Embed Size (px)
Citation preview
1
“Año de la Consolidación Económica y Social del Perú”
UNIVERSIDAD NACIONAL DE PIURA
FACULTAD DE INGENIERÍA INDUSTRIAL
ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA
CURSO : CONTROL Y AUDITORÍA INFORMÁTICA
TEMA : AUDITORÍA DE REDES
DOCENTE : ING. HUGO ROSALES GARCÍA, M.SC.
INTEGRANTES :
NEYRA TRUJILLO, MIGUEL ÁNGEL
SEMINARIO PASAPERA, JONATHAN
Piura - Perú
2010
2
ÍNDICE DE CONTENIDO INTRODUCCIÓN ............................................................................................................................. 3
BENEFICIOS DE LAS AUDITORÍAS DE REDES .................................................................................. 5
¿CUÁLES SON LOS CONCEPTOS CLAVES EN LA AUDITORÍA DE REDES? ........................................ 6
TIPOS DE AUDITORÍAS DE REDES .................................................................................................. 6
AUDITORÍA DE LA ARQUITECTURA DE REDES ........................................................................... 6
AUDITORÍA DE RENDIMIENTO DE REDES .................................................................................. 7
AUDITORÍA DE LA DISPONIBILIDAD DE REDES .......................................................................... 8
TÉCNICAS QUE SE PUEDEN UTILIZAR PARA LA AUDITORÍA DE REDES .......................................... 9
HERRAMIENTAS SOFTWARE UTILIZADAS ...................................................................................... 9
CASO PRÁCTICO........................................................................................................................... 10
PROPÓSITO .............................................................................................................................. 10
CUESTIÓN DE FONDO .............................................................................................................. 10
¿EN QUÉ CONSISTE? ................................................................................................................ 10
METODOLOGÍA........................................................................................................................ 11
HALLAZGOS ............................................................................................................................. 12
ANÁLISIS .................................................................................................................................. 14
RECOMENDACIONES ............................................................................................................... 15
CONCLUSIÓN ........................................................................................................................... 16
BIBLIOGRAFÍA .............................................................................................................................. 17
ÍNDICE DE TABLAS Tabla 1: Aspectos típicos de seguridad física para salas secundarias. ........................................ 11
Tabla 2: Aspectos típicos de seguridad física para salas principales. .......................................... 11
Tabla 3: Hallazgos de ausencia de políticas y procedimientos para la administración de la
seguridad de la red física. ............................................................................................................ 12
Tabla 4: Hallazgos referentes a las salas principales y secundarias. ........................................... 13
Tabla 5: Hallazgos identificados agrupados en categorías. ......................................................... 14
Tabla 6: Ponderación de los hallazgos. ....................................................................................... 14
ÍNDICE DE ILUSTRACIONES Ilustración 1: Análisis de los hallazgos. ....................................................................................... 15
3
INTRODUCCIÓN
La infraestructura de las Tecnologías de la Información y de las Comunicaciones (TIC) se ha
convertido en un activo empresarial estratégico y la red constituye su núcleo.
Las redes de comunicaciones de las empresas e instituciones públicas se han convertido en el
sistema circulatorio de las mismas y, a través de ellas, fluye la información de las empresas, su
verdadero patrimonio informacional.
Se puede definir la auditoría de redes como el conjunto de técnicas y procedimientos de
gestión, destinados al análisis y control de los sistemas que componen una red, mediante los
cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de
lograr una utilización más eficiente y segura de la información. Los sistemas que forman parte
de una red son básicamente: nodos de red, sistemas operativos y software básico, software de
uso específico y sistemas de información (nodos de almacenamiento masivo y base de datos).
El objetivo fundamental de una auditoría es la obtención de un juicio objetivo, independiente y
desinteresado. En el caso concreto de la auditoría de redes es preciso el conocimiento
detallado y preciso de las necesidades de la empresa u organización cubierta por la red objeto
de auditoría.
Dada su importancia de cara al correcto funcionamiento de las organizaciones, la seguridad de
estas redes es un factor clave.
Ahora bien, sólo con la implantación de las necesarias medidas de seguridad no es suficiente,
hay que auditar las redes para comprobar si, efectivamente, se cumplen y, en algunos casos,
dentro de esas auditorías habrá que simular ataques a las mismas para detectar posibles
agujeros en su seguridad.
Tenemos que partir de la idea de que las redes son vulnerables y que las amenazas que se
ciernen sobre ellas son de distinto tipo como veremos a continuación.
Para desarrollar estos conceptos seguiremos lo que dice el profesor Ribagorda Garnacho:
“Vulnerabilidad es la susceptibilidad de un sistema o componente a sufrir daños por un ataque
específico, o equivalentemente una debilidad del sistema de protección de un recurso que
puede ser explotado por un ataque”. Ejemplos de vulnerabilidades pueden ser: la implantación
en las redes de los sistemas abiertos, la extensión de las mismas o la falta de preparación
específica y experiencia de los usuarios.
Por amenaza se entiende la violación potencial de la seguridad de un sistema a diferencia de
ataque, que es la materialización de una amenaza.
4
Las amenazas pueden ser de varios tipos:
Pasivas, que son aquellas que atentan a la confidencialidad de la información, pero no
la alteran.
Activas, que son aquellas que cambian el estado de la información o del sistema y
pueden ser: la interrupción, la modificación y la generación.
o La interrupción consiste en intermitir una transmisión, lo que significa una
amenaza a la disponibilidad de la información.
o La modificación consiste en alterar un mensaje, lo que es una amenaza a su
integridad.
o La generación es la construcción de mensajes falsos, lo que, en definitiva,
también es una amenaza a la integridad de la información.
En la auditoría de redes se deben revisar, entre otros, los siguientes puntos:
Tipos y redes de conexiones.
Tipos de transacciones.
Información u programas transmitidos.
Uso del cifrado.
Tipos de terminales.
Protecciones: físicas y lógicas.
Protección de fax y voz, en caso necesario.
Transferencia de ficheros y controles existentes.
Conexiones externas a través de pasarelas (gateway) y encaminadores (routers) y
controles existentes.
Separación de dominios entre Internet e Intranet.
Verificación de accesos no justificados.
Utilización del correo electrónico.
Protección de programas.
Control de las páginas web.
Quién puede modificar las páginas web y hasta dónde.
Cumplimiento de la LSSI.
Cumplimiento de LOPD.
Verificación de los accesos a redes exteriores registrados.
Con esto no pretendemos hacer una análisis exhaustivo de lo que se debe tener en cuenta en
una auditoría de redes, sino simplemente poner de relieve la importancia que tienen éstas en
el funcionamiento normal de la empresa y, por lo tanto, la necesidad de verificar que se
cumplen las medidas de seguridad propuestas respectos a las mismas.
La seguridad en el procesamiento de información, comunicaciones en redes de área local (LAN)
y en redes de área extensa (WAN) y en la transmisión de datos, es una premisa imprescindible
en la mayoría de las entidades, que avala las inversiones realizadas de recursos tanto humanos
como materiales. En muchas ocasiones, los beneficios de una entidad empresarial no son
susceptibles de incremento mediante el aumento de ingresos, sino por la reducción de costes.
Y es precisamente en este aspecto donde la auditoría actúa como elemento sinérgico del
sistema de control interno de la entidad.
5
En la actualidad no es concebible el desarrollo de la gestión empresarial sin la existencia de los
procedimientos y las herramientas de control correspondientes. En multitud de empresas y
organismos, la auditoría convencional referida a aspectos económicos-financieros está siendo
acompañada y en cierto modo, complementada por una auditoría de redes. No mucho tiempo
atrás, una empresa con una organización ejemplar en cuanto a división y competencias podía
estar cometiendo errores inadvertidos en su sector de comunicaciones e informático,
proporcionando debilidades a corto y mediano plazo extensibles al resto de los ámbitos de la
empresa, mediante un efecto mariposa o efecto dominó.
Con las actividades de análisis y síntesis que supone una auditoría de red, la empresa u
organismo comprobará el estado de su instalación de red, desde los niveles más bajos
(componentes electrónicos, lógica digital y sistemas microprogramados) hasta los protocolos
empleados por las aplicaciones de usuario de mayor nivel en la arquitectura de red.
La arquitectura de red se define por la visión de cada uno de los esquemas de cada parte:
Físico, desde el punto de vista del hardware, mostrando la topología o distribución
física de las máquinas que componen la red.
Lógico, desde la perspectiva de la distribución de los servicios prestados por cada nodo
de la red, clasificación de los distintos tipos de tráfico, la estructura lógica de la red
(división en subredes, VLANs, etc.)
Administrativo, desde la perspectiva en posesión de los recursos humanos encargados
de las tareas relacionadas con la gestión, administración y mantenimiento de la red.
BENEFICIOS DE LAS AUDITORÍAS DE REDES
Ayuda a adecuar la disponibilidad y el rendimiento de la red a las necesidades de la
empresa.
Proporciona información que maximiza el retorno de las inversiones o payback en
redes y TIC (Tecnologías de la Información y Comunicación) de la empresa.
Aumenta la estabilidad y fiabilidad de la red.
Reduce el riesgo potencial de las nuevas implantaciones y actualizaciones en la red,
tanto el entorno estrictamente tecnológico como en los procesos empleados.
Aumenta la satisfacción de los clientes al alcanzar mayores cotas de rendimiento y
disponibilidad de la red. Entendiendo el concepto de cliente, en su definición más
amplia, que abarca al cliente interno, los usuarios directos de la red (empleados de la
entidad u organización)-y al cliente externo, aquel que solicita un servicio y es la fuente
principal de ingresos.
6
¿CUÁLES SON LOS CONCEPTOS CLAVES EN LA AUDITORÍA
DE REDES?
Finalidad y utilidad. Estos dos conceptos serán el referente para diferenciar distintos tipos de
auditoría que se pueden plantear en una red.
TIPOS DE AUDITORÍAS DE REDES
Existen diversos tipos de auditorías de redes debido fundamentalmente al grado de
escalabilidad y personalización obtenidos. De forma sintética, se puede hablar de tres tipos
básicos de auditorías en redes, que pueden ser complementadas mediante auditorías ad-hoc.
AUDITORÍA DE LA ARQUITECTURA DE REDES
La finalidad principal de este tipo de auditorías es la obtención de un mapa básico de topología
de red como punto de partida del diseño del entorno de red en su conjunto. Por otro lado, la
utilidad de este tipo de auditorías es la generación de recomendaciones para las áreas
susceptibles de cambio y/o actualización de la empresa u organización, evitando los puntos
potenciales de criticidad y fallo en la red auditada.
La primera fase de una auditoría de la arquitectura de redes es la recopilación de información
sobre las necesidades empresariales o corporativistas y de datos técnicos sobre los equipos de
red activos. Mediante un proceso específico de entrevistas al equipo de recursos humanos
dedicado a la gestión-administración, provisión y mantenimiento de la red, se identifican las
necesidades empresariales relacionadas con la red. Además, se recolecta la información
pertinente sobre los procesos aplicativos que se ejecutan en la red y los planes de crecimiento
futuro. Para la recogida de datos técnicos sobre los equipos activos de red, se utilizan
herramientas software y hardware de red seguras.
La utilidad de esta auditoría se desglosa en el informe que incluye la siguiente información:
Un listado de los equipos activos en la red WAN/LAN
Un mapa de la topología de red física.
Un resumen analítico de ingeniería donde destacan los puntos potenciales de fallo y/o
mejora de la red auditada.
7
AUDITORÍA DE RENDIMIENTO DE REDES
La finalidad principal de este tipo de auditoría es proporcionar datos del rendimiento, siendo la
utilidad de la misma la generación de recomendaciones en forma de informes que ayuden a
determinar las mejoras que precisa la red para garantizar las necesidades de los usuarios de los
aplicativos, tanto en el presente como en el futuro.
Se debe contar con un mapa de la topología de red, como punto de partida para la primera de
las fases de este tipo de auditoría, el análisis del rendimiento. Como resultado, se obtendrá
principalmente una solución ERP (Enterprise Resource Planning o Planificación de Recursos
Empresariales). Un ERP es un software de gestión integral de empresa cuyas características
fundamentales son:
Resuelve todas las necesidades de flujos de información dentro de la organización.
La aplicación posee naturaleza estándar, con la disponibilidad de un entorno propio de
desarrollo a disposición de la empresa, facilitando las adaptaciones necesarias en el
sistema de gestión para responder a los cambios de su entorno.
La siguiente fase de la auditoría, es la Evaluación de planes de crecimiento futuro de la red y/o
planes de cambios necesarios en el entorno de aplicaciones críticas de la empresa. A
continuación, se elige el momento más adecuado para realizar la recopilación de datos del
rendimiento de la red, mediante la implantación de herramientas que recojan datos de
rendimiento de la red a través de los siguientes ítems:
Uso comparativo.
Salud de la red en aspectos globales.
Análisis de errores.
Determinación de los diez principales emisores de tráfico en la red.
Determinación de los diez principales receptores de tráfico en la red.
Distribución y uso de los protocolos de comunicaciones.
Finalmente, se realiza el informe ad-hoc a la red auditada, donde se incluye un resumen para
la dirección de la empresa u organización, describiendo los resultados de la auditoría de
rendimiento y ofreciendo las recomendaciones oportunas de toma de decisiones.
Complementariamente, se adjunta el informe resumido de ingeniería que interpreta los datos
de rendimiento y proporciona un resumen de referencia del rendimiento del entorno de red
en su conjunto, las recomendaciones para mejorar el rendimiento actual en base a las
necesidades empresariales, las recomendaciones para prever el crecimiento futuro de la red,
datos indicadores de problemas potenciales afectando al tiempo de retorno y tiempo de
respuesta de los procesos y un apéndice con todos los datos del rendimiento en formato
gráfico. De forma opcional, se suele fijar una reunión-presentación con el equipo directivo,
para ofrecer una presentación interactiva de observaciones y recomendaciones relativas al
rendimiento del entorno en relación a las necesidades empresariales.
8
AUDITORÍA DE LA DISPONIBILIDAD DE REDES
La finalidad de esta auditoría es la comprensión profunda de los requerimientos para alcanzar
y mantener la disponibilidad y fiabilidad de la red que la empresa u organización precisa. El
desarrollo de este tipo de auditoría se basa en una serie de entrevistas a miembros clave de la
plantilla de la empresa u organización en sus propias dependencias, que versan sobre los
siguientes aspectos:
Planificación de servicios: objetivos de alta disponibilidad, gestión de niveles y
acuerdos de servicios (SLA, Service Level Agreement), aplicaciones y sistemas críticos
de la red.
Estructura de la organización: personal encargado de la red, necesidades de formación
y conocimientos específicos, funciones, dependencias y responsabilidades.
Relaciones con el proveedor: comunicaciones, contratos de soporte y tipos de soporte
(presencial, remoto, 24x7, etc.)
Gestión de cambios: traslados, incorporaciones y cambio; verificación previas de la red
antes de actualizar la red y procedimientos de actualización de software.
Gestión de fallos e incidencias: procedimientos de control de incidencias en el servicio,
procedimientos de escalado técnico, procedimientos de escalado gerencial,
procedimientos de seguimiento y análisis, prevención y estrategias de aislamiento de
fallos en la red.
Entorno físico: seguridad física, consideraciones ambientales, estrategia de cableado
estructural y etiquetado, accesos a los emplazamientos a mantenedores y
suministradores.
Planificación de contingencias: copias de seguridad y respaldo, recuperación
proactivas y reactivas de la información.
Seguridad: revisión de reglas en firewalls, políticas y procedimientos, acceso remoto,
autentificación de métodos y políticas de intranet y extranet.
Para concluir, se planifica una presentación con el personal directivo y con personal clave
encargado de la red, donde se realiza una comparación entre los objetivos empresariales con
estrategias de operaciones TIC y sus planes de implantación, indicando las vulnerabilidades de
la red, obstáculos y factores críticos.
9
TÉCNICAS QUE SE PUEDEN UTILIZAR PARA LA AUDITORÍA
DE REDES
Entrevistas
Cuestionarios
Encuestas
Levantamiento de inventario
Técnicas de observación
Técnicas de revisión documental
Matriz FODA
Listas de chequeo
Técnicas de muestreo
Trazas o Huellas
Log’s
Modelos de simulación
HERRAMIENTAS SOFTWARE UTILIZADAS
Las principales herramientas de software libre empleadas en las auditorías de redes son las
siguientes:
1. Para el análisis de red:
Scotty: herramienta de monitorización de agentes que incluye capacidades de
gestión de dispositivos SNMP. Está implementado en Tcl/Tk con extensiones
propias, e incluye un navegador MIBs.
Tcpdump: herramienta de adquisición y análisis de tráfico. Es una fuente de la
librería libpcap.
Ethereal/Wireshark: herramienta de adquisición y análisis de tráfico con un
entorno gráfico de alto nivel. Se pueden realizar distintos tipos de filtrado de la
información capturada.
Kismet: es un sniffer, un husmeador de paquetes, y un sistema de detección
de intrusiones para redes inalámbricas 802.11.
Aircrack-ng: es una suite de seguridad inalámbrica que consiste en un packet
sniffer de red, un crackeador de redes WEP y WPA/WPA2-PSK y otro conjunto
de herramientas de auditoría inalámbrica.
Mrtg: herramienta con interfaz WWW que permite una lectura en tiempo real
de estadísticas de distintos elementos, entre otros, dispositivos SNMP. Es una
de las herramientas más conocidas para monitorización de tráfico, y una de las
más extendidas.
Cheops: herramienta sustitutiva de scotty para la gestión de elementos de red,
también incluye soporte SNMP, además es tremendamente gráfica e intuitiva.
10
Mon: se trata de una herramienta integrada para la gestión de red, soportando
múltiples sistemas en los que, a través de agentes, se pueden monitorizar las
aplicaciones de éstos y su rendimiento. Tiene soporte SNMP y ofrece la
posibilidad de definir muchos niveles de alertas, desde correo electrónico a
notificaciones con voz en tiempo real.
Iptraf: es un monitor de red a nivel IP. Permite la obtención del ancho de
banda consumido, monitorizar todas las conexiones relativas a una máquina,
comprobación de checksums errors y detectar ciertas operaciones no
permitidas por parte de los usuarios.
2. Para la realización de gráficos y esquemas:
Tkined: es la interfaz gráfica de la herramienta scotty.
ArgoUML: software que facilita la comunicación entre desarrolladores,
clientes, analistas y demás personas que intervienen en un proyecto utilizando
un lenguaje gráfico denominado UML.
Xfig: Herramienta de dibujo vectorial en 2D.
Dia: Herramienta de propósito general para la creación de diagramas.
CASO PRÁCTICO
Este informe contiene el resultado de la auditoria de redes físicas realizada sobre la red de
área local de la Universidad Tecnológica Nacional Facultad Regional de Córdoba - Colombia.
PROPÓSITO El propósito de esta auditoría es evaluar los controles de seguridad para proteger los recursos
de la red físicas de la Universidad Tecnológica Nacional, Facultad Regional de Córdoba.
Obtener una visión general de la ubicación de todos los dispositivos de la red de área local.
Evaluar el ambiente de control físico sobre los dispositivos de la red de área local.
CUESTIÓN DE FONDO El funcionamiento de la Universidad se basa en su sistema de informático. Este es necesario
para brindar servicios tanto a estudiantes como a empleados. Algunos de estos servicios son:
Inscripciones, seguimiento de alumnos, dictado de clases, servicio de comunicaciones, internet
y otros.
¿EN QUÉ CONSISTE? Esta auditoría está limitada a la seguridad física de la red de área local de la Universidad
Tecnológica Nacional, Facultad Regional de Córdoba.
Las actividades que protegen el equipamiento de daño físico son:
11
Permitir que solo los responsables de mantenimiento de los equipos de cómputos ingresen a las salas de equipamiento.
Proveer mecanismos de detección de fuego, humo, agua, suciedad, etc.
Almacenar materiales peligrosos, como químicos de limpieza, en lugares separados y alejados de los equipos de cómputos.
Proveer de dispositivos reguladores de tensión y UPSs para salvar el equipamiento de daños producidos por los niveles de tensión y cortes abruptos en el suministro eléctrico.
Planificar la manera de recomenzar con las operaciones después de un fallo, incluyendo las copias de seguridad de programas y datos.
METODOLOGÍA Durante nuestra visita preliminar identificamos todas las salas donde se encuentra el
equipamiento de cómputos y las clasificamos en “principales” y “secundarias”, entendiéndose
por principales aquellas donde se ubican los dispositivos más importantes para la red tales
como servidores, hubs, switch, etc.
Es válido resaltar que las salas principales deben contar con un mayor control de seguridad que las secundarias. La Tabla 1 y la Tabla 2 describen los aspectos típicos a implementar para el control físico de la
red en las salas principales y secundarias.
Para Salas Secundarias Escritura de estándares para la administración de seguridad de los recursos de la red.
Bloqueo de salas permitiendo solo el ingreso a personas autorizadas. Monitoreo y registro de los accesos a las salas. Detección de fuego, humo y agua. Extintores de fuego adecuados y habilitados.
Tabla 1: Aspectos típicos de seguridad física para salas secundarias.
Para las Salas Principales (Además de los aspectos necesarios para las salas secundarias)
Escritura de políticas y procedimientos para la realización y recuperación de copias de seguridad.
Ubicación de las salas en el interior del edificio. Y en lo posible sin ventanas ni puertas al exterior o patios internos.
Dispositivos alejados del piso. UPSs para asegurar la continuidad de las operaciones. Copias de seguridad ubicadas fuera de la sala y adecuadamente protegidas
Tabla 2: Aspectos típicos de seguridad física para salas principales.
Para obtener una visión general de la ubicación de todos los dispositivos de red, nos
contactamos con el personal encargado de las aulas G del edificio, el Laboratorio de Sistemas y
el centro de cómputos. Posteriormente visitamos cada una de estas salas para evaluar, los
controles sobre la seguridad física, las condiciones ambientales y controles sobre las copias de
seguridad e inventarios. Para esto nos entrevistamos con los responsables de cada una de
estas salas.
12
HALLAZGOS Actualmente no existen políticas ni procedimientos escritos para la gestión de la seguridad
física de la red. Sino que, son los encargados de cada sala quienes llevan adelante estas tareas
a criterio propio y por lo tanto de manera heterogénea.
HALLAZGO DESCRIPCIÓN No existen políticas ni procedimientos para Mantenimiento.
Debido a la ausencia de estos, el mantenimiento, lo realiza el encargado de turno basándose en su experiencia. Además tampoco se cuenta con procedimientos para el monitoreo de las conexiones de la red por lo que es difícil determinar el estado de los equipos.
No existen políticas ni procedimientos para inventarios.
Por lo que no se conoce la disponibilidad de equipos, su ubicación, estado ni procedencia.
No existen políticas ni procedimientos para registros de errores y soluciones.
No está disponible información referente a errores comunes y sus soluciones encontradas. Por lo que cada encargado debe, a cada error, encontrarle una nueva solución aunque se trate de problemas recurrentes. Tampoco es posible realizar un seguimiento de las fallas y sus causas, con el objeto de implementar medidas correctivas. Esto genera la necesidad de la presencia permanente del encargado. No se cuenta con una metodología para el diagnóstico de fallas.
No existen políticas ni procedimientos para la asignación de responsabilidades.
No están claramente definidas las responsabilidades del personal, lo que ocasiona confusión acerca de las tareas que debe realizar cada persona.
Tabla 3: Hallazgos de ausencia de políticas y procedimientos para la administración de la seguridad de la red física.
13
HALLAZGO Referentes a las salas principales y secundarias. (No existe distinción entre estas.)
AMBIENTAL Tubos fluorescentes sin coberturas. Cielo raso en mal estado. Matafuego con candado. Matafuego alejado. No se conoce el uso del matafuego. Cable canal deteriorado. Espacio reducido entre maquina. Tomacorrientes instalados sobre
muebles de caño. Cable dificultando el paso de la
persona. Cable en el piso. El cableado de la red se encuentra
junto al de la red eléctrica. No se restringe el acceso a persona
no autorizadas a los dispositivos mayores ni menores (debido a que estos dispositivos coexisten en la misma sala).
No existen carteles que prohíban comer y/o fumar dentro de las salas.
CABLEADO DE LA RED HORIZONTAL Conectores de pared no se encuentran fijos.
Conectores sin capuchones. Conectores al descubierto. Conectores en el piso. Conectores de PC sin atornillar. Cableado sin identificadores. Cableado suelto. Cableado sin protección. Cableado anudado. Cableado de longitud excesiva. Ausencia de precintos. Precintos con presión excesiva. Cables precintados a muebles.
CENTRO DEL CABLEADO Dispositivos sin identificadores. Dispositivos accesibles a personas no
autorizadas. Centro de cableado en el piso La puerta del centro de cableado no
se abre con facilidad. Tabla 4: Hallazgos referentes a las salas principales y secundarias.
14
ANÁLISIS
Los hallazgos identificados, se han agrupado en categorías por su similitud. Para
permitir una visión más global de los problemas. Esto se refleja en la siguiente tabla:
CATEGORÍA PROBLEMAS VISITADAS CON PROBLEMA
Ambiental Tubos fluorescentes sin coberturas. 5 5 Tomacorrientes instalados sobre muebles de caño.
5 5
Problemas con Matafuego. 5 4 Cables en el piso o junto a la red eléctrica. 5 3 Cielo raso en mal estado. 5 2
Red Horizontal Problemas con conectores. 5 5 Problemas con cableado. 5 5 Problemas con precintos. 5 3
Centro de Cableado
Dispositivos sin identificadores. 3 3 Dispositivos accesibles a personas no autorizadas.
3 2
Centro de cableado en el piso. 3 2 Centro de cableado mal ubicado. 3 3
Tabla 5: Hallazgos identificados agrupados en categorías.
Para un mejor análisis de los riesgos se dio una ponderación diferenciando los hallazgos del centro del cableado del resto (ambientales y red horizontal), asignándoles los valores de 1.0 y 0.6 respectivamente. Por otra parte, cada hallazgo fue ponderado independientemente, utilizando una escala de 0.0 a 1.0. Reflejando los resultados en la siguiente tabla.
DESCRIPCION DEL PROBLEMA CC SALAS PROBLEMAS PP PC PI VR Centro de cableado mal ubicado 3 3 100% 1.0 0.7 70 Dispositivos accesibles a personas no autorizadas.
3 2 67% 1.0 0.7 47
Dispositivos sin identificadores. 3 3 100% 1.0 0.4 40 Problemas con conectores. 5 5 100% 0.6 0.6 36 Tomacorrientes instalados sobre muebles de caño.
5 5 100% 0.6 0.5 30
Problemas con cableado. 5 5 100% 0.6 0.5 30 Centro de cableado en el piso. 3 2 67% 1.0 0.3 20 Problemas con Matafuego. 5 4 80% 0.6 0.4 19 Tubos fluorescentes sin coberturas. 5 5 100% 0.6 0.2 12 Cables en el piso o junto a la red eléctrica. 5 3 60% 0.6 0.3 11 Problemas con precintos. 5 3 60% 0.6 0.3 11 Cielo raso en mal estado. 5 2 40% 0.6 0.4 10
Tabla 6: Ponderación de los hallazgos.
15
Ilustración 1: Análisis de los hallazgos.
RECOMENDACIONES En primer lugar que se coloquen los centros de cableado en lugares adecuados, fuera del alcance del alcance de personas no autorizadas. También recomendamos que se identifiquen los dispositivos principales.
También recomendamos que, se escriban y difundan las políticas y los procedimientos
necesarios para proteger los recursos informáticos de la red de área local de la universidad.
Estos procedimientos deberían ser para mantenimiento, inventario, registros de errores y
soluciones y responsabilidades. Los mismos deberán servir de guía para que los encargados
realicen la correcta gestión del control físico sobre la red.
Y por último, que los encargados de cada sala realicen las acciones necesarias para:
Mantener el cableado en buenas condiciones.
Mantener los conectores en buen estado.
Estas acciones deben ejecutarse en forma periódica.
16
CONCLUSIÓN Nuestra opinión es que, los controles sobre los recursos de la red de área local de la
universidad deben ser mejorados puesto que presenta importantes dificultades. Esto se debe a
la ausencia de lineamientos claros para su gestión.
17
BIBLIOGRAFÍA
DEL PESO NAVARRO, EMILIO (2003). Servicios de la Sociedad de la Información.
Madrid: Díaz de Santos.
DEL PESO NAVARRO, EMILIO; DEL PESO, MAR; PIATTINI VELTHUIS, MARIO G. (2008).
Auditoría de Tecnologías y Sistemas de Información. México: Alfaomega Ra-Ma.
DELGADO ROJAS, XIOMAR (1998). Auditoría Informática. Costa Rica: EUNED.
DE MIGUEL ALBITE, ENRIQUE (2005). Auditorías en Redes Telemáticas.
