Auditoria Informática de Redes y Comunicaciones

Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-lógico del Tiempo Real.

El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte.

Como en otros casos, la Auditoria de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos propios).

El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación significaría una grave debilidad.

La inexistencia de datos sobre cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas.

La contratación e instalación de líneas va asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y de ser posible, dependientes de una sola organización.

Auditoria de la Seguridad informática:

La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También puede ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional.

Esta información puede ser de suma importancia, y el no tenerla en el
momento preciso puede provocar retrasos sumamente costosos.

En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la información que se tiene en un disco.

Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.

La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.

Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial.

Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a
disposición de clientes algunos de estos paquetes.

Ejemplo: Existe una Aplicación de Seguridad que se llama SEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no tenía permiso, si no tenía permiso porque falló, entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password equivocada, cambios de password, etc.

La Aplicación lo puede graficar, tirar en números, puede hacer reportes, etc.

La seguridad informática se la puede dividir como Area General y como Area Especifica (seguridad de Explotación, seguridad de las Aplicaciones, etc.). Así, se podrán efectuar Auditorias de la Seguridad Global de una Instalación Informática. –

Seguridad General- y Auditorias de la Seguridad de un área informática determinada –Seguridad Especifica -.

Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptograficos.

El sistema integral de seguridad debe comprender:

• Elementos administrativos

• Definición de una política de seguridad

• Organización y división de responsabilidades

• Seguridad física y contra catástrofes (incendio, terremotos, etc.)

• Prácticas de seguridad del personal

• Elementos técnicos y procedimientos

• Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los

elementos, tanto redes como terminales.

• Aplicación de los sistemas de seguridad, incluyendo datos y archivos

• El papel de los auditores, tanto internos como externos

• Planeación de programas de desastre y su prueba.

La decisión de abordar una Auditoria Informática de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida. Se elaboran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las que está sometida una instalación y los "Impactos" que aquellas puedan causar cuando se presentan.

Las matrices de riesgo se representan en cuadros de doble entrada <>, en donde se evalúan las probabilidades de ocurrencia de los elementos de la matriz.

El cuadro muestra que si por error codificamos un parámetro que ordene el borrado de un fichero, éste se borrará con certeza.

auditoria de sistema.flv

Diferencias y Similitudes entre el Control Interno Informático y el Auditor Informático

	CONTROL INTERNO INFORMATICO	AUDITOR INFORMATICO
SIMILITUDES	PERSONAL INTERNO Conocimientos especializados en tecnologías de información verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la dirección informática y la dirección general para los sistemas de información.
DIFERENCIAS	Análisis de los controles en el día a día Informa a la dirección del departamento de informática, sólo personal interno El enlace de sus funciones es únicamente sobre el departamento de informática	Análisis de un momento informático determinado Informa a la dirección general de la organización Personal interno y/o externo tiene cobertura sobre todos los componentes de los sistemas de información de la organización

Control Interno Informático

El control interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o la dirección informática, así como los requerimientos legales.

La función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

Control interno informático suele ser un órgano staff de la dirección del departamento de informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden.

Como principales objetivos podemos indicar los siguientes:

• Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas.

• Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorías externas al grupo.

• Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la función de control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados.

La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organización y utiliza eficiente mente los recursos.

Auditoria Informática de Redes y Comunicaciones

Este tipo de auditoria deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red  de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, dondeestán instaladas, y sobre ellas hacer una suposición de inoperatividad informática. Todas estas actividades deben estar coordinadas y dependientes de una sola organización (Debemos conocer los tipos de mapas actuales y anteriores, como son las líneas, el ancho de banda, suponer que todas las líneas están mal, la suposición mala confirmarlo).

Auditoria Informática de Sistemas

Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones  o propicia de que las comunicaciones, líneas y redes  de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema (Ejm. De auditar el cableado estructurado, ancho de banda de una red LAN) 

Tipos de Auditoría informática

Dentro de la auditoría informática destacan los siguientes tipos (entre otros):

·                     Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.

·                     Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

·                     Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.

·                     Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.

·                     Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.

·                     Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

·                     Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.

·                     Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.

·                     Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.