Vista previa del material en texto
INST ESCUEL SEM Au TITUTO P LA SUPERI UNID MINARIO INFO uditor QUE POLITÉC IOR DE ING ELÉCTR DAD CULH O: AUDITO RMACIÓ T ría de de la E PARA O P R NICO NA GENIERÍA RICA HUACÁN ORIA DE ÓN Y COM TESIN l Swit a Red OBTENER E S E ACIONAL MECÁNIC E TECNOL MUNICAC NA tch de d LAN R EL TÍTU N T A A Y LOGIAS CIONES e Acc N ULO DE A DE LA ceso LICENCIADO EN CIENCIAS DE LA COMUNICACIÓN ALEJANDRO SAUCEDO VIDALS ASESOR: RAYMUNDO SANTANA ALQUICIRA MARZO 2011 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 2 Y COMUNICACIONES AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 3 Y COMUNICACIONES AGRADECIMIENTOS A nuestras familias por brindarnos las herramientas, apoyo y cariño para lograr esta etapa de nuestra educación y por siempre estar con nosotros. A nuestra institución el Instituto Politécnico Nacional, que a través de la UPIICSA y la ESIIME Culhuacán nos brindaron herramientas y conocimientos para poder aportar a la sociedad como profesionistas, comprometidos con brindar lo mejor de nosotros en cada tarea que emprendamos. A los amigos y aquellas personas que han estado en nuestro camino enseñándonos, apoyándonos y brindándonos un tiempo de calidad que hoy se ve reflejado en lo que somos y que también son parte de esta culminación de una etapa de vida. A nuestros profesores y asesores que nos guiaron y aportaron conocimientos que seguro serán de suma importancia en el camino profesional. Finalmente agradecemos la oportunidad que hoy tenemos de poder obtener el título profesional que nos representa una meta alcanzada, pero que a la vez es el comienzo de una nueva etapa llena de retos que afrontar y que sin duda tomaremos con la mejor de las actitudes. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 4 Y COMUNICACIONES INDICE GENERAL AUDITORIA INFORMÁTICA 8 CONCEPTO DE AUDITORÍA 8 DEFINICIÓN 8 ¿QUIÉN HACE LA AUDITORÍA? 8 EVOLUCIÓN DE LA PRÁCTICA DE AUDITORÍA 8 ENFOQUE TRADICIONAL: 8 NUEVA VISIÓN: 8 DIFERENCIAS ENTRE AUDITORÍA INFORMÁTICA… 9 … Y CONTROL INTERNO 9 INTRODUCCIÓN A LA ADMINISTRACIÓN DE RIESGOS 10 AUDITORÍA INTERNA 10 ¿QUÉ ES UN RIESGO? 10 ADMINISTRACIÓN DE RIESGOS (AR) 10 ESTABLECER Y FUNDAR UN EQUIPO DE ARI 11 ANÁLISIS DE VULNERABILIDADES 11 MAPEO DE AMENAZAS/ VULNERABILIDAD/ RECURSOS 12 MITIGACIÓN DEL RIESGO 12 ANÁLISIS COSTO-BENEFICIO 12 REPORTE FINAL 12 POLÍTICAS GENERALES DE SEGURIDAD 12 CONCEPTOS GENERALES DE RED 17 INTRODUCCIÓN 17 TIPOS DE RED 17 PAN (PERSONAL AREA NETWORK/ÁREA DE RED PERSONAL) 17 LAN (LOCAL AREA NETWORK/RED DE ÁREA LOCAL) 18 MAN (METROPOLITAN AREA NETWORK/RED DE ÁREA METROPOLITANA) 19 WAN (WIDE AREA NETWORK/RED DE ÁREA AMPLIA) 19 GAN (GENERIC ACCESS NETWORK/RED DE ACCESO GENÉRICO) 20 VLAN (VIRTUAL LOCAL AREA NETWORK/RED DE ÁREA LOCAL VIRTUAL) 20 VPN (VIRTUAL PRIVATE NETWORK/RED PRIVADA VIRTUAL) 21 TOPOLOGÍAS DE RED 21 TOPOLOGÍAS EN BUS O LINEAL 22 TOPOLOGÍA DE ÁRBOL 22 TOPOLOGÍA DE ANILLO 23 TOPOLOGÍA EN ESTRELLA 24 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 5 Y COMUNICACIONES TOPOLOGÍA DE MALLA 25 EQUIPOS DE COMUNICACIÓN 26 SWITCH 26 ROUTER 27 PRINCIPALES MARCOS DE REFERENCIA Y METODOLOGÍAS 29 COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) 29 THE CRITERIA OF CONTROL BOARD (COCO) 30 MODELO DE MADUREZ (MATURITY MODEL) 31 INFORMATION TECHNOLOGIES INFRASTRUCTURE LIBRARY (ITIL) 32 CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 33 ESTÁNDARES DE IEEE 34 ANSI 35 ORGANIZACIÓN INTERNACIONAL PARA LA NORMALIZACIÓN (ISO) 36 COBIT 36 INTRODUCCIÓN 36 MARCO DE TRABAJO COBIT 37 PLANEAR Y ORGANIZAR (PO) 39 ADQUIRIR E IMPLEMENTAR (AI) 39 ENTREGAR Y DAR SOPORTE (DS) 40 MONITOREAR Y EVALUAR (ME) 41 AUDITORIA DE DISPOSITIVOS DE RED 44 ELEMENTOS A AUDITAR EN UNA RED 44 SEGURIDAD FÍSICA 44 INFRAESTRUCTURA INALÁMBRICA 44 INFRAESTRUCTURA DE DETECCIÓN DE INTRUSOS 45 DISPOSITIVOS FIREWALLS 45 PRINCIPALES PROTOCOLOS DE SEGURIDAD 46 GENERIC ROUTING ENCAPSULATION (GRE 47) 46 POINT-TO-POINT TUNNELING PROTOCOL. 46 IP SEC 47 PROTOCOLO DE TUNELADO DE NIVEL 2 (L2TP) 47 SECURE SHELL (SSH) 47 PROTECCIÓN DE LOS SISTEMAS ELECTRÓNICOS Y ELÉCTRICOS 47 IMPLEMENTACIÓN DE UPS 47 JAULA DE FARADAY 48 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 6 Y COMUNICACIONES ACONDICIONAMIENTO DE AIRE. 48 IMPORTANCIA DE AUDITAR UNA RED Y CONCEPTO DE AUDITORÍA DE RED 49 AUDITORIA DE LA RED FÍSICA 49 AUDITORIA DE LA RED LÓGICA 50 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 51 ESTADO ACTUAL 52 PROBLEMÁTICA 52 PROPUESTA 52 ESTUDIO GENERAL DEL ÁREA A AUDITAR 52 PLANEACIÓN Y PROGRAMA DE TRABAJO 53 REUNIÓN CON ÁREA PARA NOTIFICAR AUDITORÍA 53 ENTREGA DE OFICIO DE ORDEN Y LEVANTAMIENTO DE ACTA DE INICIO DE AUDITORÍA 54 SOLICITUD DE INFORMACIÓN Y DOCUMENTACIÓN 54 ENTREVISTAS CON RESPONSABLES DE ACTIVIDADES 54 ANÁLISIS DE LA INFORMACIÓN 55 EVALUACIÓN DEL CONTROL INTERNO 55 PRUEBAS SUSTANTIVAS Y DE CUMPLIMIENTO 56 IDENTIFICACIÓN DE IRREGULARIDADES 56 REUNIÓN PARA COMENTAR IRREGULARIDADES 56 ELABORACIÓN DE REPORTES E INFORME DE OBSERVACIONES 57 MATRIZ DE RIESGO 57 REUNIÓN DE CONFRONTA, LEVANTAMIENTO DE ACTA DE CIERRE Y FIRMA DE OBSERVACIONES. 60 ELABORACIÓN DE OFICIO DE ENVÍO DE INFORME Y REPORTE DE OBSERVACIONES. 61 CONCLUSIONES. 63 ANEXOS 64 GLOSARIO 103 BIBLIOGRAFÍA 108 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 7 Y COMUNICACIONES Conceptos Generales de Auditoría AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 8 Y COMUNICACIONES Auditoria Informática Concepto de auditoría La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Definición Es un proceso, de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organización, y utiliza eficientemente los recursos. Proceso metodológico para valorar y evaluar la confianza que se puede depositar en TI. La auditoría informática evalúa y comprueba los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software. La auditoría operativa o de gestión es una revisión que comprende las actividades, sistemas y controles dentro de la empresa para conseguir economía, eficiencia, eficacia u otros objetivos. ¿Quién hace la auditoría? La realización de las auditorias corresponde a los auditores, pudiéndose dividir la función auditora en dos grandes grupos: La auditoría externa y la auditoría interna. La función de auditoría informática puede existir en cualquiera de los citados entornos. Evolución de la práctica de Auditoría Enfoque tradicional: Su finalidad está asociada a la evaluación de un conjunto de prácticas operativas vinculadas al diseño, desarrollo y explotación del soporte IT, así como la adquisición de bienes o contratación de servicios requeridos para brindar estas funciones y su administración (cumplimiento). Nueva visión: Evaluar el nivel de seguridad y control del entorno de IT asegurándose que el mismo refuerza la estructura de control interno de la organización (cumplimiento). Asegurar que la organización obtiene en mayor beneficio de sus recursos de IT (Gobierno de TI) contribuyendo a reforzar el Gobierno Corporativo de la Organización (Desempeño y Gestión). AUDITORÍA DEL SWITCH DEACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 9 Y COMUNICACIONES Diferencias entre Auditoría Informática… Tiene la función de vigilancia y evaluación mediante dictámenes y todas las metodologías van encaminadas a esta función. Tiene sus propios objetivos distintos a los auditores de cuentas. Los auditores de cuentas la necesitan para utilizar la información de sus sistemas para evaluaciones financieras y operativas. Evalúan eficiencia, costo y seguridad en su más amplia visión. Operan según el plan auditor. Establecen planes con tiempos definidos y ciclos completos. Sistemas de evaluación de repetición de auditoría por nivel de exposición del área auditada y el resultado de la última auditoria de esta área. Función de soporte informático de todos los auditores … y Control Interno Funciones de control dual con otros departamentos. Función normativa y del cumplimiento del marco jurídico. Tiene funciones propias (Administración de la Seguridad lógica, etc.) Responsable del desarrollo y actualización del plan de contingencias, manuales de procedimientos y plan de seguridad. Dictar normas de seguridad informática. Definir los procedimientos de control. Control de soportes físicos. Control de información sensible o comprometida. Control de calidad del servicio informático. Definición de requerimientos de seguridad en proyectos nuevos. Control de cambios y versiones. El control informático es el componente de la actuación segura entre los usuarios, la informática y control interno, todos ellos auditados por auditoría informática. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 10 Y COMUNICACIONES Tabla. 1.1 Diferencias entre Auditoria Informática y Control Interno Introducción a la Administración de Riesgos Auditoría interna La auditoría interna en una actividad independiente, objetiva en la consulta y el aseguramiento, diseñada para agregar valor y mejorar la operación de las organizaciones. Esta ayuda a las organizaciones a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia en la gestión de riesgo, control y el gobierno de procesos. ¿Qué es un riesgo? La palabra deriva del italiano risicare que significa "atreverse". En este sentido, el riesgo es una opción en lugar de un destino. De las acciones que nos atrevemos a tomar, depende la toma de decisiones, son lo que la historia de riesgos es para todos nosotros. No todos los proyectos requieren un planteamiento formal de gestión de riesgos, pero para obtener el máximo beneficio, la gestión del riesgo debe convertirse en un proceso sistemático. El riesgo está presente en las organizaciones en todos los niveles de operación, desde el nivel estratégico, nivel operativo y nivel táctico, pero normalmente se describe como un negocio o el riesgo operativo. Administración de Riesgos (AR) Un programa de administración de riesgos de la información está basado sobre las buenas políticas de administración de riesgos, las cuales abarcan todos los aspectos relevantes de la infraestructura, y de todo aquello que contenga que ver con la información. La política de AR debe ser de alto nivel basada en los objetivos del negocio, los objetivos de la seguridad, con un enfoque bien definido, Control Interno Informático Auditoria Informática Similitudes Personal Interno Conocimientos Especializados en Tecnologías de la Información Verificación del Cumplimiento de Controles Internos, Normativa y Procedimientos, Establecidos por la Dirección de Informática y la Dirección General para los Sistemas de Información. Diferencias Análisis de los controles en el día a día Análisis de un momento informático determinado Informa a la Dirección del Departamento de Informática Informa a la Dirección General de la Organización Solo personal interno Personal interno y/o Externo El alcance de sus funciones es únicamente sobre el Departamento de Informática Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 11 Y COMUNICACIONES responsabilidades, alcances y desventajas; todos estos aspectos de forma clara y acordados. De igual manera, estas políticas deberán ser bien comunicadas a todo el personal involucrado. Establecer y fundar un equipo de ARI La principal tarea de un equipo de ARI es la valoración de los riesgos (Risk Assessment). Esta tarea constituye la principal para poder justificar los controles necesarios y el presupuesto indicado, de acuerdo a los resultados que un “risk assessment” arroje. Identificar Recursos Análisis de amenazas Amenazas Personales Externas Lista de recursos que se necesitan proteger Identifica amenazas que puedan impactar el ambiente o infraestructura evaluada Gente clave enferma Perdida de servicios (voz y datos) Amplio conocimiento de instalaciones, contratos con proveedores, garantías y leyes, etc. Amenazas ambientales: Fuego, terremotos, explosiones o inundaciones Enfermedades simultaneas (Epidemias) Perdida de Servicios Elementales (luz, agua, teléfono, etc.) por un periodo largo Bienes tangibles e intangibles (todo lo de valor) Incluir eventos raros pero posibles (fallas en la estructura del edificio Perdida (renuncia / terminación de contrato / muerte) de persona Fenómenos Naturales Considerar pérdida o daño de recursos en términos de pérdida de tiempo, costo, reparación, utilidad o reemplazo. Robos (discos, laptops Software malintencionado (Virus, spyware, etc.) Proveedores en quiebra Contratistas Terrorismo político Mal uso de los recursos. Tabla 1.2 Principales actividades del Risk Assessment Análisis de vulnerabilidades Esta tarea incluye la identificación de las vulnerabilidades que puedan incrementar la frecuencia o impacto en el caso de una amenaza que afecte al ambiente en AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 12 Y COMUNICACIONES cuestión. Es el identificar las vulnerabilidades que permitirán a las amenazas ocurrir con mayor frecuencia, mayor impacto, o ambos. Mapeo de Amenazas/ Vulnerabilidad/ Recursos Es necesaria establecer las relaciones entre las amenazas, vulnerabilidad y los recursos que se ven afectados. Esto traerá como consecuencia una manera consistente de medir las consecuencias entre estos tres aspectos. Mitigación del riesgo La primera tarea en esta etapa es la de completar la valoración (risk assessment) con el proceso de mitigación del riesgo, costeo y análisis de costo-beneficio. Selección de salvaguardas (controles) y análisis de la mitigación de riesgos Esta tarea incluye la identificación las salvaguardas que mitiguen las vulnerabilidades y el grado en que dichas salvaguardas puedan reducir el impacto o la frecuencia de una amenaza. En otras palabras, esta tarea abarca la evaluación de riesgos relativo a los recursos y a las amenazas antes y después de que han sido aplicadas las salvaguardas seleccionadas Análisis costo-beneficio Esta tarea incluye la valoración del grado de una reducción de riesgo, la cual se espera alcanzar mediante la implantación de las salvaguardas de reducción de riesgos seleccionadas. El beneficio bruto menos el costo anual de las salvaguardas seleccionadas para alcanzar la reducción del nivel de riesgo, nos lleva al beneficio neto. Herramientas para calcular el retorno de la inversión o el valor presente, siempre son utilizadas para realizar un análisis más detallado de la actividad de los costos de las salvaguardas. Reporte Final Este reporte incluye el reporte interno como losdetalles y recomendaciones de la selección de salvaguardas y el análisis de mitigación del riesgo, además de las tareas realizadas para apoyar el análisis costo-beneficio. Este reporte, con las recomendaciones adecuadas, proporciona a los altos niveles con las bases subsecuentes acciones en la administración de riesgos. Políticas generales de seguridad ¿Por qué hablar de la Seguridad de la Información? Porque el negocio se sustenta a partir de la información que maneja. Porque no sólo es un tema Tecnológico. Porque la institución no cuenta con Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 13 Y COMUNICACIONES Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor. “Ninguna medicina es útil a menos que el paciente la tome”. Reconocer los activos de información importantes para la institución. Información propiamente: bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes. Recursos humanos: empleados internos y externos. Servicios: electricidad, soporte, mantención. Reconocer las Amenazas a que están expuestos Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”. Ejemplos: Desastres naturales (terremotos, inundaciones) Errores humanos Fallas de Hardware y/o Software Fallas de servicios (electricidad) Robo Reconocer las Vulnerabilidades Vulnerabilidad: “Una debilidad que facilita la materialización de una amenaza” Ejemplos: Inexistencia de procedimientos de trabajo Concentración de funciones en una sola persona Infraestructura insuficiente Identificación de Riesgos Riesgo: “La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte un activo” ¿Que debe analizarse? El impacto (leve, moderado, grave) La probabilidad (baja, media, alta) Estándares de Seguridad Normas Internacionales de seguridad Proporcionan un conjunto de buenas prácticas en gestión de seguridad de la información: Ejemplos ISO/IEC 17799, COBIT, ISO 15408 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 14 Y COMUNICACIONES ISO 17799 que tiene la bondad de ser transversal a las organizaciones, abarcando la seguridad como un problema integral y no meramente técnico. Políticas, planes y procedimientos Las Políticas definen qué se debe proteger en el sistema, mientras que los Procedimientos de Seguridad describen cómo se debe conseguir dicha protección ¿Qué es una Política? Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado. ¿Qué es una Política de Seguridad? Conjunto de directrices que permiten resguardar los activos de información. ¿Cómo debe ser la política de seguridad? Definir la postura del Director y de la gerencia con respecto a la necesidad de proteger la información corporativa. Definir la base para la estructura de seguridad de la organización. Ser un documento de apoyo a la gestión de seguridad informática. Tener larga vigencia, manteniéndose sin grandes cambios en el tiempo. Ser general, sin comprometerse con tecnologías específicas. Debe abarcar toda la organización. Debe ser clara y evitar confusiones. No debe generar nuevos problemas. Debe permitir clasificar la información en confidencial, uso interno o pública. Debe identificar claramente funciones específicas de los empleados como: responsables, custodio o usuario, que permitan proteger la información. ¿Qué debe contener una política de seguridad de la información? Políticas específicas Procedimientos Estándares o prácticas Estructura organizacional Políticas Específicas Definen en detalle aspectos específicos que regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general. Procedimiento Define los pasos para realizar una actividad Evita que se aplique criterio personal. Estándar En muchos casos depende de la tecnología AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 15 Y COMUNICACIONES Se debe actualizar periódicamente Aspectos a considerar en una política Alcance: recursos, instalaciones y procesos de la organización sobre los que se aplican. Objetivos perseguidos y prioridades de seguridad. Compromiso de la Dirección de la organización. Clasificación de la información e identificación de los activos a proteger. Análisis y gestión de riesgos. Elementos y agentes involucrados en la implantación de las medidas de seguridad. Asignación de responsabilidades en los distintos niveles organizativos. Definición clara y precisa de los comportamientos exigidos y de los que están prohibidos (“AppropriateUsePolicy”) por parte del personal. Identificación de las medidas, normas y procedimientos de seguridad a implantar. Gestión de las relaciones con terceros (clientes, proveedores, partners. etc). Gestión de incidentes. Planes de contingencia y de continuidad del negocio. Cumplimiento de la legislación vigente. Definición de las posibles violaciones y de las consecuencias derivadas del incumplimiento de las Políticas de Seguridad AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 16 Y COMUNICACIONES Conceptos Generales de Red AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 17 Y COMUNICACIONES CONCEPTOS GENERALES DE RED Introducción La fusión de las computadoras y las comunicaciones ha tenido una influencia profunda en la manera en que están organizados los sistemas computacionales. El modelo antiguo de una sola computadora que realiza todas las tareas ha sido reemplazado por otro en el que un gran número de computadoras separadas pero interconectadas hacen el trabajo. Estos sistemas se denominan “Redes de Computadoras”; el cual se define como un conjunto de computadoras autónomas interconectadas. El objetivo principal de una red es interconectar diferentes sistemas de cómputo y, en general, distintos equipos terminales de datos (EDT), para que compartan recursos, intercambien datos y se apoyen mutuamente. Un segundo objetivo de las redes es proporcionar alta confiabilidad en la preservación y fidelidad de la información que transportan, así como el funcionamiento de la red. Esto significa que los datos no se deben perder durante su manejo y deben conservarse siempre sin alteraciones con respecto a los datos originales. Tipos de Red Las redes de información se pueden clasificar según su extensión y su topología. Una red puede empezar siendo pequeña para crecer junto con la organización o institución. A continuación se presenta los distintos tipos de redes disponibles: Por Cobertura: PAN LAN MAN WAN GAN VLAN VPN PAN (Personal Area Network/Área de Red Personal) Se establece que las redes de área personal son una configuración básica llamada así mismo personal. Actualmente existen diversas tecnologías que permiten su desarrollo, entre ellas se encuentran la tecnología inalámbrica Bluetooth o las tecnologías de infrarrojos. Sin embargo para su completo desarrollo es necesario que estas redes garanticen una seguridad de alto nivel, que sean altamente adaptables a diversos entornos, y que sean capaces de proporcionar una alta gama de servicios y aplicaciones. Las redes para espacios personales continúandesarrollándose hacia la tecnología del Bluetooth y el concepto de redes dinámicas, el cual nos permite una fácil AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 18 Y COMUNICACIONES comunicación con los dispositivos que van adheridos a nuestro cuerpo o a nuestra indumentaria, ya sea que estemos en movimiento o no, dentro del área de cobertura de nuestra red. PAN prevé el acercamiento de un paradigma de redes, la cual atrae el interés de los investigadores y las industrias que quieren aprender más acerca de las soluciones avanzadas para redes, tecnologías de radio, altas transferencias de bits, nuevos patrones para celulares, y un soporte de software más sofisticado. El sistema tendrá que soportar diferentes aplicaciones y distintos escenarios de operación, y así poder abarcar una gran variedad de dispositivos. Fig. 2.1Red de Tipo Personal LAN (Local Area Network/Red de Área Local) En su aplicación más extendida una red LAN, es la interconexión de ordenadores personales y estaciones de trabajo en oficinas, fábricas, etc.; para compartir recursos e intercambiar datos y aplicaciones. Todas las redes están diseñadas para compartir dispositivos y tener acceso a ellos de una manera fácil y sin complicaciones. Características Operan dentro de un Área geográfica limitada. Permite el multiacceso a medios con alto ancho de banda. Controla la red de forma privada con administración Local Proporciona conectividad continua a los servicios locales. Conecta dispositivos físicamente adyacentes Capacidad de transmisión comprendida entre 1 Mbps y 1 Gbps. Extensión máxima no superior a 3 km (una FDDI puede llegar a 200 km). Uso de un medio de comunicación privado. La simplicidad del medio de transmisión que utiliza (cable coaxial, cables telefónicos y fibra óptica). La facilidad con que se pueden efectuar cambios en el hardware y el software. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 19 Y COMUNICACIONES Gran variedad y número de dispositivos conectados. Posibilidad de conexión con otras redes. Limitante de 100 m, puede llegar a más si se usan repetidores. MAN (Metropolitan Area Network/Red de Área Metropolitana) Es una red de alta velocidad (banda ancha) que da cobertura en un área geográfica extensa, proporciona capacidad de integración de múltiples servicios mediante la transmisión de datos, voz y vídeo, sobre medios de transmisión tales como fibra óptica y par trenzado, la tecnología de pares de cobre se posiciona como la red más grande del mundo y es una excelente alternativa para la creación de redes metropolitanas, por su baja latencia (entre 1 y 50 ms), gran estabilidad y la carencia de interferencias radioeléctricas, las redes MAN, ofrecen velocidades de 10Mbps, 20Mbps, 45Mbps, 75Mbps, sobre pares de cobre y 100Mbps, 1Gbps y 10Gbps mediante Fibra Óptica. Las Redes MAN, se basan en tecnologías Bonding, de forma que los enlaces están formados por múltiples pares de cobre con el fin de ofrecer el ancho de banda necesario. Además esta tecnología es muy estable, gracias a que los enlaces están formados por múltiples pares de cobre y es materialmente imposible que 4, 8 ó 16 hilos se averíen de forma simultánea. Estas redes pueden ser públicas o privadas. WAN (Wide Area Network/Red de Área Amplia) Es un tipo de red capaz de cubrir distancias desde unos 100 hasta unos 1000 km, brindando servicio a un país o un continente. Muchas WAN son construidas por y para una organización o empresa particular y son de uso privado, otras son construidas por los proveedores de internet (ISP) para proveer de conexión a sus clientes. Hoy en día internet proporciona WAN de alta velocidad, y la necesidad de redes privadas WAN se ha reducido drásticamente. Normalmente la WAN es una red punto a punto, es decir, red de paquete conmutado. Fig. 2.2 Tipos de Redes AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 20 Y COMUNICACIONES GAN (Generic Access Network/Red de Acceso Genérico) Describe los sistemas de telecomunicación que permiten un roaming transparente con handover entre LAN’s y WAN’s utilizando un mismo teléfono móvil que ha de ser de modo dual. En la parte de red de área local el acceso radio de los sistemas GAN se efectúa en bandas ISM de uso común, del tipo 802.11 (WiFi). Mientras que en la parte de comunicación móvil en el exterior de edificios, donde no hay cobertura WiFi, se emplean servicios de 2,5G del tipo GSM/GPRS, o 3G UMTS. Lo que se persigue con las redes GAN es alcanzar una convergencia plena de servicios fijos y móviles basados en IP, incluida la telefonía vocal. Para ello es preciso que los operadores de telefonía móvil que quieran beneficiarse de esta convergencia tengan redes con arquitectura en Subsistema Multimedia IP (IMS) y los de telefonía fija tengan servicios equivalentes a los móviles mediante redes IP fijas. VLAN (Virtual Local Area Network/Red de Área Local Virtual) Es una red de área local que agrupa un conjunto de equipos de manera lógica y no física. Efectivamente, la comunicación entre los diferentes equipos en una red de área local está regida por la arquitectura física. Gracias a las redes virtuales (VLAN), es posible liberarse de las limitaciones de la arquitectura física (limitaciones geográficas, limitaciones de dirección, etc.), ya que se define una segmentación lógica basada en el agrupamiento de equipos según determinados criterios (direcciones MAC, números de puertos, protocolo, etc.). Tipos de Vlan Se han definido diversos tipos de VLAN, según criterios de conmutación y el nivel en el que se lleve a cabo: VLAN de nivel 1 (también denominada VLAN basada en puerto) define una red virtual según los puertos de conexión del switch. VLAN de nivel 2 (también denominada VLAN basada en la dirección MAC) define una red virtual según las direcciones MAC de las estaciones. Este tipo de VLAN es más flexible que la VLAN basada en puerto, ya que la red es independiente de la ubicación de la estación. VLAN de nivel 3: existen diferentes tipos de VLAN de nivel 3: VLAN basada en la dirección de red: conecta subredes según la dirección IP de origen de los datagramas. Este tipo de solución brinda gran flexibilidad, en la medida en que la configuración de los switches cambia automáticamente cuando se mueve una estación. En contrapartida, puede haber una ligera disminución del rendimiento, ya que la información contenida en los paquetes debe analizarse detenidamente. VLAN basada en protocolo: permite crear una red virtual por tipo de protocolo (por ejemplo, TCP/IP, IPX, AppleTalk, etc.). Por lo tanto, se pueden agrupar todos los equipos que utilizan el mismo protocolo en la misma red. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 21 Y COMUNICACIONES VPN (Virtual Private Network/Red Privada Virtual) Existe Software que nos permiten tener acceso remoto a diferentes computadores simulando que estamos trabajando ahí mismo, el cual nos permite una vez instalado en los dos equipos acceder de forma inmediata a los equipos y aparentar estar trabajando en ellos sin hacer presencia física, todo esto por medio de la red. Tipos de VPN Básicamente existen tres arquitecturas de conexión VPN: VPN de acceso remoto: Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. VPN punto a punto: Este esquema se utiliza para conectar oficinas remotas con la sedecentral de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales (realizados comúnmente mediante conexiones de cable físicas entre los nodos), sobre todo en las comunicaciones internacionales. Tunneling: La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras. El establecimiento de dicho túnel se implementa incluyendo una PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría ser SSH. VPN over LAN: Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi). TOPOLOGÍAS DE RED En el contexto de una red de comunicaciones, el término TOPOLOGÍA se refiere a la forma según la cual se interconectan entre sí los puntos finales, o estaciones, conectados a la red. Las topologías usuales en redes, son: bus o lineal, árbol, AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 22 Y COMUNICACIONES anillo y estrella. El bus es un caso especial de la topología en árbol, con un solo tronco y sin ramas. Topologías en Bus o Lineal En esta tecnología, todas las estaciones de trabajo se conectan a un canal de comunicaciones único (bus). Toda la información fluye por el canal y cada estación recibe solo la información que va dirigida a ella, este tipo de redes son sencillas de instalar y brindan gran flexibilidad para aumentar o disminuir el número de estaciones, La cantidad de cable que se utiliza es mínima, sobre todo en comparación con la topología de estrella, pues el cable no tiene que ir desde el servidor hasta cada una de las estaciones de trabajo. Tiene la ventaja además de que la falla en alguna de las estaciones no repercute en la red, pero una ruptura en la línea común si la inutilizará por completo. Se caracteriza por el uso de un medio multipunto, en este caso, todas las estaciones se encuentran directamente conectadas, a través de interfaces físicas apropiadas conocidas como Tomas de Conexión (taps), a un medio de transmisión lineal o bus. El funcionamiento full-duplex entre la estación y la toma de conexión permite la transmisión y la recepción de datos a través del bus. Una transmisión desde cualquier estación se propaga a través del medio en ambos sentidos y es recibida por el resto de estaciones. En cada extremo del bus existe un terminador que absorbe las señales, eliminándolas del bus. Fig. 2.3 Topología de Bus ó Lineal Topología de Árbol Esta topología es una generalización de la topología de bus o lineal; el medio de transmisión es un cable ramificado, sin bucles cerrados que comienza en un punto conocido como raíz o cabecera (head end). Uno o más cables comienzan en el AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 23 Y COMUNICACIONES punto raíz y cada uno de ellos puede presentar ramificaciones. Las ramas puedes disponer de ramas adicionales, dando lugar a esquemas más complejos. De nuevo la transmisión desde una estación se propaga a través del medio y puede alcanzar el resto de las estaciones. Existen dos problemas en esta disposición. En primer lugar, dado que la transmisión desde una estación se puede recibir en dos estaciones, es necesario algún método para indicar a quién va dirigida la transmisión. En segundo lugar, se precisa un mecanismo para regular la transmisión; para solucionar estos problemas, las estaciones de trabajo transmiten datos en bloques pequeños llamados trama. Cada trama consta de una porción de los datos que una estación desea transmitir, además de una cabecera de trama la cual contiene la información de control. A cada estación en el bus se le asigna una dirección, o identificador, única, incluyéndose en la cabecera la dirección destino de la trama. La estructura de la trama resuelve así el primer problema mencionado anteriormente: proporciona un mecanismo para indicar el receptor de los datos. También proporciona una herramienta básica para resolver el segundo problema, el control de acceso. En particular, en las estaciones transmiten por turnos de acuerdo con alguna forma cooperativa. Fig. 2.4 Topología de árbol Topología de Anillo El bus se cierra sobre sí mismo formando un anillo, de esta manera se asegura que la distancia a recorrer por la información entre dos equipos conectados al anillo es siempre la más corta posible; es decir, cada estación está conectada a la siguiente y la última está conectada a la primera. Cada estación tiene un receptor AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 24 Y COMUNICACIONES y un transmisor que hace la función de repetidor, pasando la señal a la siguiente estación, esto se debe a los protocolos que utilizan el paso de testigo (Token Ring). Esta topología es basada en estándares de facto de IBM para redes locales que no tuvieron mucha aceptación y hoy están prácticamente en desuso. En la actualidad las topologías de anillo se utilizan para redes de área extensa que utilizan otro tipo de protocolos (redes de fibra). En un anillo doble, dos anillos permiten que los datos se envíen en ambas direcciones, esta configuración crea redundancia (tolerancia a fallos). Entre las ventajas que encontramos en este tipo de topologías son: Simplicidad de la arquitectura. La facilidad de la configuración. Facilidad de fluidez de datos. Mientras que las desventajas que presenta son: La longitud de canal es limitada. El canal usualmente se degradará a medida que la red crece. Transferencia de datos será lenta. Fig. 2.5 Topología de Anillo Topología en Estrella Consiste en que todos los equipos finales de la red se conecten a uno intermedio que encamina la información a los destinatarios. Se utiliza en redes algo más extensas que las locales. Normalmente no es práctico que sea un único equipo el que actúa de intermediario (ya que la red sería muy sensible a fallos de un único equipo) y se suele emplear más de uno. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 25 Y COMUNICACIONES Ventajas: Presenta buena flexibilidad para incrementar el número de equipos conectados a la red. Si alguna de las computadoras falla el comportamiento de la red sigue sin problemas, sin embargo, si el problema se presenta en el controlador central se afecta toda la red. El diagnóstico de problemas es simple, debido a que todos los equipos están conectados a un controlador central. Desventajas: No es adecuada para grandes instalaciones, debido a la cantidad de cable que deben agruparse en el controlador central. Esta configuración es rápida para las comunicaciones entre las estaciones o nodos y el controlador, pero lascomunicaciones entre estaciones es lenta. Fig. 2.6 Topología de Estrella Topología de Malla Consiste en que todos los equipos integrantes de una red se conecten todos con todos. Esto solo es viable, desde un punto de vista práctico para redes con un pequeño número de equipos. En la práctica se emplea para redes de área extensa combinada con la topología de estrella. Los equipos finales se conectan a un conjunto de equipos intermedios en forma de estrella, mientras que estos últimos se conectan entre sí, todos con todos con una topología de malla. Esta configuración asegura una máxima disponibilidad de la red en caso de fallo de alguno de los equipos. Presenta ventajas como: La posibilidad de llevar los mensajes de un nodo a otro por diferentes caminos. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 26 Y COMUNICACIONES No puede existir absolutamente ninguna interrupción en las comunicaciones. Cada servidor tiene sus propias comunicaciones con todos los demás servidores. Si falla un cable el otro se hará cargo del tráfico. No requiere un nodo o servidor central lo que reduce el mantenimiento. Si un nodo desaparece o falla no afecta en absoluto a los demás nodos. Y su desventaja es: Red es costosa de instalar ya que requiere de mucho cable. Fig. 2.7 Topología de Malla EQUIPOS DE COMUNICACIÓN Los principales equipos de comunicación con los que se crean las diferentes redes que en la actualidad se conocen son: Switch Router Estos se interconectan entre e indican el camino por donde el tráfico de datos se guiara para llegar al equipo final que realizo la petición. SWITCH Es un dispositivo digital de lógica de interconexión de redes de computadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Su función es interconectar dos o más segmentos de red, de manera similar a los puentes (bridges), pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las tramas en la red. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 27 Y COMUNICACIONES Estos se utilizan cuando se desea conectar múltiples redes, fusionándolas en una sola. Al igual que los puentes, dado que funcionan como un filtro en la red, mejoran el rendimiento y la seguridad de las LAN’s (Local Area Network- Red de Área Local). Los switches poseen la capacidad de aprender y almacenar las direcciones de red de nivel 2 (direcciones MAC) de los dispositivos alcanzables a través de cada uno de sus puertos. Por ejemplo, un equipo conectado directamente a un puerto de un switch provoca que el switch almacene su dirección MAC, esto permite que, a diferencia de los concentradores o hubs, la información dirigida a un dispositivo vaya desde el puerto origen al puerto de destino. En el caso de conectar dos switches o un switch y un concentrador, cada switch aprenderá las direcciones MAC de los dispositivos accesibles por sus puertos, por lo tanto en el puerto de interconexión se almacenan las MAC de los dispositivos del otro switch. ROUTER Es un dispositivo de hardware para interconexión de red de computadoras que opera en la capa tres (nivel de red) del modelo OSI. Un router es un dispositivo para la interconexión de redes informáticas que permite asegurar el enrutamiento de paquetes entre redes o determinar la mejor ruta que debe tomar el paquete de datos. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 28 Y COMUNICACIONES Marcos de Referencia y Metodología AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 29 Y COMUNICACIONES Principales Marcos de Referencia y Metodologías Committee of Sponsoring Organizations of the Treadway Commission (COSO) Busca definir un nuevo marco conceptual del control interno, capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre este tema, logrando así que, al nivel de las organizaciones públicas o privadas, de la auditoría interna o externa, o de los niveles académicos o legislativos, se cuente con un marco conceptual común, una visión integradora que satisfaga las demandas generalizadas de todos los sectores involucrados El marco integrado de control que plantea el informe COSO consta de cinco componentes interrelacionados, derivados del estilo de la dirección, e integrados al proceso de gestión: Ambiente de control Evaluación de riesgos Actividades de control Información y comunicación Supervisión El ambiente de control refleja el espíritu ético vigente en una entidad respecto del comportamiento de los agentes, la responsabilidad con que encaran sus actividades, y la importancia que le asignan al control interno. Sirve de base de los otros componentes, ya que es dentro del ambiente reinante que se evalúan los riesgos y se definen las actividades de control tendientes a neutralizarlos. Simultáneamente se capta la información relevante y se realizan las comunicaciones pertinentes, dentro de un proceso supervisado y corregido de acuerdo con las circunstancias. El modelo refleja el dinamismo propio de los sistemas de control interno. Así, la evaluación de riesgos no sólo influye en las actividades de control, sino que puede también poner de relieve la conveniencia de reconsiderar el manejo de la información y la comunicación. No se trata de un proceso en serie, en el que un componente incide exclusivamente sobre el siguiente, sino que es interactivo multidireccional en tanto cualquier componente puede influir, y de hecho lo hace, en cualquier otro. Existe también una relación directa entre los objetivos (Eficiencia de las operaciones, confiabilidad de la información y cumplimiento de leyes y reglamentos) y los cinco componentes referenciados, la que se manifiesta permanentemente en el campo de la gestión: las unidades operativas y cada agente de la organización conforman secuencialmente un esquema orientado a AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 30 Y COMUNICACIONES los resultados que se buscan, y la matriz constituida por ese esquema es a su vez cruzada por los componentes. The Criteria of Control Board (COCO) El modelo COCO fue emitido en 1995 por el Consejo denominado "The Criteria of Control Board" y dado a conocer por el Instituto Canadiense de Contadores Certificados (CICA) a través de un Consejo encargado de diseñar y emitir criterios o lineamientos generales sobre control interno. El cambio importante que plantea el informe canadiense consiste que en lugar de conceptualizar al proceso de control como una pirámide de componentes y elementos interrelacionados, proporciona un marco de referencia a través de 20 criterios generales, que el personal en toda la organización puede usar para diseñar, desarrollar, modificar o evaluar el control. El llamado ciclo de entendimiento básico del control, como se representa en el informe, consta de cuatro etapas que contienen los 20 criterios generales, conformando un ciclo lógico de acciones a ejecutar para asegurar el cumplimiento de los objetivos de la organización. En la estructura del informe, los criterios son elementos básicos para entender y, en su caso, aplicar el sistema de control. Se requieren adecuados análisis y comparaciones para interpretar los criterios en el contexto de una organización en particular, y para una evaluación efectiva de los controles implantados. El Informe prevé 20 criterios agrupados en cuanto al: Propósito Compromiso Aptitud Evaluación y Aprendizaje. En el propósito, los objetivos deben ser comunicados, se deben identificar los riesgos internos y externos que afecten el logrode objetivos. Las políticas para apoyar el logro de objetivos deben ser comunicadas y practicadas, para que el personal identifique el alcance de su libertad de actuación, se deben establecer planes para guiar los esfuerzos y los objetivos y planes deben incluir metas, parámetros e indicadores de medición del desempeño. En el compromiso se deben establecer y comunicar los valores éticos de la organización, las políticas y prácticas sobre recursos humanos deben ser consistentes con los valores éticos de la organización y con el logro de sus objetivos. La autoridad y responsabilidad deben ser claramente definidas y consistentes con los objetivos de la organización, para que las decisiones se tomen por el personal apropiado y se debe fomentar una atmósfera de confianza para apoyar el flujo de la información. En la etapa de aptitud el personal debe tener los conocimientos, habilidades y herramientas necesarios para el logro de objetivos, el proceso de comunicación AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 31 Y COMUNICACIONES debe apoyar los valores de la organización, se debe identificar y comunicar información suficiente y relevante para el logro de objetivos, las decisiones y acciones de las diferentes partes de una organización deben ser coordinadas y las actividades de control deben ser diseñadas como una parte integral de la organización. Finalmente en la etapa de evaluación y aprendizaje se debe monitorear el ambiente interno y externo para identificar información que oriente hacia la reevaluación de objetivos, el desempeño debe ser evaluado contra metas e indicadores, las premisas consideradas para el logro de objetivos deben ser revisadas periódicamente, los sistemas de información deben ser evaluados nuevamente en la medida en que cambien los objetivos y se precisen deficiencias en la información, debe comprobarse el cumplimiento de los procedimientos modificados y se debe evaluar periódicamente el sistema de control e informar de los resultados. Modelo de Madurez (Maturity Model) Los modelos de madurez para el control de los procesos de TI consisten en desarrollar un método de puntaje de modo que una organización pueda calificarse a sí misma desde inexistente hasta optimizada (de 0 a 5). Este método ha sido derivado del Modelo de Madurez que el Software Engineering Institute definió para la madurez de la capacidad de desarrollo de software. Los Modelos de Madurez se construyen a partir del modelo genérico cualitativo a los que se agregan las prácticas y los principios de los dominios siguientes de forma creciente a través de todos los niveles: Entendimiento y conocimiento de los riesgos y de los problemas de control. Capacitación y comunicación aplicadas a los problemas. Proceso y prácticas que son implementados. Técnicas y automatización para hacer los procesos más efectivos y eficientes. Grado de cumplimiento de la política interna, las leyes y las reglamentaciones. Tipo y grado de pericia empleada La escala 0-5 se basa en una escala simple de madurez que muestra cómo evoluciona un proceso desde Inexistente hasta optimizado. Debido a que son procesos de administración, la madurez y la capacidad aumentada es también sinónimo de mayor manejo del riesgo y mayor eficiencia. 0 Inexistente 1 Inicial 2 Repetible 3 Definida 4 Administrada 5 Optimizada AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 32 Y COMUNICACIONES El inexistente consiste en total falta de un proceso reconocible, la organización ni siquiera ha reconocido que hay un problema que resolver. En el inicial hay evidencia de que la organización ha reconocido que los problemas existen y que necesitan ser resueltos, sin embargo, no hay procesos estandarizados pero en cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso; el método general de la administración es desorganizado. En el repetible los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea, no hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona y hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores. En definida los procedimientos han sido estandarizados y documentados, y comunicados a través de capacitación, sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones y los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes. En la administrada es posible monitorear y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando efectivamente, los procesos están bajo constante mejoramiento y proveen buena práctica y se usan la automatización y las herramientas en una forma limitada o fragmentada. Finalmente en el punto de optimizada los procesos han sido refinados hasta un nivel de la mejor práctica, basados en los resultados de mejoramiento continuo y diseño de la madurez con otras organizaciones y TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez. Information Technologies Infrastructure Library (ITIL) Es un conjunto de mejores prácticas para la dirección y gestión de servicios de tecnologías de la información en lo referente a Personas, Procesos y Tecnología, desarrollado por la OGC (Office of Government Commerce) del Reino Unido, que cumple y desarrolla la norma BS15000 de la BSI (British Standards Institution). A través de las Mejores Prácticas especificadas en ITIL se hace posible para departamentos y organizaciones reducir costos, mejorar la calidad del servicio tanto a clientes externos como internos y aprovechar al máximo las habilidades y experiencia del personal, mejorando su productividad. ITIL es un conjunto de libros, que permiten mejorar notablemente la calidad de los servicios de tecnologías de la información y que presta una organización a sus clientes o un departamento a su organización. ITIL cubre cada escenario del ciclo de vida de los servicios. Service Strategy AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 33 Y COMUNICACIONES Service Design Service Transition Service Operation Continual Service Improvement La estrategia de servicios proporciona una guía para diseñar, desarrollar e implementar el Service Management no sólo como capacidad organizacional, sino también como un valor estratégico. Sirve para revisar los servicios actuales y mejorar la alineación entre las capacidades y las estrategias del negocio. Service Design se ocupa del diseño de servicios y sus procesos relacionados. No afecta solo los nuevos servicios, sino también a los que han sido modificados para su paso a un entorno de producción. El propósito de la etapa de Service Operation es coordinar y llevar a cabo las actividades y procesos requeridos para entregar y administrar los servicios de acuerdo a los niveles de servicio acordados con los clientes y usuarios del negocio, además es responsable de administrar la tecnología que se utiliza para entregar y soportar estos servicios. La Transición del Servicio se enfoca en implementar todos los aspectos del servicio, no solo su aplicación y como es usados en circunstancias normales. Es necesario asegurar que el servicio puede operar bajo extremos previstos o circunstancias anormales y que el soporte por fallas o errores está disponible. Finalmente el Continual Service Improvement se centra en continuamente estar alineando y re-alineando los serviciosde TI a las necesidades del negocio, identificando e implementando mejoras en los servicios de TI que a su vez soportan los procesos de negocio. Control Objectives for Information and related Technology (COBIT) COBIT es un marco de referencia general dirigido a la administración de TI y como tal estas escalas necesitan ser prácticas para aplicar y razonablemente fáciles de entender. Los Criterios de Información contenidos en el Marco Referencial de COBIT ayudan a asegurarse de que estamos enfocados en los aspectos correctos de la administración cuando describimos la práctica real. COBIT brinda un modelo de procesos genéricos que representa todos los procesos que normalmente se encuentran en las funciones de TI, ofreciendo un modelo de referencia común entendible para los gerentes operativos de TI y del negocio. Se establecieron equivalencias entre los modelos de procesos COBIT y las áreas de enfoque del gobierno de TI, ofreciendo así un puente entre lo que los gerentes operativos deben realizar y lo que los ejecutivos desean gobernar. Para lograr un gobierno efectivo, los ejecutivos esperan que los controles a ser implementados por los gerentes operativos se encuentren dentro de un marco de control definido para todo los procesos de TI. Los objetivos de control de TI de COBIT están organizados por proceso de TI; por lo tanto, el marco de trabajo brinda una alineación clara entre los requerimientos de gobierno de TI, los procesos de TI y los controles de TI. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 34 Y COMUNICACIONES Estándares de IEEE 802.1 Define la relación entre los estándares 802 del IEEE y el Modelo de Referencia para Interconexión de Sistemas Abiertos (OSI) de la ISO (Organización Internacional de Estándares). Por ejemplo, este Comité definió direcciones para estaciones LAN de 48 bits para todos los estándares 802, de modo que cada adaptador puede tener una dirección única. Los vendedores de tarjetas de interface de red están registrados y los tres primeros bytes de la dirección son asignados por el IEEE. Cada vendedor es entonces responsable de crear una dirección única para cada uno de sus productos. 802.2 Control de Enlaces Lógicos. Define el protocolo de control de enlaces lógicos (LLC) del IEEE, el cual asegura que los datos sean transmitidos de forma confiable por medio del enlace de comunicación. La capa de Datos-Enlace en el protocolo OSI esta subdividida en las subcapas de Control de Acceso a Medios (MAC) y de Control de Enlaces Lógicos (LLC). En Puentes, estas dos capas sirven como un mecanismo de switcheo modular, como se muestra en la figura I-5. El protocolo LLC es derivado del protocolo de Alto nivel para Control de Datos- Enlaces (HDLC) y es similar en su operación. Nótese que el LLC provee las direcciones de Puntos de Acceso a Servicios (SAP's), mientras que la subcapa MAC provee la dirección física de red de un dispositivo. Las SAP's son específicamente las direcciones de una o más procesos de aplicaciones ejecutándose en una computadora o dispositivo de red. 802.3: Protocolo de IEEE para LAN que especifica la implementación de la capas físicay de la subcapa MAC de la capa de enlace de datos. IEEE 802.3 utiliza el acceso CSMA/ CDa varias velocidades a través de diversos medios físicos. Las extensiones del estándar IEEE 802.3 especifican implementaciones para fast Ethernet. Las variaciones físicas de las especificación IEEE 802.3 original incluyen 10Base2, 10Base5, 10BaseF, 10BaseT, y 10Broad36. Las variaciones físicas para Fast Ethernet incluyen 100BaseTX y 100BaseFX. 802.4: Especifica el bus de señal pasante. 802.5: Protocolo de LAN IEEE que especifica la implementación de la capa físicas y de la subcapa MAC de la capa de enlace de datos. IEEE 802.5 usa de acceso de transmisión de tokens a 4 Mbps ó 16 Mbps en cableado STP O UTP y de punto de vista funcional y operacional es equivalente a token Ring de IBM. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 35 Y COMUNICACIONES ANSI ANSI (Instituto Nacional Americano de Normalización) Organización voluntaria compuesta por corporativas, organismos del gobierno y otros miembros que coordinan las actividades relacionadas con estándares, aprueban los estándares nacionales de los EE.UU. y desarrollan posiciones en nombre de los Estados Unidos ante organizaciones internacionales de estándares. ANSI ayuda a desarrollar estándares de los EE.UU. e internacionales en relación con, entre otras cosas, comunicaciones y networking. ANSI es miembro de la IEC (Comisión Electrotécnica Internacional), y la Organización Internacional para la Normalización. La norma central que especifica un género de sistema de cableado para telecomunicaciones es la norma ANSI/TIA/EIA-568-A, "Norma para construcción comercial de cableado de telecomunicaciones". Esta norma fue desarrollada y aprobada por comités del Instituto Nacional Americano de Normas (ANSI), la Asociación de la Industria de Telecomunicaciones (TIA), y la Asociación de la Industria Electrónica, (EIA) La norma establece criterios técnicos y de rendimiento para diversos componentes y configuraciones de sistemas. Además, hay un número de normas relacionadas que deben seguirse con apego. Dichas normas incluyen la ANSI/EIA/TIA-569,"Norma de construcción comercial para vías y espacios de telecomunicaciones", que proporciona directrices para conformar ubicaciones, áreas, y vías a través de las cuales se instalan los equipos y medios de telecomunicaciones. Otra norma relacionada es la ANSI/TIA/EIA-606, "Norma de administración para la infraestructura de telecomunicaciones en edificios comerciales". Proporciona normas para la codificación de colores, etiquetado, y documentación de un sistema de cableado instalado. Seguir esta norma, permite una mejor administración de una red, creando un método de seguimiento de los traslados, cambios y adiciones. Facilita además la localización de fallas, detallando cada cable tendido por características. ANSI/TIA/EIA-607, "Requisitos de aterrizado y protección para telecomunicaciones en edificios comerciales", que dicta prácticas para instalar sistemas de aterrizado que aseguren un nivel confiable de referencia a tierra eléctrica, para todos los equipos. Cada uno de estas normas funciona en conjunto con la 568-A. Cuando se diseña e instala cualquier sistema de telecomunicaciones, se deben revisar las normas adicionales como el código eléctrico nacional (NEC) de los E.U.A., o las leyes y previsiones locales como las especificaciones NOM (Norma Oficial Mexicana). AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 36 Y COMUNICACIONES Organización Internacional para la Normalización (ISO) Organización internacional que tiene a su cargo una amplia gama de estándares, incluyendo aquellos referidos al networking. ISO desarrolló el modelo de referencia OSI, un modelo popular de referencia de networking. La ISO establece en julio de 1994 la norma ISO 11801 que define una instalación completa (componente y conexiones) y valida la utilización de los cable de 100 o mega o 120 o mega. La ISO 11801 actualmente trabaja en conjunto para unificar criterios. Las ventajas de la ISO es fundamental ya que facilita la detección de las fallas que al momento de producirse esto afecte solamente a la estación que depende de esta conexión, permite una mayor flexibilidad para la expansión, eliminación y cambio de usuario del sistema. Los costos de instalación de UTP son superiores a los de coaxial, pero se evitan las pérdida económicaproducida por la caída del sistema por cuanto se afecte solamente un dispositivo. La ISO 11801 reitera la categoría EIA/TIA (Asociación de industria eléctricas y telecomunicaciones) .Este define las clases de aplicación y es denominado estándar de cableado de telecomunicaciones para edificio comerciales. COBIT Introducción COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los Interesados (Stakeholders); este permite el desarrollo de políticas claras y de buenas prácticas para control de TI a través de las empresas. COBIT constantemente se actualiza y armoniza con otros estándares. Por lo tanto, se ha convertido en el integrador de las mejores prácticas de TI y el marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con TI. La estructura de procesos de COBIT y su enfoque de alto nivel orientado al negocio brindan una visión completa de TI y de las decisiones a tomar acerca de la misma. Los beneficios de implementar COBIT como marco de referencia de gobierno sobre TI incluyen: Mejor alineación, con base en su enfoque de negocios Una visión, entendible para la gerencia, de lo que hace TI Propiedad y responsabilidades claras, con base en su orientación a procesos Aceptación general de terceros y reguladores AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 37 Y COMUNICACIONES Entendimiento compartido entre todos los Interesados, con base en un lenguaje común Cumplimiento de los requerimientos COSO para el ambiente de control de TI Marco de Trabajo COBIT Un marco de control para el Gobierno TI define las razones de por qué se necesita el Gobierno de TI, los interesados y que se necesita cumplir en el gobierno de TI. Por qué: Cada vez más, la alta dirección se está dando cuenta del impacto significativo que la información puede tener en el éxito de una empresa. La dirección espera un alto entendimiento de la manera en que la tecnología de información (TI) es operada y de la posibilidad de que sea aprovechada con éxito para tener una ventaja competitiva. Quién: Un marco de referencia de gobierno y de control requiere servir a una variedad de interesados internos y externos, cada uno de los cuales tiene necesidades específicas: Interesados dentro de la empresa que tienen interés en generar valor de las inversiones en TI Interesados internos y externos que proporcionan servicios de TI Interesados internos y externos con responsabilidades de control/riesgo Qué: Para satisfacer los requerimientos previos, un marco de referencia para el gobierno y el control de TI, debe satisfacer las siguientes especificaciones generales: Brindar un enfoque de negocios que permita la alineación entre las metas de negocio y de TI. Establecer una orientación a procesos para definir el alcance y el grado de cobertura, con una estructura definida que permita una fácil navegación en el contenido. Ser generalmente aceptable al ser consistente con las mejores prácticas y estándares de TI aceptados, y que sea independiente de tecnologías específicas. Proporcionar un lenguaje común, con un juego de términos y definiciones que sean comprensibles en general para todos los Interesados. Ayudar a satisfacer requerimientos regulatorios, al ser consistente con estándares de gobierno corporativo generalmente aceptados (COSO) y con controles de TI esperados por reguladores y auditores externos. Como respuesta a las necesidades descritas en la sección anterior, el marco de trabajo COBIT se creó con las características principales de ser orientado a negocios, orientado a procesos, basado en controles e impulsado por mediciones. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 38 Y COMUNICACIONES 3.1 Principio Básico de COBIT Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. Normalmente se ordenan dentro de dominios de responsabilidad de plan, construir, ejecutar y Monitorear. Dentro del marco de COBIT, estos dominios, como se muestra en la Figura 3.2, se llaman: Planear y Organizar (PO) – Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS). Adquirir e Implementar (AI) – Proporciona las soluciones y las pasa para convertirlas en servicios. Entregar y Dar Soporte (DS) – Recibe las soluciones y las hace utilizables por los usuarios finales. Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la dirección provista. 3.2 Dominios en COBIT AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 39 Y COMUNICACIONES Planear y Organizar (PO) Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. Este dominio cubre los siguientes cuestionamientos típicos de la gerencia: ¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Se entienden y administran los riesgos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? Pocesos PO1 Definir un Plan Estratégico de TI PO2 Definir la Arquitectura de la Información PO3 Determinar la Dirección Tecnológica PO4 Definir los Procesos, Organización y Relaciones de TI PO5 Administrar la Inversión en TI PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia PO7 Administrar Recursos Humanos de TI PO8 Administrar la Calidad PO9 Evaluar y Administrar los Riesgos de TI PO10 Administrar Proyectos Adquirir e Implementar (AI) Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas existentes está cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: ¿Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios no afectarán a las operaciones actuales del negocio? AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 40 Y COMUNICACIONES Procesos AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios Entregar y Dar Soporte (DS) Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operativos. Por lo general cubre las siguientes preguntas de la gerencia:¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? ¿Están optimizados los costos de TI? ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? Procesos DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 41 Y COMUNICACIONES Monitorear y Evaluar (ME) Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. Por lo general abarca las siguientes preguntas de la gerencia: ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? ¿La Gerencia garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño? Procesos ME1 Monitorear y Evaluar el Desempeño de TI ME2 Monitorear y Evaluar el Control Interno ME3 Garantizar el Cumplimiento Regulatorio ME4 Proporcionar Gobierno de TI A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente usados (ver figura 3.3 para la lista completa). Mientras la mayoría de las empresas ha definido las responsabilidades de planear, construir, ejecutar y monitorear para TI, y la mayoría tienen los mismos procesos clave, pocas tienen la misma estructura de procesos o le aplicaran todos los 34 procesos de COBIT. COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen todas, y, aun más, se pueden combinar como se necesite por cada empresa. Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que soporta. Información de cómo se pueden medir las metas, también se proporcionan cuáles son sus actividades clave y entregables principales, y quién es el responsable de ellas. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 42 Y COMUNICACIONES 3.3 Marco de Trabajo completo de COBIT AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 43 Y COMUNICACIONES Auditoria de dispositivos de Red AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 44 Y COMUNICACIONES Auditoria de dispositivos de Red Elementos a auditar en una red Seguridad Física El resultado de esta sección es encontrar condiciones que dentro de la infraestructura física, no de TI, pudiese influir en la seguridad de este última. Entre las condiciones que se busca verificar se encuentran: Los mecanismos de control de acceso físico a las instalaciones que albergan componentes del sistema de IT. Que existan mecanismos de respuesta automática ante intrusiones o situaciones anómalas. Ej. Aumento de temperatura, fuego, temblores. Que existan mecanismos adecuados de protección de respaldos y de los equipos ante amenazas de hurto o destrucción accidental. Que existan mecanismos adecuados de control de las condiciones ambientales que pudiesen influir en el funcionamiento de la tecnología, medios de almacenamiento u otros. Que existan medidas de contingencia antes riesgos físicos y que estos estén acorde a las condiciones del lugar y que el personal ha sido entrenado y los conoce. Que existan fuentes adicionales de suministro eléctrico. Que los equipos de suministro eléctrico están adecuadamente dimensionados y protegidos. Infraestructura inalámbrica Actualmente el desarrollo inalámbrico es uno de los aspectos que distingue el crecimiento de las redes de datos. Por otro lado, si bien la utilización de tecnologías inalámbricas permite ampliar el desarrollo de las redes de datos y amplía su campo de incidencia, trae consigo un grupo importante de riesgos. Por ejemplo una red mal configurada permitiría el acceso desde sitios remotos. En la terminología de seguridad se llama a esas redes “redes dulces”. Varias redes inalámbricas coexisten en este ambiente sin protección por lo que es posible conectarse a muchas de ellas e incluso acceder a los recursos internos de las organizaciones. Los siguientes aspectos son cubiertos por esta sección: Verificar la seguridad del esquema de autentificación y control de acceso. Verificar la seguridad del sistema DHCP. Verificar los mecanismos de control de integridad y confidencialidad. Verificar la Seguridad del entorno. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 45 Y COMUNICACIONES Infraestructura de detección de intrusos Uno de los elementos que conforman actualmente cualquier sistema de protección son los detectores de intrusos. Como los programas antivirus, un detector de intrusos busca patrones que puedan ser identificados en estas circunstancias no como virus sino como intrusiones, tráfico no permitido o fuera de rango, comportamiento anómalo de los sistemas, etc. Existen varias subdivisiones de los sistemas de detección de intrusos. Aquí nos referiremos a las dos más comunes. La división entre ellos se basa en el sitio donde se realizan la búsqueda de patrones. Los detectores de intrusos basados en servidores realizan su función buscando en las bitácoras de los sistemas que protegen. El éxito de un sistema de detección de intrusos se basa en la correcta configuración de los filtros de tráfico. Un filtro muy estricto generará tantas alarmas que será poco utilizable y será difícil encontrar información realmente útil dentro de una gran cantidad de registros de alarmas poco significativas. Lo contrario ocurre si los filtros son muy débiles, en este caso no se registrarán las alarmas necesarias. Otro aspecto es que el detector de intrusos verifique todos los sitios de acceso o servidores. Esta sección cubre los siguientes aspectos: Verificar la configuración básica de seguridad de un Detector de Intrusos Basado en red. Verificar la seguridad del sistema los Sistemas de Detección de Intrusos basados en host. Dispositivos Firewalls Los dispositivos cortafuegos (firewalls) son uno de los baluartes de cualquier sistema de seguridad. Muchos son los aspectos que deben tomarse en cuenta para que un dispositivo firewall sea realmente un dispositivo útil y entre los puntos más importantes que están directamente relacionados con el cumplimiento de las funciones de seguridad informática para las cuales una organización coloca un dispositivo firewall en su red son: Verificar efectividad de las reglas de filtrado. Verificar efectividad de las políticas de mantenimiento de la configuración Verificar configuración y seguridad del sistema de bitácoras. AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 46 Y COMUNICACIONES Principales protocolos de Seguridad Un escenario típico consiste en algunos,