Introducción:

Anteriormente, la comunicación entre las computadoras se efectuaba a través del

transporte físico de los datos a través de los medios extraíbles. La necesidad de
compartir datos hizo que se desarrollaran las redes de computadoras.
Actualmente las telecomunicaciones y las redes son un pilar sobre el cual se
sostienen la mayoría de las operaciones que se realizan en una organización.
Dada su rápida expansión, es muy común que hoy en día muchas organizaciones
tengan infraestructura de red y de telecomunicaciones, no se concibe una
empresa que no tenga sus aplicaciones de software para las operaciones
cotidianas, usando una red de computadoras, por tanto es casi seguro que si
ocurriera un fallo en la infraestructura de telecomunicaciones, la organización
quedaría prácticamente paralizada. La auditoria de la seguridad en este campo
procura entonces evitar que las consecuencias de un problema no sea
devastadoras.

Definición:
¿Qué es una Auditoría en Telecomunicaciones?
Una Auditoria en Telecomunicaciones es una evaluación del entorno de las
Telecomunicaciones tanto a nivel global como a nivel empresarial.
El propósito de una auditoria en telecomunicaciones es asegurar:

 Seguridad
 Cumplimiento de la política empresarial.
 Eficacia en cuanto al coste
 Efectividad del servicio
 El respaldo de las Telecomunicaciones al objetivo de la empresa.
Una adecuada auditoria debe incluir todos los tipos de telecomunicaciones: voz,
video y datos.
Una auditoria debe abarcar todo el equipo de telecomunicaciones, política de
servicio y gastos utilizados por la empresa.
Una auditoria empieza con una política de evaluación, se identifican y analizan
políticas relevantes para determinar si cumplen las pautas y objetivos
organizacionales.
El equipo de comunicación como sistema de correo, IVR,... deben ser evaluados
para determinar si cumplen con los requisitos del negocio actual y, si es posible, se
deben considerar soluciones alternativas.
Servicios de comunicación tales como líneas de teléfono, servicios CENTREX y
servicios de respuesta son evaluados para determinar si los niveles de servicio y
coste cumplen los objetivos organizacionales y si otras soluciones potenciales
deben ser evaluadas para reemplazar a los servicios actuales.
La auditoria en telecomunicaciones puede ser realizada tanto por auditoría interna
como por auditores externos.

¿Qué es la Auditoria Informática en Redes y

Telecomunicaciones?
La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema de información salvaguarda el activo empresarial,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organización, utiliza eficientemente los recursos, y cumple con las leyes y
regulaciones establecidas. También permiten detectar de forma sistemática el uso
de los recursos y los flujos de información dentro de una organización y determinar
qué información es crítica para el cumplimiento de su misión y objetivos,
identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan
flujos de información eficientes.
¿Qué características tiene la Auditoria Informática en
Redes y Telecomunicaciones?
La información de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo Real de la misma, como sus Stocks o materias primas si
las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se
ocupa la Auditoría de Inversión Informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y
particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en
general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser
Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza de
alguna forma su función: se está en el campo de la Auditoría de Organización
Informática.
Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan
en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área
de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese
Desarrollo existen, además de ineficiencias, debilidades de organización, o de
inversiones, o de seguridad, o alguna mezcla de ellas.
¿Cuál es el perfil del Auditor Informático en Redes y
Telecomunicaciones?
El perfil de un auditor informático en redes y telecomunicaciones es el que
corresponde a un Ingeniero en Informática o en Sistemas especializado en el área
de telemática.

El auditor de informático especializado en esta área deberá inquirir sobre los

índices de utilización de las líneas contratadas con información abundante sobre
tiempos de desuso. Deberá proveerse de la topología de la Red de
Comunicaciones, actualizada, ya que la desactualización de esta documentación
significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas
existen, cómo son y donde están instaladas, supondría que se bordea la
Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o
importantes se encuentran en las disfunciones organizativas.

¿Por qué y Para qué se hace la Auditoria Informática en

Redes y Telecomunicaciones?
a) Asegurar la integridad, confidencialidad y confiabilidad de la información.
b) Minimizar existencias de riesgos en el uso de Tecnología de información
c) Conocer la situación actual del área informática para lograr los objetivos.
d) Asegurar seguridad, utilidad, confianza, privacidad y disponibilidad en el
ambiente informático, así como también seguridad del personal, los datos, el
hardware, el software y las instalaciones.
e) Incrementar la satisfacción de los usuarios de los sistemas informáticos.
f) Capacitar y educar sobre controles en los Sistemas de Información.
g) Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar
decisiones en cuanto a inversiones para la tecnología de información.

¿Qué metodologías sigue la Auditoria Informática en

redes y Telecomunicaciones?
Las metodologías son necesarias para desarrollar cualquier proyecto que nos
propongamos de manera ordenada y eficaz.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el
control informático, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la
realización del trabajo, están diseñadas par producir una lista de riesgos que
pueden compararse entre sí con facilidad por tener asignados unos valores
numérico. Están diseñadas para producir una lista de riesgos que pueden
compararse entre si con facilidad por tener asignados unos valores numéricos.
Estos valores son datos de probabilidad de ocurrencia de un evento que se debe
extraer de un riesgo de incidencias donde el numero de incidencias tiende al
infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un
proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede
excluir riesgos significantes desconocidos (depende de la capacidad del
profesional para usar el check-list/guía). Basadas en métodos estadísticos y lógica
borrosa, que requiere menos recursos humanos / tiempo que las metodologías
cuantitativas.
¿A qué tipos de empresas se aplica la Auditoria
Informática en Redes y Telecomunicaciones?
La Auditoria Informática en Redes y Telecomunicaciones se lo aplica en especial a
empresas que poseen ciertamente de tecnologías de comunicaciones y/o
sistemas de información que están conectados ya sea mediante intranet o internet,
en Bolivia podemos citar a las siguientes principales empresas:
 - Entel Movil
- Viva GSM
- Tigo
- AXS
- Cotel

5.1 Finalidad de la evaluación en

telecomunicaciones

Objetivos a tomar en cuenta:

 Verificar la existencia de controles en software y hardware
 Asegurar la existencia de controles y procedimientos de la administración
 Administración de la red de telecomunicaciones
 Instalación de red
 La operación y seguridad de la red
 El mantenimiento de la red
 Comprobar que la distribución de las bases de datos en la red sea segura
 Verificar que las medidas de respaldo sean adecuadas
 Verificar que el software de comunicación sea efectivo y controlado
 Verificar que solo se encuentre software autorizado en la red
 Evaluar las acciones que lleven a cabo para actualizar los diferentes componentes de la red
 Verificar que existan parámetros de medición del desempeño de la red: bitácoras, graficas,
estadísticas

5.2 Requerimientos para la evaluación

Cableado estructurado:
Especifica los requisitos mínimos para cableado de telecomunicaciones dentro de
edificios comerciales
Elementos:
 Facilidades de Entrada
 Sala de equipos
 BackBone ( Cableado Central)
 Armarios de telecomunicaciones
 Cableado Horizontales
 Áreas de Trabajo
Normas Para establecer un Site de Telecomunicaciones
• ANSI/TIA/EIA-568-B.1
• ANSI/TIA/EIA-569-B
• ANSI/TIA/EIA-606-A-2002. Norma de Administración para la Infraestructura de
Telecomunicaciones Comerciales.
 ANSI J-STD-607-A: Requerimientos para el
Aterramiento de Telecomunicaciones de Edificios
Comerciales
• ISO/IEC 11801 especifica sistemas de cableado para telecomunicación de
multipropósito. Cableado estructurado que es utilizable para un amplio rango de
aplicaciones (análogas y de telefonía ISDN, varios estándares de comunicación de
datos, construcción de sistemas de control, automatización de fabricación). Cubre
tanto cableado de cobre balanceado como cableado de fibra óptica. El estándar
fue diseñado para uso comercial que pueden consistir en uno o múltiples edificios
en un campus.
• ISO/IEC 118011: Sistemas de Cableado Genéricos.
• NFPA 70 Código Eléctrico Nacional
• NFPA 70E Seguridad Eléctrica en Lugares de Trabajo.
• NFPA 101 Código de Seguridad Humana. proporciona los requisitos mínimos, para
el diseño, la operación, y el mantenimiento de edificios y estructuras para la
seguridad de la vida humana contra los incendios.
Recomendaciones para implementación de un Site
Telecomunicaciones
• Selección del Sitio
• Tamaño: Guía para voz y datos, guía para otros equipos.
• Provisionamiento
• Equipos de Calefacción, Ventilación y Aire acondicionado
• Acabados interiores
• Iluminación
• Energía Eléctrica
• Puertas
• Tierra Física
• Extinguidores
Pasos para Realizar una Auditoria Física:
Se debe garantizar que exista:
• Áreas de equipo de comunicación con control de acceso.
• Protección y tendido adecuado de cables y líneas de comunicación para evitar
accesos físicos.
• Control de utilización de equipos de prueba de comunicaciones para monitorizar la
red y el tráfico en ella.
• Prioridad de recuperación del sistema.
• Control de las líneas telefónicas
Comprueba que:
• El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso
limitado.
• La seguridad física del equipo de comunicaciones sea adecuada.
• Se tomen medidas para separar las actividades de los electricistas y de cableado
de líneas telefónicas.
• Las líneas de comunicación estén fuera de la vista.
• Se dé un código a cada línea, en vez de una descripción física de la misma.
• Haya procedimientos de protección de los cables y las bocas de conexión para
evitar pinchazos a la red.
• Existan revisiones periódicas de la red buscando pinchazos a la misma.
• El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones
específicas.
• Existan alternativas de respaldo de las comunicaciones.
• Con respecto a las líneas telefónicas: No debe darse el número como público y
tenerlas configuradas con retro llamada, código de conexión o interruptores.
Pasos para llevar a cabo una auditoria Lógica
En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo
que empieza a enviar mensajes hasta que satura por completo la red.
Para éste tipo de situaciones:
• Se deben dar contraseñas de acceso.
• Controlar los errores.
• Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para
esto, regularmente se cambia la ruta de acceso de la información a la red.
• Registrar las actividades de los usuarios en la red.
• Encriptar la información pertinente.
• Evitar la importación y exportación de datos.
• Inhabilitar el software o hardware con acceso libre.
• Generar estadísticas de las tasas de errores y transmisión.
• Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
• El software de comunicación, ha de tener procedimientos correctivos y de control
ante mensajes duplicados, fuera de orden, perdidos o retrasados.
• Los datos sensibles, solo pueden ser impresos en una impresora especificada y
ser vistos desde una terminal debidamente autorizada.
• Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
• Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión
entre diferentes organizaciones.
• Asegurar que los datos que viajan por Internet vayan cifrados.
• Si en la LAN hay equipos con modem entonces se debe revisar el control de
seguridad asociado para impedir el acceso de equipos foráneos a la red.
• Deben existir políticas que prohíban la instalación de programas o equipos
personales en la red.
• Los accesos a servidores remotos han de estar inhabilitados.
Modelos OSI y TCP/IP
• OSI (Open Systems Interconection), es usado para describir el uso de datos entre
la conexión física de la red y la aplicación del usuario final.
• El TCP/IP (Protocolo de Control de Transmisión/Protocolo de Internet) es la base
de Internet, y sirve para enlazar computadoras que utilizan diferentes sistemas
operativos, incluyendo PC, minicomputadoras y computadoras centrales sobre
redes de área local (LAN) y área extensa (WAN).
La información se pasa de una capa a otra, comenzando en la capa de Aplicación
en el host de transmisión, siguiendo por la jerarquía hacia la capa Física, pasando
 por el canal de comunicaciones al host de destino, donde la información vuelve a
la jerarquía y termina en la capa de Aplicación.
Soluciones de Seguridad:
Conectividad, perímetro, detección de intrusos, identidad, administración de
seguridad, VPN, cortafuegos, autentificación, política de seguridad.

5.3 La administración
Estándares para la administración de acceso a la
información
Se puede decir que los controles de acceso a la información constituyen uno de los
parámetros más importantes a la hora de administrar seguridad. Con 42 ellos se
determina quién puede acceder a qué datos, indicando a cada persona un tipo de
acceso (perfil) específico. Para este cometido se utilizan diferentes técnicas que se
diferencian significativamente en términos de precisión, sofisticación y costos. Se
utilizan por ejemplo, palabras claves, algoritmos de inscripción, listas de controles
de acceso, limitaciones por ubicación de la información, horarios, etc. Una vez
determinados los controles de accesos a la información, se hace imprescindible
efectuar una eficiente administración de la seguridad, lo que implica la
implementación, seguimiento, pruebas y modificaciones sobre los perfiles de los
usuarios de los sistemas. Este es uno de los puntos fundamentales a tener en
cuenta para garantizar la seguridad y al mismo tiempo una correcta accesibilidad a
la información. En efecto, en todo proyecto informático que pretenda brindar
información a diferentes niveles, garantizando correcta toma de decisiones y
accesibilidad a un amplio espectro de usuarios, se deberá prestar mucha atención
a este punto. Para ello, es importante que se plantee en la organización, la
necesidad de establecer estándares para la administración de seguridad de
accesos. Con ello se garantizará un eficiente, seguro y al mismo tiempo correcto
uso de la información

5.4 La instalación.
 Que existan procedimientos que aseguren la oportuna y adecuada instalación del diferente
componente de la red.

 Que exista un registro de las actividades que se realizan durante el proceso de instalación de los
componentes de la red, hardware y software.

 Registro de las compras de los elementos de la red.

 Seguro de dichas compras

 Control de software que se encuentra instalado.

Para dar de alta el personal especializado que hora uso de los centros de
cómputo debe facilitar los medios para registrarlos y mantener actualizado dicho
registró a través de:
La unidad administrativa que sea responsable de un centro terminal debe
registrarse y dar de alta a todo el personal que haga uso del equipo de dicho
centro.
 El área del centro de cómputo mantendrá el registro del personal que haga uso de
dicho centro terminal.
 Todo el personal que haga uso del centro terminal debe tener asignado un número de cuenta para
mantener justificada la utilización de las facilidades de cómputo al nivel administrado.

 Es necesario que el personal que tiene acceso a los centros terminales se capaciten con el fin de
mantenerlo actualizado.

5.5 Operación y seguridad

Auditoría de la continuidad de operaciones
Es uno de los puntos que nunca se deberían pasar por alto en una auditoria de
seguridad, por las consecuencias que puede tener el no haberlo revisado o haberlo
hecho sin la suficiente profundidad; no basta con ver un manual cuyo título sea Plan
de Contingencias o denominación similar, sino que es imprescindible conocer si
funcionaría con la garantías necesarias y cubriría los requerimientos en un tiempo
inferior al fijado y con una duración suficiente. En un plan de contingencia se
presume que hay un lapso de tiempo, tiempo sobre el cual se declara la emergencia,
y entran a operar una serie de procedimientos que permiten que el servicio se
restablezca en el menor tiempo posible. Una vez resuelta la emergencia, se
disparan otra serie de procedimientos que vuelven la operación a su normalidad,
procesos que pueden ser bastante engorrosos de ejecutar, en especial cuando de
sincronizar la información se trata. El enfoque del plan de contingencia se basa en
la minimización del impacto financiero que pueda tener un desastre en la compañía,
mientras que el plan de continuidad está orientado a asegurar la continuidad
financiera, 101 satisfacciones del cliente y productividad a pesar de una catástrofe.
Mientras que el plan de contingencia se concentra en la recuperación de eventos
únicos que producen una interrupción prolongada del servicio, el plan de continuidad
se ejecuta permanentemente a través de la administración de riesgos tanto en la
información como en la operación. Los riesgos que se enfrentaban en la planeación
anterior eran desastres con baja frecuencia pero muy alto impacto.
Hoy los riesgos son casi todos de muy alto impacto por las implicaciones que tienen
en la empresa ampliada (socios de negocios) y de muy alta ocurrencia. Ya todas las
empresas están expuestas a ataques con virus, problemas de seguridad en la
información, calidad del software, almacenamiento de datos inapropiado,
arquitecturas tecnológicas complejas y hasta políticas poco efectivas de
administración de recursos que pueden abrirle las puertas a una catástrofe con el
mismo impacto en el negocio (y hasta mayor) que el impacto causado por una
amenaza física como un incendio o un terremoto. Un plan de continuidad tiene como
objetivo tratar de alcanzar una disponibilidad de cinco nueves (99.999%) para la
infraestructura crítica, lo que implica que el sistema siempre estará disponible. Hoy
existe la tecnología para poder obtener estos resultados; sin embargo, el costo de
esta tecnología todavía no está al alcance de todas las empresas. El plan de
contingencia tiene como beneficio para la empresa garantizar la recuperación de
servicios que están desmejorados por la falla, en un período de entre 12 y 72 horas.
102 Un plan de contingencia se refleja en un documento que especifican las tareas
que hay que hacer antes, durante y después de la contingencia, además de los
responsables de cada acción.
Un plan de continuidad se basa en las tecnologías emergentes (como unidades de
discos para redes, SAN, y cintas para copias de respaldo de altísima velocidad), y
la excelencia operativa del centro de cómputo. Un plan de continuidad no es
excluyente de un plan de contingencia, sino más bien que el segundo está dentro
del primero. Un plan de continuidad para el negocio debe incluir: un plan de
recuperación de desastres, el cual especifica la estrategia de un negocio para
implementar procedimientos después de una falla; un plan de reanudación que
especifica los medios para mantener los servicios críticos en la ubicación de la crisis;
un plan de recuperación que especifica los medios para recuperar las funciones del
negocio en una ubicación alterna; y un plan de contingencia que especifica los
medios para manejar eventos externos que puedan tener serio impacto en la
organización. En la auditoría es necesario revisar si existe tal plan; si es completo y
actualizado; si cubre los diferentes procesos, áreas y plataformas, o bien si existen
planes diferentes según entorno, evaluar en todo caso su idoneidad, así como los
resultados de las pruebas que se hayan realizado. Si las revisiones no nos aportan
garantías suficientes debemos sugerir pruebas complementarias o hacerlo constar
en el informe, incluso indicarlo en el apartado de limitaciones

Auditoría de la seguridad
La existencia de amenazas que afectan la disponibilidad, integridad y
confidencialidad de los datos es real. Es crítico para las organizaciones identificar
esas amenazas y adoptar recomendaciones que permitan prevenir, detectar y
protegerse de ellas. La diversidad y la heterogeneidad de los sistemas de
información que requieren las organizaciones actuales, sumado a la globalización a
la que se enfrentan al conectar esos sistemas al mundo de Internet, genera un sinfín
de incertidumbres en lo referente a la seguridad de la información. Las soluciones
integrales de seguridad que abarcan desde el diagnóstico de la situación actual,
hasta la implementación y puesta en marcha de las mismas en todos los niveles de
la organización, incluyendo el análisis y la definición de los elementos de seguridad
que deben ser implantados a nivel técnico. 78 El punto de partida para un sistema
de seguridad informática es la realización del diagnóstico de la situación actual, para
proyectar las soluciones

Auditoría y control de la seguridad física

Es muy importante ser consciente que por más que nuestra empresa sea la más
segura desde el punto de vista de ataques externos (hackers, virus, ataques de
sistema operativo, entre otros); la seguridad de la misma será nula si no se ha
previsto como combatir un incendio o cualquier otro tipo de desastre natural y no
tener presente políticas claras de recuperación. 84 La seguridad física es una de los
aspectos más olvidados a la hora del diseño de un sistema informático. Si bien
algunos de los aspectos de seguridad física básicos se prevén, otros, como la
detección de un atacante interno a la empresa que intenta acceder físicamente a
una sala de cómputo de la misma, no. Esto puede derivar en que para un atacante
sea más fácil lograr tomar y copiar una cinta de respaldo de la sala de cómputo, que
intentar acceder vía lógica a la misma. La seguridad física consiste en la aplicación
de barreras físicas y procedimientos de control, como medidas de prevención y
contramedidas ante amenazas a los recursos e información confidencial. Se refiere
a los controles y mecanismos de seguridad dentro y alrededor del centro de
cómputo, así como los medios de acceso remoto al y desde el mismo;
implementados para proteger el hardware y medios de almacenamiento de datos.

Auditoría y control de la seguridad lógica

Después de ver como nuestro sistema puede verse afectado por la falta de
seguridad física, es importante recalcar que la mayoría de los daños que puede
sufrir un centro de cómputo no será sobre los medios físicos sino contra información
por él almacenada y procesada. Así, la seguridad física sólo es una parte del amplio
espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad.
Como ya se ha mencionado, el activo más importante que se posee es la
información, y por lo tanto deben existir técnicas, más allá de la seguridad física que
la asegure. Estas técnicas las brinda la seguridad lógica. 86 La seguridad lógica
consiste en la aplicación de barreras y procedimientos que resguarden el acceso a
los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no está
permitido debe estar prohibido” y esto es lo que debe asegurar la seguridad lógica.
Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos

2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no
puedan modificar los programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizando los datos, archivos y programas correctos en y
por el procedimiento correcto.
4. Asegurar que la información transmitida sea recibida por el destinatario al cual ha
sido enviada y no a otro.
5. Asegurar que la información recibida sea la misma que ha sido transmitida.
6. Asegurar que existan sistemas alternativos secundarios de transmisión entre
diferentes puntos.
7. Asegurar que se disponga de pasos alternativos de emergencia para la
transmisión de información.

5.6 Personal responsable del área

PERSONAL AUTORIZADO
En el comienzo de la auditoría, el auditor interno debe determinar el propósito del
negocio con la red, ya que este puede ayudar a definir los componentes que
representan
elmayor riesgo.Algunas de las fuerzas importantes que conducen el uso de las red
es detelecomunicaciones incluyen servicio al cliente, informes financieros,
administración de procesos, generación de utilidades y comunicación interna en la
organización. Una red de telecomunicaciones también puede otorgar una ventaja
estratégica a una organización. Un siguiente paso lógico en la planeación de los
objetivos y el alcance de una auditoría de telecomunicaciones es determinar quién
debe ser entrevistado. Los candidatos para las entrevistas de auditoría incluyen los
siguientes: El administrador o gerente de telecomunicaciones, quien comúnmente
controla los aspectos planificadores, presupuestarios y operacionales de
comunicaciones. El administrador o gerente
de la red, quien típicamente administra el personal y el equipo. El administrador o
gerente de voz, quien administra el equipo telefónico, el informe de llamadas, la
facturación, instalación de teléfonos, etc. El administrador o gerente de aplicaciones
de comunicaciones, quien es responsable de hacer los requerimientos funcionales
de las aplicaciones en la realidad
técnica.Las funciones y las responsabilidades de estas posiciones pueden ser com
binadas odistribuidas sobre uno o varios miembros del personal.

El auditor interno puede más fácilmente establecer el alcance de la auditoría

utilizando un mapa de la red. Un mapa de la red debe mostrar el tramo geográfico
de la red, las ubicaciones de los sitios de mayor procesamiento e instalaciones del
usuario,
Hardware de procesamiento principal y Software de aplicaciones, vínculos o nexos
de la red, capacidad de la línea y el tipo de información transmitida. Un mapa de la
red puede ser tan complejo y detallado como un esquema de ingeniería o como un
diagrama de localizaciones de averías electrónicas, pero inicialmente debe ser
mantenido al nivel más alto de detalle. Una variedad de técnicas puede ser usada
para verificar la existencia de controles
adecuados en el entorno de las telecomunicaciones.
Estas incluyen las siguientes: La revisión de la dirección y administración de las
telecomunicaciones, particularmente las políticas y procedimientos de
telecomunicaciones de la organización. Verificación de la
integridad de la red y procedimientos de monitoreo, tales comoinformes de
incidentes y medición del tiempo de respuesta.

Revisión del Software de la red y la seguridad de acceso:

En áreas como el dial-in y el Software de diagnóstico y monitoreo.
Revisión de los procedimientos de administración de cambios en lastelecomunicac
iones, particularmente los cambios en el área de
Software de comunicaciones:
Revisión de la exactitud del backup
(Respaldo) y recuperación de la red, mediante el examen de los procedimientos y
las redundancias de
Backup (respaldo) en la red.

5.7 Determinar el nivel de aplicación

de alguna de las normas consideradas
para la auditoría en las
telecomunicaciones
El auditor de informático especializado en esta área deberá inquirir sobre los índices
de utilización de las líneas contratadas con información abundante sobre tiempos
de desuso. Deberá proveerse de la topología de la Red de Comunicaciones,
actualizada, ya que la desactualización de esta documentación significaría una
grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son
y donde están instaladas, supondría que se bordea la Inoperatividad Informática.
Sin embargo, las debilidades más frecuentes o importantes se encuentran en las
disfunciones organizativas.
TL 9000 define los requisitos del sistema de telecomunicaciones de calidad, para el
diseño, desarrollo, producción, instalación y mantenimiento de los productos,
hardware, software o servicios.
Para las organizaciones que trabajan en el sector de las telecomunicaciones, la
certificación TL 9000 representa una importante oportunidad para la normalización
y la mejora. Nuestra participación en el programa piloto de América del Norte para
desarrollar TL 9000, le ha permitido a LRQA ser uno de los primeros registradores
TL 9000 recibiendo la acreditación por el ANAB, anteriormente ANSI-RAB.
Como resultado de ello, LRQA es una empresa líder en el sector de las
comunicaciones que trabaja para proporcionar evaluación, certificación y servicios
de capacitación a la norma TL 9000 de las organizaciones líderes en el mercado.

¿Qué es TL 9000?
El objetivo de la TL 9000 es definir los requisitos del sistema de calidad de
telecomunicaciones de para el diseño, desarrollo, producción, instalación y
mantenimiento de los productos, hardware, software y servicios.
El estándar se compone de dos manuales (T1160 y T1180), que definen los
requisitos del sistema de gestión de la TL 9000:
Manual de requisitos del sistema de calidad: Este manual define el conjunto
común de requisitos del sistema de calidad para los proveedores de productos de
telecomunicaciones: hardware, software o servicios. Los requisitos se basan en la
popular norma internacional ISO 9001.
Manual de medidas del Sistema de Calidad: Este manual define un conjunto
mínimo de mediciones de rendimiento y costo y los indicadores de calidad para
medir y evaluar los resultados de la aplicación del sistema de calidad.

¿Cuáles son los Beneficios de la Certificación TL9000?

 La certificación TL 9000 ayuda a crear un marco sistemático en el que las
organizaciones de la unidad mejora continua, la creación de una ventaja competitiva
para su organización, porque:
 Es reconocido mundialmente como la mejor práctica de calidad dentro de la
industria de las telecomunicaciones.
 Le permite trabajar con las organizaciones cuando se trata de una obligación
contractual o expectativa, lo que potencialmente mejora su posición en el mercado
frente a los competidores.
 Puede ofrecer mejores resultados mensurables en las principales áreas métricas
tales como menos residuos, la reducción de costes y mejora de productos que
contribuyan a una mayor satisfacción del cliente y la mejora del desempeño de los
proveedores.
 Le da una estructura sólida para el desarrollo interno y la mejora continua.
 Puede mejorar su desempeño de los proveedores y las relaciones con los mismos.