la realidad concuerdan con las especificadas
en la documentación?
__________________________________________________________
5 ¿Se cuenta con un plan vacacional y de reemplazo de personal que asegure el servicio continuo
a los usuarios?
________________________________________________________________
6 ¿Cómo se canalizan dudas, sugerencias y compromisos entre los usuarios y los responsables de
la RC?
________________________________________________________________
7 ¿Qué garantiza que se está utilizando la tecnología de RC más adecuada para el negocio?
________________________________________________________________
8 ¿Existen análisis costo/beneficio de las diferentes estrategias de la RC implantada? ¿Son
aprobados de manera formal?
2.- Instalación
36
3. ¿Las compras de los diferentes elementos de la RC, así como su instalación, se derivan
de un proceso de planeación y evaluación formal? ¿Cómo se aseguran de que esto se cumpla?
___________________________________________________________________
4. ¿En caso de que las compras e instalación de componentes de la RC, sea hardware, software, etc.,
no hayan sido planeados formalmente, ¿cómo se justifican ante los responsables de informática y
de las áreas usuarias involucradas en el uso de dicha RC?
_________________________________________________________________________
____________________________________________________________________
5. En cuanto a la instalación del software, ¿cómo se aseguran que éste haya sido comprado
legalmente? ¿Cómo se aseguran de que no sea instalado en otros equipos de la empresa sin
licencia de uso? ¿Qué hacen cuando detectan algunas anomalías al respecto?
_________________________________________________________________________
__________________________________________________________________
5.1 ¿Quién es el responsable de las actividades de seguridad y control para garantizar el uso
adecuado y la protección de dicho software?
____________________________________________________________
• Estándares de mantenimiento:
37
_________________________________________________
• Calendarios (fechas, horarios, etc.).
________________________________________________
• Re spon sa bl es.
______ ____ ____ ____ ____ ____ ____ ____ ___ ______ _
• Otros.
_____________________________________________
_______________________________________________________________
3. ¿Se desarrolló o adquirió algún cuestionario estándar que permita saber el nivel, de servicios que
brinda la RC?
________________________________________________________________
3.1 Si es así, ¿con qué periodicidad se distribuye este cuestionario entre los usuarios o
encargados de la RC?
____________________________________________________________
3.2 ¿Qué indicadores o parámetros importantes resultan de estos cuestionarios que sean
utilizados por los responsables de la gerencia o dirección de informática?
___________________________________________________________________________
4. ¿Se tienen procedimientos que protejan los datos transmitidos de una RC propia a otra(s)?
_______________________________________________________________
4.1 Si se tienen, ¿cuáles son?
___________________________________________________________
5. Indique si se tiene identificada formalmente la siguiente información:
• Usuarios de la RC.
___________________________________________________
• Registros y niveles de acceso.
________________________________________________________
• Terminales conectadas.
_______________________________________________________
• Responsables.
___________________________________________________________
• Procedimientos de contingencia.
________________________________________________________
• Software.
______________________________________________________
• Periféricos conectados.
______________________________________________________
• Com ponent es.
______ ____ ____ ____ ____ ____ ____ ____ ___ ______ ____ ____
• Otros.
____________________________________________________
5.1 ¿Estos registros son generados por algún software de la RC o por los responsables de su
administración?
_____________________________________________________________
6. ¿Existe una línea telefónica disponible las veinticuatro horas del día para atención de quejas y
dudas de los usuarios de la RC?
________________________________________________________________
7. ¿Hay un procedimiento formal para dar un servicio oportuno y eficiente a los requerimientos de los
usuarios?
________________________________________________________________
7.1 ¿Lo conocen éstos?
__________________________________________________________
8. ¿La RC cuenta con controles de acceso para personas no autorizadas (equipo, datos y
software)?
________________________________________________________________
8.1 En caso de tener esos controles, ¿están diseñados para prevenir, detectar o corregir el
acceso no autorizado a la RC?
____________________________________________________________
8.2 Si es así, ¿cuáles son esos controles y quiénes son los responsables de darles seguimiento?
________________________________________________________________________
39
• Protección a los componentes de la RC.
___________________________________________________________
• Métodos para prevenir el monitoreo no autorizado de la RC.
____________________________________________________________
• Detección inmediata y automatizada de accesos no autorizados a la RC.
____________________________________________________________
• Contraseñas que autoricen el acceso a la RC y eviten la entrada en archivos no autorizados.
_____________________________________________________________
• Otros.
13. ¿Se han tomado en cuenta algunas consideraciones complementarias que ayuden al
mejoramiento continuo de la RC del negocio como las siguientes?
• Evaluación periódica de la RC: hardware, software, grado de satisfacción, grado de
utilización, etc.
_________________________________________________________
• Acceso a la RC: nuevos usuarios, niveles de acceso por perfil de usuario, asignaciones
de software o datos para utilizar, consultar, modificar, borrar, etc.
___________________________________________________________
• Capacitación: planeación, ejecución y actualización.
_________________________________________________________
• Crecimiento de la RC: multiplexores, enlaces, usuarios, módems y medios de transmisión.
_________________________________________________________
• Respaldo: datos, equipo, medios de transmisión, software, por mencionar algunos.
_________________________________________________________
• Seguridad: controles, procedimientos, software de auditoría, niveles de acceso. planes de
contingencia, plan de reinicialización y recuperación, etc.
_________________________________________________________
• Otros que se consideren pertinentes.
40