AUDITORIA DE SISTEMAS TELECOMUNICACIONES

Las telecomunicaciones pueden ser definidas como la serie de actividades electrnicas,

elctricas, y mecnicas que permiten a la gente y a las mquinas comunicarse unas con otras
no importando las distancias. Los siguientes tres tipos de comunicaciones son facilitadas por
las telecomunicaciones:
. Persona a persona.
. Persona a mquina.
. Mquina a mquina.
Frecuentemente, las telecomunicaciones son consideradas slo en trminos de la tecnologa que
respalda las comunicaciones, tales como modems, multiplexores, computadoras y terminales; sin
embargo, el sistema total es algo ms que simplemente la interconexin de sus componentes. La
gente, las polticas, los procedimientos y las prioridades son tan crticos como la tecnologa en la
composicin de un efectivo sistema de comunicaciones.
En el pasado, las telecomunicaciones estaban limitadas a la interconexin de dos sistemas. Con el
advenimiento de los sistemas de procesamiento en lnea, distribuido y cooperativo, el enlace de las
telecomunicaciones ha pasado a ser una parte integral de la aplicacin misma. Cuando la aplicacin
es crtica, el enlace o infraestructura de las telecomunicaciones es tambin crtico.
El propsito de este mdulo es identificar los temas de auditora relacionados con los sistemas de
telecomunicaciones; concentrndose en los riesgos y controles de cada componente. Cada captulo
comienza con una discusin tcnica bsica y contina relacionando los temas tcnicos de riesgos y
consideraciones de control.
COMPONENTE DEL AMBIENTE DE TELECOMUNICACIONES.
El costo de comunicacin para una organizacin puede ser significativo. Los gastos tpicos de
comunicaciones incluyen lo siguiente:
. Las instalaciones de transmisin
- Lneas telefnicas con frmulas de valuacin fijas.
- Satlite y canales de microonda.
- Radio de canal fijo y celular (Instalaciones de comunicaciones limitadas por una distancia (radio)
determinada).
- Fibra ptica, cable de cobre, cable coaxial y cable de par trenzado.
. Equipo
- Terminales.
- Modems (Modulador - Demodulador).
- Controladores.
- Equipo de conmutacin.
- Cableado local.
- Centros de control de la red.
- Convertidores de protocolo.
- Puentes.
- Puertas de acceso.
. Software
- Paquetes de Seguridad.
- Programas de cifrado (criptografiado) / descifrado.
- Software de monitoreo de la red.
- Software de control de la red.
- Software de conversin de protocolos.
- Software de administracin de la red (Eje., administracin de activos, facturacin)

. Personal
- Tcnicos.
- Instaladores.
- Equipo tcnico de control de la red.
- Equipo tcnico (personal) de escritorio de ayuda al usuario.
- Analistas de la red.
- Operadores de Intercambio Privado de Ramificacin (PBX).

AUDITORIA DE SISTEMAS -TELECOMUNICACIONES

RIESGOS Y CONTROLES
Las aplicaciones se hacen disponibles a los usuarios mediante una red de
telecomunicaciones, y los vnculos o nexos de las telecomunicaciones pueden ser una
parte integral de una aplicacin usando el procesamiento distribuido o cooperativo. Los
controles requeridos en la red dependen tanto del tipo de aplicaciones que soporta la red,
como del tipo de organizacin de los servidores de la red.
Los riesgos de las aplicaciones incluyen acceso no autorizado a los datos confidenciales,
manipulacin maliciosa de datos, interrupcin de operaciones de negocio, e informacin
inexacta o incompleta. Las aplicaciones que son en lnea , altamente interactivas y
caracterizadas por tiempos de respuesta rpido, comnmente requieren controles
adicionales de telecomunicaciones.
Durante el anlisis de la red, una variedad de riesgos tiene que ser manejados, incluyendo
lo siguiente:
. Los costos de la red pueden ser demasiado altos para la actividad del negocio.
. Los costos de operacin de la red no pueden ser totalmente proyectados al tomar la
decisin del negocio.
. La red puede no ser entregada de una manera oportuna, causando costos excesivos y
prdidas en el negocio.
. La red puede no apoyar la actividad del negocio o no ser fcil de usar.
Los riesgos asociado con el rea del transporte y el porteador en la actividad de las
telecomunicaciones, incluyen lo siguiente:
. La no disponibilidad de servicio o la prdida de datos pueden interrumpir negocios y
daar, destruir, o desconectar los medios de transmisin. Tales riesgos pueden ser
mitigados protegiendo fsicamente las instalaciones de comunicaciones, incluyendo las
reas por donde los circuitos entran en el local. Los medios de transmisin deben ser
controlados y probados para evitar degradacin del servicio.
. Los riesgos financieros asociados con el reemplazo del equipo, deben ser interpretados
por tcnicos calificados. Los negocios perdidos pueden ser el resultado de una falla de
los medios de comunicaciones; que priva a la administracin de la informacin
requerida para tomar las decisiones adecuadas. Muchos de los riesgos que causan la
perdida de negocios, pueden ser mitigados por un bien probado plan de recuperacin de
desastres.
. La facturacin del porteador puede ser incorrecta debido a la complejidad de los
procedimientos de tarifas y a los procedimientos de facturacin usados por los porteadores.

Para mitigar tales riesgos, todos los circuitos deben ser exactamente inventariados y las
facturas y ordenes de cargo reconciliadas sobre una base peridica.
. Los riesgos de obsolescencia estn relacionados con la conveniencia de los servicios de
transmisin para las necesidades del negocio y la capacidad para respaldar los diversos
componentes de la red. Para mitigar estos riesgos de obsolescencia, la organizacin debe
desarrollar cuidadosamente un plan estratgico integrado a largo plazo.
Un riesgo clave para una red son los usuarios no autorizados que logran acceso a la red y
tratan de ejecutar aplicaciones o autorizar usuarios para conseguir acceso a las
aplicaciones para las cuales ellos no estn autorizados. Los riesgos generales planteados
para una red, por un usuario no autorizado, incluyen el uso no autorizado de los recursos
de la red para transportar datos, modificaciones o eliminacin de datos, revelacin de
informacin y uso de los recursos de la red para negar la utilizacin legtima de los
servicios. Los controles incluyen lo siguiente:
. Seguridad fsica de la red, para evitar que los usuarios estn accediendo fsicamente a
los dispositivos y medios de transmisin de la red.
. Seguridad de acceso lgico, para evitar a los usuarios no autorizados utilizar la red una
vez que ellos estn conectados fsicamente a la misma.
Hay tambin riesgos y controles de acceso; asociados con usuarios que utilizan redes
conmutadas pblicas para conmutar en una red. Los diferentes tipos de conexiones, sus
riesgos asociados y los controles relacionados incluyen lo siguiente:
. Usar modems sincrnicos en lugar de modems asincrnicos para conectar a la red los
dispositivos de proteccin de puerto, reduce el riesgo de acceso no autorizado.
. Las redes conectadas a la red de conmutacin pblica de telfonos tienen un mayor
riesgo de acceso no autorizado, porque cualquier usuario con el equipo adecuado puede
intentar conectarse a la red. Los riesgos pueden ser reducidos manteniendo
confidenciales los nmeros de telfono, usando dispositivos de supresin de tono en
puertos y limitando la disponibilidad de la red a ciertas horas del da.
. Las redes conectadas a una red de conmutacin pblica de informacin, tambin tienen
un gran riesgo de acceso no autorizado, debido a que las listas publicadas de nmeros
de telfono son fcilmente disponibles a los usuarios que pueden intentar conectarse a
la red. Estos riesgos pueden ser reducidos con el uso de servicios que requieran la
verificacin de autorizacin, limitando el acceso para un subconjunto de ubicaciones de
la red y desconectando usuarios despus un nmero especfico de cdigos de
identificacin incorrectos.
La administracin de cambios implica la aprobacin, el desarrollo, la prueba y la
documentacin de los cambios a una red. Los riesgos y los controles asociados con la
administracin de cambios incluyen lo siguiente:
. Los cambios inexactos o no autorizados - Los procedimientos de autorizacin de
cambios adecuados aseguran un adecuado nivel de prueba de la unidad y del sistema. En
ciertas situaciones, independientemente, la administracin de terceras personas para la
revisin de los cambios puede ser conveniente.
. La incapacidad para aislar fallas - Los inventarios precisos deben ser guardados, los
umbrales de desempeo deben ser establecidos y las pista de auditora e informacin
histrica deben ser registradas precisamente.
. Las inconsistencias e incompatibilidad entre componentes - La arquitectura de la red

debe centrarse en la conectividad y un proveedor debe ser contratado para cada

componente especfico. Los proveedores deben ser administrados; para protegerse contra
la degradacin del servicio y las demoras en la resolucin de problemas.
En conclusin podemos resumir :
LOS CONTROLES DEPENDEN DE : TIPO DE APLICACIN
TIPO DE ORGANIZACIN DE LOS SERVIDORES
RIESGOS DE LAS APLICACIONES:
.- ACCESOS NO AUTORIZADOS a los datos confidenciales, MANIPULACIN MALICIOSAS,
INTERRUPCION DE OPERACIONES DE NEGOCIOS,.
.- LAS APLICACIONES QUE SON EN LINEA , ALTAMENTE INTERACTIVAS Y NECESIDAD
DE EXCELENTES TIEMPOS DE RESPUESTA NECESATAN CONTROLES ADICIONALES.
DURANTE EL ANLISIS DE LA RED SE DEBE VERIFICAR LOS SIGUIENTES RIESGOS;
.- COSTOS:
.- TRANSPORTE:
.- OBSOLESCENCIA
.- USUARIOS NO AUTORIZADOS.
CONTROLES:

SEGURIDAD FSICA: ACCESO FISICO A LOS DISPOSITIVOS

SEGURIDAD LOGICA: ACCESO A LA RED UNA VEZ CONECTADOS
FSICAMENTE.

CONSIDERACIONES DE AUDITORIA
En el comienzo de la auditora, el auditor interno debe determinar el propsito del negocio
con la red, ya que este puede ayudar a definir los componentes que representan el mayor
riesgo.
Algunas de las fuerzas importantes que conducen el uso de las redes de
telecomunicaciones incluyen servicio al cliente, informes financieros, administracin de
procesos, generacin de utilidades y comunicacin interna en la organizacin. Una red de
telecomunicaciones tambin puede otorgar una ventaja estratgica a una organizacin.
Un siguiente paso lgico en la planeacin de los objetivos y el alcance de una auditora de
telecomunicaciones es determinar quien debe ser entrevistado. Los candidatos para las
entrevistas de auditora incluyen los siguientes:
. El administrador o gerente de telecomunicaciones, quien comnmente controla los
aspectos planificadores, presupuestaros y operacionales de comunicaciones.
. El administrador o gerente de la red, quien tpicamente administra el personal y el
equipo.
. El administrador o gerente de voz, quien administra el equipo telefnico, el informe de
llamadas, la facturacin, instalacin de telfonos, etc.
. El administrador o gerente de aplicaciones de comunicaciones, quien es responsable de
hacer los requerimientos funcionales de las aplicaciones en la realidad tcnica.
Las funciones y las responsabilidades de estas posiciones pueden ser combinadas o
distribuidas sobre uno o varios miembros del personal.

El auditor interno puede ms fcilmente establecer el alcance de la auditora utilizando un

mapa de la red.
Un mapa de la red debe mostrar el tramo geogrfico de la red, las ubicaciones de los sitios
de mayor procesamiento e instalaciones del usuario, hardware de procesamiento principal
y software de aplicaciones, vnculos o nexos de la red, capacidad de la lnea y el tipo de
informacin transmitida. Un mapa de la red puede ser tan complejo y detallado como un
esquema de ingeniera o como un diagrama de localizaciones de averas electrnicas, pero
inicialmente debe ser mantenido al nivel ms alto de detalle.
Una variedad de tcnicas puede ser usada para verificar la existencia de controles
adecuados en el entorno de las telecomunicaciones. Estas incluyen las
siguientes:
. La revisin de la direccin y administracin de las telecomunicaciones, particularmente
las polticas y procedimientos de telecomunicaciones de la organizacin.
. Verificacin de la integridad de la red y procedimientos de monitoreo, tales como
informes de incidentes y medicin del tiempo de respuesta.
. Revisin del software de la red y la seguridad de acceso; en reas como el dial-in y el
software de diagnstico y monitoreo.
. Revisin de los procedimientos de administracin de cambios en las
telecomunicaciones, particularmente los cambios en el rea de software de
comunicaciones.
. Revisin de la exactitud del backup (respaldo) y recuperacin de la red, mediante el
examen de los procedimientos y las redundancias de backup (respaldo) en la red.

INTERNET
Introduccin

Junto con la popularidad de Internet y la explosin de usuarios en todo el

mundo, ha venido una creciente amenaza de ataques hacia los sistemas
y la informacin de las organizaciones pblicas y privadas.
Es importante tener en cuenta algunas caractersticas que presenta los
sistemas de informacin actuales:
- Gran Importancia de la Informacin

- Mayor conocimiento de los usuarios sobre estos sistemas

- Gran avance de los sistemas de comunicacin y redes
- Internet como medio global de intercambio de informacin y plataforma
de negocios.
- Cuando se realizan negocios por Internet (Comercio electrnico) se
tienen cuatro piedras angulares:
- Impedir transacciones de datos no autorizados. Impedir alteracin de
Mensajes despus de envo
- Capacidad determinar si transmisin es desde fuente autntica o
suplantada
- Manera de impedir a un emisor, que se est haciendo pasar por otro
Internet crea todas las posibilidades para hacer frgil la seguridad en el
sistema: Tiempo de exposicin, protocolos conocidos, usuarios
"expertos" y la mezcla e igualdad de sistemas.
Componentes en Ambientes Internet

Navegador o Browser.
Servidor Web
Servidor de Servicios Internet (ISP)
Enrutadores
Puntos de Acceso a la Red
Enlace Usuario - ISP
Protocolo HTTP
Protocolos TCP/IP
HTML
Cdigo Mvil: ASP, Servlets, Applets, CGI...
Protocolos seguros: http-S, SSL.
Riesgos asociados a estos ambientes

Gran parte de los problemas asociados a Internet estn relacionados por un

lado, con la seguridad misma de los protocolos que lo conforman y por el otro
por la disponibilidad del sistema en tiempo y espacio para que sea examinado
y eventualmente atacado. En general estos riesgos los podemos resumir en:

Acceso no Autorizado al Sistema

- Divulgacin de informacin confidencial
- Robo o alterar informacin de la empresa.
- Denegacin de Servicio
- Espionaje o alteracin de mensajes
- Transacciones fraudulentas.
- Modificacin o sabotaje de Sitios Web, generando prdida de la imagen corporativa.
- Prdida de recursos
- Uso del sistema vulnerado para realizar ataques a otros sistemas

- Virus, gusanos y troyanos.

- Instalacin y uso de cdigo malicioso
Vulnerabilidades de Seguridad en Internet ms criticas
La mayor parte de los ataques en Internet, se realizan sobre un pequeo
nmero de vulnerabilidades en los sistemas y aprovechando que las
organizaciones pasan por alto las revisiones constantes de los problemas
detectados en las versiones de sus productos y por lo tanto no hacen las
correcciones del caso. El Instituto Sans emite un informe sobre las mas criticas
de estas vulnerabilidades (SAN00).
- Debilidades en los servidores de Nombres de Dominio (DNS), en particular
BIND.
Soluciones:
Desactivarlo en caso de no ser necesario.
Descargar y actualizar a las ultimas versiones

- Debilidades asociadas con programas CGI en los servidores, generalmente

por uso de CGIs desconocidos
Soluciones:
Uso de programas conocidos
Deshabilitar el soporte CGI, para aquellos servidores que no lo necesiten
- Problemas con llamadas a procedimientos remotos RPC
Solucin: Deshabilitar en los casos que sea posible servicios que usen RPC en
sistemas expuestos a Internet.
- Agujeros de seguridad en Servidores Web (Especialmente IIS)
Solucin: Actualizar desde sitio del fabricante y configurar segn
procedimiento recomendado.
- Debilidad en desbordamiento de Buffer en SendMail
Solucin: No usar la modalidad deamon en sistemas que no sean servidores
de correo.
Actualizacin a ltima versin parcheada.
- Problemas con comparticin de archivos (NetBios, NFS)

Soluciones:
Verificar que solo se comparten los directorios requeridos
En lo posible compartir solo con direcciones IP especificas
Usar contraseas para definir nivel de acceso
Bloquear las conexiones entrantes al servicio de sesin NetBios
- Contraseas inapropiadas
Solucin: Crear una poltica de contraseas exigente
- Configuraciones inapropiadas de Protocolos de correo
Soluciones:
Deshabilitar estos en aquellas maquinas que no son servidores de correo.
Utilizar versiones actualizadas.
Usar canales encriptados como SSH y SSL
- Nombres de comunidad por defecto en SNMP (Public, private)

Riesgos Posibles Infractores

Posibles Infractores

Crackers
Hackers
Vndalos
Empleados
Algunas definiciones que vale la pena traer son:
Hacking. Entrar en forma ilegal y sin el consentimiento del propietario
en su sistema informtico. No conlleva la destruccin de datos ni la
instalacin de virus. Tambin se puede definir como cualquier accin
encaminada a conseguir la intrusin en un sistema (ingeniera social,
caballos de troya, etc.)
Cracker. Un individuo que se dedica a eliminar las protecciones lgicas y
fsicas del software. Normalmente muy ligado al pirata informtico puede
ser un hacker criminal o un hacker que daa el sistema en el que intenta
penetrar.
Crackeador o crack: Son programas que se utilizan para desproteger o

sacar los passwords de programas comerciales. Pudiendo utilizarse stos

como si se hubiera comprado la licencia. Quienes los distribuyen son
altamente perseguido por las entidades que protegen los productores de
software.
Entre las variantes de crackers maliciosos estn los que realizan Carding
(Tarjeteo, uso ilegal de tarjetas de crdito), Trashing (Basureo, obtencin
de informacin en cubos de basura, tal como nmeros de tarjetas de
crdito, contraseas, directorios o recibos) y Phreaking o Foning (uso
ilegal de las redes telefnicas).

ATAQUES EN AMBIENTE INTERNET

Ataques

- Ataques a Contraseas.
- Consecucin de direcciones IP
- Scaneo de puertos
- Cdigo Daino
- Captura y anlisis de trafico.
- Denegacin del Servicio (DOS).
- IP Spoofing (Modificacin del campo de direccin origen de los paquetes IP,
por la que se desea suplantar

ATAQUES EN INTERNET
Herramientas Usadas

Aprovechar Huecos de Seguridad en Sistemas operativos y/o Servicios:

Defectos en el software, que permiten la intrusin o generan fallas graves
en el funcionamiento.
Scaneo de Puertos: Siendo una herramienta que apoya la seguridad
puede ser utilizada en contra de ella. Permite conocer el estado de los
puertos asociados con los servicios disponibles en la instalacin.
Sniffer: Es un programa que intercepta la informacin que transita por una
red. Sniffing es espiar y obtener la informacin que circula por la red. Coloca
la interfaz en modo promiscuo y captura el trfico. Su misin para los
ataques es fisgonear la red en busca de claves o puertos abiertos.
Troyanos: Programas que simulan ser otros para as atacar el sistema.
Ataque de Fuerza bruta sobre claves. Forma poco sutil de entrar en un

sistema que consiste en probar distintas contraseas hasta encontrar la

adecuada.
Ingeniera Social: Es una tcnica por la cual se convence a alguien, por
diversos medios, de que proporcione informacin til para hackear o para
beneficiarnos. Requiere grandes dosis de psicologa. Explota la tendencia de
la gente a confiar en sus semejantes.
Basureo o Trashing: Recoger basura. Se trata de buscar en la basura
(fsica o informtica) informacin que pueda ser til para hackear.
Ping: Ubicar equipos conectados.
Traceroute: Ver la ruta de paquetes y enrutadores en la red
Spams: No es un cdigo daino, pero si bastante molesto. Es un programa
que ejecuta una orden repetidas veces. Ampliamente utilizado por empresas
de marketing usando el correo electrnico para enviar sus mensajes en
forma exagerada.

Evaluacin de Seguridad

El auditor debe verificar que se tengan presenten y se implementen medidas

que a partir de los riesgos planteados y dada la importancia del sistema para
la organizacin minimicen las amenazas.
Medidas de Control
- Conocimiento de los riesgos a que esta expuesta la instalacin en
particular.
- Conocimiento y correccin o "parcheo" de los problemas detectados y/o
reportados en versiones de - Sistemas Operativos y Servicios
implementados. Este mecanismo parte de la instalacin inicial.
- Concientizacin de los usuarios de los riesgos a que esta expuesta la
instalacin y el papel de cada uno en la proteccin. El 99% de los ataques se
realizan apoyndose en fallas al interior de la organizacin.
- Implementacin de polticas de seguridad en sistemas operativos.
- Auditoria y monitoreo a trafico, accesos y cambios en el sistema.
- Uso de sniffer y scanner para conocer el estado del sistema.
- Montaje de Firewall (Muro de Proteccin): Software y hardware de
seguridad encargado de chequear y bloquear el trfico de la red hacia y/o
desde un sistema determinado. Se ubica entre la red privada e Internet.
Pueden ser enrutadores de filtracin de paquetes o gateways de aplicaciones

basados en proxy.

Utilizacin de herramientas para Deteccin de Intrusos (IDS)

Uso de protocolos seguros como SSL y HTTP-S

Requerimientos de certificados de autenticacin en los casos de operaciones

de alta importancia.
A nivel de la empresa en lo posible, tener los datos de importancia en zonas
protegidas o fuera del acceso desde Internet.
Encriptacin de los datos sensitivos.
Evaluar que los usuarios usan solo los servicios requeridos para su labor y
que no exponen la seguridad con el uso de IRC, P2P, etc.
Se debe considerar la posibilidad de apoyarse en Hacking Etico para evaluar
la seguridad del sistema.
__

AUDITORIA

DE SISTEMAS

SISTEMAS DE CORREO ELECTRONICO

INTRODUCCION
Los sistemas de correo electrnico (E-MAIL) permiten a los
usuarios comunicar texto, informacin, imgenes o mensajes de
voz a travs de tales sistemas, utilizando enlaces de
telecomunicaciones. El correo electrnico tambin puede ser
utilizado efectivamente para planear reuniones de personal,
manejar planillas de empleados y como un mural electrnico.
La mayora de la informacin transmitida a travs del correo
electrnico puede ser enviada por medios convencionales
(Ejemplo, servicio postal, correspondencia inter-oficinas,
servicios de correo o telfono), pero el correo electrnico
puede suministrar la informacin de forma ms rpida,
efectiva y a menor costo.
La confidencialidad de los mensajes de correo electrnico no
pueden ser asegurada sin controles de seguridad extensos.
Estos controles pueden ser costosos y pueden compensar las
ventajas obtenidas utilizando el correo electrnico. El uso
del correo electrnico revive (en Estados Unidos) algunos
temas legales, como son la confidencialidad y la definicin
de evidencia legal. Recientes casos legales han establecido
precedentes, permitiendo que registros electrnicos de
mensajes de correo electrnico sean utilizados como evidencia
legal.
COMPONENTES DE UN SISTEMA DE CORREO ELECTRONICO
Los sistemas de correo electrnico combinan software y
hardware para crear y transmitir mensajes. En la actualidad
los sistemas de correo electrnico son pblicos o privados.
Los sistemas privados estn basados en organizaciones que
poseen grandes recursos de computacin y de comunicaciones,
mientras que, los sistemas pblicos estn basados en recursos
o servicios externos a las cuales se enlazan los usuarios por
medio del telfono u otras lneas de telecomunicaciones.
Una completa descripcin del software utilizado en el correo
electrnico
incluye
los
siguientes
aspectos,
independientemente de s es una red privada o pblica:
-

Apartados, son espacios de trabajo (workspaces) (memoria

del computador) creados por el software; para que los

usuarios administren la correspondencia.

Editores, son utilizados para creacin,
eliminacin de mensajes.

modificacin

Almacenamiento y envo, es una caracterstica del software

que permite a los mensajes ser almacenados hasta que el
usuario haga la operacin de registro en el sistema;
tambin permite al usuario enviar un mensaje a otros
usuarios en la red.

Directorios, listan los nombres de todos los usuarios y

las direcciones.

Listas de distribucin, permiten al usuario agrupar los

destinatarios de mensajes en listas, evitan la operacin
de
enviar
el
mismo
mensaje
a
cada
destinatario
individualmente.

Murales, son reas de acceso comn; en las cuales los

mensajes pueden ser almacenados y ledos por usuarios
autorizados.

Encabezamientos de mensajes, permiten al destinatario o

receptor identificar al remitente o transmisor y el tema
de un mensaje; antes de leer el mensaje concreto.

Almacenamiento de mensajes, permite a los usuarios salvar

mensajes para uso posterior.

El
principal
objetivo
de
los
sistemas
de
correo
electrnico, es procurar que la correspondencia sea
entregada rpidamente al destinatario o receptor adecuado.
Los
subsiguientes
objetivos
son
la
integridad
y
confidencialidad del mensaje.
El aspecto de seguridad
puede incluir el cifrado; para evitar el acceso al mensaje
mientras que este se transmite en ambientes sensibles de
alto riesgo.

Componentes del hardware

Los sistemas de correo electrnico son diseados para ser
utilizados conjuntamente con los sistemas de comunicaciones
existentes.
Los requerimientos de hardware son simplemente
una
estacin
de
trabajo
vinculada
a
una
red
de
comunicaciones.

RIESGOS Y CONTROLES
Los riesgos y controles asociados con el correo electrnico
CONSIDERACIONES DE AUDITORIA
Cuando el correo electrnico es crtico para la organizacin
y es utilizado para comunicar informacin importante o
confidencial, el auditor debera llevar a cabo los siguientes
pasos:
-

Revisar los controles de acceso sobre la informacin y los

apartados,
para
garantizar
acceso
slo
a
personas
autorizadas.

Evaluar la capacidad de la organizacin para mantener

comunicaciones crticas en el evento de fallas en la red.

Revisar los procedimientos existentes para

errores u omisiones y para recuperarse de estos.

Evaluar los
legales.

riesgos

relacionadas

con

las

detectar

implicaciones

Riesgos y Controles Asociados Con el Correo Electrnico

Riesgos
Privacidad de los Datos
Fallas de la Red
Errores y Omisiones en Datos
El Correo Electrnico como Evidencia Legal
Implicaciones Legales del Uso de Redes con Valor Agregado o
de Servicios de Procesamiento de Red
Controles
- Poltica de seguridad de informacin
- Controles de acceso
- Cifrado
- Plan de contingencias
- Medios de comunicacin alternativos (Ejemplo, telfonos,
facsmil)
- Plan de recuperacin
- Poltica para destruccin de la informacin en el destino a
intervalos de tiempo predefinidos
- Asesoramiento legal antes de su uso