Auditoria de Redes Locales y Telecomunicaciones

Hernan
Descripcin
Balbastro breve
Urrea
AUDITORA DE REDES
LOCALES Y
TELECOMUNICACIONES
El documento contiene la plantilla base para la elaboracinIsrael

de unaChvez
auditora basada
en
Gmez
redes locales as como en telecomunicaciones. El auditor podr ejercer su ejercicio
Mayra
Elizabeth
Silva Prez
adecuadamente mediante un cuestionario
enfocado
en el rea presentando
los
objetivos para la revisin.
Bases para una buena auditora
Contenido
Introduccin............................................................................................ 2
Redes locales........................................................................................... 3
Objetivos de esta revisin......................................................................... 3
Principales actividades para auditar esta rea.................................................4
Requerimientos ara el xito de la revisin......................................................4
1.-Administracion................................................................................ 5
Planeacin........................................................................................... 8
Organizacin......................................................................................... 8
2.- Instalacin................................................................................... 10
3.- Operacin y seguridad.....................................................................13
Telecomunicaciones.................................................................................. 19
Objetivos de esta revisin........................................................................ 19
Requerimientos para el xito de la revisin...................................................20
1.- Administracin.............................................................................. 21
Planeacin.......................................................................................... 24
Organizacin....................................................................................... 25
2.- Instalacin................................................................................... 26
3.- Operacin y seguridad.....................................................................27
Introduccin
As como la
informacin que se convierte en un activo real de una empresa u
organizacin, y debe ser evaluad, los recursos y las instalaciones con los que cuenta
tambin se deben evaluar para determinar si cumplen con las leyes y regulaciones
establecidas para asegurar la utilidad y disponibilidad de estos, incluyendo el personal
que est encargado de estos.
En este documento se presenta una gua para la realizacin de una auditoria de redes
locales y telecomunicaciones. Con el fin de facilitar el proceso de auditora.
BASES PARA UNA BUENA

AUDITORA
Ing. Hernan Balbastro Urrea
Ing. Israel Chvez Gmez
Ing. Mayra Elizabeth Silva Prez
Redes locales
1.- Administracin.
2.-Instalacion.
3.-Operacion y seguridad.
Objetivos de esta revisin
Asegurar que exista una funcin formal de administracin de las(s)
red(es) local(es).
Asegurar la existencia de procedimientos y controles que orienten a la
satisfaccin de:
o La administracin de las redes locales
o La instalacin de las redes locales
o La operacin y seguridad de las redes locales(vase el
cuestionario sobre seguridad para mayor detalle)

o El mantenimiento de las redes locales.
Detectar el grado de confianza, satisfaccin y desempeo que brindan
al negocio las redes locales existentes.

Confirmar que existan parmetros de medicin del desempeo de las
redes(bitcoras, graficas, estadsticas, entre otros)

Evaluar el grado de soporte que brinda a los usuarios de la red en el uso
de sistemas y software al que tienen acceso en la misma.

Determinar si existen los suficientes controles y procedimientos de
seguridad para la(s) red(es) de la empresa.

Evaluar las acciones que se llevan a cabo para actualizar los diversos
componentes de las redes locales.

Asegurar que solo se encuentre instalado software legalizado en las
redes locales.
Comprobar si se cuenta con algn software que apoye el monitoreo y la
auditoria de los diferentes elementos que componen una red local.
3
Principales actividades para auditar esta rea

1.- Compara proyectos con la planeacin de auditoria.
2.- Concertar citas con el personal que se va a entrevistar.
3.-Revisar el formulario correspondiente y la utilidad de actualizarlo segn
necesidades especficas del negocio.
4.-Ratificar y formalizar las fechas de entrevistas y visitas.
5.-Efectuar las entrevistas y visitas necesarias para cubrir los puntos de este
mdulo.
6.-Elaborar un borrador con las conclusiones y recomendaciones principales.
7.-Revisarlo con el encargado de la funcin de auditoria en informtica.
8.-Clasificar y almacenar la informacin de soporte en dispositivos de
almacenamiento seguros.
9.- Revisar el borrador con el responsable del proyecto por parte del as reas
evaluadas.
10.-Elaborar y documentar formalmente las conclusiones y recomendaciones
finales de esta revisin.
11.-Anexar esta informacin al documento que definir el informe final.
Requerimientos ara el xito de la revisin

1.- Formalizar el apoyo de la alta direccional auditor en informtica con el
fin de brindarle las facilidades necesarias para la ejecucin de su trabajo.
Algunas acciones de apoyo serian:
La alta direccin hace del conocimiento de las reas por auditar
que algunas de sus funciones sern revisadas y se requiere su

apoyo.
Proporcionar la informacin requerida por el auditor en
informtica.
Externar comentarios y sugerencias del auditor.
2.- Conocimiento del auditor acerca de los aspectos que se avalan en este
mdulo; esto bsicamente se logra mediante una capacitacin tericoprctica en los temas que se relacionan con la auditoria en informtica.
1.-Administracion
1.- La empresa cuenta con red(es) local(es)?
1.1 Si es as, Cuntas micros hay en dicha red, incluyendo el servidor?

(Mencione las caractersticas bsicas de aquellas y de los
perifricos)
__________________________________________________________
__________________________________________________________
__________________________________________________________
1.2 Qu software (paquetes, lenguajes, sistemas de informacin,
sistemas operativos, bases de datos, etc.) hay instalados? Cules
son las versiones correspondientes?
__________________________________________________________
__________________________________________________________
__________________________________________________________
__________________________________________________________
1.3 Si no tiene una red local, con cuntos micros, perifricos,
paquetes, etc. cuenta?
__________________________________________________________
__________________________________________________________
1.4 Existe una administracin formal de la red?

__________________________________________________________
__________________________________________________________
1.5 En caso de no tener una administracin formal de la(s) red(es) o de
las computadoras no conectadas en la red de la empresa, Cmo se
da seguimiento a los siguientes aspectos?
Planeacin de nueva tecnologa de informacin(hardware, software,
etc.) para la red.
___________________________________________________________
___________________________________________________________
___________________________________________________________
Monitoreo de las actividades de la operacin y mantenimiento de la

red.
___________________________________________________________
___________________________________________________________
___________________________________________________________
Procedimientos de control y seguridad de la red.

___________________________________________________________
___________________________________________________________
___________________________________________________________
Aspectos legales del software instalado.

___________________________________________________________
___________________________________________________________
___________________________________________________________
Capacitacin y soporte a usuarios.

___________________________________________________________
___________________________________________________________
___________________________________________________________
Otros.
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
1.6 Si la empresa tiene una administracin de la(s) red(es) local(es) o

computadoras no conectadas en red, Cules de las funciones
listadas en la tabla E.1? Realiza, con que tareas efecta cada
funcin y como les dan seguimiento sus coordinadores o jefes
inmediatos?
Tabla E.1 Administracin de redes locales

Funcin
Tareas
Acciones de seguimiento
2.- Algn personal externo interviene en las funciones de administracin

mencionadas?
___________________________________________________________________
___________________________________________________________________
2.1 Si es as, en qu funciones participa y por qu?

_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
3.- Existe la documentacin formal que especifique que hacer y como

efectuar cada funcin administrativa de la red?
___________________________________________________________________
___________________________________________________________________
Planeacin
Definir un plan formal que contemple:

Evaluacin del hardware actual:
Anlisis y evaluacin de la red local actual(si existe)
Anlisis y diagnstico del nmero de
Computadoras, caractersticas, usuarios, etc.
Anlisis y diagnstico de perifricos
Otros.
Evaluacin del software actual:
Anlisis y diagnstico del software instalado en la red
O computadoras aisladas:
Graficadores, procesadores, hojas electrnicas, otros
Lenguajes de programacin, sistemas operativos, etc.
Cantidad de licencias, copias, versiones, nmeros
De usuarios
Software por legalizar.
Otros
Estudio de justificacin de instalacin o reemplazo de
Red local
Hardware Requerido:
Computadoras, perifricos, otros.
Configuracin de la red:
Distribucin fsica, interface, etc.
Software requerido:
Aspectos legales, paquetes de cmputo,
Lenguajes de programacin, sistemas operativos, otros
Evaluacin costo/beneficio
Procedimiento de capacitacin, seguridad, operacin
Mantenimiento, monitoreo, etc.
Organizacin
Elaboracin de poltica y procedimientos para:

La evaluacin de hardware, software, etc. De la red
Adquisicin o instalacin de hardware o software
Asignacin y baja de usuarios
Administracin de la red
Nivel de servicios para usuarios de la red:
Desempeo
o Tiempos de respuesta
o Proceso
o Atencin a fallas
o Otros
Capacitacin, soporte, mantenimiento
o Hardware
o Software
o Aplicaciones
8
Operacin de:
Equipo
Software
Aplicaciones
Seguridad:
Datos
Software
Hardware
Aplicaciones
Accesorios
3.1 Si es as, las funciones desarrolladas en la realidad concuerdan con
las especificadas en la documentacin?
_____________________________________________________________
_____________________________________________________________
4.- En caso de que no exista esta documentacin, Cmo se indica al personal

responsable y a los usuarios lo referente a los puntos mencionados en la
pregunta 1?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
5.- Existe un plan vacacional y de reemplazo de personal que asegure el

servicio continuo a los usuarios?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
6.- Cmo se canalizan as dudas, sugerencias y compromisos entre los usuarios
y los responsables de la red?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
7.- Qu garantiza que se est utilizando la tecnologa de redes ms

adecuadas para el negocio?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
8.- Hay anlisis costo/beneficio de las diferentes estrategias de redes
implantadas?
___________________________________________________________________
___________________________________________________________________
Se han aprobado de manera formal?
_____________________________________________________________
_____________________________________________________________
2.- Instalacin
Aspectos claves por evaluar:
1. Existen procedimientos que aseguren la oportuna y adecuada
instalacin de los diferentes componentes de la red conforme se hayan
realizado los contratos y compras formales de los mismos?
Procedimiento
Responsable de
ejecutarlos
Responsables de
seguimiento
2. Mencione las actividades que realizan durante el proceso de instalacin

de los componentes de la red local (hardware, software,
procedimientos, etc.)
Actividades
Responsables de
ejecutarlos
10
Responsables de
seguimiento
3. Las compras de los diferentes elementos de la red, as como su

instalacin, se derivan de un proceso de planeacin y avaluacin
formal? Cmo se aseguran de que esto se cumpla?
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
4. En caso de que las compras e instalacin de componentes de la red (sea

hardware, software u otros) no se hayan planeado formalmente, cmo
se justifica esto ante los responsables de informtica y de las reas
usuarias?
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
5.
En cuanto a la instalacin de software, Cmo se asegura la compra

legal? Cmo aseguran que no sea instalado en otros equipos de la
empresa sin licencia de uso? Qu hacen cuando detectan anomalas al
respecto?
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
11
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
5.1 Quin es el responsable de las actividades de seguridad y control

para garantizar el uso adecuado y la proteccin del software?
__________________________________________________________
__________________________________________________________
6.
Cuando son terceros (personal externo) los encargados de la

instalacin parcial o total de cualquiera de los elementos que
componen la red, Cmo se asegura la empresa de que esto se haga
conforme a sus polticas y lineamientos de servicio, oportunidad y
confidencialidad?
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
7. Tiene alguna(s) sugerencia(s) que apoyen el proceso de instalacin?

_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
12
3.- Operacin y seguridad

1. Se cuentan con manuales de operacin de la red? Contemplan
aspectos de seguridad?
_____________________________________________________________
_____________________________________________________________
1.1
Si es as, el personal responsable de administrarla y operarla fue

capacitado y preparado para el manejo de la misma? Le da
seguimiento a la seguridad?
_________________________________________________________
_________________________________________________________
_________________________________________________________
1.2
Qu sucede cuando algunos de estos responsables salen de

vacaciones, se incapacitan o dejan de laborar en la empresa?
_________________________________________________________
_________________________________________________________
_________________________________________________________
2. Indique si existen estndares relativos a la operacin y administracin

de la red como:
Estndares de desempeo:
o Tiempos de respuesta
________________________________________________________
o Trafico (volmenes de informacin, velocidad)
________________________________________________________
________________________________________________________
o Interrupciones
________________________________________________________
o Tiempo de recuperacin de la red
________________________________________________________
o Equipos o terminales interconectados
________________________________________________________
o Otros
Estndares de Mantenimiento:
13
o Calendarios (fechas, horarios, etc.)
o Responsables
o Otros
2.1
Si existen, Son aplicados formalmente por los responsables de la

red?
_________________________________________________________
2.2
Cmo se da seguimiento al cumplimiento de los mismos?
2.3
Una vez que se aplican estos estndares, Qu datos se envan a

otras reas (usuarios, auditoria en informtica)?
2.4
Los costos por el uso de la red se determinan con estos

parmetros o son costos uniformes y fijos que se distribuyen en
sumas idnticas entre todos los usuarios?
2.5
Existe otro procedimiento para establecer los costos derivados

por el uso de la red? Si es as, cul?
2.6
El usuario aprueba formalmente este procedimiento de pago?
3. Se desarroll o adquiri algn cuestionario estndar que permita saber

el nivel de servicios que brinda la red?
14
3.1
Si es as, con que periodicidad se distribuye este cuestionario a

los usuarios o encargados de la red?
3.2
Qu indicadores o parmetros importantes salen de estos

cuestionarios que sean utilizados por los responsables de la
gerencia o direccin de informtica?
4. Hay procedimientos que protejan los datos transmitidos de una red

local a otra(s)?
4.1 Si se tienen, cules son?
4.2
Se cuenta con un responsable o un software de comunicaciones

que vigile de manera permanente que los datos sean transmitidos
con los estndares de oportunidad, totalidad, exactitud y
autorizacin de una red a otra(s)?
4.3
Existen registros (logs) con informacin relevante para el

administrador de la red o el auditor en informtica?
_________________________________________________________
4.4
Si es as, seale si stos contienen informacin relativa a:

Usuarios que accedieron la red
Operaciones realizadas en la red (envo, recepcin)
Tiempos de conexin
Interrupciones en el transcurso del uso de la red
Causas
Tiempo para reiniciar cada interrupcin
Terminales o equipos conectados e
Accesos invalidados a la red
15
Terminales donde se llevaron a cabo estos accesos no
autorizados
Otros
4.5
Estos registros son generados por algn software de la red o por

los responsables de la misma?
_________________________________________________________
5. Seale si se tiene identicada formalmente la siguiente informacin:
Usuarios de la red
Registros y niveles de acceso
Terminales conectadas a la red
Responsables de la red.
Procedimientos de contingencia
Software
Perifricos conectados
Software original y pirata instalado
Software de los micros conectados a la red (duplicidad o
5.1
carencia de software en la red)

Tipos de unidades centrales de procesamiento (CPU)
Capacidad de discos o espacio libre por servidor y micros
Otros
________________________________________________________
Estos registros son generados por algn software de la red o los
elaboran por separado los responsables de la misma?
6. Hay una lnea telefnica disponible las veinticuatro horas del da para
atencin de quejas y dudas de los usuarios de la red?
_____________________________________________________________
7. Existe un procedimiento formal para dar un servicio oportuno y
eciente a los requerimientos de los usuarios?
_____________________________________________________________
7.1
Lo conocen los usuarios?

_________________________________________________________
8. La red tiene controles de acceso a personas no autorizadas (acceso a
equipo, datos y software)?
_____________________________________________________________
16
8.1
8.2
8.3
En caso de contar con esos controles, estn diseados para

prevenir, detectar 0 corregir el acceso no autorizado?
_________________________________________________________
Si es as, cules son estos controles y quines le dan seguimiento?
Vericar que los controles contemplen al menos:

Proteccin de archivos
Proteccin a programas fuente de las aplicaciones en red
Proteccin a otro software alojado en la red
Mtodos para prevenir el monitoreo no autorizado de la red
Deteccin inmediata y automatizada de accesos no
autorizados
Contraseas que autoricen el acceso a la red, sin permitir la
entrada a archivos no autorizados
Otros
______________________________________________________
9. Existen controles relativos a la seguridad fsica de los diversos

componentes de la red (tarjetas, terminales, manuales, software,
documentacin, etc.)?
_____________________________________________________________
9.1 En caso de contar con esos controles, cmo se aseguran los
responsables de darles seguimiento?
_________________________________________________________
_________________________________________________________
9.2 Vericar que estos controles cuenten con:
Proteccin adecuada de los componentes de la red (cables,
tarjetas, terminales, servidores, etc.)

Guardias o personal que vigile el acceso al centro de
telecomunicaciones
Bitcoras de acceso a las reas conectadas a la red
Mtodos de control de acceso como pases, tarjetas de
identicacin, puertas con candados, monitores, etc.

Listado de personal autorizado con acceso a las terminales y
controladores de la red.
Otros
______________________________________________________
10. Se tiene un seguro que proteja el software y el equipo de la red?
_____________________________________________________________
11.Se cuenta con alternativas que apoyen a la empresa en caso de una
falla generalizada y prolongada en la(s) red(es)?
_____________________________________________________________
17
12.Estos convenios estn formalizados?
13.Se han tomado en cuenta algunas consideraciones complementarias

que ayuden al mejoramiento continuo de la(s) red(es) local(es) del
negocio como las siguientes?
Evaluacin peridica de la red: hardware, software, grado de
satisfaccin, grado de utilizacin, etc.

Acceso a la red de nuevos usuarios, niveles de acceso por perl
de usuario, asignaciones de software o datos para utilizar,

consultar, modicar, borrar, etc.
Aspectos administrativos: administrador u operadores (tareas,
sueldos, capacitacin, vacaciones, reemplazos, otros)

Capacitacin, planeacin, ejecucin y actualizacin
Crecimiento de la red: perifricos, memoria, usuarios, software,
aplicaciones
Respaldo: datos, equipo, perifricos, software, aplicaciones,
etc.
Seguridad: controles, procedimientos, software de auditora,
niveles de acceso, planes de contingencia, plan de re
inicializacin y recuperacin, etc.
Telecomunicaciones
-Administracin
-Instalacin
-Operacin/ seguridad
Objetivos de esta revisin
Asegurar que exista una funcin formal de administracin de la red de
comunicaciones (RC)
Asegurar la existencia de procedimientos y controles que orienten a la
satisfaccin de:
La administracin de la RC
La instalacin de la RC
La operacin y seguridad de la RC (vase cuestionario de Seguridad
para mayor detalle)
18
El mantenimiento de la RC
Detectar el grado de conanza, satisfaccin y desempeo que brinda al
negocio la RC existente
Vericar que existan parmetros de medicin del desempeo de la RC
(bitcoras, grcas, estadsticas, entre otros)

Evaluar el grado de soporte que se brinda a los usuarios de la RC en el
uso de sistemas y software al que tienen acceso en la misma

Determinar si existen los sucientes controles y procedimientos de
seguridad para la RC de la empresa

Evaluar las acciones que se llevan a cabo para actualizar los diversos
componentes de la RC
Asegurar que slo se encuentre instalado software legalizado en la RC.
Vericar si se cuenta con algn software que apoye el monitoreo y la
auditora de los diferentes elementos que componen la RC
Nota: Esta evaluacin se aplica a los responsables de la red de

telecomunicaciones y, de ser necesario, a los usuarios de la misma.
Principales actividades para auditar esta rea
1. Vericar proyectos en la planeacin de auditora.
2. Concertar citas con el personal que se va a entrevistar.
3. Revisar el formulario correspondiente y ver la conveniencia de
actualizarlo segn necesidades especcas del negocio.
4. Raticar y formalizar las fechas de entrevistas y visitas.
5. Efectuar las entrevistas y visitas necesarias para cubrir los puntos de
este mdulo.
6. Elaborar un borrador con las conclusiones y recomendaciones
principales.
7. Revisarlo con el encargado de la funcin de auditora en informtica.
8. Clasicar y almacenar la informacin de soporte en dispositivos de
almacenamiento seguros.
9. Revisar el borrador con el responsable del proyecto por parte de las
reas evaluadas.
10.Elaborar
y
documentar
formalmente
las
conclusiones
y
recomendaciones nales de esta revisin.
11.Anexar esta informacin al documento que denir el informe nal.
Requerimientos para el xito de la revisin

1. Formalizar el apoyo de la alta direccin al auditor en informtica con
el n de brindarle las facilidades necesarias para la ejecucin de su
trabajo. Algunas acciones de apoyo seran:
La alta direccin hace del conocimiento de las reas por auditar que
algunas de sus funciones sern revisadas y se requiere su apoyo

Proporcionar la informacin requerida por el auditor en informtica
19
Externar comentarios y sugerencias al auditor

2. Conocimiento del auditor acerca de los aspectos que se evaluarn en
este mdulo; esto bsicamente se logra mediante una capacitacin
terico-prctica en los temas que se relacionan con la auditora en
informtica. Tcnicas para obtener y evaluar la informacin (vase
tabla E.2).
Mtodos, Tcnicas y
herramientas requeridas
Metodologa de desarrollo
e implementacin de
sistemas
Metodologa de
planeacin
Cuestionarios
Entrevistas
Observacin/monitoreo
Anlisis/diseo
Trabajo en equipo
Anlisis costo/beneficio
Documentacin
Pruebas de auditoria
Control de proyectos
ndice de produccin
(benchmarking)
Comunicaciones
Hardware
Software
Seguridad
No
no
Si
si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
Si
1.- Administracin
1. La empresa cuenta con una RC?
1.1Si es as, qu tipo de enlaces tiene (satelitales, terrestres)?

__________________________________________________________
1.2Qu software de comunicaciones utiliza para el manejo de la RC?
__________________________________________________________
1.3Cules son las versiones correspondientes?
20
1.4Si no tiene una RC, piensa integrar una a la empresa? Cundo?
1.5Existe una administracin formal de la RC?

__________________________________________________________
1.6En caso de no tener una administracin formal de la RC, indique
cmo se da seguimiento a los siguientes aspectos:
Planeacin de nueva tecnologa de informacin (hardware,
software, etc.) o para la RC
Monitoreo de las actividades de la operacin y mantenimiento

de la RC
Procedimientos de control y seguridad
Aspectos legales del software instalado
Capacitacin y soporte a usuarios, operadores y tcnicos de la

RC
Otros
1.7 Si la empresa tiene administracin de la RC, cules de las

funciones mencionadas en la tabla E.3 realiza; con qu tareas
21
efecta cada funcin y cmo les dan seguimiento sus coordinadores

o jefes inmediatos?
2 Algn personal externo interviene en la administracin de la RC

mencionada?
________________________________________________________________
2.1 Si es as, mencione cul y por qu?
3 Hay documentacin formal que especique qu hacer y cmo realizar

cada una de las funciones de administracin de la RC?
3.1 Si es as, las funciones desarrolladas en la realidad concuerdan con

las especicadas en la documentacin?
__________________________________________________________
4 En caso de que no exista esta documentacin, cmo se indica al personal

responsable de la RC y a los usuarios lo referente a los puntos mencionados
en la pregunta 1?
5 Se cuenta con un plan vacacional y de reemplazo de personal que asegure

el servicio continuo a los usuarios?
________________________________________________________________
6 Cmo se canalizan dudas, sugerencias y compromisos entre los usuarios y
los responsables de la RC?
________________________________________________________________
7 Qu garantiza que se est utilizando la tecnologa de RC ms adecuada
para el negocio?
________________________________________________________________
8 Existen anlisis costo/benecio de las diferentes estrategias de la RC
implantada? Son aprobados de manera formal?
22
Planeacin
Definir un plan formal que contemple:

Evaluacin de la red de comunicaciones (si existe)
o Anlisis y evaluacin de la red de
comunicaciones: diseo, uso, costo/beneficio.
o Anlisis y diagnstico de mdems, controladores,
cables, medios de transmisin, etc.
o Otros.
Evaluacin del software actual de la red de

comunicaciones:
o Anlisis y diagnstico del software instalado
para el uso de la red de comunicaciones.
o Software de monitoreo.
o Cantidad de licencias, copias pirata, versiones,
nmero de usuarios.
o Software por legalizar.
o Otros.
Estudio de justificacin de instalacin o reemplazo de

la red de comunicaciones local:
o Hardware requerido: mdems, multiplexores,
antenas, etc.
o Configuracin de la red de comunicaciones:
distribucin fsica, interfaces, etc.
o Software requerido: operacin, seguridad,
monitoreo, etc.
o Evaluacin costo/beneficio.
o Procedimientos de capacitacin, seguridad,
operacin, mantenimiento, monitoreo, etc.
Organizacin
Elaboracin de polticas y procedimientos para:

La evaluacin de hardware, software, etc., de la red de
comunicaciones.
Adquisicin o instalacin de hardware o software de la

red de comunicaciones.
23
Asignacin o baja de usuarios en la red de

comunicaciones.
Administracin de la red de comunicaciones.
Nivel de servicios para usuarios de la red de

comunicaciones:
Desempeo en tiempos de respuesta, proceso, atencin

a fallas, otros.
Capacitacin, soporte y mantenimiento del hardware,

software y aplicaciones.
Operacin de equipo, software y aplicaciones.
Seguridad de datos, software, hardware, aplicaciones y

accesorios.
2.- Instalacin
Aspectos clave por evaluar:
1. Hay procedimientos que aseguren la oportuna y adecuada instalacin
de los diferentes componentes de la RC conforme se realizan los
contratos y compras formales de los mismos?
2. Mencione las actividades que se realizan durante el proceso de

instalacin de los componentes de la RC (hardware, software,
procedimientos, etc.):
____________________________________________________________
____________________________________________________________
____________________________________________________________
3. Las compras de los diferentes elementos de la RC, as como su
instalacin, se derivan de un proceso de planeacin y evaluacin
formal? Cmo se aseguran de que esto se cumpla?
24
4. En caso de que las compras e instalacin de componentes de la RC, sea

hardware, software, etc., no hayan sido planeados formalmente, cmo se
justifican ante los responsables de informtica y de las reas usuarias
involucradas en el uso de dicha RC?
____________________________________________________________
____________________________________________________________
____________________________________________________
5. En cuanto a la instalacin del software, cmo se aseguran que ste
haya sido comprado legalmente? Cmo se aseguran de que no sea
instalado en otros equipos de la empresa sin licencia de uso? Qu hacen
cuando detectan algunas anomalas al respecto?
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
5.1 Quin es el responsable de las actividades de seguridad y control
para garantizar el uso adecuado y la proteccin de dicho software?
____________________________________________________________
6. Cuando el encargado de la instalacin parcial o total de cualquiera

de los elementos que componen la RC es externo, cmo se asegura la
empresa de que esto se haga conforme a sus polticas y lineamientos de
servicio, oportunidad y confidencialidad?
7. Tiene alguna(s) sugerencia(s) que apoyen el proceso de instalacin?
3.- Operacin y seguridad

1.Se cuenta con manuales de operacin de la RC? Contemplan aspectos de
seguridad?
_____________________________________________________________
1.1 Si es as, el personal responsable de administrar y operar la RC fue
capacitado y preparado para el manejo de la misma? Le da
25
seguimiento a la seguridad?
____________________________________________________________
1.2 Qu sucede cuando algunos de estos responsables salen de vacaciones,
se incapacitan o dejan de laborar en la empresa?
2.Existen estndares relativos a la operacin y administracin?, por

ejemplo:
Estndares de desempeo
________________________________________________
Tiempos de respuesta.
_______________________________________________
Trfico (volmenes de informacin, velocidad).
_________________________________________________
Interrupciones.
_____________________________________________
Tiempo de recuperacin de la RC.
_________________________________________________
Equipos o terminales interconectados.
________________________________________________
_
Otros.
Estndares de mantenimiento:
_________________________________________________
Calendarios (fechas, horarios, etc.).
________________________________________________
Responsables.
____________________________________________
Otros.
_____________________________________________
2.1 Si existen, los responsables de la RC los aplican de manera
formal?
___________________________________________________________
2.2 Cmo se da seguimiento al cumplimiento de los mismos?
__________________________________________________________
2.3 Una vez que se aplican estos estndares, qu datos se envan a otras
26
reas (usuarios, auditora en informtica)?

___________________________________________________________
2.4 Los costos por el uso de la RC se determinan con estos parmetros o
son costos uniformes y fijos que se distribuyen en sumas idnticas
entre todos los usuarios?
_____________________________________________________________
2.5 Existe otro procedimiento para establecer los costos derivados por
el uso de la RC? Si es as, cul es?
2.6 El usuario aprueba formalmente este procedimiento de pago?

_______________________________________________________________
3.Se desarroll o adquiri algn cuestionario estndar que permita saber el
nivel, de servicios que brinda la RC?
________________________________________________________________
3.1 Si es as, con qu periodicidad se distribuye este cuestionario entre
los usuarios o encargados de la RC?
____________________________________________________________
3.2 Qu indicadores o parmetros importantes resultan de estos

cuestionarios que sean utilizados por los responsables de la gerencia o
direccin de informtica?
4.Se tienen procedimientos que protejan los datos transmitidos de una RC

propia a otra(s)?
_______________________________________________________________
4.1 Si se tienen, cules son?
4.2 Existe un responsable o un software de comunicaciones que revise

de manera permanente que los datos sean transmitidos con los
estndares de oportunidad, totalidad, exactitud y autorizacin de una
RC a otra(s)?
____________________________________________________________
4.3 Existen registros con informacin relevante para el administrador de
la RC o el auditor en informtica?
27
____________________________________________________________
4.4 Si es as, seale si contienen la siguiente informacin:
Usuarios que asesaron la RC.
________________________________________________________
Operaciones realizadas en la RC (envo, recepcin).
_________________________________________________________
Tiempos de conexin.
______________________________________________________
Interrupciones durante el uso de la RC.
________________________________________________________
Causas.
______________________________________________________
Tiempo para reinicializar cada interrupcin.
_________________________________________________________
Terminales o equipos conectados.
________________________________________________________
Accesos invalidados a la RC.
________________________________________________________
Terminales donde se llevaron a cabo estos accesos no autorizados.
___________________________________________________________
Otros.
____________________________________________________
4.4Estos registros son generados por algn software de RC o los

elaboran de manera independiente los responsables de la
administracin de la misma?
___________________________________________________________
5. Indique si se tiene identificada formalmente la siguiente informacin:
Usuarios de la RC.
______________________________________________________
Registros y niveles de acceso.
________________________________________________________
Terminales conectadas.
_______________________________________________________
Responsables.
___________________________________________________________
Procedimientos de contingencia.
________________________________________________________
Software.
______________________________________________________
Perifricos conectados.
______________________________________________________
Componentes.
28
___________________________________________________
Otros.
____________________________________________________
5.1 Estos registros son generados por algn software de la RC o por los
responsables de su administracin?
________________________________________________________________
6.Existe una lnea telefnica disponible las veinticuatro horas del da para
atencin de quejas y dudas de los usuarios de la RC?
________________________________________________________________
7.Hay un procedimiento formal para dar un servicio oportuno y eficiente a
los requerimientos de los usuarios?
________________________________________________________________
7.1 Lo conocen stos?
__________________________________________________________
8.La RC cuenta con controles de acceso para personas no autorizadas
(equipo, datos y software)?
________________________________________________________________
8.1 En caso de tener esos controles, estn diseados para prevenir,
detectar o corregir el acceso no autorizado a la RC?
____________________________________________________________
8.2 Si es as, cules son esos controles y quines son los responsables de
darles seguimiento?
8.3 Verificar que los controles contemplen al menos:
Proteccin a datos transmitidos a travs de la RC.
____________________________________________________________
Proteccin a los componentes de la RC.
___________________________________________________________
Mtodos para prevenir el monitoreo no autorizado de la RC.
____________________________________________________________
Deteccin inmediata y automatizada de accesos no autorizados a la
RC.
____________________________________________________________
Contraseas que autoricen el acceso a la RC y eviten la entrada en archivos
no autorizados.
_____________________________________________________________
Otros.
9. Existen controles relativos a la seguridad fsica de los diversos

componentes de la RC (tarjetas, terminales, manuales, software,
29
documentacin, etc.)?
________________________________________________________________
9.1 En caso de contar con esos controles, cmo se aseguran los
responsables de darles seguimiento?
9.2 Verificar que los controles cuenten con:
Proteccin adecuada de los componentes de la RC (cables, tarjetas,

terminales, servidores, etc.)
_________________________________________________________
Guardias o personal que vigile el acceso al centro de
telecomunicaciones.
_________________________________________________________
Bitcoras de acceso en las reas conectadas a la RC.
_________________________________________________________
Mtodos de control de acceso como pases, tarjetas de
identificacin, puertas con candados, monitores, entre otros.
_________________________________________________________
Listado de personal con acceso autorizado a las terminales y
controladores de la RC.
_________________________________________________________
Otros.
10.Se tiene un seguro que proteja el software y el equipo de la RC?

______________________________________________________________
11. Hay alternativas que apoyen a la empresa en caso de una falla
generalizada y prolongada en la RC?
______________________________________________________________
12. Estos convenios estn formalizados?
____________________________________________________________
13.Se han tomado en cuenta algunas consideraciones complementarias que

ayuden al mejoramiento continuo de la RC del negocio como las
siguientes?
Evaluacin peridica de la RC: hardware, software, grado de

satisfaccin, grado de utilizacin, etc.
_________________________________________________________
Acceso a la RC: nuevos usuarios, niveles de acceso por perfil de
usuario, asignaciones de software o datos para utilizar, consultar,
modificar, borrar, etc.
___________________________________________________________
30
Aspectos administrativos: administrador u operadores (tareas,

sueldos, capacitacin, vacaciones, reemplazos, entre otros).
_________________________________________________________
Capacitacin: planeacin, ejecucin y actualizacin.
_________________________________________________________
Crecimiento de la RC: multiplexores, enlaces, usuarios, mdems y
medios de transmisin.
_________________________________________________________
Respaldo: datos, equipo, medios de transmisin, software, por
mencionar algunos.
_________________________________________________________
Seguridad: controles, procedimientos, software de auditora, niveles
de acceso. planes de contingencia, plan de reinicializacin y
recuperacin, etc.
_________________________________________________________
Otros que se consideren pertinentes.
31

Auditoria de Redes Locales y Telecomunicaciones

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Auditoria de Redes Locales y Telecomunicaciones

Încărcat de

Drepturi de autor:

Formate disponibile

Hernan

El documento contiene la plantilla base para la elaboracinIsrael

Bases para una buena auditora

informacin que se convierte en un activo real de una empresa u

BASES PARA UNA BUENA

Objetivos de esta revisin

Asegurar que exista una funcin formal de administracin de las(s)

cuestionario sobre seguridad para mayor detalle)

al negocio las redes locales existentes.

redes(bitcoras, graficas, estadsticas, entre otros)

de sistemas y software al que tienen acceso en la misma.

seguridad para la(s) red(es) de la empresa.

componentes de las redes locales.

Principales actividades para auditar esta rea

Requerimientos ara el xito de la revisin

La alta direccin hace del conocimiento de las reas por auditar

que algunas de sus funciones sern revisadas y se requiere su

1.1 Si es as, Cuntas micros hay en dicha red, incluyendo el servidor?

1.4 Existe una administracin formal de la red?

Monitoreo de las actividades de la operacin y mantenimiento de la

Procedimientos de control y seguridad de la red.

Aspectos legales del software instalado.

Capacitacin y soporte a usuarios.

1.6 Si la empresa tiene una administracin de la(s) red(es) local(es) o

Tabla E.1 Administracin de redes locales

2.- Algn personal externo interviene en las funciones de administracin

2.1 Si es as, en qu funciones participa y por qu?

3.- Existe la documentacin formal que especifique que hacer y como

Definir un plan formal que contemple:

Elaboracin de poltica y procedimientos para:

4.- En caso de que no exista esta documentacin, Cmo se indica al personal

5.- Existe un plan vacacional y de reemplazo de personal que asegure el

7.- Qu garantiza que se est utilizando la tecnologa de redes ms

2. Mencione las actividades que realizan durante el proceso de instalacin

3. Las compras de los diferentes elementos de la red, as como su

4. En caso de que las compras e instalacin de componentes de la red (sea

En cuanto a la instalacin de software, Cmo se asegura la compra

5.1 Quin es el responsable de las actividades de seguridad y control

Cuando son terceros (personal externo) los encargados de la

7. Tiene alguna(s) sugerencia(s) que apoyen el proceso de instalacin?

3.- Operacin y seguridad

Si es as, el personal responsable de administrarla y operarla fue

Qu sucede cuando algunos de estos responsables salen de

2. Indique si existen estndares relativos a la operacin y administracin

o Calendarios (fechas, horarios, etc.)

Si existen, Son aplicados formalmente por los responsables de la

Cmo se da seguimiento al cumplimiento de los mismos?

Una vez que se aplican estos estndares, Qu datos se envan a

Los costos por el uso de la red se determinan con estos

Existe otro procedimiento para establecer los costos derivados

El usuario aprueba formalmente este procedimiento de pago?

3. Se desarroll o adquiri algn cuestionario estndar que permita saber

Si es as, con que periodicidad se distribuye este cuestionario a

Qu indicadores o parmetros importantes salen de estos

4. Hay procedimientos que protejan los datos transmitidos de una red

Se cuenta con un responsable o un software de comunicaciones

Existen registros (logs) con informacin relevante para el

Si es as, seale si stos contienen informacin relativa a:

Terminales donde se llevaron a cabo estos accesos no

Estos registros son generados por algn software de la red o por

carencia de software en la red)

Lo conocen los usuarios?

En caso de contar con esos controles, estn diseados para

Vericar que los controles contemplen al menos: