Auditoria 2

Auditoria de las telecomunicaciones:

Ha de verse:

• La gestión de red = los equipos y su conectividad.
• La monitorización de las comunicaciones.
• La revisión de costes y la asignación formal de proveedores.
• Creación y aplicabilidad de estándares.

Cumpliendo como objetivos de control:

• Tener una gerencia de comunicaciones con plena autoridad de voto y acción.
• Llevar un registro actualizado de módems, controladores, terminales, líneas y todo equipo relacionado con las comunicaciones.
• Mantener una vigilancia constante sobre cualquier acción en la red.
• Registrar un coste de comunicaciones y reparto a encargados.
• Mejorar el rendimiento y la resolución de problemas presentados en la red.

Para lo cual se debe comprobar:

• El nivel de acceso a diferentes funciones dentro de la red.
• Coordinación de la organización de comunicación de datos y voz.
• Han de existir normas de comunicación en:
• Tipos de equipamiento como adaptadores LAN.
• Autorización de nuevo equipamiento, tanto dentro, como fuera de las horas laborales.
• Uso de conexión digital con el exterior como Internet.
• Instalación de equipos de escucha como Sniffers (exploradores físicos) o Traceadores (exploradores lógicos).
• La responsabilidad en los contratos de proveedores.
• La creación de estrategias de comunicación a largo plazo.
• Los planes de comunicación a alta velocidad como fibra óptica y ATM ( técnica de conmutación de paquetes usada en redes MAN e ISDN).
• Planificación de cableado.
• Planificación de la recuperación de las comunicaciones en caso de desastre.
• Ha de tenerse documentación sobre el diagramado de la red.
• Se deben hacer pruebas sobre los nuevos equipos.
• Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores.
• Vigilancia sobre toda actividad on-line.
• La facturación de los transportistas y vendedores ha de revisarse regularmente.

Auditoria de la red fisica

Se debe garantizar que exista:

• Áreas de equipo de comunicación con control de acceso.
• Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.
• Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella.
• Prioridad de recuperación del sistema.
• Control de las líneas telefónicas.

Comprobando que:

• El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
• La seguridad física del equipo de comunicaciones sea adecuada.
• Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas.
• Las líneas de comunicación estén fuera de la vista.
• Se dé un código a cada línea, en vez de una descripción física de la misma.
• Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos a la red.
• Existan revisiones periódicas de la red buscando pinchazos a la misma.
• El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas.
• Existan alternativas de respaldo de las comunicaciones.
• Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retrollamada, código de conexión o interruptores.

Auditoria de la red logica.

En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red.

Para éste tipo de situaciones:

• Se deben dar contraseñas de acceso.
• Controlar los errores.
• Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red.
• Registrar las actividades de los usuarios en la red.
• Encriptar la información pertinente.
• Evitar la importación y exportación de datos.

Que se comprueban si:

El sistema pidió el nombre de usuario y la contraseña para cada sesión:

En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización, ha de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar su contraseña regularmente, las contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de evitar suplantaciones.

• Inhabilitar el software o hardware con acceso libre.
• Generar estadísticas de las tasas de errores y transmisión.
• Crear protocolos con detección de errores.
• Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
• El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados.
• Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.
• Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
• Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones.
• Asegurar que los datos que viajan por Internet vayan cifrados.
• Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red.
• Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.
• Los accesos a servidores remotos han de estar inhabilitados.
• La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas:
• Servidores = Desde dentro del servidor y de la red interna.
• Servidores web.
• Intranet = Desde dentro.
• Firewall = Desde dentro.
• Accesos del exterior y/o Internet.