Contenido

Unidad V. Auditora de la seguridad en la teleinformtica .................................................... 1 5.1 Generalidades de la seguridad en el rea de la teleinformtica. ................................. 1 5.2 Objetivos y criterios de la auditora en el rea de la teleinformtica .......................... 3 5.3 Sntomas de riesgos .................................................................................................... 11 5.4 Tcnicas y herramientas de auditora relacionadas con la seguridad en la teleinformtica.................................................................................................................. 13 Referencia de Internet ...................................................................................................... 14

Unidad V. Auditora de la seguridad en la teleinformtica

5.1 Generalidades de la seguridad en el rea de la teleinformtica.
En las polticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad, tal vez salvo emergencias concretas si as se ha especificado, y ms bien para comunicaciones por voz. En funcin de la clasificacin de los datos se habr previsto el uso de cifrado, en la auditora se evaluar o se llegar a recomendar, y se revisarn la generacin, longitud, comunicacin, almacenamiento y vigencia de las claves, especialmente de las maestras. Cada usuario slo debe recibir en el men lo que pueda seleccionar realmente. Los usuarios tendrn restriccin de accesos segn dominios, nicamente podrn cargar los programas autorizados, y slo podrn variar las configuraciones y componentes los tcnicos autorizados. Debern existir protecciones de distinto tipo, y tanto preventivas como de deteccin, ante posibles accesos sobre todo externos, as como frente a virus por diferentes vas de infeccin, incluyendo el correo electrnico. Se revisarn especialmente las redes cuando existan repercusiones econmicas porque se trate de transferencia de fondos o comercio electrnico.

Algunos de los puntos complementarios a revisar son:

Tipos de redes y conexiones. Informacin y programas transmitidos, y uso de cifrado. Tipos de transacciones. Tipos de terminales y protecciones: fsicas, lgicas, llamada de retorno. Proteccin de conversaciones de voz en caso necesario. Transferencia de archivos y controles existentes.
1

Consideracin especial respecto a las conexiones externas a travs de pasarelas (gateway) y encaminadores (routers), as como qu controles existen.

Ante la generalizacin de modalidades avanzadas de proceso, empiezan a preocupar y a ser objeto de auditora aspectos como: Internet e Intranet: separacin de dominios e implantacin de medidas especiales, como normas y cortafuegos (firewall), y no slo en relacin con la seguridad sino por accesos no justificados por la funcin desempeada, como a pginas de ocio o erticas, por lo que pueden suponer para la productividad. El correo electrnico, tanto por privacidad (PGP, Pretty Good Privacy se est usando mucho) y para evitar virus como para que el uso del correo sea adecuado y referido a la propia funcin, y no utilizado para fines particulares como se ha intentado hacer en muchas entidades y no siempre con xito, con otros recursos anteriores como telfono, fax, fotocopiadoras, o el uso de los propios computadores. Otro de los aspectos que preocupan es la proteccin de programas, y tanto la prevencin del uso no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso, como la carga o transmisin de otros de los que no se tenga licencia o simplemente para los que no exista autorizacin interna. Tambin preocupa el control sobre las paginas web: quin puede modificarlo y desde dnde, porque se han dado casos desagradables en alguna entidad que impactan muy negativamente en su imagen, y no tanto por los que lo ven directamente, sino por la publicidad que en los medios se puede dar a estos hechos. Finalmente preocupan tambin los riesgos que puedan existir en el comercio electrnico, aunque se estn empezando a utilizar sistemas fiables como SET (Secure Electronic Transaction). En relacin con todo ello, y para facilitar el control y la auditora, es necesario que queden registrados los accesos realizados a redes exteriores y protegidas esos registros, as como la fecha y hora y el usuario o sistema, y el tipo de informacin transferida y en qu sentido.

5.2 Objetivos y criterios de la auditora en el rea de la teleinformtica

Cada vez ms las comunicaciones estn tomando un papel determinante en el tratamiento de datos, cumplindose el lema el computador es la red. No siempre esta importancia queda adecuadamente reflejada dentro de la estructura, organizativa de proceso de datos, especialmente en organizaciones de tipo tradicional, donde la adaptacin a los cambios no se produce inmediatamente. Mientras que comnmente el directivo informtico tiene amplios conocimientos de comunicaciones estn a la misma altura, por lo que el riesgo de deficiente anclaje de la gerencia de comunicaciones en el esquema organizativo existe. Por su parte, los informticos a cargo de las comunicaciones suelen autoconsiderarse exclusivamente tcnicos, obviando considerar las aplicaciones organizativas de su tarea. Todos estos factores convergen en que la auditora de comunicaciones no siempre se practique con la frecuencia y profundidad equivalentes a las de otras reas del proceso de datos. Por tanto, el primer punto de una auditora es determinar que la funcin de gestin de redes y comunicaciones est claramente definida, debiendo ser responsable, en general, de las siguientes reas:

Gestin de la red, inventario de equipamiento y normativa de conectividad. Monitorizacin de las comunicaciones, registro y resolucin de problemas. Revisin de costos y su asignacin de proveedores y servicios de transporte, balanceo de trfico entre rutas y seleccin de equipamiento. Participacin activa en la estrategia de proceso de datos, fijacin de estndares a ser usados en el desarrollo de aplicaciones y evaluacin de necesidades en comunicaciones.

Como objetivos del control, se debe marcar la existencia de:

Una gerencia de comunicaciones con autoridad para establecer procedimientos y normativa. Procedimientos y registros de inventarios y cambios. Funciones de vigilancia del uso de la red de comunicaciones, ajustes de rendimiento, registro de incidencias y resolucin de problemas. Procedimientos para el seguimiento del costo de las comunicaciones y su reparto a las personas o unidades apropiadas.
3

Procedimientos para vigilar el uso de la red de comunicaciones, realizar ajustes para mejorar el rendimiento, y registrar y resolver cualquier problema. Participacin activa de la gerencia de comunicaciones en el diseo de las nuevas aplicaciones online para asegurar que se sigue la normativa de comunicaciones.

Lista de control * G.1. La gerencia de comunicaciones despacha con el puesto directivo que en el organigrama tenga autoridad suficiente para dirigir y controlar la funcin. * G.2. Exista coordinacin organizativa entre la comunicacin de datos y la de voz, en caso de estar separadas estas dos funciones. * G.3. Existan descripciones del puesto de trabajo, competencias, requerimientos y responsabilidades para el personal involucrado en las comunicaciones. * G.4 Existan normas en comunicaciones al menos para las siguientes reas:

Tipos de equipamiento, como adaptadores LAN, que pueden ser instalados en la red. Procedimientos de autorizacin para conectar nuevo equipamiento en la red. Planes y procedimientos de autorizacin para la introduccin de Lneas y equipos fuera de las horas normales de operacin. Procedimientos para el uso de cualquier conexin digital con el exterior, como lnea de red telefnica conmutada o Internet. Procedimientos de autorizacin para el uso de exploradores fsicos (sniffers) y lgicos (traceadores). Control fsico de los exploradores fsicos (sniffers), que deben es guardados. Control de qu mquinas tienen instalados exploradores (traceadores), y de que stos slo se pueden invocar por usuarios autorizados.

* G.5. Los contratos con transportistas de informacin y otros proveedores tienen definidas responsabilidades y obligaciones. * G.6. Existan planes de comunicaciones a largo plazo, incluyendo estrategia de comunicaciones de voz y datos.

* G.7. Existen, si fueren necesarios, planes para comunicaciones a velocidad, como fibra ptica, ATM. etc. * G. 8. Se planifican redes de cableado integral para cualquier nuevo edificio dependencia que vaya a utilizar la empresa. * G.9. El plan general de recuperacin de desastres considera el respaldo recuperacin de los sistemas de comunicaciones. * G.10. Las listas de inventario cubren todo el equipamiento de comunicaciones de datos, incluyendo mdems, controladores, terminales, lneas equipos relacionados. * G.11. Se mantienen los diagramas de red que documentan las conexiones fsicas y lgicas entre las comunicaciones y otros equipos de proceso de datos. * G.12. Se refleja correctamente, en el registro de inventario y en los diagramas de red, una muestra seleccionada de equipos de comunicaciones, de dentro y de fuera de la sala de computadores. * G.13. Los procedimientos de cambio para equipos de comunicaciones como para aadir nuevos terminales o cambios en direcciones, son adecuados y consistentes con otros procedimientos de cambio en las operaciones de proceso de datos. * G.14. Existe un procedimiento formal de prueba que cubre la introduccin de cualquier nuevo equipo o cambios en la red de comunicaciones. * G.15. Para una seleccin de diversas altas o cambios en la red, de un perodo reciente, los procedimientos formales de control han sido cumplidos. * G.16. Estn establecidos ratios de rendimiento que cubren reas como la de tiempos de respuesta en los terminales y tasas de errores. * G. 17. Se vigila la actividad dentro de los sistemas online y se realizan los ajustes apropiados para mejorar el rendimiento. * G. 18. Existen procedimientos adecuados de identificacin, documentacin y toma de acciones correctivas ante cualquier fallo de comunicaciones. * G.19. La facturacin de los transportistas de comunicaciones y otros vendedores es revisada regularmente y los cargos con discrepancias se conforman adecuadamente. * G.20. Existe un sistema comprensible de contabilidad y cargo en costos de comunicaciones, incluyendo lneas, equipos y terminales.

* G.21. Los gestores de comunicaciones estn informados y participan en la planificacin pre-implementacin de los nuevos sistemas de informacin que puedan tener impacto en las comunicaciones. * G.22. Las consideraciones de planificacin de capacidad en comunicaciones son tomadas en cuenta en el diseo e implementacin de nuevas aplicaciones. Auditando la red fsica En una primera divisin, se establecen distintos riesgos para los datos que circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de auditarse hasta qu punto las instalaciones fsicas del edificio ofrecen garantas y han o estudiadas las vulnerabilidades existentes. En general, muchas veces se parte del supuesto de que si no existe acceso fsico desde el exterior a la red interna de una empresa las comunicaciones internas quedan a salvo. Debe comprobarse que efectivamente los accesos fsicos provenientes del exterior han sido debidamente registrados, para evitar estos accesos. Debe tambin comprobarse que desde el interior del edificio no se intercepta fsicamente el cableado (pinchazo). En caso de desastre, bien sea total o parcial, ha de poder comprobarse cul es la parte del cableado que queda en condiciones de funcionar y qu operatividad puede soportar. Ya que el tendido de cables es una actividad irrealizable a muy corto plazo, los planes de recuperacin de contingencias deben tener prevista la recuperacin en comunicaciones. Ha de tenerse en cuenca que la red fsica es un punto claro de contacto entre la gerencia de comunicaciones y la gerencia de mantenimiento general de edificios, que es quien suele aportar electricistas y personal profesional para el tendido fsico de cables y su mantenimiento. Como objetivos de control, se debe marcar la existencia de:

reas controladas para los equipos de comunicaciones, previniendo as accesos inadecuados. Proteccin y tendido adecuado de cables y lneas de comunicaciones, para evitar accesos fsicos. Controles de utilizacin de los equipos de pruebas de comunicaciones, usados para monitorizar la red y su trfico, que impidan su utilizacin inadecuada. Atencin especfica a La recuperacin de los sistemas de comunicacin de datos en el plan de recuperacin de desastres en sistemas de informacin.
6

Controles especficos en caso de que se utilicen lneas telefnicas normales con acceso a la red de datos para prevenir accesos no autorizados al sistema o a la red.

* F. 1. El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado a personas autorizadas.

* F.2. La seguridad fsica de los equipos de comunicaciones, tales como controladores de comunicaciones, dentro de las salas de computadores sea adecuada. * F.3. Slo personas con responsabilidad y conocimientos estn incluidas en la lista de personas permanentemente autorizadas para entrar en las salas de equipos de comunicaciones. * F.4. Se toman medidas para separar las actividades de electricistas y personal de tendido y mantenimiento de tendido de lneas telefnicas, as como sus autorizaciones de acceso, de aqullas del personal bajo control de la gerencia de comunicaciones. * F.5. En las zonas adyacentes a las salas de comunicaciones, todas Las lneas de comunicaciones fuera de la vista. * F.6. Las lneas de comunicaciones, en las salas de comunicaciones, armarios distribuidores y terminaciones de los despachos, estarn etiquetadas con un cdigo gestionado por la gerencia de comunicaciones, y no por su descripcin fsica o mtodos sin coherencia. * F.7. Existen procedimientos para la proteccin de cables y bocas de conexin que dificulten el que sean interceptados o conectados por personas no autorizadas. * F.8. Se revisa peridicamente la red de comunicaciones, buscando intercepciones activas o pasivas. * F.9. Los equipos de prueba de comunicaciones usados para resolver los problemas de comunicacin de datos deben tener propsitos y funciones definidos. * F. l0. Existen controles adecuados sobre los equipos de prueba de comunicaciones usados para monitorizar lneas y fijar problemas incluyendo:

Procedimiento restringiendo el uso de estos equipos a personal autorizado. Facilidades de traza y registro del trfico de datos que posean los equipos de monitorizacin. Procedimientos de aprobacin y registro ante las conexiones a lneas de comunicaciones en la deteccin y correccin de problemas.
7

* F. 11. En el plan general de recuperacin de desastres para servicios de informacin presta adecuada atencin a la recuperacin y vuelta al servicio de los sistemas de comunicacin de datos. * F.12. Existen planes de contingencia para desastres que slo afecten a las comunicaciones, como el fallo de una sala completa de comunicaciones. * F. 13. Las alternativas de respaldo de comunicaciones, bien sea con las mismas salas o con salas de respaldo, consideran la seguridad fsica de estos lugares. * F. 14. Las lneas telefnicas usadas para datos, cuyos nmeros no deben ser pblicos, tienen dispositivos/procedimientos de seguridad tales como retrollamada, cdigos de conexin o interruptores para impedir accesos no autorizados al sistema informtico. Auditando la red lgica Cada vez ms se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de manera que sea la red de comunicaciones el substrato comn que les une. Ledo a la inversa, la red hace que un equipo pueda acceder legtimamente a cualquier otro, incluyendo al trfico que circule hacia cualquier equipo de la red. Y todo ello por mtodos exclusivamente lgicos, sin necesidad de instalar fsicamente ningn dispositivo. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y por tanto, al resto de los equipos de la instalacin. Es necesario monitorizar la red, revisar los errores o situaciones anmalas que se producen y tener establecidos los procedimientos para detectar y aislar equipos en situacin anmala. En general, si se quiere que la informacin que viaja por la red no pueda ser espiada, la nica solucin totalmente efectiva es la encriptacin. Como objetivos de control, se debe marcar la existencia de:

Contraseas y otros procedimientos para limitar y detectar cualquier intento de acceso no autorizado a la red de comunicaciones. Facilidades de control de errores para detectar errores de transmisin y establecer las retransmisiones apropiadas. Controles para asegurar que las transmisiones van solamente a usuarios autorizados y que los mensajes no tienen por qu seguir siempre la misma ruta. Tcnicas de cifrado de datos donde haya riesgos de accesos impropios a transmisiones sensibles.

Controles adecuados que cubran la importacin o exportacin de datos a travs de puertas, en cualquier punto de la red, a otros sistemas informticos.

Lista de control Comprobar que: * L. 1. El software de comunicaciones, para permitir el acceso, exige cdigo de usuario y contrasea. * L. 2. Revisar el procedimiento de conexin de usuario y comprobar que:

Los usuarios no pueden acceder a ningn sistema, ni siquiera de ayuda, antes de haberse identificado correctamente. Se inhabilita al usuario que sea incapaz de dar la contrasea despus de un nmero determinado de intentos infructuosos. Se obliga a cambiar la contrasea regularmente. Las contraseas no son mostradas en pantalla cuando se teclean. Durante el procedimiento de identificacin, los usuarios son informados de cundo fue su ltima conexin para ayudar a identificar potenciales suplantaciones o accesos no autorizados.

* L. 3. Cualquier procedimiento del fabricante, mediante hardware o software, que permita el libre acceso y que haya sido utilizado en la instalacin original, ha de haber sido inhabilitado o cambiado. * L. 4. Se toman estadsticas que incluyan tasas de errores y de retransmisin. * L. 5. Los protocolos utilizados, revisados con el personal adecuado de comunicaciones, disponen de procedimientos de control de errores con la seguridad suficiente. * L. 6. Los mensajes lgicos transmitidos identifican el origen, la fecha, la hora y el receptor. * L. 7. El software de comunicaciones ejecuta procedimientos de control y correctivos ante mensajes duplicados, fuera de orden, perdidos, o retrasados.

* L. 8. La arquitectura de comunicaciones utiliza indistintamente cualquier ruta disponible de transmisin para minimizar el impacto de una escucha de datos sensibles en una ruta determinada. * L. 9. Existen controles para que los datos sensibles slo puedan ser impresos en las impresoras designadas y vistos desde los terminales autorizados. * L. 10. Existen procedimientos de registro para capturar y ayudar a reconstruir todas las actividades de las transacciones. * L. 11. Los archivos de registro son revisados, si es posible a travs de herramientas automticas, diariamente, vigilando intentos impropios de acceso. * L. 12. Existen anlisis de riesgos para las aplicaciones de proceso de datos a fin de identificar aquellas en las que el cifrado resulte apropiado. * L. 13. Si se utiliza cifrado:

Existen procedimientos de control sobre la generacin e intercambio de claves. Las claves de cifrado son cambiadas regularmente. El transporte de las claves de cifrado desde donde se generan a los equipos que las utilizan sigue un procedimiento adecuado.

* L. 14. Si se utilizan canales de comunicacin uniendo diversos edificios de la misma organizacin, y existen datos sensibles que circulen por ellos, comprobar que estos canales se cifran automticamente, para evitar que una interceptacin sistemtica a un canal comprometa a todas las aplicaciones. * L. 15. Si la organizacin tiene canales de comunicacin con otras organizaciones se analice la conveniencia de cifrar estos canales. * L. 16. Si se utiliza la transmisin de datos sensibles a travs de redes abiertas como Internet, comprobar que estos datos viajan cifrados. * L. 17. Si en una red local existen computadores con mdems, se han revisado los controles de seguridad asociados para impedir el acceso de equipos forneos a la red local. * L. 18. Existe una poltica de prohibicin de introducir programas personales o conectar equipos privados a la red local. * L.19.Todas las puertas traseras y accesos no especficamente autorizados estn bloqueados. En equipos activos de comunicaciones, como puentes, encaminadores,
10

conmutadores, etc., esto significa que los accesos para servicio remoto estn inhabilitados o tienen procedimientos especficos de control. * L. 20. Peridicamente se ejecutan, mediante los programas actualizados y adecuados, ataques para descubrir vulnerabilidades, que los resultados se documentan y se corrigen las deficiencias observadas. Estos ataques deben realizarse independientemente a:

Servidores, desde dentro del servidor. Servidores, desde la red interna. Servidores Web, especficamente intranet, desde dentro de ella. Cortafuegos, desde dentro de ellos. Accesos desde el exterior y/o internet.

5.3 Sntomas de riesgos

Todos los sistemas de comunicacin, desde el punto de vista de auditora, presentan en general una problemtica comn: La informacin transita por lugares fsicamente alejados de las personas responsables. Esto presupone un compromiso en la seguridad, ya que no existen procedimientos fsicos para garantizar la inviolabilidad de la informacin. En las redes de comunicaciones, por causas propias de la tecnologa, pueden producirse bsicamente tres tipos de incidencias: 1a Alteracin de bits. Por error en los medios de transmisin, una trama puede sufrir variacin en parte de su contenido. La forma ms habitual de detectar, y corregir en su caso, este tipo de incidencias, es sufijar la trama con un Cdigo de Redundancia Cclico (CRC) que detecte cualquier error y permita corregir errores que afecten hasta unos pocos bits en el mejor de los casos. 2a Ausencia de tramas. Por error en el medio, o en algn nodo, o por sobrecarga, alguna trama puede desaparecer en el camino del emisor al receptor. Se suele atajar este riesgo dando un nmero de secuencia a las tramas. 3a Alteracin de Secuencia. El orden en el que se envan y se reciben las tramas no coincide. Unas tramas han adelantado a otras. En el receptor, mediante el nmero de secuencia., se reconstruye el orden original.
11

Por causas dolosas, y teniendo en cuenta que es fsicamente posible interceptar la informacin. Los tres mayores riesgos a atajar son: 10 Indagacin. Un mensaje puede ser ledo por un tercero, obteniendo la informacin que contenga. 20 Suplantacin. Un tercero puede introducir un mensaje espurio que el receptor cree proveniente del emisor legtimo. 30 Modificacin. Un tercero puede alterar el contenido de un mensaje. Para este tipo de actuaciones dolosas, la nica medida prcticamente efectiva en redes MAN y WAN (cuando la informacin sale del edificio) es La criptografa. En redes LAN suelen utilizarse ms bien medidas de control de acceso al edificio y al cableado, ya que la criptografa es muy onerosa todava para redes locales. Dada la proliferacin de equipos que precisan comunicacin de datos dentro de los edificios, es muy habitual plantearse sistemas de cableado integral en vez de tender un cable en cada ocasin. Esto es prcticamente un requisito en edificios con cierto volumen de usuarios. Los sistemas de cableado suelen dividirse segn su mbito. En cada planta o zona se tienden cables desde un armario distribuidor a cada uno de los potenciales puestos. Este cableado se denomina habitualmente de planta. Estos armarios estn conectados a su vez, entre s y con las salas de computadores, denominndose a estas conexiones cableado troncal. Desde las salas de computadores parten las lneas hacia los transportistas de datos (Telefnicas o PTTs), saliendo los cables al exterior del edificio en lo que se denomina cableado de ruta. El cableado de planta suele ser de cobre, por lo que es propenso a escuchas (pinchazos) que pueden no dejar rastro. El cableado troncal y el de ruta cada vez ms frecuentemente se tienden mediante fibras pticas, que son muy difciles de interceptar, debido a que no provocan radiacin electromagntica y a que la conexin fsica a una fibra ptica requiere una tecnologa delicada y compleja. En el propio puesto de trabajo puede haber peligros, como grabar/retransmitir la imagen que se ve en la pantalla, teclados que guardan memoria del orden en que se han pulsado las teclas, o directamente que las contraseas estn escritas en papeles a la vista. Dentro de las redes locales, el mayor peligro es que alguien instale una escucha no autorizada. Al viajar en claro la informacin dentro de la red local, es imprescindible tener una organizacin que controle estrictamente los equipos de escucha, bien sean stos fsicos (sniffer) o lgicos (traceadores).
12

Ambos escuchadores, fsicos y lgicos, son de uso habitual dentro de cualquier instalacin de cierto tamao. Por tanto, es fundamental que ese uso legtimo est controlado y no devenga en actividad espuria. El riesgo de interceptar un canal de comunicaciones, y poder extraer de l la informacin, tiene unos efectos relativamente similares a los de poder entrar, sin control, en el sistema de almacenamiento del computador. Hay un punto especialmente crtico en los canales de comunicaciones que son las contraseas de usuario. Mientras que en el sistema de almacenamiento las contraseas suelen guardarse cifradas, es inhabitual que los terminales u computadores personales sean capaces de cifrar la contrasea cuando se enva al computador central o al servidor. Por tanto, alguien que intercepte la informacin puede hacerse con las contraseas en claro. Adems, dado que las cartulas inciales donde se teclea la contrasea son siempre las mismas, se facilita la labor de los agentes de interceptacin, pues proporcionan un patrn del paquete de informacin donde viaja la contrasea a interceptar.

5.4 Tcnicas y herramientas de auditora relacionadas con la seguridad en la teleinformtica

Actualmente las telecomunicaciones y las redes de computadoras son un pilar sobre el cual se sostienen la mayora de las operaciones que se realizan en una organizacin. Dada su rpida expansin, es muy comn que hoy en da muchas organizaciones tengan una gran infraestructura de red y de telecomunicaciones. No se concibe una empresa que no tenga sus aplicaciones de software para las operaciones cotidianas, usando una red de computadoras. Por tanto, es casi seguro de que si ocurriera un fallo en la infraestructura de telecomunicaciones, la organizacin quedara prcticamente paralizada. La auditora de la seguridad en este campo procura entonces evitar que las consecuencias de un problema no sean devastadores. A continuacin se listarn algunas de las tcnicas y herramientas relacionadas con dicha seguridad:

No debe permitirse la entrada a la red a personas no autorizadas, ni usar las terminales. Debe existir un software de comunicacin efectivo y controlado. Restringir el acceso a las instalaciones del procesamiento de red. Se debe contar con un sistema de codificacin para la informacin confidencial. Realizar peridicamente una verificacin fsica del uso de terminales y de los reportes obtenidos. Se deben monitorear peridicamente el uso que le est dando a las terminales. Se deben hacer auditorias peridicas sobre el rea de operacin. Verificar que los datos recolectados sean procesados correctamente.
13

Deben realizarse revisiones regulares de seguridad a los usuarios. Documentacin y capacitacin del personal de la red. Se debe establecer los mecanismos de control del funcionamiento de la red para garantizar la utilizacin. Deben existir planes de respaldo y contingencias de la red.

Programas de Trabajo de Auditoria Relacionado con las Telecomunicaciones Los siguientes son ejemplos de programas de trabajo que se pueden evaluar en una auditoria: Instalacin

Que existan procedimientos que aseguren la oportuna y adecuada instalacin de los diferentes componentes de la red. Que exista un registro de las actividades que se realizan durante el proceso de instalacin de los componentes de la red, hardware y software. Registro de la planeacin y evaluacin formal de las compras de los elementos de la red. Seguro de dichas compras. Control de software que se encuentra instalado.

Para dar de alta al personal especializado que har uso de los centros terminales, el centro de cmputo debe facilitar los medios para registrarlos y mantener actualizado dicho registro a travs de:

La unidad administrativa que sea responsable de un centro terminal debe registrar y dar de alta a todo el personal que haga uso del equipo de dicho centro. El rea del centro de cmputo mantendr el registro del personal que haga uso de dicho centro Terminal. Todo el personal que haga uso del centro terminal debe tener asignado un nmero de cuenta para mantener justificada la utilizacin de las facilidades de cmputo al nivel administrativo. Es necesario que el personal que tiene acceso a los centros terminales se capacite con el fin de mantenerlo actualizado.

Referencia de Internet
www.eduditec.tecvallarta.edu.mx

14