Instituto tecnológico

Superior de perote

Ingeniería informática

AUDITORÍA INFORMÁTICA

UNIDAD V
INVESTIGACIÓN:
5.5 LA OPERACIÓN Y SEGURIDAD

CATEDRÁTICO: LSCA. JOSÉ ALFONSO LÓPEZ GONZÁLEZ

ALUMNO: JOSÉ BERNARDO RODRÍGUEZ CARRILLO
EDUARDO ARTEMIO HERNÁNDEZ ORTÍZ
MATRÍCULA: 13050033
13050065
GRUPO: 805-B
FECHA: 27-MAYO-2017
 ÍNDICE

TEMA PÁGINA

Introducción 1
La Operación y Seguridad 2
Controles de Acceso 4
Uso Autorizado 4
Tiempo de Uso de las Cuentas 4
Conclusión 5
Bibliografía 6
 INTRODUCCIÓN

Las telecomunicaciones son ya una constante en la vida de las personas y hoy no es posible concebir el
mundo sin ellas. Pero, ¿qué son las telecomunicaciones? Se trata de un conjunto de técnicas que permiten
la comunicación a distancia, lo que puede referirse a la habitación de al lado o a una nave espacial situada
a millones de kilómetros de distancia.
Las telecomunicaciones pueden ser definidas como la serie de actividades electrónicas, eléctricas, y
mecánicas que permiten a la gente y a las máquinas comunicarse unas con otras no importando las
distancias. Los siguientes tres tipos de comunicaciones son facilitadas por las telecomunicaciones:

· Persona a persona
· Persona a maquina
· Maquina a maquina

Frecuentemente, las telecomunicaciones son consideradas sólo en términos de la tecnología qué respalda
las comunicaciones, tales como módems, multiplexores, computadoras y terminales; sin embargó, el
sistema total es algo más que simplemente la interconexión de sus componentes. La gente, las políticas,
los procedimientos y las prioridades son tan críticos como la tecnología en la composición de un efectivo
sistema de comunicaciones.
En el pasado, las telecomunicaciones estaban limitadas a la interconexión de dos sistemas. Con el
advenimiento de los sistemas de procesamiento en línea, distribuido y cooperativo, el enlace de las
telecomunicaciones ha pasado a ser una parte integral de la aplicación misma. Cuando la aplicación es
crítica, el enlace o infraestructura de las telecomunicaciones es también crítico.
El propósito de este trabajo es identificar los temas de auditoría relacionados con los sistemas de
telecomunicaciones detallando ciertos puntos como la finalidad que tienen una evaluación de
telecomunicaciones, así como los requerimientos que se necesitan, su administración, instalación,
operación y seguridad.

Ingeniería informática auditoría informática 5.5 805-b may-17 1

 5.5. LA OPERACIÓN Y SEGURIDAD.

Las aplicaciones se hacen disponibles a los usuarios mediante una red de telecomunicaciones, y los
vínculos o nexos de las telecomunicaciones pueden ser una parte integral de una aplicación usando el
procesamiento distribuido o cooperativo.

Los riesgos de las aplicaciones incluyen acceso no autorizado a los datos confidenciales, manipulación
maliciosa de datos, interrupción de operaciones de negocio, e información inexacta o incompleta. Las
aplicaciones que son en línea, altamente interactivas y caracterizadas por tiempos de respuesta rápido,
comúnmente requieren controles adiciónales de telecomunicaciones.

Mientras se realiza el análisis de una red de telecomunicaciones pueden surgir una múltiple cantidad de
riesgos tanto de costos y de comunicación entre los cuales se encuentran los siguientes:

· La facturación del porteador puede ser incorrecta debido a la complejidad de los procedimientos de
tarifas y a los procedimientos de facturación usados por los porteadores.
· La no disponibilidad de servicio o la pérdida de datos pueden interrumpir negocios y dañar, destruir, o
desconectar los medios de transmisión.
· Los costos de operación de la red no pueden ser totalmente proyectados al tomar la decisión del negocio.

· La red puede no apoyar la actividad del negocio o no ser fácil de usar.

· Los costos de la red pueden ser demasiado altos para la actividad del negocio.
· La red puede no ser entregada de una manera oportuna, causando costos excesivos y pérdidas en el
negocio.

Ante tales riesgos y situaciones se deben de emplear técnicas o métodos que permitían mitigar tales
riesgos, la organización debe desarrollar cuidadosamente un plan estratégico integrado a largo plazo.

Un riesgo clave para una red son los usuarios no autorizados que logran acceso a la red y tratan de ejecutar
aplicaciones o autorizar usuarios para conseguir acceso a las aplicaciones para las cuales ellos no están
autorizados. Los riesgos generales planteados para una red, por un usuario no autorizado, incluyen el uso
no autorizado de los recursos dé la red para transportar datos, modificaciones o eliminación de datos,
revelación de información y uso de los recursos de la red para negar la utilización legítima de los servicios.

Ingeniería informática auditoría informática 5.5 805-b may-17 2

Después de ver como nuestro sistema puede verse afectado por la falta de seguridad física, es importante
recalcar que la mayoría de los daños que puede sufrir un centro de cómputo no será sobre los medios
físicos sino contra información por él almacenada y procesada. Así, la seguridad física sólo es una parte
del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad.
Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben
existir técnicas, más allá de la seguridad física que la asegure. Estas técnicas las brinda la seguridad lógica.
La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los
datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la
seguridad informática que dicta que “todo lo que no está permitido debe estar prohibido” y esto es lo que
debe asegurar la seguridad lógica. Los objetivos que se plantean serán:
1. Restringir el acceso a los programas y archivos
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los
programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento
correcto.
4. Asegurar que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no a
otro.
5. Asegurar que la información recibida sea la misma que ha sido transmitida.
6. Asegurar que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Asegurar que se disponga de pasos alternativos de emergencia para la transmisión de información.
Es recomendable que este tipo de seguimientos sean realizados a la par con procedimientos de escaneo
de vulnerabilidades internas y externas para conocer los puntos débiles de la organización en cuanto a
software y ofrecer soluciones integradas de seguridad Las nuevas tecnologías de la información han
potenciado la comunicación y el acceso a la información.
Por ello, la sociedad de la Información, en la que estamos inmersos, debe de garantizar la seguridad de
los sistemas. Los sistemas de información deben estar preparados para prevenir, detectar y reaccionar ante
las posibles amenazas. Se entiende por amenaza a una condición del entorno del sistema de información
(persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a una violación de la
seguridad (confidencialidad, integridad, disponibilidad o uso legítimo).
Para hacer frente a las amenazas contra la seguridad, se definen una serie de servicios que hacen uso de
uno o varios mecanismos de seguridad. Uno de ellos está enfocado a garantizar la inviolabilidad de los
datos (confidencialidad, integridad y disponibilidad), mientras que otros se orientan a protegerlos del
entorno (autenticación, no repudio y control de acceso).

Ingeniería informática auditoría informática 5.5 805-b may-17 3

CONTROLES DE ACCESO

• Confidencialidad: garantiza que la información sea accesible únicamente por las entidades autorizadas,
protegiendo la identidad de las partes implicadas. Se utilizan métodos de cifrado
. • Autenticación: garantiza la identidad de las partes implicadas en la comunicación. Las tecnologías más
aplicadas son “firma digital”, biometría, tarjetas de banda magnética, contraseñas, etc.
• Integridad: garantiza que la información sólo pueda ser modificada por las entidades autorizadas.
Requiere el uso de tecnologías como el hash criptográfico con firma digital, y los time-stamps (marcas de
tiempo). Entre los principales controles de acceso que se pueden mencionar están:

USO AUTORIZADO

1. Las cuentas de ingreso a los sistemas y los recursos de cómputo son propiedad de la empresa y se usarán
exclusivamente para actividades relacionadas con la misma.
2. Ninguna cuenta de usuario podrá ser usada para propósitos ilegales, criminales o no éticos.
3. Las cuentas en los sistemas son estrictamente personales e intransferibles.
4. Para reforzar la seguridad de la información de la cuenta, el usuario bajo su criterio deberá hacer
respaldos de su información dependiendo de la importancia y frecuencia del cambio de la misma.

TIEMPO DE USO DE LAS CUENTAS

1. Se prohíbe dejar sesiones abiertas sin control alguno.

2. Por razones de seguridad todo usuario que salga temporalmente de la institución tiene la obligación de
notificar al administrador las máquinas de las cuales se conectará a la red.
3. Cuando el usuario deje de tener alguna relación oficial con la empresa o la cuenta deje de ser utilizada
por un tiempo definido por los administradores, esta debe ser removida.
4. Cuando el usuario deje de laborar o de tener una relación con la empresa, este debe notificarlo al
administrador de sistemas para proceder y tomar las medidas pertinentes con su información y cuenta de
acceso.
• Gestión de claves Contraseñas reutilizadas, sencillas o fácilmente adivinables a nivel de estación de
trabajo pueden poner en peligro la seguridad de sus servidores. Cuentas de usuarios o de prueba con
excesivos privilegios

Ingeniería informática auditoría informática 5.5 805-b may-17 4

 CONCLUSIÓN

La auditoría de telecomunicaciones es un análisis orientado a proporcionar información y

recomendaciones que les permite a las empresas determinar las acciones necesarias para crecer y alcanzar
un nivel de rendimiento y disponibilidad de la red, acorde a las necesidades actuales y futuras de su
negocio; sin comprometer la seguridad empresarial o institucional.

Las empresas o instituciones deberán de contar con un adecuado control interno sobre todas sus áreas y
en especial sobre el área de telecomunicaciones para garantizar una mejor utilización de sus recursos. A
través de la auditoría de telecomunicaciones se lleva a cabo un exhaustivo análisis del estado de seguridad
de telecomunicaciones y de sus sistemas frente a usuarios de Internet y usuarios de su propia organización.

La seguridad en las redes es un aspecto crítico que no se puede descuidar. Debido a que las transmisiones
viajan por un medio inseguro, se requieren mecanismos que aseguren la confidencialidad de los datos, así
como su integridad y autenticidad.

Dependiendo de cómo la tecnología de la información es aplicada en la organización, esta podrá tener un

alto impacto en el logro de su visión, misión u objetivos estratégicos.

Ingeniería informática auditoría informática 5.5 805-b may-17 5

 BIBLIOGRAFÍA

http://ing-informatica.esy.es/uncategorized/unidad-3/ 26-05-2017 21:24

http://jmrvm801auditoriainformatica.blogspot.mx/2015/04/unidad-3.html 26-05-2017 21:37
https://sites.google.com/site/mrtripus/auditoria-informatica 26-05-2017 21:50

Ingeniería informática auditoría informática 5.5 805-b may-17 6