NETSPEED es una empresa de telecomunicaciones de Valverde, enfocada en proveer

internet a todos sus clientes en todas las dimensiones posibles. En NETSPEED surge
la necesidad de una auditoría externa debido al alta creciente necesidad de servicios y
que el pasado año un cliente había intentado penetrar dentro de sus servicios de
telecomunicaciones esto crea una necesidad de saber si están seguros su servicio de
telecomunicaciones. Por lo mismo tanto se pone en contacto con Sysplex Auditor para
evaluar dichos procesos y así verificar los procesos de su negocio entorno a seguridad.
 
Inmediatamente se da dicha reunión con la alta gerencia de NETSPEED, Sysplex
Auditor empieza a preparar la documentación y a solicitar documentaciones de la
empresa de telecomunicación para proceder a realizar dicha auditoría.
 
Dentro de los insumos solicitados por Sysplex Auditor estaba el organigrama de la
empresa, misión, visión, valores, reportes de averías, solicitud de servicios,
documentación de procesos, requerimientos de instalación, reporte mantenimiento,
también algunas entrevistas tanto con algunos técnicos y usuarios de dichos servicios
de telecomunicaciones.
Por otra parte, Sysplex Auditor fue directamente al escenario para observar dichos procesos,
configuraciones y más.
 
Del trabajo desarrollado por el equipo técnico que realizó la auditoría se concluye que el
aumento en los servicios y de la seguridad física de los servicios de telecomunicaciones. En
conjunto con los procesos de configuración e instalación se denota la segregación de funciones,
falta de manuales operativos, falta de documentación entre otros. En este informe, se detallan 20
hallazgos como resultado del proceso de auditoría. A partir de ellos, se especifican 5
conclusiones de este trabajo y se formulan 5 recomendaciones cuya implementación es esencial
para fortalecer el trabajo de NETSPEED en materia de servicios de telecomunicaciones.
I. Conclusiones
 
1. Pese a que la confiabilidad y la integridad de la información en la empresa NETSPEED durante la
autenticación de los usuarios es altamente reconocida por esta auditoría, hay algunos aspectos que hay que
puntualizar. Estos aspectos son la causa raíz de la rentabilidad de la empresa y de la gestión de calidad hacia
los clientes. Unos de los defectos que hemos chocado fue la falta de elaboración de procesos y protocolos de
control en la empresa. Si la empresa tiene procesos y protocolos donde ellos rápidamente actúan bajo cualquier
falla, pero no hay procesos claros estandarizados que una persona que, entre nueva en el área, ya sea ingeniero
o técnico pueda implementar. Esta falla se materializa, puesto que no se cuenta con un control en la integridad
de procesos como seguridad punto a punto. Cabe señalar de que no se hizo un control de calidad a los
empleados de la empresa, para verificar si existen procesos y protocolos en el área de gestión administrativa.
 
2. No existe un corta fuego a la entrada ni a la salida de datos. Aunque la empresa cuenta con los corta fuego
que traen integrado los equipos, cabe destacar que estos equipos no se fabricaron para esta funcionalidad, sino
que se agregan como valor del equipo. Es así con los Microtik CCR1016, tiene su corta fuego interno que
puede proteger hasta cierto punto cualquier ataque o vulnerabilidad en la red, pero no cuenta con los
protocolos adecuados ni la capacidad de mitigar ataques, por ejemplo, DDoS, ataques a la capa 7 de red o
ataque por inyección a SQL.
3. La empresa no cuenta con un UPS True Online o de onda sinusoidal. Sysplex Auditores hace
hincapié en esta vulnerabilidad, ya que la protección y la integridad de los equipos es prioridad. No
usar un UPS de onda sinusoidal, cuando hay un pico de voltaje en la energía eléctrica, esta hace que
la corriente pase a través del inversor (instalado en la empresa) y por ende, llegue a los equipos, ya
que la onda que manejan estos inversores tradicionales o caseros, no son recomendables para ser
usados en equipos tecnológicos sensibles a las caídas de voltaje.
 
4. El cliente informo que hace unos meses, hubo una violación a la seguridad de un punto acceso. Por
suerte, el ataque no llego al centro de datos, ya que el mismo punto de acceso pudo mitigar el ataque,
ya que fue un ataque de capa 2 en el modelo OSI.
 
5. Falla de mitigación del personal de tecnología o en representación del centro de datos de la
empresa. Limitar el personal al centro de datos es un punto necesario en la seguridad, pero debe de
hacer una persona extra (a excepción del presidente de la empresa) que pueda manejar ambos
departamentos por si cualquiera de los ingenieros fallare.

 
Recomendaciones

 Elaborar la documentación respecto a las políticas de seguridad de la información y el manual de procedimientos

para gestionar y asegurar la infraestructura tecnológica de la empresa NETSPEED y de los clientes.

 En cuanto al control de acceso, se deben implementar controles respecto a procedimientos de autorización para
determinar el personal que accede al área de red y los servicios de red, como también la protección del acceso a la
red y servicios y medios seguros para acceder a las mismas.

 La seguridad en telecomunicaciones en la empresa, de acuerdo con los parámetros evaluados, es el de mayor

criticidad y se deben implementar controles o acciones correctivas inmediatas. Entre ellos se encuentra la
implementación de acciones de monitoreo de red, implementar controles para salvaguardar los servicios de seguridad
informática en la red, como lo son los activos de información e informáticos de la empresa, como también la
implementación de Sistemas de Seguridad Perimetrales para proteger los sistemas de red y aplicaciones en la
empresa.

 También es importar recalcar la creación de manuales operativos para los puestos e incidencias.

 Automatización de las respuestas a incidencias