Beruflich Dokumente
Kultur Dokumente
Introducción:
Anteriormente, la comunicación entre las computadoras se efectuaba a través del transporte físico de
los datos a través de los medios extraíbles. La necesidad de compartir datos hizo que se desarrollaran
las redes de computadoras. Actualmente las telecomunicaciones y las redes son un pilar sobre el cual
se sostienen la mayoría de las operaciones que se realizan en una organización. Dada su rápida
expansión, es muy común que hoy en día muchas organizaciones tengan infraestructura de red y de
telecomunicaciones, no se concibe una empresa que no tenga sus aplicaciones de software para las
operaciones cotidianas, usando una red de computadoras, por tanto es casi seguro que si ocurriera un
fallo en la infraestructura de telecomunicaciones, la organización quedaría prácticamente paralizada.
La auditoría de la seguridad en este campo procura entonces evitar que las consecuencias de un
problema no sea devastadoras.
Una Auditoria en Telecomunicaciones es una evaluación del entorno de las Telecomunicaciones tanto a
nivel global como a nivel empresarial.
Seguridad
Una adecuada auditoria debe incluir todos los tipos de telecomunicaciones: voz, video y datos.
Una auditoria debe abarcar todo el equipo de telecomunicaciones, política de servicio y gastos
utilizados por la empresa.
Una auditoria empieza con una política de evaluación, se identifican y analizan políticas relevantes para
determinar si cumplen las pautas y objetivos organizacionales.
El equipo de comunicación como sistema de correo, servidores, etc. deben ser evaluados para
determinar si cumplen con los requisitos del negocio actual y, si es posible, se deben considerar
soluciones alternativas.
Servicios de comunicación tales como líneas de teléfono, servicios CENTREX y servicios de respuesta
son evaluados para determinar si los niveles de servicio y coste cumplen los objetivos organizacionales
y si otras soluciones potenciales deben ser evaluadas para reemplazar a los servicios actuales.
La auditoría en telecomunicaciones puede ser realizada tanto por auditoría interna como por auditores
externos.
¿Qué es la Auditoria Informática en Redes y Telecomunicaciones?
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se
debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de
alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría
parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la
Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades
de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
El auditor de informático especializado en esta área deberá inquirir sobre los índices de utilización de
las líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la
topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación
significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y
donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las
debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas.
c) Conocer la situación actual del área informática para lograr los objetivos.
d) Asegurar seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así
como también seguridad del personal, los datos, el hardware, el software y las instalaciones.
g) Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto
a inversiones para la tecnología de información.
Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de manera
ordenada y eficaz.
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo,
están diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por
tener asignados unos valores numéricos. Están diseñadas para producir una lista de riesgos que pueden
compararse entre si con facilidad por tener asignados unos valores numéricos. Estos valores son datos
de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el
número de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para
seleccionar en base a lal experiencia acumulada. Puede excluir riesgos significantes desconocidos
(depende de la capacidad del profesional para usar el check-list/guía). Basadas en métodos estadísticos
y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.
- Entel Movil
- Viva GSM
- Tigo
- AXS
- Cotel
§ Instalación de red
§ El mantenimiento de la red
§ Evaluar las acciones que lleven a cabo para actualizar los diferentes componentes de la red
§ Verificar que existan parámetros de medición del desempeño de la red: bitácoras, graficas,
estadísticas
Cableado estructurado:
Especifica los requisitos mínimos para cableado de telecomunicaciones dentro de edificios comerciales
Elementos:
Ø Facilidades de Entrada
Ø Sala de equipos
Ø Armarios de telecomunicaciones
Ø Cableado Horizontales
Ø Áreas de Trabajo
Normas Para establecer un Site de Telecomunicaciones
• ANSI/TIA/EIA-568-B.1
• ANSI/TIA/EIA-569-B
• ANSI/TIA/EIA-606-A-2002. Norma de Administración para la Infraestructura de
Telecomunicaciones Comerciales.
• ANSI J-STD-607-A: Requerimientos para el Aterramiento de Telecomunicaciones de Edificios
Comerciales
• ISO/IEC 11801 especifica sistemas de cableado para telecomunicación de multipropósito.
Cableado estructurado que es utilizable para un amplio rango de aplicaciones (análogas y de
telefonía ISDN, varios estándares de comunicación de datos, construcción de sistemas de
control, automatización de fabricación). Cubre tanto cableado de cobre balanceado como
cableado de fibra óptica. El estándar fue diseñado para uso comercial que pueden consistir en
uno o múltiples edificios en un campus.
• ISO/IEC 118011: Sistemas de Cableado Genéricos.
• NFPA 70 Código Eléctrico Nacional
• NFPA 70E Seguridad Eléctrica en Lugares de Trabajo.
• NFPA 101 Código de Seguridad Humana. proporciona los requisitos mínimos, para el diseño, la
operación, y el mantenimiento de edificios y estructuras para la seguridad de la vida humana
contra los incendios.
Comprueba que:
En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar
mensajes hasta que satura por completo la red.
Soluciones de Seguridad:
5.3 La administración
Se puede decir que los controles de acceso a la información constituyen uno de los parámetros más
importantes a la hora de administrar seguridad. Con ellos se determina quién puede acceder a qué
datos, indicando a cada persona un tipo de acceso (perfil) específico. Para este cometido se utilizan
diferentes técnicas que se diferencian significativamente en términos de precisión, sofisticación y
costos. Se utilizan, por ejemplo, palabras claves, algoritmos de inscripción, listas de controles de
acceso, limitaciones por ubicación de la información, horarios, etc. Una vez determinados los controles
de accesos a la información, se hace imprescindible efectuar una eficiente administración de la
seguridad, lo que implica la implementación, seguimiento, pruebas y modificaciones sobre los perfiles
de los usuarios de los sistemas. Este es uno de los puntos fundamentales a tener en cuenta para
garantizar la seguridad y al mismo tiempo una correcta accesibilidad a la información. En efecto, en
todo proyecto informático que pretenda brindar información a diferentes niveles, garantizando
correcta toma de decisiones y accesibilidad a un amplio espectro de usuarios, se deberá prestar mucha
atención a este punto. Para ello, es importante que se plantee en la organización, la necesidad de
establecer estándares para la administración de seguridad de accesos. Con ello se garantizará un
eficiente, seguro y al mismo tiempo correcto uso de la información
5.4 La instalación.
Para dar de alta el personal especializado que hora uso de los centros de cómputo debe facilitar los
medios para registrarlos y mantener actualizado dicho registró a través de:
La unidad administrativa que sea responsable de un centro terminal debe registrarse y dar de alta a
todo el personal que haga uso del equipo de dicho centro.
El área del centro de cómputo mantendrá el registro del personal que haga uso de dicho centro
terminal.
· Todo el personal que haga uso del centro terminal debe tener asignado un número de cuenta
para mantener justificada la utilización de las facilidades de cómputo al nivel administrado.
· Es necesario que el personal que tiene acceso a los centros terminales se capaciten con el fin de
mantenerlo actualizado.
Es uno de los puntos que nunca se deberían pasar por alto en una auditoria de seguridad, por las
consecuencias que puede tener el no haberlo revisado o haberlo hecho sin la suficiente profundidad;
no basta con ver un manual cuyo título sea Plan de Contingencias o denominación similar, sino que es
imprescindible conocer si funcionaría con las garantías necesarias y cubriría los requerimientos en un
tiempo inferior al fijado y con una duración suficiente. En un plan de contingencia se presume que hay
un lapso de tiempo, tiempo sobre el cual se declara la emergencia, y entran a operar una serie de
procedimientos que permiten que el servicio se restablezca en el menor tiempo posible. Una vez
resuelta la emergencia, se disparan otra serie de procedimientos que vuelven la operación a su
normalidad, procesos que pueden ser bastante engorrosos de ejecutar, en especial cuando de
sincronizar la información se trata. El enfoque del plan de contingencia se basa en la minimización del
impacto financiero que pueda tener un desastre en la compañía, mientras que el plan de continuidad
está orientado a asegurar la continuidad financiera, 101 satisfacciones del cliente y productividad a
pesar de una catástrofe. Mientras que el plan de contingencia se concentra en la recuperación de
eventos únicos que producen una interrupción prolongada del servicio, el plan de continuidad se
ejecuta permanentemente a través de la administración de riesgos tanto en la información como en la
operación. Los riesgos que se enfrentaban en la planeación anterior eran desastres con baja frecuencia
pero muy alto impacto.
Hoy los riesgos son casi todos de muy alto impacto por las implicaciones que tienen en la empresa
ampliada (socios de negocios) y de muy alta ocurrencia. Ya todas las empresas están expuestas a
ataques con virus, problemas de seguridad en la información, calidad del software, almacenamiento de
datos inapropiado, arquitecturas tecnológicas complejas y hasta políticas poco efectivas de
administración de recursos que pueden abrirle las puertas a una catástrofe con el mismo impacto en el
negocio (y hasta mayor) que el impacto causado por una amenaza física como un incendio o un
terremoto. Un plan de continuidad tiene como objetivo tratar de alcanzar una disponibilidad de cinco
nueves (99.999%) para la infraestructura crítica, lo que implica que el sistema siempre estará
disponible. Hoy existe la tecnología para poder obtener estos resultados; sin embargo, el costo de esta
tecnología todavía no está al alcance de todas las empresas. El plan de contingencia tiene como
beneficio para la empresa garantizar la recuperación de servicios que están desmejorados por la falla,
en un período de entre 12 y 72 horas. 102 Un plan de contingencia se refleja en un documento que
especifican las tareas que hay que hacer antes, durante y después de la contingencia, además de los
responsables de cada acción.
Un plan de continuidad se basa en las tecnologías emergentes (como unidades de discos para redes,
SAN, y cintas para copias de respaldo de altísima velocidad), y la excelencia operativa del centro de
cómputo. Un plan de continuidad no es excluyente de un plan de contingencia, sino más bien que el
segundo está dentro del primero. Un plan de continuidad para el negocio debe incluir: un plan de
recuperación de desastres, el cual especifica la estrategia de un negocio para implementar
procedimientos después de una falla; un plan de reanudación que especifica los medios para mantener
los servicios críticos en la ubicación de la crisis; un plan de recuperación que especifica los medios para
recuperar las funciones del negocio en una ubicación alterna; y un plan de contingencia que especifica
los medios para manejar eventos externos que puedan tener serio impacto en la organización. En la
auditoría es necesario revisar si existe tal plan; si es completo y actualizado; si cubre los diferentes
procesos, áreas y plataformas, o bien si existen planes diferentes según entorno, evaluar en todo caso
su idoneidad, así como los resultados de las pruebas que se hayan realizado. Si las revisiones no nos
aportan garantías suficientes debemos sugerir pruebas complementarias o hacerlo constar en el
informe, incluso indicarlo en el apartado de limitaciones
Auditoría de la seguridad
Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto
de vista de ataques externos (hackers, virus, ataques de sistema operativo, entre otros); la seguridad
de la misma será nula si no se ha previsto como combatir un incendio o cualquier otro tipo de desastre
natural y no tener presente políticas claras de recuperación. 84 La seguridad física es una de los
aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos
de seguridad física básicos se prevén, otros, como la detección de un atacante interno a la empresa que
intenta acceder físicamente a una sala de cómputo de la misma, no. Esto puede derivar en que para un
atacante sea más fácil lograr tomar y copiar una cinta de respaldo de la sala de cómputo, que intentar
acceder vía lógica a la misma. La seguridad física consiste en la aplicación de barreras físicas y
procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los
recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y
alrededor del centro de cómputo, así como los medios de acceso remoto al y desde el mismo;
implementados para proteger el hardware y medios de almacenamiento de datos.
Auditoría y control de la seguridad lógica
Después de ver como nuestro sistema puede verse afectado por la falta de seguridad física, es
importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputo no será sobre
los medios físicos sino contra información por él almacenada y procesada. Así, la seguridad física sólo
es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de
seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por
lo tanto deben existir técnicas, más allá de la seguridad física que la asegure. Estas técnicas las brinda la
seguridad lógica. 86 La seguridad lógica consiste en la aplicación de barreras y procedimientos que
resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para
hacerlo. Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no está permitido
debe estar prohibido” y esto es lo que debe asegurar la seguridad lógica. Los objetivos que se plantean
serán:
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar
los programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento
correcto.
4. Asegurar que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no
a otro.
6. Asegurar que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
PERSONAL AUTORIZADO
En el comienzo de la auditoría, el auditor interno debe determinar el propósito del negocio con la red,
ya que este puede ayudar a definir los componentes que representan el mayor riesgo. Algunas de las
fuerzas importantes que conducen el uso de las redes de telecomunicaciones incluyen servicio al
cliente, informes financieros, administración de procesos, generación de utilidades y comunicación
interna en la organización. Una red de telecomunicaciones también puede otorgar una ventaja
estratégica a una organización. Un siguiente paso lógico en la planeación de los objetivos y el alcance
de una auditoría de telecomunicaciones es determinar quién debe ser entrevistado. Los candidatos
para las entrevistas de auditoría incluyen los siguientes: El administrador o gerente de
telecomunicaciones, quien comúnmente controla los aspectos planificadores, presupuestarios y
operacionales de comunicaciones. El administrador o gerente de la red, quien típicamente administra
el personal y el equipo. El administrador o gerente de voz, quien administra el equipo telefónico, el
informe de llamadas, la facturación, instalación de teléfonos, etc. El administrador o gerente de
aplicaciones de comunicaciones, quien es responsable de hacer los requerimientos funcionales de las
aplicaciones en la realidad técnica. Las funciones y las responsabilidades de estas posiciones pueden
ser combinadas o distribuidas sobre uno o varios miembros del personal.
El auditor interno puede más fácilmente establecer el alcance de la auditoría utilizando un mapa de la
red. Un mapa de la red debe mostrar el tramo geográfico de la red, las ubicaciones de los sitios de
mayor procesamiento e instalaciones del usuario,
Software de comunicaciones:
5.7 Determinar el nivel de aplicación de alguna de las normas consideradas para la auditoría en las
telecomunicaciones
El auditor de informático especializado en esta área deberá inquirir sobre los índices de utilización de
las líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la
topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación
significaría una grave debilidad. Las inexistencias de datos sobre la cuanta línea existen, cómo son y
donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las
debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas.
TL 9000 define los requisitos del sistema de telecomunicaciones de calidad, para el diseño, desarrollo,
producción, instalación y mantenimiento de los productos, hardware, software o servicios.
Para las organizaciones que trabajan en el sector de las telecomunicaciones, la certificación TL 9000
representa una importante oportunidad para la normalización y la mejora. Nuestra participación en el
programa piloto de América del Norte para desarrollar TL 9000, le ha permitido a LRQA ser uno de los
primeros registradores TL 9000 recibiendo la acreditación por el ANAB, anteriormente ANSI-RAB.
Como resultado de ello, LRQA es una empresa líder en el sector de las comunicaciones que trabaja para
proporcionar evaluación, certificación y servicios de capacitación a la norma TL 9000 de las
organizaciones líderes en el mercado.
¿Qué es TL 9000?
El objetivo de la TL 9000 es definir los requisitos del sistema de calidad de telecomunicaciones de para
el diseño, desarrollo, producción, instalación y mantenimiento de los productos, hardware, software y
servicios.
El estándar se compone de dos manuales (T1160 y T1180), que definen los requisitos del sistema de
gestión de la TL 9000:
Manual de requisitos del sistema de calidad: Este manual define el conjunto común de requisitos del
sistema de calidad para los proveedores de productos de telecomunicaciones: hardware, software o
servicios. Los requisitos se basan en la popular norma internacional ISO 9001.
Manual de medidas del Sistema de Calidad: Este manual define un conjunto mínimo de mediciones de
rendimiento y costo y los indicadores de calidad para medir y evaluar los resultados de la aplicación del
sistema de calidad.
La certificación TL 9000 ayuda a crear un marco sistemático en el que las organizaciones de la unidad
mejora continua, la creación de una ventaja competitiva para su organización, porque:
Nuestro enfoque de negocios asegura fiabilidad nuestras evaluaciones se centran en las áreas y temas
que son importantes para su negocio. Como el primer organismo de certificación en obtener la
acreditación para la expedición de certificados en sistemas de gestión de calidad, entendemos los
requisitos del sistema y, por tanto, podemos adaptar nuestro enfoque para ayudar a satisfacer sus
objetivos.
Más allá de la certificación, LRQA proporciona una amplia gama de servicios de apoyo a su empresa en
el crecimiento a futuro y desarrollo, incluyendo capacitación y evaluación del sistema integrado de
gestión.
Conclusión
Las empresas o instituciones deberán de contar con un adecuado control interno sobre todas sus áreas
y en especial sobre el área de telecomunicaciones para garantizar una mejor utilización de sus recursos.