1 AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.

1

AUDITORIA DE LA SEGURIDAD

enTelecomunicaciones y redes de computadoras

Unidad VI

2

Introducción

En un tiempo no muy lejano, las computadoras eran realmente dispositivos aislados entre ellos, limitando su capacidad de uso.

La comunicación entre ellos se efectuaba a través del transporte físico de los datos a través de los medios extraíbles.

3

Introducción

La necesidad de compartir datos hizo que se desarrollaran las redes de computadoras.

Actualmente las telecomunicaciones y las redes de computadoras son un pilar sobre el cual se sostienen la mayoría de las operaciones que se realizan en una organización.

4

Introducción

Dada su rápida expansión, es muy común que hoy en día muchas organizaciones tengan una gran infraestructura de red y de telecomunicaciones.

No se concibe una empresa que no tenga sus aplicaciones de software para las operaciones cotidianas, usando una red de computadoras.

5

Introducción

Por tanto, es casi seguro de que si ocurriera un fallo en la infraestructura de telecomunicaciones, la organización quedaría prácticamente paralizada.

La auditoría de la seguridad en este campo procura entonces evitar que las consecuencias de un problema no sean devastadores.

6

Objetivos y Criterios de Seguridad en la Auditoria de Telecomunicaciones

Objetivos a tomar en cuenta: Verificar la existencia de controles

en software y hardware Asegurar la existencia de controles

y procedimientos que orienten a la satisfacción de la administración

7


Administración de la red de comunicaciones

Instalación de la redLa operación y seguridad de la redEl mantenimiento de la red.

8


Comprobar que la distribución de las bases de datos en la red sea segura

Verificar que las medidas de respaldo sean las adecuadas

Verificar si se cuenta con un software de monitoreo y auditoria de los diferentes elementos que compone la red

9


Verificar que el software de comunicación sea efectivo y controlado

Verificar que solo se encuentre software autorizado en la red

Evaluar las acciones que lleven a cabo para actualizar los diferentes componentes de la red

10


Verificar que existan parámetros de medición del desempeño de la redBitácorasGráficasEstadísticas

11


Criterios de seguridad

Todo centro terminal dependiente de un centro de cómputo debe de registrar un responsable de la comunicación entre ambas unidades administrativasEl centro de cómputo debe desarrollar controles y medidas de seguridad para los centros terminales

12


Es responsabilidad de los centros terminales registrar al personal que hará uso de las terminales

El centro de cómputo debe realizar auditorias periódicas, con el fin de evaluar la utilización del equipo.

13


El centro de cómputo debe elaborar un registro por escrito con fines estadísticos y de control, de la utilización de los recursos materiales técnicos y tecnológicos de todos y cada uno de los centros terminales

14


Es responsabilidad del centro de cómputo, con el apoyo de personal especializado en comunicaciones, supervisar el estado financiero, eléctrico y electrónico de los módems, medios de comunicación y enlaces de los usuarios

15


Es responsabilidad del centro terminal notificar al centro de cómputo de cualquier anomalía o falla que se detecte en el equipo

Falla de seguridad para las instalaciones, procesamiento y datos de la red

Falta de manuales de operación de la red de comunicación

16

Señales de Alerta de Seguridad en la Auditoria de Telecomunicaciones

Inexistencia de registros para la administración como:Usuarios que accesaron a la redOperaciones realizadas en la red

(envío/recepción)Tiempos de conexiónInterrupciones durante el uso de la redTiempo para realizar cada interrupción

17


Terminales y equipos conectadosAccesos inválidos a la redTerminales donde se realizaron

accesos no autorizados Personal no capacitado para la

administración de la red Falta de cursos de capacitación de

personal

18


Que no cuente con las siguientes medidas de seguridad:Protección de datos transmitidos a través de

la redProtección a los componentes de la redMétodos para prevenir el monitoreo no

autorizadoContraseñas que autoricen el acceso a la red

y eviten la entrada a archivos no autorizados

19


Que no cuente con pólizas de seguros contra daños en hardware y software

Falta de interés de la administración hacia las necesidades del centro de computo y terminales

20


Que no exista una política adecuada de vacaciones y reemplazosSolicitud por escrito de cursos o seminarios

de capacitación al centro de cómputoEl centro de cómputo asignará al instructor

más idóneo para elaborar y desarrollar el curso

El instructor establecerá el contenido, duración y horario del mismo

21


El centro de cómputo debe mantener rigurosamente los horarios de utilización de los centros de terminales

Control de la utilización del equipo con el que cuenta un centro terminal, para ello se utiliza una bitácora

22

Técnicas y Herramientas en Auditoría en Telecomunicaciones

No debe permitirse la entrada a la red a personas no autorizadas, ni usar las terminales

Debe existir un software de comunicación efectivo y controlado

Restringir el acceso a las instalaciones del procesamiento de red

Se debe contar con un sistema de codificación para la información confidencial

23


Realizar periódicamente una verificación física del uso de terminales y de los reportes obtenidos

Se deben monitorear periódicamente el uso que le está dando a las terminales

Se deben hacer auditorias periódicas sobre el área de operación

Verificar que los datos recolectados sean procesados correctamente

24


Deben realizarse revisiones regulares de seguridad a los usuarios

Documentación y capacitación del personal de la red

Se debe establecer los mecanismos de control del funcionamiento de la red para garantizar la utilización

Deben existir planes de respaldo y contingencias de la red

25

Programas de Trabajo de Auditoria Relacionado con las Telecomunicaciones

Los siguientes son ejemplos de programas de trabajo que se pueden evaluar en una auditoria:

InstalaciónInstalaciónQue existan procedimientos que aseguren la oportuna y adecuada instalación de los diferentes componentes de la redQue exista un registro de las actividades que se realizan durante el proceso de instalación de los componentes de la red, hardware y software

26


Registro de la planeación y evaluación formal de las compras de los elementos de la red

Seguro de dichas compras Control de software que se encuentra

instalado

27


Para dar de alta al personal especializado que hará uso de los centros terminales, el centro de cómputo debe facilitar los medios para registrarlos y mantener actualizado dicho registro a través de:

– La unidad administrativa que sea responsable de un centro terminal debe registrar y dar de alta a todo el personal que haga uso del equipo de dicho centro.

– El área del centro de cómputo mantendrá el registro del personal que haga uso de dicho centro terminal

28


Todo el personal que haga uso del centro terminal debe tener asignado un número de cuenta para mantener justificada la utilización de las facilidades de cómputo al nivel administrativo

Es necesario que el personal que tiene acceso a los centros terminales se capacite con el fin de mantenerlo actualizado

29

FIN

1 AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.

Documents

Transcript of 1 AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.