Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria en Telecomunicaciones GUIA
Auditoria en Telecomunicaciones GUIA
. Personal
- Tcnicos.
- Instaladores.
- Equipo tcnico de control de la red.
- Equipo tcnico (personal) de escritorio de ayuda al usuario.
- Analistas de la red.
- Operadores de Intercambio Privado de Ramificacin (PBX).
Para mitigar tales riesgos, todos los circuitos deben ser exactamente inventariados y las
facturas y ordenes de cargo reconciliadas sobre una base peridica.
. Los riesgos de obsolescencia estn relacionados con la conveniencia de los servicios de
transmisin para las necesidades del negocio y la capacidad para respaldar los diversos
componentes de la red. Para mitigar estos riesgos de obsolescencia, la organizacin debe
desarrollar cuidadosamente un plan estratgico integrado a largo plazo.
Un riesgo clave para una red son los usuarios no autorizados que logran acceso a la red y
tratan de ejecutar aplicaciones o autorizar usuarios para conseguir acceso a las
aplicaciones para las cuales ellos no estn autorizados. Los riesgos generales planteados
para una red, por un usuario no autorizado, incluyen el uso no autorizado de los recursos
de la red para transportar datos, modificaciones o eliminacin de datos, revelacin de
informacin y uso de los recursos de la red para negar la utilizacin legtima de los
servicios. Los controles incluyen lo siguiente:
. Seguridad fsica de la red, para evitar que los usuarios estn accediendo fsicamente a
los dispositivos y medios de transmisin de la red.
. Seguridad de acceso lgico, para evitar a los usuarios no autorizados utilizar la red una
vez que ellos estn conectados fsicamente a la misma.
Hay tambin riesgos y controles de acceso; asociados con usuarios que utilizan redes
conmutadas pblicas para conmutar en una red. Los diferentes tipos de conexiones, sus
riesgos asociados y los controles relacionados incluyen lo siguiente:
. Usar modems sincrnicos en lugar de modems asincrnicos para conectar a la red los
dispositivos de proteccin de puerto, reduce el riesgo de acceso no autorizado.
. Las redes conectadas a la red de conmutacin pblica de telfonos tienen un mayor
riesgo de acceso no autorizado, porque cualquier usuario con el equipo adecuado puede
intentar conectarse a la red. Los riesgos pueden ser reducidos manteniendo
confidenciales los nmeros de telfono, usando dispositivos de supresin de tono en
puertos y limitando la disponibilidad de la red a ciertas horas del da.
. Las redes conectadas a una red de conmutacin pblica de informacin, tambin tienen
un gran riesgo de acceso no autorizado, debido a que las listas publicadas de nmeros
de telfono son fcilmente disponibles a los usuarios que pueden intentar conectarse a
la red. Estos riesgos pueden ser reducidos con el uso de servicios que requieran la
verificacin de autorizacin, limitando el acceso para un subconjunto de ubicaciones de
la red y desconectando usuarios despus un nmero especfico de cdigos de
identificacin incorrectos.
La administracin de cambios implica la aprobacin, el desarrollo, la prueba y la
documentacin de los cambios a una red. Los riesgos y los controles asociados con la
administracin de cambios incluyen lo siguiente:
. Los cambios inexactos o no autorizados - Los procedimientos de autorizacin de
cambios adecuados aseguran un adecuado nivel de prueba de la unidad y del sistema. En
ciertas situaciones, independientemente, la administracin de terceras personas para la
revisin de los cambios puede ser conveniente.
. La incapacidad para aislar fallas - Los inventarios precisos deben ser guardados, los
umbrales de desempeo deben ser establecidos y las pista de auditora e informacin
histrica deben ser registradas precisamente.
. Las inconsistencias e incompatibilidad entre componentes - La arquitectura de la red
CONSIDERACIONES DE AUDITORIA
En el comienzo de la auditora, el auditor interno debe determinar el propsito del negocio
con la red, ya que este puede ayudar a definir los componentes que representan el mayor
riesgo.
Algunas de las fuerzas importantes que conducen el uso de las redes de
telecomunicaciones incluyen servicio al cliente, informes financieros, administracin de
procesos, generacin de utilidades y comunicacin interna en la organizacin. Una red de
telecomunicaciones tambin puede otorgar una ventaja estratgica a una organizacin.
Un siguiente paso lgico en la planeacin de los objetivos y el alcance de una auditora de
telecomunicaciones es determinar quien debe ser entrevistado. Los candidatos para las
entrevistas de auditora incluyen los siguientes:
. El administrador o gerente de telecomunicaciones, quien comnmente controla los
aspectos planificadores, presupuestaros y operacionales de comunicaciones.
. El administrador o gerente de la red, quien tpicamente administra el personal y el
equipo.
. El administrador o gerente de voz, quien administra el equipo telefnico, el informe de
llamadas, la facturacin, instalacin de telfonos, etc.
. El administrador o gerente de aplicaciones de comunicaciones, quien es responsable de
hacer los requerimientos funcionales de las aplicaciones en la realidad tcnica.
Las funciones y las responsabilidades de estas posiciones pueden ser combinadas o
distribuidas sobre uno o varios miembros del personal.
INTERNET
Introduccin
Navegador o Browser.
Servidor Web
Servidor de Servicios Internet (ISP)
Enrutadores
Puntos de Acceso a la Red
Enlace Usuario - ISP
Protocolo HTTP
Protocolos TCP/IP
HTML
Cdigo Mvil: ASP, Servlets, Applets, CGI...
Protocolos seguros: http-S, SSL.
Riesgos asociados a estos ambientes
Soluciones:
Verificar que solo se comparten los directorios requeridos
En lo posible compartir solo con direcciones IP especificas
Usar contraseas para definir nivel de acceso
Bloquear las conexiones entrantes al servicio de sesin NetBios
- Contraseas inapropiadas
Solucin: Crear una poltica de contraseas exigente
- Configuraciones inapropiadas de Protocolos de correo
Soluciones:
Deshabilitar estos en aquellas maquinas que no son servidores de correo.
Utilizar versiones actualizadas.
Usar canales encriptados como SSH y SSL
- Nombres de comunidad por defecto en SNMP (Public, private)
Crackers
Hackers
Vndalos
Empleados
Algunas definiciones que vale la pena traer son:
Hacking. Entrar en forma ilegal y sin el consentimiento del propietario
en su sistema informtico. No conlleva la destruccin de datos ni la
instalacin de virus. Tambin se puede definir como cualquier accin
encaminada a conseguir la intrusin en un sistema (ingeniera social,
caballos de troya, etc.)
Cracker. Un individuo que se dedica a eliminar las protecciones lgicas y
fsicas del software. Normalmente muy ligado al pirata informtico puede
ser un hacker criminal o un hacker que daa el sistema en el que intenta
penetrar.
Crackeador o crack: Son programas que se utilizan para desproteger o
- Ataques a Contraseas.
- Consecucin de direcciones IP
- Scaneo de puertos
- Cdigo Daino
- Captura y anlisis de trafico.
- Denegacin del Servicio (DOS).
- IP Spoofing (Modificacin del campo de direccin origen de los paquetes IP,
por la que se desea suplantar
ATAQUES EN INTERNET
Herramientas Usadas
Evaluacin de Seguridad
basados en proxy.
AUDITORIA
DE SISTEMAS
modificacin
El
principal
objetivo
de
los
sistemas
de
correo
electrnico, es procurar que la correspondencia sea
entregada rpidamente al destinatario o receptor adecuado.
Los
subsiguientes
objetivos
son
la
integridad
y
confidencialidad del mensaje.
El aspecto de seguridad
puede incluir el cifrado; para evitar el acceso al mensaje
mientras que este se transmite en ambientes sensibles de
alto riesgo.
RIESGOS Y CONTROLES
Los riesgos y controles asociados con el correo electrnico
CONSIDERACIONES DE AUDITORIA
Cuando el correo electrnico es crtico para la organizacin
y es utilizado para comunicar informacin importante o
confidencial, el auditor debera llevar a cabo los siguientes
pasos:
-
Evaluar los
legales.
riesgos
relacionadas
con
las
detectar
implicaciones