1
AUDITORIA DE LA SEGURIDAD
enTelecomunicaciones y redes de computadoras
Unidad VI
2
Introducción
En un tiempo no muy lejano, las computadoras eran realmente dispositivos aislados entre ellos, limitando su capacidad de uso.
La comunicación entre ellos se efectuaba a través del transporte físico de los datos a través de los medios extraíbles.
3
Introducción
La necesidad de compartir datos hizo que se desarrollaran las redes de computadoras.
Actualmente las telecomunicaciones y las redes de computadoras son un pilar sobre el cual se sostienen la mayoría de las operaciones que se realizan en una organización.
4
Introducción
Dada su rápida expansión, es muy común que hoy en día muchas organizaciones tengan una gran infraestructura de red y de telecomunicaciones.
No se concibe una empresa que no tenga sus aplicaciones de software para las operaciones cotidianas, usando una red de computadoras.
5
Introducción
Por tanto, es casi seguro de que si ocurriera un fallo en la infraestructura de telecomunicaciones, la organización quedaría prácticamente paralizada.
La auditoría de la seguridad en este campo procura entonces evitar que las consecuencias de un problema no sean devastadores.
6
Objetivos y Criterios de Seguridad en la Auditoria de Telecomunicaciones
Objetivos a tomar en cuenta: Verificar la existencia de controles
en software y hardware Asegurar la existencia de controles
y procedimientos que orienten a la satisfacción de la administración
7
Objetivos y Criterios de Seguridad en la Auditoria de Telecomunicaciones
Administración de la red de comunicaciones
Instalación de la redLa operación y seguridad de la redEl mantenimiento de la red.
8
Objetivos y Criterios de Seguridad en la Auditoria de Telecomunicaciones
Comprobar que la distribución de las bases de datos en la red sea segura
Verificar que las medidas de respaldo sean las adecuadas
Verificar si se cuenta con un software de monitoreo y auditoria de los diferentes elementos que compone la red
9
Objetivos y Criterios de Seguridad en la Auditoria de Telecomunicaciones
Verificar que el software de comunicación sea efectivo y controlado
Verificar que solo se encuentre software autorizado en la red
Evaluar las acciones que lleven a cabo para actualizar los diferentes componentes de la red
10
Objetivos y Criterios de Seguridad en la Auditoria de Telecomunicaciones
Verificar que existan parámetros de medición del desempeño de la redBitácorasGráficasEstadísticas
11
Objetivos y Criterios de Seguridad en la Auditoria de Telecomunicaciones
Criterios de seguridad
Todo centro terminal dependiente de un centro de cómputo debe de registrar un responsable de la comunicación entre ambas unidades administrativasEl centro de cómputo debe desarrollar controles y medidas de seguridad para los centros terminales
12
Objetivos y Criterios de Seguridad en la Auditoria de Telecomunicaciones
Es responsabilidad de los centros terminales registrar al personal que hará uso de las terminales
El centro de cómputo debe realizar auditorias periódicas, con el fin de evaluar la utilización del equipo.
13
Objetivos y Criterios de Seguridad en la Auditoria de Telecomunicaciones
El centro de cómputo debe elaborar un registro por escrito con fines estadísticos y de control, de la utilización de los recursos materiales técnicos y tecnológicos de todos y cada uno de los centros terminales
14
Objetivos y Criterios de Seguridad en la Auditoria de Telecomunicaciones
Es responsabilidad del centro de cómputo, con el apoyo de personal especializado en comunicaciones, supervisar el estado financiero, eléctrico y electrónico de los módems, medios de comunicación y enlaces de los usuarios
15
Objetivos y Criterios de Seguridad en la Auditoria de Telecomunicaciones
Es responsabilidad del centro terminal notificar al centro de cómputo de cualquier anomalía o falla que se detecte en el equipo
Falla de seguridad para las instalaciones, procesamiento y datos de la red
Falta de manuales de operación de la red de comunicación
16
Señales de Alerta de Seguridad en la Auditoria de Telecomunicaciones
Inexistencia de registros para la administración como:Usuarios que accesaron a la redOperaciones realizadas en la red
(envío/recepción)Tiempos de conexiónInterrupciones durante el uso de la redTiempo para realizar cada interrupción
17
Señales de Alerta de Seguridad en la Auditoria de Telecomunicaciones
Terminales y equipos conectadosAccesos inválidos a la redTerminales donde se realizaron
accesos no autorizados Personal no capacitado para la
administración de la red Falta de cursos de capacitación de
personal
18
Señales de Alerta de Seguridad en la Auditoria de Telecomunicaciones
Que no cuente con las siguientes medidas de seguridad:Protección de datos transmitidos a través de
la redProtección a los componentes de la redMétodos para prevenir el monitoreo no
autorizadoContraseñas que autoricen el acceso a la red
y eviten la entrada a archivos no autorizados
19
Señales de Alerta de Seguridad en la Auditoria de Telecomunicaciones
Que no cuente con pólizas de seguros contra daños en hardware y software
Falta de interés de la administración hacia las necesidades del centro de computo y terminales
20
Señales de Alerta de Seguridad en la Auditoria de Telecomunicaciones
Que no exista una política adecuada de vacaciones y reemplazosSolicitud por escrito de cursos o seminarios
de capacitación al centro de cómputoEl centro de cómputo asignará al instructor
más idóneo para elaborar y desarrollar el curso
El instructor establecerá el contenido, duración y horario del mismo
21
Señales de Alerta de Seguridad en la Auditoria de Telecomunicaciones
El centro de cómputo debe mantener rigurosamente los horarios de utilización de los centros de terminales
Control de la utilización del equipo con el que cuenta un centro terminal, para ello se utiliza una bitácora
22
Técnicas y Herramientas en Auditoría en Telecomunicaciones
No debe permitirse la entrada a la red a personas no autorizadas, ni usar las terminales
Debe existir un software de comunicación efectivo y controlado
Restringir el acceso a las instalaciones del procesamiento de red
Se debe contar con un sistema de codificación para la información confidencial
23
Técnicas y Herramientas en Auditoría en Telecomunicaciones
Realizar periódicamente una verificación física del uso de terminales y de los reportes obtenidos
Se deben monitorear periódicamente el uso que le está dando a las terminales
Se deben hacer auditorias periódicas sobre el área de operación
Verificar que los datos recolectados sean procesados correctamente
24
Técnicas y Herramientas en Auditoría en Telecomunicaciones
Deben realizarse revisiones regulares de seguridad a los usuarios
Documentación y capacitación del personal de la red
Se debe establecer los mecanismos de control del funcionamiento de la red para garantizar la utilización
Deben existir planes de respaldo y contingencias de la red
25
Programas de Trabajo de Auditoria Relacionado con las Telecomunicaciones
Los siguientes son ejemplos de programas de trabajo que se pueden evaluar en una auditoria:
InstalaciónInstalaciónQue existan procedimientos que aseguren la oportuna y adecuada instalación de los diferentes componentes de la redQue exista un registro de las actividades que se realizan durante el proceso de instalación de los componentes de la red, hardware y software
26
Programas de Trabajo de Auditoria Relacionado con las Telecomunicaciones
Registro de la planeación y evaluación formal de las compras de los elementos de la red
Seguro de dichas compras Control de software que se encuentra
instalado
27
Programas de Trabajo de Auditoria Relacionado con las Telecomunicaciones
Para dar de alta al personal especializado que hará uso de los centros terminales, el centro de cómputo debe facilitar los medios para registrarlos y mantener actualizado dicho registro a través de:
– La unidad administrativa que sea responsable de un centro terminal debe registrar y dar de alta a todo el personal que haga uso del equipo de dicho centro.
– El área del centro de cómputo mantendrá el registro del personal que haga uso de dicho centro terminal
28
Programas de Trabajo de Auditoria Relacionado con las Telecomunicaciones
Todo el personal que haga uso del centro terminal debe tener asignado un número de cuenta para mantener justificada la utilización de las facilidades de cómputo al nivel administrativo
Es necesario que el personal que tiene acceso a los centros terminales se capacite con el fin de mantenerlo actualizado
29
FIN
Top Related