rea Auditable:

Hardware
Objeto Auditable:
redes de

Contenido
Justificacion________________________________________________________________________2
Auditora de redes de comunicacin_______________________________________________3
Objetivo General___________________________________________________________________5
Tecnicas___________________________________________________________________________6
Metodologa_______________________________________________________________________7
FASE 3: Ejecucin - Cuestionario Control Interno redes de comunicacin__________9
FASE 3: Ejecucin parte tcnica - Cuestionario redes de comunicacin - fsica____12
FASE 3: Ejecucin Parte tcnica - Cuestionario redes de comunicacin lgica___15
Finalizacin_______________________________________________________________________18
Bibliografa_______________________________________________________________________19

El
conocimiento
es poder, la
informacin es
libertadora. La
educacin es
premisa del
progreso, en
toda sociedad,
en toda familia.

Aut. Kofi Annan

Justificacion
El desarrollo de la computacin y su integracin con las
telecomunicaciones han propiciado el surgimiento de nuevas
formas de comunicacin, que son aceptadas por las personas.
El desarrollo de las redes informticas posibilito su conexin
mutua y, finalmente, la existencia de internet, una red de
redes gracias a la cual una computadora o dispositivo
electronico puede intercambiar fcilmente informacin con
otros situados en regiones lejanas del planeta.
Esta informacion que se intercambia no esta excepta de las
amanazas que enfrente un sistema, ataques que pueden ser
actos de la naturaleza, personas malintencionadas, hardware
y sofware corrupto, y es la auditora de sistemas con una
metodologa la cual pone a prueba la red de comunicacin,
verificando y evaluando su desempeo y seguridad, a fin de
lograr una utilizacin ms eficiente y segura de la informacin.
(otro parrafo con la auditoria de sistemas y computacion , es el
area encargada, cuyo objetivo es mantener el sistema con
altos niveles de seguridad)

Auditora de redes de
comunicacin
Objetivo de una auditora:
El objetivo fundamental de una auditora de sistemas es la
obtencin de un juicio objetivo, independiente y desinteresado
del qu se esta haciendo y como se esta haciendo. En el
caso concreto de la auditora de redes y comunicaciones es
preciso el conocimiento detallado de las necesidades de la
empresa u organizacin cubierta por la red objeto de la
auditora.
(preciso?- las redes de comunicaciones a tomado tanta fuerza
que las empresas ya no pueden existir intranet, extranet y
www)(frase sin redes de comunicaciones no hay empresa)

Beneficios de una auditora de redes de

telecomunicaciones:

Planifica la disponibilidad y el rendimiento de la red a las

necesidades de la empresa.

Proporciona informacin que maximiza el retorno de las

inversiones en redes y TIC (Tecnologas de la
Informacin y Comunicacin) de la empresa.

Aumenta la estabilidad y fiabilidad de la red.

Reduce el riesgo potencial de las nuevas implantaciones

y actualizaciones en la red, tanto el entorno
estrictamente tecnolgico como en los procesos
empleados.

Aumenta la satisfaccin de los clientes al alcanzar

mayores cotas de rendimiento y disponibilidad de la red.
Entendiendo el concepto de cliente, en su definicin
ms amplia, que abarca al cliente interno, los usuarios
directos de la red (empleados de la entidad u
organizacin)-y al cliente externo, aquel que solicita un
servicio y es la fuente principal de ingresos

Riesgos que enfrenta una red de

comunicaciones:

Robos, hurtos, vaciamientos, desfalcos, estafas o

fraudes cometidos mediante manipulacin y uso de
computadoras.

Apropiacin no autorizada de los datos de entrada o de

salida.

Cambios no autorizados en programas, que consiste en

modificar los programas existentes en el sistema de
computadoras o en insertar
nuevos programas o
nuevas rutinas.

Sabotaje Informtico.

Falsificaciones informticas.

Violacin de la privacidad.

Interceptacin de comunicaciones.

Robo de servicios.- se alude a las conductas que tienen

por objeto el acceso ilcito a los equipos fsicos o a los
programas informticos, para utilizarlos en beneficio del
delincuente.

Hurto por transacciones electrnicas de fondos.- Hurto

que se comete mediante la utilizacin de sistemas de
transferencia electrnica de fondos, de la telemtica en
general, o tambin cuando se viola el empleo de claves
secretas.

Realizar una clasificacin de los riesgos

Objetivo General
Revisar y evaluar la existencia de politicas y controles
fisicos/logicos junto con el diseo y administracion de la red
de comunicaciones, esten alineados con los
planes
estrategicos de tecnologias e informacion y plan corporativo
(PETI/PESI/PECO) (para que )

Aspectos a tener en cuenta:

Estructura de la organizacin: personal encargado de la

red, necesidades de formacin y conocimientos
especficos,
funciones,
dependencias
y
responsabilidades.

Planificacin
de
servicios:
objetivos
de
alta
disponibilidad, gestin de niveles yacuerdos de servicios
(SLA, Service Level Agreement), aplicaciones y sistemas
crticosde la red.

Relaciones con el proveedor: comunicaciones, contratos

de soporte y tipos de soporte(presencial, remoto, 24x7,
etc.)

Gestin de cambios: traslados, incorporaciones y

cambio; verificacin previas de la redantes de actualizar
la red y procedimientos de actualizacin de software.

Gestin de fallos e incidencias: procedimientos de

control de incidencias en el servicio,procedimientos de
escalado
tcnico,
procedimientos
de
escalado
gerencial,procedimientos de seguimiento y anlisis,
prevencin y estrategias de aislamiento defallos en la
red.

Entorno fsico: seguridad fsica, consideraciones

ambientales, estrategia de cableado estructural y
etiquetado,
accesos
a
los
emplazamientos
a
mantenedores ysuministradores.

Planificacin de contingencias: copias de seguridad y

respaldo, recuperacinproactivas y reactivas de la
informacin.

Seguridad: revisin de reglas en firewalls, polticas y

procedimientos, acceso remoto,autentificacin de
mtodos y polticas de intranet y extranet.

Tecnicas
Cuestionarios
Entrevistas
Inspeccin
Observacin
Resmenes
Informes de avances
Levantamiento de inventario
Tcnicas de revisin documental
Trazas
Modelos de simulacin
Taacs (tcnicas de auditora asistidas por
computador)

Metodologa
Diagrama:

1.
Contro
l
Intern
o

Fase 3:
ejecuci
on

2.
Parte
Tecnic
a

Descripcin metodologa:
Nombre

Progr
Planeacin
ama

Fase

Descripcion
Socializacin y presentacin de la auditoria
de sistemas (redes de comunicaciones)
Elaboracion y obtencion de los papeles de
Trabajo
Diagnostico Organizacional(redes y
comunicaciones, analisis de los)
Elaboracin de un programa en el que se
consignen todas las actividades a realizar
durante el proceso de auditoria de la
organizacin:
Definicin de reas Auditables

Definicin de Objetos Auditables

Definicin de Objetivos

Informes

Ejecucion

Identificacin Evaluacin de Anlisis de

Riesgos:
1. Dirigido hacia el control interno: Se
verifica y evala el conjunto de
planes, polticas, mtodos, principios,
normas, procedimientos y
mecanismos de verificacin y
evaluacin adoptados por la empresa
en cuestin de redes de
comunicaciones.
2. Dirigido a l aparte tcnica: Se verifica
y comprueban los controles fsicos y
lgicos y que estos estn alineados
con las polticas de la empresa.
Anlisis de resultados y hallazgos
Recomendaciones
Informe Ejecutivo

Informe de auditoria(resdes y comunicacin

de datos)

FASE 3: Ejecucin Cuestionario Control Interno

redes de comunicacin

Cuestionario Auditora de Sistema

rea auditable Hardware

Cuestionario de control interno/ Redes de Comuni

Objetivo: Verificar y evaluar el conjunto de planes, polticas, mto

procedimientos y mecanismos de verificacin y evaluacin adoptado

redes de comunicaciones.
Pregunta
Si/N
o
1) Existen polticas para el uso y administracin de
la red que incluyan?
1.1) Se encuentra actualizado, vigente y
aprobado
1.2) La
poltica
describe
la
estructura
organizativa
y
las
responsabilidades
asociadas y la responsabilidad del personal
que estar encargado de implementar la
poltica, vigilar el cumplimiento de la poltica
y la adhesin a la poltica
1.3) Un inventario de equipos de red de
datos, incluidas las lneas, terminales,
mdems, controladores, etc.
1.4) Un diagrama completo de red que incluya
1.4.1) La red evidencia todas las reas
con necesidad de conexin
1.4.2) Una copia de configuracin del
hardware de
routers
1.4.3) Todas las conexiones fsicas o
lgicas de la topologa de red con
servidores, equipo de comunicaciones,
estaciones, puentes, repetidores, etc.
1.4.4) Direccionamiento y enrutamiento
de la red
Listado de los equipos de red que se utiliza
para apoyar a cada uno de las aplicaciones de
red
1.4.5) Protocolos utilizados por cada

nodo de la red
1.4.6) Puertas de enlace con otras redes
1.4.7) Normas y procedimientos definido
para el uso de internet
1.5) Listado de los responsables del contenido,
administracin y configuracin de la red que
incluya.
1.5.1) Nombre
1.5.2) Cargo
1.5.3) Funcin
1.6) Listado de proveedores de hardware y
servicios
que incluya, el nombre del
representante, numero de contacto.
1.7) Un inventario de las aplicaciones y servicios
accesibles desde el exterior, y al interior de
la empresa (ACL-Listas de control de
Acceso)
1.8) Existe documentacin sobre los permisos
otorgados a cada usuario
1.9) Un listado de las prioridades de los servicios
y aplicaciones
1.10) Procedimientos de pruebas de soporte para
el lanzamiento de un nuevo servicio o
aplicacin, para verificar su impacto en la
red existente.
1.11) Listado de fallos de red documentados,
incluyendo
las
acciones
correctivas
tomadas.
1.12) Existen indicadores de rendimiento en
tiempo de respuesta de las terminales y la
tasa de errores.
2) Existe un plan de contingencia de redes de
comunicaciones e incluye
2.1) Valoracin de la Contingencia
2.2) Recuperacin de la Contingencia
2.3) Vuelta a la Normalidad
2.4) Quien es responsable en el desarrollo del
plan
2.5) Cada cuanto tiempo se realiza una
prueba o simulacro
2.6) Este simulacro determina y realiza
pruebas de servidor de seguridad. Para
encontrar problemas tcnicos tales como las
vulnerabilidades, configuraciones errneas y
mala implementacin de
polticas de
seguridad.
2.7) Hay una revisin de los resultados del
simulacro del plan de contingencia.

3) Existe una poltica de Contraseas y formatos

FASE 3: Ejecucin parte

tcnica - Cuestionario redes
de comunicacin - fsica

Cuestionario Auditora de Sistema

rea auditable Hardware
Redes de Comunicacin fsica

Objetivo: evaluar y verificar la existencia, coherencia y vigencia d

cuenta actualmente la red de comunicaciones de la empresa
Pregunta
Si/N
o
1) Existe una sala de comunicaciones y su sistema
cuenta con:
1.1) Se encuentra el sistema en una superficie
slida y estable o lo ms cerca del suelo
posible
1.2) Est el sistema a salvo de la luz solar
excesiva,
viento,
polvo,
agua
o
temperaturas extremas de fro / calor
1.3) Est el sistema situado en un sitio donde
pueda tener un seguimiento, aislado y con
poco trfico humano
1.4) Est la sala / edificio en el que se encuentra
el sistema asegurado con una cerradura o
sistema de alarma para que slo personal
autorizado acceda. Cual.
1.5) Estn las puertas cerradas con llave y las
alarmas activadas fuera de horario de
oficina
1.6) Esta sala / edificio cuenta con sistemas de
control de refrigeracin y humedad
1.7) Esta sala / edificio cuenta con sistemas de
regulacin elctrica.
1.8) Esta sala / edificio cuenta con planta
elctrica de emergencia. (SAI - Servicio
de Alimentacin Ininterrumpido )
1.9) Esta rea cuenta con sistema contra incendios como
extintores de dixido de carbono, y con lneas de
ventilacin que permitan la ventilacin de humo.
1.10) Existen carteles que prohban comer y/o

fumar dentro de las salas

2) Existen equipos para prueba y monitoreo de la red
3) Existen equipos de escucha como Sniffers

4) Las lneas de comunicaciones, en las salas de

comunicaciones,
armarios,
distribuidores
y
terminaciones estn etiquetados con un cdigo
gestionado por el jefe de telecomunicaciones
5) Estn habilitados los puertos usb / firewire / lector
de tarjetas de los equipos
6) Existen dispositivos mviles con acceso a la red
de la empresa
6.1) En caso de que existan, Son
propiedad de la empresa o del usuario?
7) Se revisa peridicamente el cableado de
comunicacin, buscando intercepciones
8) El cableado de red adyacente a la sala de
comunicaciones esta fuera de vista.
9) El cableado se encuentra:
9.1) Sin tensiones
9.2) Sin grupos muy apretados
9.3) Sin giros con un ngulo menor de 90
grados ni mayor de 270.
9.4) Con identificadores.
9.5) No suelto.
9.6) Con proteccin.
9.7) No anudado.
9.8) Sin longitud excesiva

FASE 3: Ejecucin Parte

tcnica - Cuestionario redes
de comunicacin lgica

Cuestionario Auditora de Sistema

rea auditable Hardware
Redes de Comunicacin- Lgica

Objetivo: evaluar y verificar la existencia, coherencia y vigencia d

cuenta actualmente la red de comunicaciones de la empresa
Pregunta
Si/N
o
1) Existen contraseas y cdigos nicos de usuario
necesarios para iniciar sesin en el software de
red.
2) los enrutadores estn protegidos con
autenticacin y control de acceso
3) Quienes tienen permiso de acceso a la ejecucin
de la consola del sistema (o lnea de comandos)
del router
4) Asegura que la informacin del router archivo de
configuracin se cifra, sobre todo contraseas.
5) Estn el inicio de sesin, los comandos del
sistema, y los manuales de documentacin de la
operacin, catalogada como confidencial y se
coloca cuando no est en uso en un rea segura
de almacenamiento
6) Se cambian las contraseas de las cuentas de
usuario de la red con regularidad.
7) Mantiene
pistas de auditora de todos los
intentos de acceder al router, ver sus
configuraciones, y cambiar su configuracin.
8) Ha comprobado que no existan parches de
seguridad del software y recibe regularmente las
actualizaciones de seguridad o vulnerabilidades
del software que utiliza en la red. Como.
9) Ha probado a fondo cualquier servicio que
funcione en la red para asegurarse de que por
defecto no proporcionan a algn usuario no
autorizado informacin de seguridad que se
podra utilizar para atacar el sistema
10) Conoce todo el software que puede interactuar
con la red, los nmeros de puerto que utilizan, el

tamao y la ubicacin de los ejecutables.

11) Hay habilitados accesos externos a los equipos
de su red
12) Se cifran los datos confidenciales que se
transfieren a travs de la red y hacia el exterior
13) La red emplea un mtodo de seguridad del
flujo de trfico para ocultar la presencia de
mensajes vlidos en la lnea mediante la
encriptacin de los direcciones de origen y
destino.
14) Existe un control sobre los distintos software
de almacenamiento en la nube instalados en sus
equipos (Dropbox, Google Drive,)
15) Dispone de algn sistema de copia de
seguridad
16) Conserva algn respaldo de sus copias de
seguridad fuera de su organizacin
17) Tiene la capacidad de planificacin que incluya
un anlisis de la longitud del mensaje, el
protocolo, el volumen de transacciones y el
trfico de mensajes.
18) Son los tiempos de respuesta medidos y
evaluados para posible mejora del rendimiento
de la red
19) Mantiene registros peridicos de toda la
actividad de red relacionada con su sistema
20) Dentro de los registros cada mensaje contiene
informacin de identificacin tales como:
Nmero de puerto, Nmero de mensaje,
Terminal, Fecha, Cdigo de transaccin, final de
mensaje, Final de la transmisin.
21) Monitoriza la actividad de red en busca de
trfico excesivo o inusual que llega a su sistema
22) Existe un terminal especfico firewall diseado
para monitorizar la actividad dentro del sistema
online, como Proxy, Gateway o Ruteador Filtrapaquetes
23) Activa el registro detallado para un perodo
seleccionado y examinar los registros en detalle.
Esto puede tomar bastante tiempo, pero va a
tener una idea de si el corta fuegos est
funcionando
correctamente.
Adems,
los
registros tambin se crear si se utiliza un
servicio que no saba es habilitado o que se
utiliza en el sistema.

Finalizacin
Una vez ejecutados los cuestionarios, procedemos a realizar la
Matriz de evaluacin de riesgos y controles existentes y la matriz
de hallazgos y recomendaciones

Seguido a esto se le entregara un informe de auditora con los hallazgos y

recomendaciones encontrados por nosotros

Bibliografa

https://auditoriauc20102mivi.wikispaces.com/file/view/AuditoriaRede
sComunicacionesInternet+20102G08.pdf
https://es.scribd.com/doc/6575883/Auditoria-de-Redes-y-Base-deDatos
http://www.34t.com/box-docs.asp?doc=497
http://datateca.unad.edu.co/contenidos/2150517/2150518_Temp/Mat
erial_apoyo1/index.html
https://www.academia.edu/8477790/GESTION_DE_REDES_DE_TELEC
OMUNICACIONES_PARTE_II
https://www.owisam.org/es/Metodologia#Tipos_de_an.C3.A1lisis
https://www.rediris.es/cert/doc/unixsec/node7.html
http://www.gitsinformatica.com/seguridad%20logica
%20fisica.html#slsi
http://www.econ.uba.ar/www/departamentos/sistemas/plan97/tecn_in
formac/briano/seoane/tp/rivoira/seguridad.htm
http://www.segu-info.com.ar/logica/seguridadlogica.htm
http://educativa.catedu.es/44700165/aula/archivos/repositorio/1000/1063/ht
ml/11_seguridad_fsica_y_seguridad_lgica.html
https://es.scribd.com/doc/56595237/Auditoria-de-Redes-yTelecomunicaciones
http://www.adanet.es/cuestionario/
http://www.coitt.es/res/revistas/Antena162_06B_Reportaje_Auditorias
.pdf
https://es.wikipedia.org/wiki/Cableado_estructurado