Ao de la Consolidacin Econmica y Social del Per

UNIVERSIDAD NACIONAL DE PIURA

FACULTAD DE INGENIERA INDUSTRIAL
ESCUELA PROFESIONAL DE INGENIERA INFORMTICA

CURSO : CONTROL Y AUDITORA INFORMTICA

TEMA : AUDITORA DE REDES

DOCENTE : ING. HUGO ROSALES GARCA, M.SC.

INTEGRANTES :

NEYRA TRUJILLO, MIGUEL NGEL

SEMINARIO PASAPERA, JONATHAN

Piura - Per
2010

1
NDICE DE CONTENIDO
INTRODUCCIN ............................................................................................................................. 3
BENEFICIOS DE LAS AUDITORAS DE REDES .................................................................................. 5
CULES SON LOS CONCEPTOS CLAVES EN LA AUDITORA DE REDES?........................................ 6
TIPOS DE AUDITORAS DE REDES .................................................................................................. 6
AUDITORA DE LA ARQUITECTURA DE REDES ........................................................................... 6
AUDITORA DE RENDIMIENTO DE REDES .................................................................................. 7
AUDITORA DE LA DISPONIBILIDAD DE REDES .......................................................................... 8
TCNICAS QUE SE PUEDEN UTILIZAR PARA LA AUDITORA DE REDES .......................................... 9
HERRAMIENTAS SOFTWARE UTILIZADAS ...................................................................................... 9
CASO PRCTICO........................................................................................................................... 10
PROPSITO .............................................................................................................................. 10
CUESTIN DE FONDO .............................................................................................................. 10
EN QU CONSISTE?................................................................................................................ 10
METODOLOGA........................................................................................................................ 11
HALLAZGOS ............................................................................................................................. 12
ANLISIS .................................................................................................................................. 14
RECOMENDACIONES ............................................................................................................... 15
CONCLUSIN ........................................................................................................................... 16
BIBLIOGRAFA .............................................................................................................................. 17

NDICE DE TABLAS
Tabla 1: Aspectos tpicos de seguridad fsica para salas secundarias. ........................................ 11
Tabla 2: Aspectos tpicos de seguridad fsica para salas principales........................................... 11
Tabla 3: Hallazgos de ausencia de polticas y procedimientos para la administracin de la
seguridad de la red fsica............................................................................................................. 12
Tabla 4: Hallazgos referentes a las salas principales y secundarias. ........................................... 13
Tabla 5: Hallazgos identificados agrupados en categoras.......................................................... 14
Tabla 6: Ponderacin de los hallazgos. ....................................................................................... 14

NDICE DE ILUSTRACIONES
Ilustracin 1: Anlisis de los hallazgos. ....................................................................................... 15

2
INTRODUCCIN

La infraestructura de las Tecnologas de la Informacin y de las Comunicaciones (TIC) se ha

convertido en un activo empresarial estratgico y la red constituye su ncleo.

Las redes de comunicaciones de las empresas e instituciones pblicas se han convertido en el

sistema circulatorio de las mismas y, a travs de ellas, fluye la informacin de las empresas, su
verdadero patrimonio informacional.

Se puede definir la auditora de redes como el conjunto de tcnicas y procedimientos de

gestin, destinados al anlisis y control de los sistemas que componen una red, mediante los
cuales se pone a prueba una red informtica, evaluando su desempeo y seguridad, a fin de
lograr una utilizacin ms eficiente y segura de la informacin. Los sistemas que forman parte
de una red son bsicamente: nodos de red, sistemas operativos y software bsico, software de
uso especfico y sistemas de informacin (nodos de almacenamiento masivo y base de datos).

El objetivo fundamental de una auditora es la obtencin de un juicio objetivo, independiente y

desinteresado. En el caso concreto de la auditora de redes es preciso el conocimiento
detallado y preciso de las necesidades de la empresa u organizacin cubierta por la red objeto
de auditora.

Dada su importancia de cara al correcto funcionamiento de las organizaciones, la seguridad de

estas redes es un factor clave.

Ahora bien, slo con la implantacin de las necesarias medidas de seguridad no es suficiente,
hay que auditar las redes para comprobar si, efectivamente, se cumplen y, en algunos casos,
dentro de esas auditoras habr que simular ataques a las mismas para detectar posibles
agujeros en su seguridad.

Tenemos que partir de la idea de que las redes son vulnerables y que las amenazas que se
ciernen sobre ellas son de distinto tipo como veremos a continuacin.

Para desarrollar estos conceptos seguiremos lo que dice el profesor Ribagorda Garnacho:
Vulnerabilidad es la susceptibilidad de un sistema o componente a sufrir daos por un ataque
especfico, o equivalentemente una debilidad del sistema de proteccin de un recurso que
puede ser explotado por un ataque. Ejemplos de vulnerabilidades pueden ser: la implantacin
en las redes de los sistemas abiertos, la extensin de las mismas o la falta de preparacin
especfica y experiencia de los usuarios.

Por amenaza se entiende la violacin potencial de la seguridad de un sistema a diferencia de

ataque, que es la materializacin de una amenaza.

3
Las amenazas pueden ser de varios tipos:

Pasivas, que son aquellas que atentan a la confidencialidad de la informacin, pero no

la alteran.
Activas, que son aquellas que cambian el estado de la informacin o del sistema y
pueden ser: la interrupcin, la modificacin y la generacin.
o La interrupcin consiste en intermitir una transmisin, lo que significa una
amenaza a la disponibilidad de la informacin.
o La modificacin consiste en alterar un mensaje, lo que es una amenaza a su
integridad.
o La generacin es la construccin de mensajes falsos, lo que, en definitiva,
tambin es una amenaza a la integridad de la informacin.

En la auditora de redes se deben revisar, entre otros, los siguientes puntos:

Tipos y redes de conexiones.

Tipos de transacciones.
Informacin u programas transmitidos.
Uso del cifrado.
Tipos de terminales.
Protecciones: fsicas y lgicas.
Proteccin de fax y voz, en caso necesario.
Transferencia de ficheros y controles existentes.
Conexiones externas a travs de pasarelas (gateway) y encaminadores (routers) y
controles existentes.
Separacin de dominios entre Internet e Intranet.
Verificacin de accesos no justificados.
Utilizacin del correo electrnico.
Proteccin de programas.
Control de las pginas web.
Quin puede modificar las pginas web y hasta dnde.
Cumplimiento de la LSSI.
Cumplimiento de LOPD.
Verificacin de los accesos a redes exteriores registrados.

Con esto no pretendemos hacer una anlisis exhaustivo de lo que se debe tener en cuenta en
una auditora de redes, sino simplemente poner de relieve la importancia que tienen stas en
el funcionamiento normal de la empresa y, por lo tanto, la necesidad de verificar que se
cumplen las medidas de seguridad propuestas respectos a las mismas.

La seguridad en el procesamiento de informacin, comunicaciones en redes de rea local (LAN)

y en redes de rea extensa (WAN) y en la transmisin de datos, es una premisa imprescindible
en la mayora de las entidades, que avala las inversiones realizadas de recursos tanto humanos
como materiales. En muchas ocasiones, los beneficios de una entidad empresarial no son
susceptibles de incremento mediante el aumento de ingresos, sino por la reduccin de costes.
Y es precisamente en este aspecto donde la auditora acta como elemento sinrgico del
sistema de control interno de la entidad.

4
En la actualidad no es concebible el desarrollo de la gestin empresarial sin la existencia de los
procedimientos y las herramientas de control correspondientes. En multitud de empresas y
organismos, la auditora convencional referida a aspectos econmicos-financieros est siendo
acompaada y en cierto modo, complementada por una auditora de redes. No mucho tiempo
atrs, una empresa con una organizacin ejemplar en cuanto a divisin y competencias poda
estar cometiendo errores inadvertidos en su sector de comunicaciones e informtico,
proporcionando debilidades a corto y mediano plazo extensibles al resto de los mbitos de la
empresa, mediante un efecto mariposa o efecto domin.

Con las actividades de anlisis y sntesis que supone una auditora de red, la empresa u
organismo comprobar el estado de su instalacin de red, desde los niveles ms bajos
(componentes electrnicos, lgica digital y sistemas microprogramados) hasta los protocolos
empleados por las aplicaciones de usuario de mayor nivel en la arquitectura de red.

La arquitectura de red se define por la visin de cada uno de los esquemas de cada parte:

Fsico, desde el punto de vista del hardware, mostrando la topologa o distribucin

fsica de las mquinas que componen la red.
Lgico, desde la perspectiva de la distribucin de los servicios prestados por cada nodo
de la red, clasificacin de los distintos tipos de trfico, la estructura lgica de la red
(divisin en subredes, VLANs, etc.)
Administrativo, desde la perspectiva en posesin de los recursos humanos encargados
de las tareas relacionadas con la gestin, administracin y mantenimiento de la red.

BENEFICIOS DE LAS AUDITORAS DE REDES

Ayuda a adecuar la disponibilidad y el rendimiento de la red a las necesidades de la

empresa.
Proporciona informacin que maximiza el retorno de las inversiones o payback en
redes y TIC (Tecnologas de la Informacin y Comunicacin) de la empresa.
Aumenta la estabilidad y fiabilidad de la red.
Reduce el riesgo potencial de las nuevas implantaciones y actualizaciones en la red,
tanto el entorno estrictamente tecnolgico como en los procesos empleados.
Aumenta la satisfaccin de los clientes al alcanzar mayores cotas de rendimiento y
disponibilidad de la red. Entendiendo el concepto de cliente, en su definicin ms
amplia, que abarca al cliente interno, los usuarios directos de la red (empleados de la
entidad u organizacin)-y al cliente externo, aquel que solicita un servicio y es la fuente
principal de ingresos.

5
CULES SON LOS CONCEPTOS CLAVES EN LA AUDITORA
DE REDES?

Finalidad y utilidad. Estos dos conceptos sern el referente para diferenciar distintos tipos de
auditora que se pueden plantear en una red.

TIPOS DE AUDITORAS DE REDES

Existen diversos tipos de auditoras de redes debido fundamentalmente al grado de

escalabilidad y personalizacin obtenidos. De forma sinttica, se puede hablar de tres tipos
bsicos de auditoras en redes, que pueden ser complementadas mediante auditoras ad-hoc.

AUDITORA DE LA ARQUITECTURA DE REDES

La finalidad principal de este tipo de auditoras es la obtencin de un mapa bsico de topologa

de red como punto de partida del diseo del entorno de red en su conjunto. Por otro lado, la
utilidad de este tipo de auditoras es la generacin de recomendaciones para las reas
susceptibles de cambio y/o actualizacin de la empresa u organizacin, evitando los puntos
potenciales de criticidad y fallo en la red auditada.

La primera fase de una auditora de la arquitectura de redes es la recopilacin de informacin

sobre las necesidades empresariales o corporativistas y de datos tcnicos sobre los equipos de
red activos. Mediante un proceso especfico de entrevistas al equipo de recursos humanos
dedicado a la gestin-administracin, provisin y mantenimiento de la red, se identifican las
necesidades empresariales relacionadas con la red. Adems, se recolecta la informacin
pertinente sobre los procesos aplicativos que se ejecutan en la red y los planes de crecimiento
futuro. Para la recogida de datos tcnicos sobre los equipos activos de red, se utilizan
herramientas software y hardware de red seguras.

La utilidad de esta auditora se desglosa en el informe que incluye la siguiente informacin:

Un listado de los equipos activos en la red WAN/LAN

Un mapa de la topologa de red fsica.
Un resumen analtico de ingeniera donde destacan los puntos potenciales de fallo y/o
mejora de la red auditada.

6
AUDITORA DE RENDIMIENTO DE REDES

La finalidad principal de este tipo de auditora es proporcionar datos del rendimiento, siendo la
utilidad de la misma la generacin de recomendaciones en forma de informes que ayuden a
determinar las mejoras que precisa la red para garantizar las necesidades de los usuarios de los
aplicativos, tanto en el presente como en el futuro.

Se debe contar con un mapa de la topologa de red, como punto de partida para la primera de
las fases de este tipo de auditora, el anlisis del rendimiento. Como resultado, se obtendr
principalmente una solucin ERP (Enterprise Resource Planning o Planificacin de Recursos
Empresariales). Un ERP es un software de gestin integral de empresa cuyas caractersticas
fundamentales son:

Resuelve todas las necesidades de flujos de informacin dentro de la organizacin.

La aplicacin posee naturaleza estndar, con la disponibilidad de un entorno propio de
desarrollo a disposicin de la empresa, facilitando las adaptaciones necesarias en el
sistema de gestin para responder a los cambios de su entorno.

La siguiente fase de la auditora, es la Evaluacin de planes de crecimiento futuro de la red y/o

planes de cambios necesarios en el entorno de aplicaciones crticas de la empresa. A
continuacin, se elige el momento ms adecuado para realizar la recopilacin de datos del
rendimiento de la red, mediante la implantacin de herramientas que recojan datos de
rendimiento de la red a travs de los siguientes tems:

Uso comparativo.
Salud de la red en aspectos globales.
Anlisis de errores.
Determinacin de los diez principales emisores de trfico en la red.
Determinacin de los diez principales receptores de trfico en la red.
Distribucin y uso de los protocolos de comunicaciones.

Finalmente, se realiza el informe ad-hoc a la red auditada, donde se incluye un resumen para
la direccin de la empresa u organizacin, describiendo los resultados de la auditora de
rendimiento y ofreciendo las recomendaciones oportunas de toma de decisiones.

Complementariamente, se adjunta el informe resumido de ingeniera que interpreta los datos

de rendimiento y proporciona un resumen de referencia del rendimiento del entorno de red
en su conjunto, las recomendaciones para mejorar el rendimiento actual en base a las
necesidades empresariales, las recomendaciones para prever el crecimiento futuro de la red,
datos indicadores de problemas potenciales afectando al tiempo de retorno y tiempo de
respuesta de los procesos y un apndice con todos los datos del rendimiento en formato
grfico. De forma opcional, se suele fijar una reunin-presentacin con el equipo directivo,
para ofrecer una presentacin interactiva de observaciones y recomendaciones relativas al
rendimiento del entorno en relacin a las necesidades empresariales.

7
AUDITORA DE LA DISPONIBILIDAD DE REDES

La finalidad de esta auditora es la comprensin profunda de los requerimientos para alcanzar

y mantener la disponibilidad y fiabilidad de la red que la empresa u organizacin precisa. El
desarrollo de este tipo de auditora se basa en una serie de entrevistas a miembros clave de la
plantilla de la empresa u organizacin en sus propias dependencias, que versan sobre los
siguientes aspectos:

Planificacin de servicios: objetivos de alta disponibilidad, gestin de niveles y

acuerdos de servicios (SLA, Service Level Agreement), aplicaciones y sistemas crticos
de la red.
Estructura de la organizacin: personal encargado de la red, necesidades de formacin
y conocimientos especficos, funciones, dependencias y responsabilidades.
Relaciones con el proveedor: comunicaciones, contratos de soporte y tipos de soporte
(presencial, remoto, 24x7, etc.)
Gestin de cambios: traslados, incorporaciones y cambio; verificacin previas de la red
antes de actualizar la red y procedimientos de actualizacin de software.
Gestin de fallos e incidencias: procedimientos de control de incidencias en el servicio,
procedimientos de escalado tcnico, procedimientos de escalado gerencial,
procedimientos de seguimiento y anlisis, prevencin y estrategias de aislamiento de
fallos en la red.
Entorno fsico: seguridad fsica, consideraciones ambientales, estrategia de cableado
estructural y etiquetado, accesos a los emplazamientos a mantenedores y
suministradores.
Planificacin de contingencias: copias de seguridad y respaldo, recuperacin
proactivas y reactivas de la informacin.
Seguridad: revisin de reglas en firewalls, polticas y procedimientos, acceso remoto,
autentificacin de mtodos y polticas de intranet y extranet.

Para concluir, se planifica una presentacin con el personal directivo y con personal clave
encargado de la red, donde se realiza una comparacin entre los objetivos empresariales con
estrategias de operaciones TIC y sus planes de implantacin, indicando las vulnerabilidades de
la red, obstculos y factores crticos.

8
TCNICAS QUE SE PUEDEN UTILIZAR PARA LA AUDITORA
DE REDES

Entrevistas
Cuestionarios
Encuestas
Levantamiento de inventario
Tcnicas de observacin
Tcnicas de revisin documental
Matriz FODA
Listas de chequeo
Tcnicas de muestreo
Trazas o Huellas
Logs
Modelos de simulacin

HERRAMIENTAS SOFTWARE UTILIZADAS

Las principales herramientas de software libre empleadas en las auditoras de redes son las
siguientes:

1. Para el anlisis de red:

Scotty: herramienta de monitorizacin de agentes que incluye capacidades de
gestin de dispositivos SNMP. Est implementado en Tcl/Tk con extensiones
propias, e incluye un navegador MIBs.
Tcpdump: herramienta de adquisicin y anlisis de trfico. Es una fuente de la
librera libpcap.
Ethereal/Wireshark: herramienta de adquisicin y anlisis de trfico con un
entorno grfico de alto nivel. Se pueden realizar distintos tipos de filtrado de la
informacin capturada.
Kismet: es un sniffer, un husmeador de paquetes, y un sistema de deteccin
de intrusiones para redes inalmbricas 802.11.
Aircrack-ng: es una suite de seguridad inalmbrica que consiste en un packet
sniffer de red, un crackeador de redes WEP y WPA/WPA2-PSK y otro conjunto
de herramientas de auditora inalmbrica.
Mrtg: herramienta con interfaz WWW que permite una lectura en tiempo real
de estadsticas de distintos elementos, entre otros, dispositivos SNMP. Es una
de las herramientas ms conocidas para monitorizacin de trfico, y una de las
ms extendidas.
Cheops: herramienta sustitutiva de scotty para la gestin de elementos de red,
tambin incluye soporte SNMP, adems es tremendamente grfica e intuitiva.

9
 Mon: se trata de una herramienta integrada para la gestin de red, soportando
mltiples sistemas en los que, a travs de agentes, se pueden monitorizar las
aplicaciones de stos y su rendimiento. Tiene soporte SNMP y ofrece la
posibilidad de definir muchos niveles de alertas, desde correo electrnico a
notificaciones con voz en tiempo real.
Iptraf: es un monitor de red a nivel IP. Permite la obtencin del ancho de
banda consumido, monitorizar todas las conexiones relativas a una mquina,
comprobacin de checksums errors y detectar ciertas operaciones no
permitidas por parte de los usuarios.
2. Para la realizacin de grficos y esquemas:
Tkined: es la interfaz grfica de la herramienta scotty.
ArgoUML: software que facilita la comunicacin entre desarrolladores,
clientes, analistas y dems personas que intervienen en un proyecto utilizando
un lenguaje grfico denominado UML.
Xfig: Herramienta de dibujo vectorial en 2D.
Dia: Herramienta de propsito general para la creacin de diagramas.

CASO PRCTICO

Este informe contiene el resultado de la auditoria de redes fsicas realizada sobre la red de
rea local de la Universidad Tecnolgica Nacional Facultad Regional de Crdoba - Colombia.

PROPSITO
El propsito de esta auditora es evaluar los controles de seguridad para proteger los recursos
de la red fsicas de la Universidad Tecnolgica Nacional, Facultad Regional de Crdoba.

Obtener una visin general de la ubicacin de todos los dispositivos de la red de rea
local.
Evaluar el ambiente de control fsico sobre los dispositivos de la red de rea local.

CUESTIN DE FONDO
El funcionamiento de la Universidad se basa en su sistema de informtico. Este es necesario
para brindar servicios tanto a estudiantes como a empleados. Algunos de estos servicios son:
Inscripciones, seguimiento de alumnos, dictado de clases, servicio de comunicaciones, internet
y otros.

EN QU CONSISTE?
Esta auditora est limitada a la seguridad fsica de la red de rea local de la Universidad
Tecnolgica Nacional, Facultad Regional de Crdoba.

Las actividades que protegen el equipamiento de dao fsico son:

10
 Permitir que solo los responsables de mantenimiento de los equipos de cmputos
ingresen a las salas de equipamiento.
Proveer mecanismos de deteccin de fuego, humo, agua, suciedad, etc.
Almacenar materiales peligrosos, como qumicos de limpieza, en lugares separados y
alejados de los equipos de cmputos.
Proveer de dispositivos reguladores de tensin y UPSs para salvar el equipamiento de
daos producidos por los niveles de tensin y cortes abruptos en el suministro
elctrico.
Planificar la manera de recomenzar con las operaciones despus de un fallo,
incluyendo las copias de seguridad de programas y datos.

METODOLOGA
Durante nuestra visita preliminar identificamos todas las salas donde se encuentra el
equipamiento de cmputos y las clasificamos en principales y secundarias, entendindose
por principales aquellas donde se ubican los dispositivos ms importantes para la red tales
como servidores, hubs, switch, etc.

Es vlido resaltar que las salas principales deben contar con un mayor control de seguridad
que las secundarias.

La Tabla 1 y la Tabla 2 describen los aspectos tpicos a implementar para el control fsico de la
red en las salas principales y secundarias.

Para Salas Secundarias

Escritura de estndares para la administracin de seguridad de los recursos de la red.
Bloqueo de salas permitiendo solo el ingreso a personas autorizadas.
Monitoreo y registro de los accesos a las salas.
Deteccin de fuego, humo y agua.
Extintores de fuego adecuados y habilitados.
Tabla 1: Aspectos tpicos de seguridad fsica para salas secundarias.

Para las Salas Principales

(Adems de los aspectos necesarios para las salas secundarias)
Escritura de polticas y procedimientos para la realizacin y recuperacin de copias de
seguridad.
Ubicacin de las salas en el interior del edificio. Y en lo posible sin ventanas ni puertas
al exterior o patios internos.
Dispositivos alejados del piso.
UPSs para asegurar la continuidad de las operaciones.
Copias de seguridad ubicadas fuera de la sala y adecuadamente protegidas
Tabla 2: Aspectos tpicos de seguridad fsica para salas principales.

Para obtener una visin general de la ubicacin de todos los dispositivos de red, nos
contactamos con el personal encargado de las aulas G del edificio, el Laboratorio de Sistemas y
el centro de cmputos. Posteriormente visitamos cada una de estas salas para evaluar, los
controles sobre la seguridad fsica, las condiciones ambientales y controles sobre las copias de
seguridad e inventarios. Para esto nos entrevistamos con los responsables de cada una de
estas salas.

11
HALLAZGOS
Actualmente no existen polticas ni procedimientos escritos para la gestin de la seguridad
fsica de la red. Sino que, son los encargados de cada sala quienes llevan adelante estas tareas
a criterio propio y por lo tanto de manera heterognea.

HALLAZGO
No existen polticas ni procedimientos
para Mantenimiento.
No existen polticas ni procedimientos
para inventarios.
No existen polticas ni procedimientos
para registros de errores y soluciones.
No existen polticas ni procedimientos
para la asignacin de responsabilidades.
Tabla 3: Hallazgos de ausencia de polticas y procedimientos para la administracin de la seguridad de la red
fsica.
DESCRIPCIN
Debido a la ausencia de estos, el
mantenimiento, lo realiza el encargado de
turno basndose en su experiencia. Adems
tampoco se cuenta con procedimientos para
el monitoreo de las conexiones de la red por
lo que es difcil determinar el estado de los
equipos.
Por lo que no se conoce la disponibilidad de
equipos, su ubicacin, estado ni procedencia.
No est disponible informacin referente a
errores comunes y sus soluciones
encontradas. Por lo que cada encargado
debe, a cada error, encontrarle una nueva
solucin aunque se trate de problemas
recurrentes. Tampoco es posible realizar un
seguimiento de las fallas y sus causas, con el
objeto de implementar medidas correctivas.
Esto genera la necesidad de la presencia
permanente del encargado. No se cuenta con
una metodologa para el diagnstico de fallas.
No estn claramente definidas las
responsabilidades del personal, lo que
ocasiona confusin acerca de las tareas que
debe realizar cada persona.

12
 HALLAZGO
Referentes a las salas principales y secundarias. (No existe distincin entre estas.)
AMBIENTAL Tubos fluorescentes sin coberturas.
Cielo raso en mal estado.
Matafuego con candado.
Matafuego alejado.
No se conoce el uso del matafuego.
Cable canal deteriorado.
Espacio reducido entre maquina.
Tomacorrientes instalados sobre
muebles de cao.
Cable dificultando el paso de la
persona.
Cable en el piso.
El cableado de la red se encuentra
junto al de la red elctrica.
No se restringe el acceso a persona
no autorizadas a los dispositivos
mayores ni menores (debido a que
estos dispositivos coexisten en la
misma sala).
No existen carteles que prohban
comer y/o fumar dentro de las salas.
CABLEADO DE LA RED HORIZONTAL Conectores de pared no se
encuentran fijos.
Conectores sin capuchones.
Conectores al descubierto.
Conectores en el piso.
Conectores de PC sin atornillar.
Cableado sin identificadores.
Cableado suelto.
Cableado sin proteccin.
Cableado anudado.
Cableado de longitud excesiva.
Ausencia de precintos.
Precintos con presin excesiva.
Cables precintados a muebles.
CENTRO DEL CABLEADO Dispositivos sin identificadores.
Dispositivos accesibles a personas no
autorizadas.
Centro de cableado en el piso
La puerta del centro de cableado no
se abre con facilidad.
Tabla 4: Hallazgos referentes a las salas principales y secundarias.

13
ANLISIS
Los hallazgos identificados, se han agrupado en categoras por su similitud. Para
permitir una visin ms global de los problemas. Esto se refleja en la siguiente tabla:

CATEGORA PROBLEMAS VISITADAS CON PROBLEMA

Ambiental Tubos fluorescentes sin coberturas. 5 5
Tomacorrientes instalados sobre muebles de 5 5
cao.
Problemas con Matafuego. 5 4
Cables en el piso o junto a la red elctrica. 5 3
Cielo raso en mal estado. 5 2
Red Horizontal Problemas con conectores. 5 5
Problemas con cableado. 5 5
Problemas con precintos. 5 3
Centro de Dispositivos sin identificadores. 3 3
Cableado Dispositivos accesibles a personas no 3 2
autorizadas.
Centro de cableado en el piso. 3 2
Centro de cableado mal ubicado. 3 3
Tabla 5: Hallazgos identificados agrupados en categoras.

Para un mejor anlisis de los riesgos se dio una ponderacin diferenciando los
hallazgos del centro del cableado del resto (ambientales y red horizontal),
asignndoles los valores de 1.0 y 0.6 respectivamente.

Por otra parte, cada hallazgo fue ponderado independientemente, utilizando una
escala de 0.0 a 1.0. Reflejando los resultados en la siguiente tabla.

DESCRIPCION DEL PROBLEMA CC SALAS PROBLEMAS PP PC PI VR

Centro de cableado mal ubicado 3 3 100% 1.0 0.7 70
Dispositivos accesibles a personas no 3 2 67% 1.0 0.7 47
autorizadas.
Dispositivos sin identificadores. 3 3 100% 1.0 0.4 40
Problemas con conectores. 5 5 100% 0.6 0.6 36
Tomacorrientes instalados sobre muebles de 5 5 100% 0.6 0.5 30
cao.
Problemas con cableado. 5 5 100% 0.6 0.5 30
Centro de cableado en el piso. 3 2 67% 1.0 0.3 20
Problemas con Matafuego. 5 4 80% 0.6 0.4 19
Tubos fluorescentes sin coberturas. 5 5 100% 0.6 0.2 12
Cables en el piso o junto a la red elctrica. 5 3 60% 0.6 0.3 11
Problemas con precintos. 5 3 60% 0.6 0.3 11
Cielo raso en mal estado. 5 2 40% 0.6 0.4 10
Tabla 6: Ponderacin de los hallazgos.

14
 Ilustracin 1: Anlisis de los hallazgos.

RECOMENDACIONES

En primer lugar que se coloquen los centros de cableado en lugares adecuados, fuera del
alcance del alcance de personas no autorizadas. Tambin recomendamos que se identifiquen
los dispositivos principales.

Tambin recomendamos que, se escriban y difundan las polticas y los procedimientos

necesarios para proteger los recursos informticos de la red de rea local de la universidad.
Estos procedimientos deberan ser para mantenimiento, inventario, registros de errores y
soluciones y responsabilidades. Los mismos debern servir de gua para que los encargados
realicen la correcta gestin del control fsico sobre la red.

Y por ltimo, que los encargados de cada sala realicen las acciones necesarias para:

Mantener el cableado en buenas condiciones.

Mantener los conectores en buen estado.

Estas acciones deben ejecutarse en forma peridica.

15
CONCLUSIN
Nuestra opinin es que, los controles sobre los recursos de la red de rea local de la
universidad deben ser mejorados puesto que presenta importantes dificultades. Esto se debe a
la ausencia de lineamientos claros para su gestin.

16
BIBLIOGRAFA

DEL PESO NAVARRO, EMILIO (2003). Servicios de la Sociedad de la Informacin.

Madrid: Daz de Santos.
DEL PESO NAVARRO, EMILIO; DEL PESO, MAR; PIATTINI VELTHUIS, MARIO G. (2008).
Auditora de Tecnologas y Sistemas de Informacin. Mxico: Alfaomega Ra-Ma.
DELGADO ROJAS, XIOMAR (1998). Auditora Informtica. Costa Rica: EUNED.
DE MIGUEL ALBITE, ENRIQUE (2005). Auditoras en Redes Telemticas.

17