c



 

 




>5.1 Generalidades Seguridad AreaTeleinformatica

En la actualidad tiene una gran trascendencia tanto técnica como social, lo que se denomina
teleinformática: la unión de la informática y las telecomunicaciones. Tanto en la vida profesional
como en las actividades cotidianas, es habitual el uso de expresiones y conceptos relacionados
con la teleinformática.

Se comienza por introducir la historia y evolución de la teleinformática y de la manera en que fue

desarrollándose, y a su vez, proporcionando un panorama general del tema. Luego se menciona
de forma genérica los elementos que integran un sistema teleinformático, desde un simple terminal
hasta una red.

Las técnicas de comunicación se estructuran en niveles: físico, enlace de datos, red, transporte,
sesión, presentación y aplicación.

También, mencionamos las redes de área local ya que son muy importantes en lo que a la
teleinformática respecta. Se hizo hincapié en la red Internet y su protocolo TCP/IP, y en los
conceptos básicos sobre Programas de Comunicación y Gestión de Red.

Analizamos los servicios de valor añadido como el Videotex, Ibercom o La Telefonía Móvil.
Además, establecimos los últimos desarrollos y las tendencias de la teleinformática, desde las
redes digitales hasta el proceso distribuido.

Por último, manifestamos la importancia de la relación que existe entre la teleinformática y la

sociedad, en lo que respecta a la educación, la sanidad y la empresa.
En una comunicación se transmite información desde una persona a otra e intervienen tres
elementos: el emisor, que da origen a la información, el medio, que permite la transmisión, y el
receptor, que recibe la información.
La primera comunicación que existió entre los hombres fue a base de signos o gestos que
expresaban intuitivamente determinadas manifestaciones con sentido propio. Estos gestos iban
acompañados de sonidos.

Más tarde, el hombre tuvo necesidad de realizar comunicaciones a distancia como por ejemplo,
entre personas de dos aldeas situadas a cierta distancia pero con visibilidad entre ambas, o bien
entre un barco y la costa. Es aquí donde aparecen las señales de humo, destellos con espejos
entre innumerables métodos de comunicación.
Con el paso del tiempo y la evolución tecnológica, la comunicación a distancia comenzó a ser cada
vez más importante.

La primera técnica utilizada surgió con la aparición del telégrafo y el código morse que permitieron
comunicaciones a través de cables a unas distancias considerables. Posteriormente se desarrolló
la técnica que dio origen al teléfono para la comunicación directa de la voz a larga distancia. Más
tarde la radio y la transmisión de imágenes a través de la televisión habilitaron un gran número de
técnicas y métodos que luego fueron muy importantes a lo que respecta a la comunicación.

5.2 Objetivos Criterios de Auditoria Area Teleinformática

la auditoría interna se ve compelida a velar entre otras cosas por la aplicación y buen uso de las
mismas. Ello ciertamente implica un muy fuerte compromiso. Dijimos antes que la auditoría debía
velar no sólo por los activos de la empresa sino además por su capacidad competitiva. Cuidar de
esto último significa difundir, apoyar y controlar las nuevas y buenas prácticas. Así, haciendo uso
del benchmarking puede verificar y promover las mejores prácticas para el mantenimiento de la
más alta competitividad. Ser competitivo es continuar en la lucha por la subsistencia o continuidad
de la empresa.

Como brillantemente lo expresa Fernando Gaziano (Deloitte Chile), "los auditores y los astrónomos
compartimos plenamente una idea: el universo se expande. Así como después del "bigbang" un
universo de planetas y estrellas comenzó y continúa expandiéndose, de la misma forma el mundo
del Auditor Interno es cada vez más amplio. Como nunca, probablemente hoy se enfrenta a uno de
los cambios más importantes en su profesión, debiendo abordar aspectos relacionados con el
Gobierno Corporativo y los nuevos riesgos a los que se enfrentan las organizaciones.

5.3 Sintomas de Riesgo Teleinformatica

Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto de que en
algunas entidades se creó inicialmente la función de auditoría informática para revisar la seguridad,
aunque después se hayan ido ampliando los objetivos.

En la auditoría de otras áreas pueden también surgir revisiones solapadas con la seguridad; así a
la hora de revisar el desarrollo se verá si se realiza en un entorno seguro, etc.
‡ Los controles directivos. Son los fundamentos de la seguridad: políticas, planes, funciones,
objetivos de control, presupuesto, así como si existen sistemas y métodos de evaluación periódica
de riesgos.

‡ El desarrollo de las políticas. Procedimientos, posibles estándares, normas y guías.

‡ Amenazas físicas externas. Inundaciones, incendios, explosiones, corte de líneas o suministros,
terremotos, terrorismo, huelgas, etc., se considera: la ubicación del centro de procesos, de los
servidores, PCs, computadoras portátiles (incluso fuera de las oficinas); estructura, diseño,
construcción y distribución de edificios; amenazas de fuego, riesgos por agua, por accidentes
atmosféricos; contenido en paquetes }, bolsos o carteras que se introducen o salen de los edificios;
visitas, clientes, proveedores, contratados; protección de los soportes magnéticos en cuanto a
acceso, almacenamiento y transporte.
‡ Control de accesos adecuado. Tanto físicos como lógicos, que se realicen sólo las operaciones
permitidas al usuario: lectura, variación, ejecución, borrado y copia, y quedando las pistas
necesarias para el control y la auditoría. Uso de contraseñas, cifrado de las mismas, situaciones de
bloqueo.
‡ Protección de datos. Origen del dato, proceso, salida de los datos.
‡ Comunicaciones y redes. Topología y tipo de comunicaciones, posible uso de cifrado,
protecciones ante virus. Tipos de transacciones. Protección de conversaciones de voz en caso
necesario, protección de transmisiones por fax para contenidos clasificados. Internet e Intranet,
correo electrónico, control sobre páginas web, así como el comercio electrónico.
‡ El entorno de producción. Cumplimiento de contratos, outsourcing.
‡ El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los
productos desarrollados y que éstos resulten auditables. Con el uso de licencias (de los programas
utilizados).
‡ La continuidad de las operaciones. Planes de contingencia o de Continuidad.
No se trata de áreas no relacionadas, sino que casi todas tienen puntos de enlace comunes:
comunicaciones con control de accesos, cifrado con comunicaciones, etc.

Evaluación de riesgos

Se trata de identificar riesgos, cuantificar su probabilidad e impacto y analizar medidas que los
eliminen o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto. Para
evaluarlos hay que considerar el tipo de información almacenada, procesada y transmitida, la
criticidad de las operaciones, la tecnología usada, el marco legal aplicable, el sector de la entidad,
la entidad misma y el momento. Los riesgos pueden disminuirse (generalmente no pueden
eliminarse), transferirse o asumirse.

5.4 Tecnicas y Herramientas Auditoria Relacionadas con Seguridad Teleinformática

Introducir al estudiante en los aspectos técnicos, funcionales y organizacionales que componen la

problemática de seguridad en las redes teleinformáticas, ilustrando las operaciones, técnicas y
herramientas más usuales para garantizar privacidad, autenticación y seguridad.

Introducción General a la Seguridad en Redes

‡ Definiciones
‡ Generalidades
‡ Intrusos
‡ Amenazas
‡ Ataques

Planeacion de la Seguridad

‡ Análisis del sistema actual

‡ Análisis de riesgos
‡ Definición de políticas de seguridad
‡ Implantación de la seguridad

Servicios de Seguridad

o Modelo OSI para