UNIVERSIDAD ABIERTA Y A DISTANCIA DE MÉXICO

DIVISIÓN DE CIENCIAS EXACTAS, INGENIERÍA Y TECNOLOGÍA

PE TELEMÁTICA

Unidad 1 / Actividad 3

Controles de acceso lógico

****

Auditoría Informática

TM-KAIN-2202-B1-001

Claudia Ávila Arteaga

Tepic, Nayarit 13 de Septiembre de 2022.

ÍNDICE

ÍNDICE........................................................................................................................................ 1

INTRODUCCIÓN......................................................................................................................... 2

DESARROLLO........................................................................................................................... 3

POLÍTICAS Y PROCEDIMIENTOS................................................................................................................... 3

SISTEMA DE SEGURIDAD FÍSICA.................................................................................................................. 6

SISTEMA DE SEGURIDAD LÓGICA............................................................................................................... 10

IDENTIFICACIÓN DE VULNERABILIDADES..................................................................................................... 12

CONCLUSIONES...................................................................................................................... 13

REFERENCIAS......................................................................................................................... 14
INTRODUCCIÓN

La manera en que nos comunicamos y demandamos servicios se ha transformado en los

últimos años, un ejemplo es que antes era común utilizar la línea de teléfono fija para pedir una
pizza, hoy en día lo hacemos desde una aplicación en nuestros dispositivos móviles desde
donde estemos, esto ha impulsado a las empresas de telecomunicaciones a innovar para
mantenerse vigentes.

TELMEX es una empresa de telecomunicaciones con infraestructura en todo el territorio

nacional, surgió inicialmente como una empresa de telefonía, pero para satisfacer las
necesidades de sus usuarios se ha transformo en una empresa que comercializa servicios de
voz, datos y soluciones T.I., esto lo ha logrado a través de la modernización de su red y la
implementación de las Tecnologías de la Información como una herramienta para mejorar sus
actividades y procesos.

En esta actividad se analizarán las políticas y procedimientos relacionados con el uso de las
Tecnologías de la Información dentro de un área específica de la empresa, nos enfocaremos a
las actividades realizadas por el departamento de Planta Interna, que dentro de sus actividades
tiene como responsabilidad el mantenimiento preventivo y correctivo de los elementos de la red
de telecomunicaciones de TELMEX en el área Tepic.
DESARROLLO

Políticas y Procedimientos

Existen diferentes políticas y procedimientos que rigen los procesos y al personal dentro de la
empresa, podemos clasificarlos de la siguiente manera:

Regulaciones que a la Empresa y las Telecomunicaciones

Para guiar los objetivos de la empresa existen normas definidas por el corporativo, así como
regulaciones externas a la que está sometida la empresa como las establecidas por:

 Instituto Federal de Telecomunicaciones (IFT)

 Ley Federal de Competencia
 Ley Federal de Telecomunicaciones y Radiodifusión
 Ley Federal de Protección de Datos Personales en Posesión de los Particulares
 Ley Federal de Protección al Consumidor
 Ley Federal del Trabajo

Relación obrero patronal

 Contrato Colectivo de Trabajo, es el convenio celebrado entre uno o varios sindicatos

de trabajadores y uno o varios patrones, o uno o varios sindicatos de patrones, con
objeto de establecer las condiciones según las cuales debe prestarse el trabajo en una
o más empresas o establecimientos (Camara de Diputados, 2022).

Normatividad, conducta y seguridad

 Reglamento Interior del Trabajo, establece las condiciones sobre las cuales se va a
realizar la jornada laboral, normas de seguridad e higiene y establece mecanismos de
disciplina y sanciones (STRM, 1997).

 Código de ética, rige el comportamiento de acuerdo con la buena moral y la visión

corporativa y las metas de la empresa y de sus colaboradores (TELMEX, 2022).

Código de ética (TELMEX, 2022)

  FIA, son la Normatividad Corporativa de Telmex , son instrumentos oficiales de control
interno de la Empresa y su función es el de regular a partir de los puntos de control
internos, rigen los principales procesos funcionales y de operación los procedimientos,
así como el uso de las T.I.C como son:
o FIA 62: Norma el uso de las redes inalámbricas.
o FIA 13: Regula el uso de los teléfonos fijos.
o FIA 55: Uso de pizarrones informativos.
o FIA 76: Control de equipos TBA
o FIA 21: Uso del correo electrónico.

Procedimientos operativos

 Boletines técnicos, son procedimientos emitidos con carácter urgente para solventar
incidentes encontrados en la operación de los equipos, pueden incluir procedimientos
que deben realizarse para solventar la situación.
  Protocolos de recepción, son procedimientos diseñados para cada equipo que se instala
dentro de la red de Telmex, permiten establecer los parámetros y pruebas que deben
cumplir los proveedores al momento de instalar un equipo.

Medición de Resultados

Para medir los resultados del área de conmutación y transmisión se analiza mediante el
Programa General de Incentivos a la Calidad, Productividad y Competitividad entre el STRM y
TELMEX.

El objetivo fundamental del programa es el cumplimiento de las metas corporativas de calidad y

productividad de la Empresa tanto las establecidas en el Título de Concesión, como las
derivadas de la competitividad y satisfacción del cliente (Marino Roche & Sandoval Cavazos,
2018).

Este programa establece indicadores internos al área los cuales son (Comision Nacional de
Productividad STRM, 2013):
 Indicadores y grafica bolsa de pago productividad (STRM, 1997)

Sistema de seguridad física

De acuerdo con (Universidad de Valencia, 2022) “La seguridad física se refiere a los
mecanismos de prevención y detección destinados a proteger físicamente cualquier recurso del
sistema”.

En la empresa encontramos que se aplican los siguientes mecanismos:

Control de acceso

Se emplea una normatividad interna FIA 219 para control de acceso a edificios corporativos,
con el objetivo de asegurar que el ingreso y salida de personas en los Edificios Corporativos,
se efectúe de forma autorizada, ordenada, ágil y segura.
 Establece el uso de herramientas tecnológicas como: Sistema de control de accesos
computarizado, cámara y lector de scanner para registro de códigos de barras o códigos
QR de equipos portátiles, torniquetes y arcos detectores.

 Define las políticas para autorizar el acceso a visitantes a través de un sistema de

pases de acceso y los niveles de autorización que requieren según la actividad que
vayan a desarrollar y la documentación que debe de presentar.

 Establece los formatos que deben de utilizarse por parte del personal de vigilancia para
administrar el acceso a las instalaciones.
Desastres naturales

Además de los posibles ataques realizados por personas, se debe tomar en cuenta los
desastres naturales.

 Sismos: Se cuenta con un plan de emergencia en caso de sismos o incendios, que es

ejecutado a través de una brigada designada ante la secretaria del trabajo. Además de
implementar

 Incendios: Se cuenta con una alarma de incendios con disparadores y extintores en

todos los pisos del edificio

 Lluvias y huracanes, estos son monitoreados a través del área de seguridad patrimonial
mismos que emiten un comunicado diario, contactándose con las zonas en riesgo para
activar los protocolos de prevención.
Alteraciones del entorno

Las fallas de energía son una de las variaciones del entorno más comunes, por esta razón se
contemplan dentro de los protocolos de protección física.

 Planta de emergencia, en caso de existir una falla en el suministro de energía entra en

operación una maquina generadora de electricidad, esta funciona a través del
movimiento de un generador operado por un motor de combustión interna de Diesel.

 Banco de baterías, la operación de la planta de emergencia tiene un retardo para evitar

arranques por falsos positivos, durante el tiempo que el servicio de energía se ve
interrumpido se alimentan los equipos informáticos a través de un banco de baterías.

 Inversores, trabajan convirtiendo la corriente directa de las baterías en corriente alterna

para mantener alimentados los recursos informáticos como equipos de cómputo,
switches, routers.
Sistema de seguridad lógica

Permiten mitigar las amenazas de acceso no autorizado a la información y los sistemas

electrónicos.
Control de acceso

Emplea mecanismos de autenticación y validación de usuarios.

 Autenticación de usuarios, se cuenta con un Dominio de Directorio Activo de Windows

para la gestión de usuarios y configuraciones. Al iniciar un equipo de cómputo se le
solicita nombre de usuario y contraseña.

 Niveles de autorización, después de autenticar al usuario se valida el nivel de privilegios

para activar las funciones del sistema operativo que tiene disponible.

 Aplicaciones corporativas, las aplicaciones utilizadas por los empleados cuentan

sistemas de autenticación independientes al sistema operativo.
Uso de software

 Antivirus, los equipos de cómputo cuentan con la protección Symantec Endpoint

Protection para mitigar amenazas de software malicioso como virus, spyware,
ransomware.

 Agente de Escritorio Central, es un software para monitorear la ejecución e instalación

de software prohibido, además obtiene informes de conexión del usuario.

Comunicaciones y redes

 Acceso a redes, los equipos informáticos no cuentan con acceso a internet directamente
solamente tienen conexión a la Red Corporativa de Datos Telmex. Con esta pueden
conectarse a las aplicaciones corporativas.

 Correo electrónico, es una de las herramientas de comunicación más utilizada ya que

permite contactar a otras áreas y su uso esta normado a través de la FIA 21.
  Redundancia, la conexión a la RCDT se realiza a través de un enlace de router Cisco
que cuenta con redundancia, por lo que si el enlace principal falla entra el de
emergencia a trabajar para que los usuarios no pierdan su conexión.

Identificación de vulnerabilidades

Puntos Críticos en una Auditoría

Sistema de seguridad física
  Puntos Referencia
 • No se observan registros del personal que no
porta la credencial en la libreta.
Control de acceso FIA 219
• No se cuenta con lector de código de barras
para agilizar el acceso de equipo de cómputo.
 • Alarma de incendios desactivada por averías y
NOM-002-STPS-2010
sin fecha estimada de reparación.
Desastres naturales
 • La formación de los brigadistas no se ha
Ley Federal del Trabajo
actualizado desde el inicio de la pandemia.
  • El ultimo mantenimiento preventivo realizado
a la máquina de emergencia excede el tiempo
F/04/063
Alteraciones del entorno recomendado (6 meses).
 • El nivel de electrolito en los bancos de batería
está por llegar al nivel más bajo.
Sistema de seguridad lógica
Puntos Norma
 • Sistema Operativo sin soporte, se detectaron
equipos con Windows XP.
Control de acceso ISO 27000
• Existen usuarios que comparten la misma
cuenta de usuario de Directorio Activo.
Uso de software   • Base de datos de antivirus desactualizada. ISO 27001
  • No existe evidencia de la realización de
pruebas de penetración.
Comunicaciones y redes ASVS V3
• No se cuentan con pruebas del enlace de
redundancia.
CONCLUSIONES

A medida que el tamaño de una organización se vuelve fundamental establecer normas y

políticas que optimicen los procesos y actividades, en el caso de TELMEX cuenta con una
extensa documentación para regular las diferentes áreas operativas y administrativas. Debido a
que cuentan con cobertura en todo el país se contemplan los posibles escenarios que se
puedan desarrollar.

Auditar los sistemas de seguridad físicas y lógicas de una empresa permite detectar áreas de
oportunidad y reducir la vulnerabilidad de potenciales que impacten a la operación de los
recursos informáticos y evitar afectaciones a la operación de la empresa. Aunque son amplios
los criterios que se pueden poner a prueba, siempre se debe de contemplar la normatividad
que los regula con el fin de emitir un dictamen objetivo.
REFERENCIAS

Camara de Diputados. (18 de Mayo de 2022). Ley Feral de Trabajo. Obtenido de Diputados:
https://www.diputados.gob.mx/LeyesBiblio/pdf/LFT.pdf

Comision Nacional de Productividad STRM. (2013). Comision Nacional de Productividad

STRM. Obtenido de STRM:
http://portal.strm.net/documentos/prod2013/PRODUCTIVIDAD_CXTX_%202013.pdf

Marino Roche, R., & Sandoval Cavazos, J. (01 de Febrero de 2018). RODUCTIVIDAD
LABORAL EN TELMEX MEXICO. Obtenido de RELATS:
http://www.relats.org/documentos/ORG.MarinoSandoval.pdf

STRM. (1997). Reglamento Interior de Trabajo. Obtenido de STRM:

http://portal.strm.net/documentos/RIT97_3

TELMEX. (13 de Abril de 2022). Código de ética. Obtenido de TELMEX:

https://downloads.telmex.com/pdf/codigoetica.pdf

UnADM. (2022). Auditoría Informática: Unidad 2. La auditoría en sus estándares, proceso,

control y seguridad. México: DCEIT.