REDES DE COMUNICACIÓN

Facultad de Contaduría Pública

Docente: C.P. Maritza Yaneth Benavides Muñoz
DEFINICIÓN

Son una serie de mecanismos mediante los cuales se

prueba una red informática, evaluando su desempeño y
seguridad, logrando una utilización mas eficiente y segura
de la información.
MARCO DE CONTROL

Los programas de auditoria informática se han

desarrollado en alineación con el marco ISACA (Asociación
de Auditoría y Control de Sistemas de Información) COBIT
específicamente COBIT 5.0 (Control Objetives for Information
and related Technology, Objetivos de control para la información y
tecnologías relacionadas)que son utilizados y aplicados en las
las buenas practicas.
OBJETIVOS DE LA AUDITORIA

• Minimizar existencias de riesgos en el uso de tecnologías de

información.
• Capacitación y educación sobre controles en los sistemas de
información.
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información mediante la recomendaciones de seguridades y controles.
• Seguridad de personal, datos, hardware, software e instalaciones.
• Seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente informático.
METODOLOGÍA Fase 1: Toma de
contacto

Fase 6: Fase 2:
Formulario del Planificación de
plan de mejoras la operación

Para el desarrollo de la
auditoria informática de
redes y comunicaciones
se propone llevar a cabo Fase 5:
Presentación de
Fase 3:
Desarrollo de la
una serie de fases: las conclusiones auditoria

Fase 4: Fase de
diagnostico
1. TOMA DE CONTACTO
En esta etapa se deberán establecer:

- El objetivo de la Auditoria Informática.

- Las áreas a auditar.
- Personas que habrán de colaborar y en que momentos de la
auditoria.
2. PLANIFICACIÓN DE LA OPERACIÓN

- Plan de trabajo:
* Tareas
* Calendario
* Resultados parciales
* Presupuesto
* Equipo auditor necesario
 3.DESARROLLO DE LA AUDITORIA

Es el momento de ejecutar las tareas que se enunciaron en

la fase anterior. Es esta una fase de observación, de
recolección de datos, situaciones, deficiencias, en resumen
un periodo en el que:
• Se efectúan entrevistas previstas en la fase de planificación.
• Se completaran todos los cuestionarios que presente el auditor.
 DESARROLLO DE LA AUDITORIA

• Se observaran las situaciones deficientes, no solo las aparentes, sino las que
hasta ahora no hayan sido detectadas, para lo que se podrá llegar a simular
situaciones limites.

• Se observaran los procedimientos, tanto los informáticos como los de

usuarios.

• Se ejecutaran todas las previsiones efectuadas en la etapa anterior con el

objeto de llegar a la siguiente etapa de diagnosticar la situación encontrada.
 4. FASE DE DIAGNOSTICO / PRESENTACIÓN
CONCLUSIONES

• Quedaran claramente definidos los puntos débiles, y por contrapunto los

fuertes, los riesgos eventuales, y en primera instancias los posibles tipos de
solución o mejoras de los problemas planteados.

• Estas conclusiones se discutirán con las personas afectadas por lo que

serán suficientemente argumentadas y probados.

• Los auditores deben presentar estas conclusiones como un plan de mejoras

en beneficio de todos en lugar de una reprobación de los afectados, salvo
en el caso de que esto sea estrictamente necesario.
 FORMULACIÓN DEL PLAN DE MEJORA

El plan de mejoras abarcara todas las recomendaciones derivadas de las

deficiencias detectadas en la realización de la auditoria. Para ello se
tendrán en cuenta los recursos disponibles, o al menos potencialmente
disponibles, por parte de la empresa objeto de la auditoria.

Estas mejoras pueden pasar por la reconsideración de los sistemas en uso

o de los medios, humanos y materiales, con que se cuenta, llegando si es
preciso a una seria reconsideración del plan informático.
AUDITORIA DE REDES

Es una serie de mecanismos mediante

los cuales se pone a prueba una red
informática, evaluando su desempeño y
seguridad, a fin de lograr una utilización
mas eficiente y segura de la
información.
 AUDITORIA DE
COMUNICACIONES

Permite Objetivos de
Se debe comprobar
control
- La gestión de red - Tener documentación sobre el
-- Tener una gerencia con autoridad de voto y
- La monitorización de las acción diagramado de la red
comunicaciones - Realizar pruebas sobre los nuevos
- Llevar un registro actualizado de módems,
- La revisión de costes y la controladores, terminales, líneas y todo equipos
asignación formal de proveedores. equipo relacionado con las comunicaciones. - Vigilancia sobre toda actividad online
- Creación y aplicabilidad de - Mantener una vigilancia en las acciones en - El nivel de acceso de las funciones
estándares. la red. dentro de la red
- Registrar un coste de comunicaciones. - Coordinación de la organización en la
- Mejorar el rendimiento y la resolución de comunicación de datos y voz
problemas presentados en la red. - Normas de comunicación
- La responsabilidad en los contratos con
proveedores.
 El objetivo de una auditoria en Web es dar a
AUDITORIA WEB
conocer el estado de la pagina que se esta
verificando, dando como resultado una serie
de reportes que ayudaran al web máster o al
propietario a comprender varias áreas del sitio
como son la seguridad, la usabilidad,
contenido, calidad, etc.

También suele llevarse a cabo una auditoria

cuando se desea iniciar una campaña de
marketing, en si uno puede analizar los
elementos que considere necesarios de
acuerdo a la actividad que quiera realizar.
AUDITORIA DE RED INTERNA
Su objetivo es evaluar la seguridad de la red interna de
una empresa ante la posibilidad de recibir ataques por
parte de un hacker que haya conseguido alcanzar el
internet o ataques provenientes del personal interno a la
empresa.

La Auditoria de la Red Interna se centra en evaluar la

seguridad de los sistemas de protección perimetral
situados en la red interna de una empresa así como los
diferentes sistemas que están localizados en dicha red.
 FORMATOS PARA AUDITORIA INFORMATICA

Para la planeación del proceso de auditoria es necesario el diseño de los

formatos para el proceso de recolección de información y la presentación
de los resultados de la auditoria, estos documentos denominados papeles
de trabajo finalmente son organizados por cada proceso evaluado y al
final se presenta el dictamen y el informe final de resultados.

A continuación se presentará algunos de los formatos que se usan en el

proceso de auditoria.
 FORMATO DE DEFINICION DE FUENTES DE CONOCIMIENTO

Los formatos de fuentes de

conocimiento son usados para
especificar quienes tienen la
información o que documentos
la poseen y las pruebas de
análisis o ejecución que deberán
practicarse en cada proceso que
sea evaluado.
FORMATO DE ENTREVISTA

La entrevista generalmente se
aplica solo al personal clave
(administrador de sistemas,
usuarios de mayor experiencia,
entre otros).
 FORMATO DE CUESTIONARIO
El formato de cuestionario tiene dos objetivos:
1) La confirmación de los riesgos ya detectados anteriormente.
2) Descubrir nuevos riesgos que aun no se haya detectado.
El cuestionario se aplica solamente al personal clave que posee la información
para responderlo, por eso es necesario identificar las personas que puedan dar
respuesta a los interrogantes planteados en el cuestionario.

Las preguntas en el cuestionario son de dos tipos:

1) El primer tipo son las preguntas sobre la existencia de controles o riesgos,
2) Y el segundo tipo son las de completitud que tienen por objetivo saber si se
esta aplicando completamente los controles o de manera parcial.
 FORMATO DE CUESTIONARIO
Al responder cada una de las preguntas no solamente se debe marcar
la respuesta de SI o NO con una X sino que se debe dar un valor
cuantitativo en una escala de 1 a 5, donde el valor más bajo 1, 2,3
son valores de la poca importancia de la existencia de controles y 4, 5
que son los valores más altos en la escala significan que tienen mayor
importancia para el auditor. Mediante estas calificaciones se trata de
medir el grado del riesgo a que se ve expuesto el proceso que está
siendo evaluado.
FORMATO DE CUESTIONARIO
 FORMATO DE HALLAZGOS
Una vez los riesgos han sido conformados mediante pruebas y
evidencias, estos riesgos pasan a denominarse hallazgos. Los formatos
de los hallazgos son de suma importancia en la auditoría ya que llevan la
información de todo el proceso realizado y una descripción de cómo se
está presentando el riesgo y sus consecuencias para la medición o
valoración de los riesgos en el proceso de evaluación de riesgos que se
lleva a cabo posteriormente. Además en el formato de hallazgos se
puede encontrar la información de las recomendaciones para
determinar los posibles controles para mitigarlos.
FORMATO DE HALLAZGOS
 CARACTERISTICAS DE UNA AUDITORIA DE RED INTERNA

• Proporciona una visión detallada del estado de la seguridad en la red interna.

• Conectando un sistema a la red interna se intenta obtener acceso a los servidores e
información privilegiada que está localizada en esta red.
• Se simula la actuación de un hacker que ha conseguido penetrar en la red interna.
• Se simula la actuación de un empleado de la empresa que intenta utilizar recursos de
la red interna para los que no tiene permisos.
• Se utiliza la misma metodología y técnicas que en los Test de Intrusión, excepto que
ahora se ha de tener en cuenta que los ataques se realizan desde dentro de la red
interna.
• Se incluye la revisión de la política de seguridad de la empresa.
• La Auditoría se realiza desde las dependencias del cliente.
 TIPOS DE EMPRESA A APLICAR UNA AUDITORIA INFORMATICA

La auditoria informática en Redes y Comunicaciones se aplica en especial a

empresas que poseen ciertamente de tecnologías de comunicaciones y/o
sistemas de información que están conectados ya sea mediante intranet o
internet, en Colombia podemos destacar las siguientes empresas:

• Claro Colombia
• Colombia Telecomunicaciones S.A. ESP
• EPM Telecomunicaciones
• DIRECTV TV
• Alpavision
 ¿PORQUE Y PARA QUE SE REALIZA UNA AUDITORIA
INFORMATICA?

• Asegurar la integridad, confidencialidad y confiabilidad de la

información.
• Minimizar existencias de riesgos en el uso de tecnología de
información.
• Conocer la situación actual del área informática para lograr
los objetivos.
 REFERENCIAS.

• https://prezi.com/zna_ilmeabpd/auditoria-informatica-de-
comunicaciones-y-redes/