Auditoria a la Seguridad de las Redes

Auditoria a la Seguridad de las Redes

Introducción

La organización en la parte de las redes de comunicaciones de computadores es un punto bastante importante; es por ello, que uno de los modelos de red más conocidos, es el modelo OSI.

El modelo OSI, está dividido por capas como son:

1 - Capa física:

Se encarga de garantizar la integridad de la información transmitida por la red; por ejemplo, si se envía un 0, que llegue un 0 .

2 - Capa de enlace:

Garantiza que la línea o canal de transmisión, esté libre de errores.

3 - Capa de red:

Determina como se encaminan los paquetes, de la fuente al destino.

Igualmente, debe velar por el tráfico de la red, evitando al máximo las congestiones. Para ello, debe llevar un registro contable de los paquetes que transitan.

4 - Capa de transporte:

Divide los datos en unidades más pequeñas y garantiza que tal información transmitida, llegue correctamente a su destino.

De igual forma, crea una conexión de red distinta para cada conexión de transporte requerida, regulando así el flujo de información.

Analiza también, el tipo de servicio que proporcionará la capa de sesión y finalmente a los usuarios de red.

5 - Capa de sesión:

Maneja el sentido de transmisión de los datos y la sincronización de operaciones; es decir, si uno transmite, el otro se prepare para recibir y viceversa o Situaciones Commit, donde tras algún problema, se sigue tras ultimo punto de verificación.

6 - Capa de presentación:

Se encarga de analizar si el mensaje es semántica y sintácticamente correcto.

7 - Capa de aplicación:

Implementación de protocolos y transferencia de archivos.

A través del modelo OSI podemos describir Tres tipos de fallos en la seguridad de la red

1. Alteración de bits: Se corrige por código de redundancia cíclico.

2. Ausencia de tramas: Las tramas se desaparecen por el ambiente o una sobrecarga del sistema; para ello, se debe tener un número de secuencia de tramas.

3. Alteración de la secuencia en la cual el receptor reconstruye mensaje.

Otro de los tipos de modelos de referencia más conocidos, es el TCP/IP, hoy día, con algunas variaciones, como el de encapsular varios protocolos, como el Netbios; el TCP/IP da replicación de los canales para posibles caídas del sistema.

Entre las clases de redes podemos mencionar:

• Intranet

Red interna de la empresa.

• Extranet

Red externa pero directamente relacionada a la empresa.

• Internet

La red de redes.

El problema de tales implementaciones, es que por los puertos de estandarización pública de TCP/IP, se puede entrar cualquier tercero para afectar la red de la compañía o su flujo de información. Tal cuestión, es recurrente sobre todo en el acceso de la red interna de la compañía a la Internet, para lo cual, y como medida de protección, se usan Firewall (cortafuegos) que analizan todo tipo de información que entra por Internet a la compañía, activando una alarma, en caso de haber algún intruso o peligro por esa vía a la red.

La compañía puede definir 2 tipos extremos de políticas de seguridad:

• Políticas paranoicas

Toda acción o proceso está prohibido en la red.

• Políticas promiscuas

No existe la más mínima protección o control a las acciones de los usuarios en la red.

No importa lo que haga la empresa, siempre va a haber un punto de fallo, para adelantarse a intrusos, entonces se han ideado algunas herramientas para probar la eficacia de las políticas de seguridad en red de la empresa, algunas de tales herramientas, son: SAFEsuite y COPS. Estas empiezan probando la fiabilidad de las contraseñas de usuario usando algunas técnicas de indagación como es el leer el tráfico de la red buscando en tal información sobre nombres de usuarios y contraseñas respectivas, probar la buena fe de los usuarios mandándoles mensajes de la administración solicitando su contraseña a una especificada por la herramienta o probando contraseñas comunes o por defecto en muchos sistemas.

Auditoria de comunicaciones:

Ha de verse:

• La gestión de red. Los equipos y su conectividad.

• La monitorización de las comunicaciones.

• La revisión de costes y la asignación formal de proveedores.

• Creación y aplicabilidad de estándares.

Cumpliendo como objetivos de control :

• Tener una gerencia de comunicaciones con plena autoridad de voto y acción.

• Llevar un registro actualizado de módems, controladores, terminales, líneas y todo equipo relacionado con las comunicaciones.

• Mantener una vigilancia constante sobre cualquier acción en la red.

• Registrar un coste de comunicaciones y reparto a encargados.

• Mejorar el rendimiento y la resolución de problemas presentados en la red.

Para lo cual se debe comprobar:

• El nivel de acceso a diferentes funciones dentro de la red.

• Coordinación de la organización de comunicación de datos y voz.

• Han de existir normas de comunicación en:

• Tipos de equipamiento como adaptadores LAN.
• Autorización de nuevo equipamiento, tanto dentro, como fuera de las horas laborales.
• Uso de conexión digital con el exterior como Internet.
• Instalación de equipos de escucha como Sniffers (exploradores físicos) o Trace adores (exploradores lógicos).

• La responsabilidad en los contratos de proveedores.

• La creación de estrategias de comunicación a largo plazo.

• Los planes de comunicación a alta velocidad como fibra óptica y ATM ( técnica de conmutación de paquetes usada en redes MAN e ISDN).

• Planificación de cableado.

• Planificación de la recuperación de las comunicaciones en caso de desastre.

• Ha de tenerse documentación sobre el diagramado de la red.

• Se deben hacer pruebas sobre los nuevos equipos.

• Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores.

• Vigilancia sobre toda actividad on-line.

• La facturación de los transportistas y vendedores ha de revisarse regularmente.

Auditoria De La Red Física

Se debe garantizar que exista:

• Áreas de equipo de comunicación con control de acceso.

• Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.

• Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella.

• Prioridad de recuperación del sistema.

• Control de las líneas telefónicas.

Comprobando que:

• El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.

• La seguridad física del equipo de comunicaciones sea adecuada.

• Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas.

• Las líneas de comunicación estén fuera de la vista.

• Se dé un código a cada línea, en vez de una descripción física de la misma.

• Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos a la red.

• Existan revisiones periódicas de la red buscando pinchazos a la misma.

• El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas.

• Existan alternativas de respaldo de las comunicaciones.

• Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retrollamada, código de conexión o interruptores.

4. Auditoria de la Red Lógica

En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red.

Para éste tipo de situaciones:

• Se deben dar contraseñas de acceso.

• Controlar los errores.

• Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red.

• Registrar las actividades de los usuarios en la red.

• Encriptar la información pertinente.

• Evitar la importación y exportación de datos.

Que se comprueban si:

• El sistema pidió el nombre de usuario y la contraseña para cada sesión:

En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización, ha de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar su contraseña regularmente, las contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de evitar suplantaciones.

• Inhabilitar el software o hardware con acceso libre.

• Generar estadísticas de las tasas de errores y transmisión.

• Crear protocolos con detección de errores.

• Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.

• El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados.

• Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.

• Se debe hacer un análisis del riesgo de aplicaciones en los procesos.

• Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones.

• Asegurar que los datos que viajan por Internet vayan cifrados.

• Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red.

• Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.

• Los accesos a servidores remotos han de estar inhabilitados.

• La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas:

• Servidores = Desde dentro del servidor y de la red interna.
• Servidores web.
• Intranet = Desde dentro.
• Firewall = Desde dentro.
• Accesos del exterior y/o Internet.

Criptografía

La criptografía se define como "las técnicas de escrituras tales que la información esté oculta de intrusos no autorizados". Esto, no incluye el criptoanálisis que trata de reventar tales técnicas para descubrir el mensaje oculto.

Existen 2 tipos de criptoanálisis:

• Diferencial:

Con variaciones de un bit en cada intento, trata de averiguar la clave de descifrado del mensaje oculto.

• Lineal:

Se apoya en variaciones XOR entre cada par de bits, hasta que se logre obtener un único bit, parte de la clave.

Relacionado con esto, se ha desarrollado también la esteganografía, que bajo un camuflaje totalmente ajeno al mensaje a transmitir, se envía la información oculta.

Aunque el cifrado de información es una excelente técnica para proteger los datos, no debería convertirse en el desvelo de la compañía, pues existen otros tipos de debilidades más importantes para tratar por la compañía, ello, además porque ya existen diferentes programas, hasta gratuitos, como algunas versiones de PGP, tales que toda la potencia informática del mundo, podría romperlos.

Algunos tipos de métodos de criptografía:

• Transposición

Invierte el orden de los caracteres en el mensaje. Por ejemplo, si se quiere cifrar "El perro de san Roque no tiene rabo " , colocándolo en un arreglo de columnas de tamaño n, con clave de descifrado k = n en secuencia con 5 columnas {3,2,5,1,4}, el mensaje cifrado quedaría = "osonea lr r ir ednu eo ere et p aqonb". Tal mecanismo, se criptoanaliza con estudios de factibilidad de cierto tipo de tuplas.

• DES

Utiliza una clave de 56 bits para codificar bloques de 64 bits, por su escasa longitud de clave de acceso, es fácil de romper.

• IDEA

Surgió del DES, IDEA genera bloques de ciframiento de 64 bits con una clave de 128 bits, además usa diversas técnicas de confusión, como es el XOR, suma modulo 2^16 y producto (2^16)+1.

El problema de la criptografía de llave privada, es que en una red muy grande, en caso de que se decida cambiar la clave de desciframiento, hay que notificar a cada uno de los participantes en los procesos de transmisión de datos, corriéndose el peligro de que caiga la nueva clave en manos no autorizadas.

Es por ello, que se ha desarrollado la criptografía de llave pública, que consta de 2 tipos de llaves:

• Una que es pública y conocida por todos los miembros autorizados de la red.

• Una segunda, que es privada y solo la conoce su dueño y el paquete cifrado.

De esa forma, si es necesario cambiar las claves, se notifica por un mensaje cifrado a todos los participantes de la transmisión usando la llave pública.

RSA es un tipo común de transmisión encriptada por llave privada, opera por factorizaciones de los mensajes clave o registro por números primos de orden.

Consideraciones para elaborar un Sistema de Seguridad Integral

Como hablamos de realizar la evaluación de la seguridad es importante también conocer cómo desarrollar y ejecutar el implantar un sistema de seguridad.

Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa." Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad.

Un sistema integral debe contemplar:

• Definir elementos administrativos
• Definir políticas de seguridad
• A nivel departamental
• A nivel institucional
• Organizar y dividir las responsabilidades
• Definir prácticas de seguridad para el personal:

• Plan de emergencia (plan de evacuación, uso de recursos de emergencia como extinguidores.

• Números telefónicos de emergencia
  • Definir el tipo de pólizas de seguros
  • Definir elementos técnicos de procedimientos
  • Definir las necesidades de sistemas de seguridad para:
• Hardware y software
• Flujo de energía
• Cableados locales y externos.
  • Aplicación de los sistemas de seguridad incluyendo datos y archivos.
  • Planificación de los papeles de los auditores internos y externos
  • Planificación de programas de desastre y sus pruebas (simulación)
  • Planificación de equipos de contingencia con carácter periódico.
  • Control de desechos de los nodos importantes del sistema:
  • Política de destrucción de basura copias, fotocopias, etc.
  • Consideración de las normas ISO 1400
• Plan de Seguridad Ideal (o Normativo)
• Un plan de seguridad para un sistema de seguridad integral debe contemplar:
  • El plan de seguridad debe asegurar la integridad y exactitud de los datos
  • Debe permitir identificar la información que es confidencial
  • Debe contemplar áreas de uso exclusivo
  • Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles
  • Debe asegurar la capacidad de la organización para sobrevivir accidentes
  • Debe proteger a los empleados contra tentaciones o sospechas innecesarias

METODOS Y TECNICAS DE LAS AUDITORIAS DE LA COMUNICACIÓN

Los métodos y técnicas usados en las auditorías de la comunicación para la recolección de información y su análisis son varios dependiendo de la perspectiva teórica que se adopte.

Dentro de la perspectiva funcionalista los métodos más usados son la entrevista, el cuestionario, el análisis de las redes de comunicación, la entrevista grupal, el análisis de experiencias críticas de comunicación, y el análisis de la difusión de mensajes.

1. La entrevista.

Según Cal W. Downs (1988) la entrevista junto con el cuestionario son los dos métodos básicos de una auditoría de la comunicación. Ambos métodos se complementan muy bien en la realización de una auditoría de la comunicación organizacional.

La entrevista permite recoger una información que puede ser investigada hasta en sus mínimos detalles en una conversación personal con los miembros de una organización. La entrevista para ser efectiva tiene que ser debidamente planificada y realiza por un entrevistador competente. La entrevista ofrece una oportunidad única para que el auditor se familiarice con el personal de la

organización (Downs, 1988, Hamilton, 1987, Goldhaber, 1986).

2. El cuestionario.

El cuestionario es el instrumento más comúnmente usado en la realización de una

auditoría de la comunicación organizacional. Esto se debe principalmente a que el cuestionario permite recoger mayor cantidad de información de mayor cantidad de gente y de una manera más rápida y más económica que otros métodos. Además el análisis de la información puede ser más objetivo y rápido mediante el análisis estadístico. Aunque siempre le queda al auditor la 10 posibilidad de diseñar un cuestionario que se adapte a los objetivos específicos de una auditoría, la práctica más común ha sido el usar alguno de los cuestionarios que ya existen y cuya validez y confiabilidad han sido comprobadas. Los tres cuestionarios más conocidos, como ya se mencionó anteriormente, son:

a) El ICA (International Communication Association)

Communication Audit (1971); b) El Cuestionario de Auditoría de la Comunicación de Cal W. Downs y traducido al español por Federico Varona Madrid (1991); y c) El LTT Communication Audit de Osmo Wiio (1974).

3. Análisis de la transmisión de mensajes.

Este método desarrollado por Keith Davis en 1952, consiste de un cuestionario

especializado que tiene como objetivo descubrir el proceso de difusión de un mensaje en la organización, desde su punto de origen hasta que logra alcanzar a los diferentes miembros de la misma. Este método puede revelar información muy valiosa sobre el tiempo que toma la difusión de un mensaje, los caminos que sigue en su difusión, quiénes bloquean la comunicación, las redes de comunicación informal, y la manera como se procesa la información (Downs, 1988).

4. El análisis de experiencias críticas de comunicación

Esta técnica tiene como objetivo el análisis de experiencias comunicacionales

significativas que acontecen en una organización. La descripción de estas experiencias por la gente de la organización ofrecen al auditor una información valiosísima sobre el tipo de experiencias comunicacionales que existen, tanto positivas como negativas, a qué niveles suceden, qué tipo de conductas acontecen, qué tipo de mensajes son intercambiados, y cómo perciben los protagonistas la efectividad o inefectividad de dichas experiencias (Downs, 1988;

Goldhaber, 1986).

5. Análisis de las redes de comunicación.

El propósito fundamental de esta técnica es el análisis de la estructura de la comunicación de una organización y su efectividad. Esta técnica permite evaluar quién se comunica con quién en una organización o departamento de la misma, cuáles son los grupos que existen, quiénes son los miembros que actúan como puente entre dos o más grupos, quiénes son los miembros que permanecen aislados, y hasta qué punto la estructura formal de la comunicación corresponde con la estructura real tal y como acontece diariamente. Otros aspectos que pueden ser evaluados también con esta técnica son los bloqueos que experimenta la difusión de la información, el contenido de la comunicación, y la cantidad de información que es difundida (Downs,, 1988; Hamilton, 1987; Goldhaber, 1986).

6. La entrevista grupal.

El uso de la entrevista grupal como técnica de auditoría de la comunicación es de reciente aparición. Esta técnica selecciona un cierto número de miembros representativos de la organización para ser entrevistados como grupo por el auditor. La entrevista se suele centrar en aspectos críticos de la comunicación organizacional que necesitan mayor discusión y análisis o en aspectos relativos a cómo implementar cambios en la comunicación organizacional. La interacción grupal que esta técnica genera permite conseguir una perspectiva más objetiva de los problemas y de los cambios que pueden realizarse en la organización (Hamilton, 1987). Los métodos de análisis e interpretación de la perspectiva funcionalista son el análisis estadístico y el análisis de contenido (Farace, Monge, and Russell, 1977). Dentro de la perspectiva interpretivista los métodos más usados son la observación directa, la entrevista (anteriormente descrita), y el análisis de las producciones comunicacionales (documentos oficiales, historietas, metáforas, y conversaciones).

7. La observación directa.

Esta técnica supone la observación directa de lo que es la comunicación organizacional, la toma de notas, y el análisis de las mismas. Las técnicas de observación directa cuando se usan en la auditoría de la comunicación organizacional permiten que el auditor se familiarice con la vida organizacional, su gente, su ambiente físico, y con lo que son las prácticas de comunicación

tal como acontecen en sus diferentes niveles. Esta técnica permite que el auditor recoja información detallada y de primera mano sobre procesos de comunicación que son de capital importancia para la organización, tales como la conducción de una reunión departamental o el proceso de toma de decisiones.

8. El análisis de las producciones comunicacionales.

El auditor interpretivista concentra sus esfuerzos en la recolección y análisis de las

producciones comunicacionales de una organización, tales como historietas, metáforas, símbolos, artefactos, documentos escritos, y conversaciones. La recolección de estas producciones comunicacionales las hace a través de entrevistas, conversaciones informales, y observación directa.

La perspectiva interpretivista usa diferentes variedades de análisis de contenido en el análisis e interpretación de los símbolos, historietas, metáforas, y conversaciones de una organización (Bormann, Howell, Nichols, and Shapiro 1982; Koch and Deetz, 1981; Koch and Deetz, 1981; Smith and Eisenberg, 1987).

Finalmente, la metodología que puede ser adoptada dentro de la perspectiva crítica es muy variada ya que por naturaleza es macroanalítica, cualitativa, dialéctica, interpretativa, y crítica (Held, 1980; Rogers, 1982; Hall, 1989). Los métodos de recolección de información y análisis de esta perspectiva son en cierta medida semejantes a los usados por los interpretivistas (observación directa, entrevista, etc.). Pero el auditor crítico examina todas las formas de retórica

de una organización (discursos, historietas, metáforas, y símbolos), y sus procesos ideológicos.

RESULTADOS DE LAS AUDITORIAS DE LA COMUNICACION

Las contribuciones más significativas de las auditorías de la comunicación organizacional han sido a dos niveles: 1) a nivel teórico y metodológico, y 2) a nivel del mejoramiento de la comunicación organizacional.

1. A nivel teórico y metodológico

La práctica de las auditorías de la comunicación ha contribuido de una manera

significativa en el desarrollo del conocimiento de la comunicación organizacional. Por ejemplo, nuevos conceptos han sido incorporados dentro del cuerpo de conocimientos teóricos de la comunicación organizacional tales como el concepto de "satisfacción con la comunicación" (Downs y Hazen 1977). La operalización de este concepto se cristalizó en el instrumento, anteriormente presentado, "Communication Audit Questionnaire" (Downs 1991).

Por otra parte, las perspectivas teóricas y los métodos y técnicas usadas en la conducción de las auditorías de la comunicación organizacional se han venido refinando y ampliando. En un principio, como ya se ha dicho, la perspectiva dominante fue la funcionalista. Posteriormente se

fueron incluyendo las perspectivas interpretivista y crítica. En el momento actual existe un conjunto de publicaciones que ofrecen una información actualizada y bastante completa sobre el tema de las auditorías de la comunicación (Hamilton, 1987; Downs, 1988). Como resultado de este desarrollo el tema de las auditorías de la comunicación organizacional se enseña como un curso más dentro del programa de master en los departamentos de estudios de la comunicación.

Gracias también a las auditorías de la comunicación existe un conocimiento más

sistemático y específico de la comunicación organizacional. Las áreas más investigadas han sido la comunicación entre supervisor-subordinado, la efectividad de los canales y medios de comunicación, el clima de la comunicación, la comunicación entre los empleados, la comunicación departamental e interdepartamental, y la efectividad de la estructura formal de la comunicación organizacional. Entre los resultados más significativos que se han conseguido a nivel teórico están los siguientes: primero, el desarrollo del concepto de atisfacción con la comunicación". Segundo, el haber encontrado que la "satisfacción con la comunicación" es un concepto multidimensional que incluye aspectos como: Información sobre la Organización, y Clima General de la Comunicación (Downs and Hazen, 1976; Crino and White, 1981; Clampitt and Downs, 1987).

Finalmente, las auditorías de la comunicación han contribuido también al desarrollo del conocimiento sobre la relación que existe entre comunicación y otras variables organizacionales.