Auditoria de Redes e Tecnologias

Vista previa del material en texto

INST
ESCUEL
SEM
Au
TITUTO P
LA SUPERI
UNID
MINARIO
INFO
uditor
QUE
POLITÉC
IOR DE ING
ELÉCTR
DAD CULH
O: AUDITO
RMACIÓ
T
ría de
de la
E PARA O
P R
NICO NA
GENIERÍA
RICA
HUACÁN
ORIA DE
ÓN Y COM
TESIN
l Swit
a Red
OBTENER
E S E
ACIONAL
MECÁNIC
E TECNOL
MUNICAC
NA
tch de
d LAN
R EL TÍTU
N T A
A Y
LOGIAS
CIONES
e Acc
N
ULO DE
A
DE LA
ceso
LICENCIADO EN CIENCIAS DE LA COMUNICACIÓN
ALEJANDRO SAUCEDO VIDALS
ASESOR: RAYMUNDO SANTANA ALQUICIRA
MARZO 2011
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 2 
 Y COMUNICACIONES 
 
 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 3 
 Y COMUNICACIONES 
 
AGRADECIMIENTOS 
 
A nuestras familias por brindarnos las herramientas, apoyo y cariño 
para lograr esta etapa de nuestra educación y por siempre estar con 
nosotros. 
A nuestra institución el Instituto Politécnico Nacional, que a través de 
la UPIICSA y la ESIIME Culhuacán nos brindaron herramientas y 
conocimientos para poder aportar a la sociedad como profesionistas, 
comprometidos con brindar lo mejor de nosotros en cada tarea que 
emprendamos. 
A los amigos y aquellas personas que han estado en nuestro camino 
enseñándonos, apoyándonos y brindándonos un tiempo de calidad 
que hoy se ve reflejado en lo que somos y que también son parte de 
esta culminación de una etapa de vida. 
A nuestros profesores y asesores que nos guiaron y aportaron 
conocimientos que seguro serán de suma importancia en el camino 
profesional. 
Finalmente agradecemos la oportunidad que hoy tenemos de poder 
obtener el título profesional que nos representa una meta alcanzada, 
pero que a la vez es el comienzo de una nueva etapa llena de retos 
que afrontar y que sin duda tomaremos con la mejor de las actitudes. 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 4 
 Y COMUNICACIONES 
INDICE GENERAL 
AUDITORIA INFORMÁTICA 8 
CONCEPTO DE AUDITORÍA 8 
DEFINICIÓN 8 
¿QUIÉN HACE LA AUDITORÍA? 8 
EVOLUCIÓN DE LA PRÁCTICA DE AUDITORÍA 8 
ENFOQUE TRADICIONAL: 8 
NUEVA VISIÓN: 8 
DIFERENCIAS ENTRE AUDITORÍA INFORMÁTICA… 9 
… Y CONTROL INTERNO 9 
INTRODUCCIÓN A LA ADMINISTRACIÓN DE RIESGOS 10 
AUDITORÍA INTERNA 10 
¿QUÉ ES UN RIESGO? 10 
ADMINISTRACIÓN DE RIESGOS (AR) 10 
ESTABLECER Y FUNDAR UN EQUIPO DE ARI 11 
ANÁLISIS DE VULNERABILIDADES 11 
MAPEO DE AMENAZAS/ VULNERABILIDAD/ RECURSOS 12 
MITIGACIÓN DEL RIESGO 12 
ANÁLISIS COSTO-BENEFICIO 12 
REPORTE FINAL 12 
POLÍTICAS GENERALES DE SEGURIDAD 12 
CONCEPTOS GENERALES DE RED 17 
INTRODUCCIÓN 17 
TIPOS DE RED 17 
PAN (PERSONAL AREA NETWORK/ÁREA DE RED PERSONAL) 17 
LAN (LOCAL AREA NETWORK/RED DE ÁREA LOCAL) 18 
MAN (METROPOLITAN AREA NETWORK/RED DE ÁREA METROPOLITANA) 19 
WAN (WIDE AREA NETWORK/RED DE ÁREA AMPLIA) 19 
GAN (GENERIC ACCESS NETWORK/RED DE ACCESO GENÉRICO) 20 
VLAN (VIRTUAL LOCAL AREA NETWORK/RED DE ÁREA LOCAL VIRTUAL) 20 
VPN (VIRTUAL PRIVATE NETWORK/RED PRIVADA VIRTUAL) 21 
TOPOLOGÍAS DE RED 21 
TOPOLOGÍAS EN BUS O LINEAL 22 
TOPOLOGÍA DE ÁRBOL 22 
TOPOLOGÍA DE ANILLO 23 
TOPOLOGÍA EN ESTRELLA 24 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 5 
 Y COMUNICACIONES 
TOPOLOGÍA DE MALLA 25 
EQUIPOS DE COMUNICACIÓN 26 
SWITCH 26 
ROUTER 27 
PRINCIPALES MARCOS DE REFERENCIA Y METODOLOGÍAS 29 
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) 29 
THE CRITERIA OF CONTROL BOARD (COCO) 30 
MODELO DE MADUREZ (MATURITY MODEL) 31 
INFORMATION TECHNOLOGIES INFRASTRUCTURE LIBRARY (ITIL) 32 
CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 33 
ESTÁNDARES DE IEEE 34 
ANSI 35 
ORGANIZACIÓN INTERNACIONAL PARA LA NORMALIZACIÓN (ISO) 36 
COBIT 36 
INTRODUCCIÓN 36 
MARCO DE TRABAJO COBIT 37 
PLANEAR Y ORGANIZAR (PO) 39 
ADQUIRIR E IMPLEMENTAR (AI) 39 
ENTREGAR Y DAR SOPORTE (DS) 40 
MONITOREAR Y EVALUAR (ME) 41 
AUDITORIA DE DISPOSITIVOS DE RED 44 
ELEMENTOS A AUDITAR EN UNA RED 44 
SEGURIDAD FÍSICA 44 
INFRAESTRUCTURA INALÁMBRICA 44 
INFRAESTRUCTURA DE DETECCIÓN DE INTRUSOS 45 
DISPOSITIVOS FIREWALLS 45 
PRINCIPALES PROTOCOLOS DE SEGURIDAD 46 
GENERIC ROUTING ENCAPSULATION (GRE 47) 46 
POINT-TO-POINT TUNNELING PROTOCOL. 46 
IP SEC 47 
PROTOCOLO DE TUNELADO DE NIVEL 2 (L2TP) 47 
SECURE SHELL (SSH) 47 
PROTECCIÓN DE LOS SISTEMAS ELECTRÓNICOS Y ELÉCTRICOS 47 
IMPLEMENTACIÓN DE UPS 47 
JAULA DE FARADAY 48 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 6 
 Y COMUNICACIONES 
ACONDICIONAMIENTO DE AIRE. 48 
IMPORTANCIA DE AUDITAR UNA RED Y CONCEPTO DE AUDITORÍA DE RED 49 
AUDITORIA DE LA RED FÍSICA 49 
AUDITORIA DE LA RED LÓGICA 50 
AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 51 
ESTADO ACTUAL 52 
PROBLEMÁTICA 52 
PROPUESTA 52 
ESTUDIO GENERAL DEL ÁREA A AUDITAR 52 
PLANEACIÓN Y PROGRAMA DE TRABAJO 53 
REUNIÓN CON ÁREA PARA NOTIFICAR AUDITORÍA 53 
ENTREGA DE OFICIO DE ORDEN Y LEVANTAMIENTO DE ACTA DE INICIO DE AUDITORÍA 54 
SOLICITUD DE INFORMACIÓN Y DOCUMENTACIÓN 54 
ENTREVISTAS CON RESPONSABLES DE ACTIVIDADES 54 
ANÁLISIS DE LA INFORMACIÓN 55 
EVALUACIÓN DEL CONTROL INTERNO 55 
PRUEBAS SUSTANTIVAS Y DE CUMPLIMIENTO 56 
IDENTIFICACIÓN DE IRREGULARIDADES 56 
REUNIÓN PARA COMENTAR IRREGULARIDADES 56 
ELABORACIÓN DE REPORTES E INFORME DE OBSERVACIONES 57 
MATRIZ DE RIESGO 57 
REUNIÓN DE CONFRONTA, LEVANTAMIENTO DE ACTA DE CIERRE Y FIRMA DE OBSERVACIONES.
 60 
ELABORACIÓN DE OFICIO DE ENVÍO DE INFORME Y REPORTE DE OBSERVACIONES. 61 
CONCLUSIONES. 63 
ANEXOS 64 
GLOSARIO 103 
BIBLIOGRAFÍA 108 
 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 7 
 Y COMUNICACIONES 
 
Conceptos 
Generales 
de Auditoría 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 8 
 Y COMUNICACIONES 
Auditoria Informática 
Concepto de auditoría 
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra 
auditor, que se refiere a todo aquel que tiene la virtud de oír. 
 
Definición 
Es un proceso, de recoger, agrupar y evaluar evidencias para determinar si un 
sistema de información salvaguarda los activos, mantiene la integridad de los 
datos, lleva a cabo los fines de la organización, y utiliza eficientemente los 
recursos. Proceso metodológico para valorar y evaluar la confianza que se puede 
depositar en TI. La auditoría informática evalúa y comprueba los controles y 
procedimientos informáticos más complejos, desarrollando y aplicando técnicas 
mecanizadas de auditoría, incluyendo el uso de software. La auditoría operativa o 
de gestión es una revisión que comprende las actividades, sistemas y controles 
dentro de la empresa para conseguir economía, eficiencia, eficacia u otros 
objetivos. 
 
¿Quién hace la auditoría? 
La realización de las auditorias corresponde a los auditores, pudiéndose dividir la 
función auditora en dos grandes grupos: La auditoría externa y la auditoría interna. 
La función de auditoría informática puede existir en cualquiera de los citados 
entornos. 
 
Evolución de la práctica de Auditoría 
Enfoque tradicional: 
Su finalidad está asociada a la evaluación de un conjunto de prácticas operativas 
vinculadas al diseño, desarrollo y explotación del soporte IT, así como la 
adquisición de bienes o contratación de servicios requeridos para brindar estas 
funciones y su administración (cumplimiento). 
 
Nueva visión: 
Evaluar el nivel de seguridad y control del entorno de IT asegurándose que el 
mismo refuerza la estructura de control interno de la organización (cumplimiento). 
Asegurar que la organización obtiene en mayor beneficio de sus recursos de IT 
(Gobierno de TI) contribuyendo a reforzar el Gobierno Corporativo de la 
Organización (Desempeño y Gestión). 
 
 
 
 AUDITORÍA DEL SWITCH DEACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 9 
 Y COMUNICACIONES 
Diferencias entre Auditoría Informática… 
 
 Tiene la función de vigilancia y evaluación mediante dictámenes y todas las 
metodologías van encaminadas a esta función. 
 Tiene sus propios objetivos distintos a los auditores de cuentas. Los 
auditores de cuentas la necesitan para utilizar la información de sus 
sistemas para evaluaciones financieras y operativas. 
 Evalúan eficiencia, costo y seguridad en su más amplia visión. 
 Operan según el plan auditor. 
 Establecen planes con tiempos definidos y ciclos completos. 
 Sistemas de evaluación de repetición de auditoría por nivel de exposición 
del área auditada y el resultado de la última auditoria de esta área. 
 Función de soporte informático de todos los auditores 
 
… y Control Interno 
 
 Funciones de control dual con otros departamentos. 
 Función normativa y del cumplimiento del marco jurídico. 
 Tiene funciones propias (Administración de la Seguridad lógica, etc.) 
 Responsable del desarrollo y actualización del plan de contingencias, 
manuales de procedimientos y plan de seguridad. 
 Dictar normas de seguridad informática. 
 Definir los procedimientos de control. 
 Control de soportes físicos. 
 Control de información sensible o comprometida. 
 Control de calidad del servicio informático. 
 Definición de requerimientos de seguridad en proyectos nuevos. 
 Control de cambios y versiones. 
 El control informático es el componente de la actuación segura entre los 
usuarios, la informática y control interno, todos ellos auditados por auditoría 
informática. 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 10 
 Y COMUNICACIONES 
 
 
Tabla. 1.1 Diferencias entre Auditoria Informática y Control Interno 
 
Introducción a la Administración de Riesgos 
Auditoría interna 
La auditoría interna en una actividad independiente, objetiva en la consulta y el 
aseguramiento, diseñada para agregar valor y mejorar la operación de las 
organizaciones. Esta ayuda a las organizaciones a cumplir sus objetivos 
aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia 
en la gestión de riesgo, control y el gobierno de procesos. 
 
¿Qué es un riesgo? 
La palabra deriva del italiano risicare que significa "atreverse". En este sentido, el 
riesgo es una opción en lugar de un destino. De las acciones que nos atrevemos a 
tomar, depende la toma de decisiones, son lo que la historia de riesgos es para 
todos nosotros. No todos los proyectos requieren un planteamiento formal de 
gestión de riesgos, pero para obtener el máximo beneficio, la gestión del riesgo 
debe convertirse en un proceso sistemático. 
 
El riesgo está presente en las organizaciones en todos los niveles de operación, 
desde el nivel estratégico, nivel operativo y nivel táctico, pero normalmente se 
describe como un negocio o el riesgo operativo. 
 
Administración de Riesgos (AR) 
Un programa de administración de riesgos de la información está basado sobre las 
buenas políticas de administración de riesgos, las cuales abarcan todos los 
aspectos relevantes de la infraestructura, y de todo aquello que contenga que ver 
con la información. La política de AR debe ser de alto nivel basada en los objetivos 
del negocio, los objetivos de la seguridad, con un enfoque bien definido, 
 Control Interno Informático Auditoria Informática 
Similitudes 
Personal Interno 
Conocimientos Especializados en Tecnologías de la Información 
Verificación del Cumplimiento de Controles Internos, Normativa y Procedimientos, 
Establecidos por la Dirección de Informática y la Dirección General para los Sistemas de 
Información. 
Diferencias 
Análisis de los controles en el día a día Análisis de un momento 
informático determinado 
Informa a la Dirección del Departamento de 
Informática 
Informa a la Dirección General de 
la Organización 
Solo personal interno Personal interno y/o Externo 
El alcance de sus funciones es únicamente sobre el 
Departamento de Informática 
Tiene cobertura sobre todos los 
componentes de los sistemas de 
información de la Organización 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 11 
 Y COMUNICACIONES 
responsabilidades, alcances y desventajas; todos estos aspectos de forma clara y 
acordados. De igual manera, estas políticas deberán ser bien comunicadas a todo 
el personal involucrado. 
 
Establecer y fundar un equipo de ARI 
La principal tarea de un equipo de ARI es la valoración de los riesgos (Risk 
Assessment). Esta tarea constituye la principal para poder justificar los controles 
necesarios y el presupuesto indicado, de acuerdo a los resultados que un “risk 
assessment” arroje. 
 
Identificar Recursos Análisis de amenazas 
Amenazas 
Personales Externas 
Lista de recursos que 
se necesitan proteger 
Identifica amenazas 
que puedan impactar 
el ambiente o 
infraestructura 
evaluada 
Gente clave enferma Perdida de servicios (voz y datos) 
Amplio conocimiento 
de instalaciones, 
contratos con 
proveedores, 
garantías y leyes, etc. 
Amenazas 
ambientales: Fuego, 
terremotos, 
explosiones o 
inundaciones 
Enfermedades 
simultaneas 
(Epidemias) 
Perdida de Servicios 
Elementales (luz, 
agua, teléfono, etc.) 
por un periodo largo 
Bienes tangibles e 
intangibles (todo lo de 
valor) 
Incluir eventos raros 
pero posibles (fallas 
en la estructura del 
edificio 
Perdida (renuncia / 
terminación de 
contrato / muerte) de 
persona 
Fenómenos Naturales 
Considerar pérdida o 
daño de recursos en 
términos de pérdida 
de tiempo, costo, 
reparación, utilidad o 
reemplazo. 
 Robos (discos, laptops 
 
Software 
malintencionado 
(Virus, spyware, etc.) 
 Proveedores en quiebra 
 Contratistas 
 Terrorismo político 
 Mal uso de los recursos. 
 
Tabla 1.2 Principales actividades del Risk Assessment 
 
Análisis de vulnerabilidades 
Esta tarea incluye la identificación de las vulnerabilidades que puedan incrementar 
la frecuencia o impacto en el caso de una amenaza que afecte al ambiente en 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 12 
 Y COMUNICACIONES 
cuestión. Es el identificar las vulnerabilidades que permitirán a las amenazas 
ocurrir con mayor frecuencia, mayor impacto, o ambos. 
 
Mapeo de Amenazas/ Vulnerabilidad/ Recursos 
Es necesaria establecer las relaciones entre las amenazas, vulnerabilidad y los 
recursos que se ven afectados. Esto traerá como consecuencia una manera 
consistente de medir las consecuencias entre estos tres aspectos. 
 
Mitigación del riesgo 
La primera tarea en esta etapa es la de completar la valoración (risk assessment) 
con el proceso de mitigación del riesgo, costeo y análisis de costo-beneficio. 
 
Selección de salvaguardas (controles) y análisis de la mitigación de riesgos 
Esta tarea incluye la identificación las salvaguardas que mitiguen las 
vulnerabilidades y el grado en que dichas salvaguardas puedan reducir el impacto 
o la frecuencia de una amenaza. En otras palabras, esta tarea abarca la 
evaluación de riesgos relativo a los recursos y a las amenazas antes y después de 
que han sido aplicadas las salvaguardas seleccionadas 
 
Análisis costo-beneficio 
Esta tarea incluye la valoración del grado de una reducción de riesgo, la cual se 
espera alcanzar mediante la implantación de las salvaguardas de reducción de 
riesgos seleccionadas. El beneficio bruto menos el costo anual de las 
salvaguardas seleccionadas para alcanzar la reducción del nivel de riesgo, nos 
lleva al beneficio neto. Herramientas para calcular el retorno de la inversión o el 
valor presente, siempre son utilizadas para realizar un análisis más detallado de la 
actividad de los costos de las salvaguardas. 
 
Reporte Final 
Este reporte incluye el reporte interno como losdetalles y recomendaciones de la 
selección de salvaguardas y el análisis de mitigación del riesgo, además de las 
tareas realizadas para apoyar el análisis costo-beneficio. Este reporte, con las 
recomendaciones adecuadas, proporciona a los altos niveles con las bases 
subsecuentes acciones en la administración de riesgos. 
 
Políticas generales de seguridad 
 
¿Por qué hablar de la Seguridad de la Información? 
 Porque el negocio se sustenta a partir de la información que maneja. 
 Porque no sólo es un tema Tecnológico. 
 Porque la institución no cuenta con Políticas de Seguridad de la Información 
formalmente aceptadas y conocidas por todos. 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 13 
 Y COMUNICACIONES 
 Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo 
mayor. 
 “Ninguna medicina es útil a menos que el paciente la tome”. 
 
 Reconocer los activos de información importantes para la institución. 
 Información propiamente: bases de datos, archivos, conocimiento de las 
personas 
 Documentos: contratos, manuales, facturas, pagarés, solicitudes de 
créditos. 
 Software: aplicaciones, sistemas operativos, utilitarios. 
 Físicos: equipos, edificios, redes. 
 Recursos humanos: empleados internos y externos. 
 Servicios: electricidad, soporte, mantención. 
 
Reconocer las Amenazas a que están expuestos 
 
Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad, 
Integridad o Disponibilidad de los Activos de Información”. 
Ejemplos: 
 Desastres naturales (terremotos, inundaciones) 
 Errores humanos 
 Fallas de Hardware y/o Software 
 Fallas de servicios (electricidad) 
 Robo 
 
Reconocer las Vulnerabilidades 
 
Vulnerabilidad: “Una debilidad que facilita la materialización de una amenaza” 
Ejemplos: 
 Inexistencia de procedimientos de trabajo 
 Concentración de funciones en una sola persona 
 Infraestructura insuficiente 
 
Identificación de Riesgos 
Riesgo: “La posibilidad de que una amenaza en particular explote una 
vulnerabilidad y afecte un activo” 
¿Que debe analizarse? 
El impacto (leve, moderado, grave) 
La probabilidad (baja, media, alta) 
 
Estándares de Seguridad 
Normas Internacionales de seguridad 
Proporcionan un conjunto de buenas prácticas en gestión de seguridad de la 
información: 
Ejemplos ISO/IEC 17799, COBIT, ISO 15408 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 14 
 Y COMUNICACIONES 
ISO 17799 que tiene la bondad de ser transversal a las organizaciones, abarcando 
la seguridad como un problema integral y no meramente técnico. 
 
Políticas, planes y procedimientos 
 
Las Políticas definen qué se debe proteger en el sistema, mientras que los 
Procedimientos de Seguridad describen cómo se debe conseguir dicha protección 
 
¿Qué es una Política? 
Conjunto de orientaciones o directrices que rigen la actuación de una persona o 
entidad en un asunto o campo determinado. 
 
¿Qué es una Política de Seguridad? 
Conjunto de directrices que permiten resguardar los activos de información. 
 
¿Cómo debe ser la política de seguridad? 
 Definir la postura del Director y de la gerencia con respecto a la necesidad 
de proteger la información corporativa. 
 Definir la base para la estructura de seguridad de la organización. 
 Ser un documento de apoyo a la gestión de seguridad informática. 
 Tener larga vigencia, manteniéndose sin grandes cambios en el tiempo. 
 Ser general, sin comprometerse con tecnologías específicas. 
 Debe abarcar toda la organización. 
 Debe ser clara y evitar confusiones. 
 No debe generar nuevos problemas. 
 Debe permitir clasificar la información en confidencial, uso interno o pública. 
 Debe identificar claramente funciones específicas de los empleados como: 
responsables, custodio o usuario, que permitan proteger la información. 
 
¿Qué debe contener una política de seguridad de la información? 
 
 Políticas específicas 
 Procedimientos 
 Estándares o prácticas 
 Estructura organizacional 
 
Políticas Específicas 
Definen en detalle aspectos específicos que regulan el uso de los recursos de 
información y están más afectas a cambios en el tiempo que la política general. 
 
Procedimiento 
Define los pasos para realizar una actividad 
Evita que se aplique criterio personal. 
 
Estándar 
En muchos casos depende de la tecnología 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 15 
 Y COMUNICACIONES 
Se debe actualizar periódicamente 
 
Aspectos a considerar en una política 
 
 Alcance: recursos, instalaciones y procesos de la organización sobre los 
que se aplican. 
 Objetivos perseguidos y prioridades de seguridad. 
 Compromiso de la Dirección de la organización. 
 Clasificación de la información e identificación de los activos a proteger. 
 Análisis y gestión de riesgos. 
 Elementos y agentes involucrados en la implantación de las medidas de 
seguridad. 
 Asignación de responsabilidades en los distintos niveles organizativos. 
 Definición clara y precisa de los comportamientos exigidos y de los que 
están prohibidos (“AppropriateUsePolicy”) por parte del personal. 
 Identificación de las medidas, normas y procedimientos de seguridad a 
implantar. 
 Gestión de las relaciones con terceros (clientes, proveedores, partners. 
etc). 
 Gestión de incidentes. 
 Planes de contingencia y de continuidad del negocio. 
 Cumplimiento de la legislación vigente. 
 Definición de las posibles violaciones y de las consecuencias derivadas del 
incumplimiento de las Políticas de Seguridad 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 16 
 Y COMUNICACIONES 
 
 
 
Conceptos 
Generales 
de Red 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 17 
 Y COMUNICACIONES 
CONCEPTOS GENERALES DE RED 
 
Introducción 
La fusión de las computadoras y las comunicaciones ha tenido una influencia 
profunda en la manera en que están organizados los sistemas computacionales. 
El modelo antiguo de una sola computadora que realiza todas las tareas ha sido 
reemplazado por otro en el que un gran número de computadoras separadas pero 
interconectadas hacen el trabajo. Estos sistemas se denominan “Redes de 
Computadoras”; el cual se define como un conjunto de computadoras autónomas 
interconectadas. 
 
El objetivo principal de una red es interconectar diferentes sistemas de cómputo y, 
en general, distintos equipos terminales de datos (EDT), para que compartan 
recursos, intercambien datos y se apoyen mutuamente. Un segundo objetivo de 
las redes es proporcionar alta confiabilidad en la preservación y fidelidad de la 
información que transportan, así como el funcionamiento de la red. Esto significa 
que los datos no se deben perder durante su manejo y deben conservarse 
siempre sin alteraciones con respecto a los datos originales. 
 
Tipos de Red 
Las redes de información se pueden clasificar según su extensión y su topología. 
Una red puede empezar siendo pequeña para crecer junto con la organización o 
institución. A continuación se presenta los distintos tipos de redes disponibles: 
Por Cobertura: 
 PAN 
 LAN 
 MAN 
 WAN 
 GAN 
 VLAN 
 VPN 
 
PAN (Personal Area Network/Área de Red Personal) 
Se establece que las redes de área personal son una configuración básica 
llamada así mismo personal. Actualmente existen diversas tecnologías que 
permiten su desarrollo, entre ellas se encuentran la tecnología inalámbrica 
Bluetooth o las tecnologías de infrarrojos. Sin embargo para su completo 
desarrollo es necesario que estas redes garanticen una seguridad de alto nivel, 
que sean altamente adaptables a diversos entornos, y que sean capaces de 
proporcionar una alta gama de servicios y aplicaciones. 
Las redes para espacios personales continúandesarrollándose hacia la tecnología 
del Bluetooth y el concepto de redes dinámicas, el cual nos permite una fácil 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 18 
 Y COMUNICACIONES 
comunicación con los dispositivos que van adheridos a nuestro cuerpo o a nuestra 
indumentaria, ya sea que estemos en movimiento o no, dentro del área de 
cobertura de nuestra red. PAN prevé el acercamiento de un paradigma de redes, 
la cual atrae el interés de los investigadores y las industrias que quieren aprender 
más acerca de las soluciones avanzadas para redes, tecnologías de radio, altas 
transferencias de bits, nuevos patrones para celulares, y un soporte de software 
más sofisticado. 
El sistema tendrá que soportar diferentes aplicaciones y distintos escenarios de 
operación, y así poder abarcar una gran variedad de dispositivos. 
 
 
 
Fig. 2.1Red de Tipo Personal 
 
LAN (Local Area Network/Red de Área Local) 
En su aplicación más extendida una red LAN, es la interconexión de ordenadores 
personales y estaciones de trabajo en oficinas, fábricas, etc.; para compartir 
recursos e intercambiar datos y aplicaciones. Todas las redes están diseñadas 
para compartir dispositivos y tener acceso a ellos de una manera fácil y sin 
complicaciones. 
Características 
 Operan dentro de un Área geográfica limitada. 
 Permite el multiacceso a medios con alto ancho de banda. 
 Controla la red de forma privada con administración Local 
 Proporciona conectividad continua a los servicios locales. 
 Conecta dispositivos físicamente adyacentes 
 Capacidad de transmisión comprendida entre 1 Mbps y 1 Gbps. 
 Extensión máxima no superior a 3 km (una FDDI puede llegar a 200 km). 
 Uso de un medio de comunicación privado. 
 La simplicidad del medio de transmisión que utiliza (cable coaxial, cables 
telefónicos y fibra óptica). 
 La facilidad con que se pueden efectuar cambios en el hardware y el 
software. 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 19 
 Y COMUNICACIONES 
 Gran variedad y número de dispositivos conectados. 
 Posibilidad de conexión con otras redes. 
 Limitante de 100 m, puede llegar a más si se usan repetidores. 
 
MAN (Metropolitan Area Network/Red de Área Metropolitana) 
Es una red de alta velocidad (banda ancha) que da cobertura en un área 
geográfica extensa, proporciona capacidad de integración de múltiples servicios 
mediante la transmisión de datos, voz y vídeo, sobre medios de transmisión tales 
como fibra óptica y par trenzado, la tecnología de pares de cobre se posiciona 
como la red más grande del mundo y es una excelente alternativa para la creación 
de redes metropolitanas, por su baja latencia (entre 1 y 50 ms), gran estabilidad y 
la carencia de interferencias radioeléctricas, las redes MAN, ofrecen velocidades 
de 10Mbps, 20Mbps, 45Mbps, 75Mbps, sobre pares de cobre y 100Mbps, 1Gbps y 
10Gbps mediante Fibra Óptica. 
Las Redes MAN, se basan en tecnologías Bonding, de forma que los enlaces 
están formados por múltiples pares de cobre con el fin de ofrecer el ancho de 
banda necesario. Además esta tecnología es muy estable, gracias a que los 
enlaces están formados por múltiples pares de cobre y es materialmente imposible 
que 4, 8 ó 16 hilos se averíen de forma simultánea. Estas redes pueden ser 
públicas o privadas. 
 
WAN (Wide Area Network/Red de Área Amplia) 
Es un tipo de red capaz de cubrir distancias desde unos 100 hasta unos 1000 km, 
brindando servicio a un país o un continente. 
Muchas WAN son construidas por y para una organización o empresa particular y 
son de uso privado, otras son construidas por los proveedores de internet (ISP) 
para proveer de conexión a sus clientes. Hoy en día internet proporciona WAN de 
alta velocidad, y la necesidad de redes privadas WAN se ha reducido 
drásticamente. Normalmente la WAN es una red punto a punto, es decir, red de 
paquete conmutado. 
 
 
Fig. 2.2 Tipos de Redes 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 20 
 Y COMUNICACIONES 
GAN (Generic Access Network/Red de Acceso Genérico) 
Describe los sistemas de telecomunicación que permiten un roaming transparente 
con handover entre LAN’s y WAN’s utilizando un mismo teléfono móvil que ha de 
ser de modo dual. En la parte de red de área local el acceso radio de los sistemas 
GAN se efectúa en bandas ISM de uso común, del tipo 802.11 (WiFi). Mientras 
que en la parte de comunicación móvil en el exterior de edificios, donde no hay 
cobertura WiFi, se emplean servicios de 2,5G del tipo GSM/GPRS, o 3G UMTS. 
Lo que se persigue con las redes GAN es alcanzar una convergencia plena de 
servicios fijos y móviles basados en IP, incluida la telefonía vocal. Para ello es 
preciso que los operadores de telefonía móvil que quieran beneficiarse de esta 
convergencia tengan redes con arquitectura en Subsistema Multimedia IP (IMS) y 
los de telefonía fija tengan servicios equivalentes a los móviles mediante redes IP 
fijas. 
 
VLAN (Virtual Local Area Network/Red de Área Local Virtual) 
Es una red de área local que agrupa un conjunto de equipos de manera lógica y 
no física. Efectivamente, la comunicación entre los diferentes equipos en una red 
de área local está regida por la arquitectura física. Gracias a las redes virtuales 
(VLAN), es posible liberarse de las limitaciones de la arquitectura física 
(limitaciones geográficas, limitaciones de dirección, etc.), ya que se define una 
segmentación lógica basada en el agrupamiento de equipos según determinados 
criterios (direcciones MAC, números de puertos, protocolo, etc.). 
 
Tipos de Vlan 
Se han definido diversos tipos de VLAN, según criterios de conmutación y el nivel 
en el que se lleve a cabo: 
 VLAN de nivel 1 (también denominada VLAN basada en puerto) define una 
red virtual según los puertos de conexión del switch. 
 VLAN de nivel 2 (también denominada VLAN basada en la dirección MAC) 
define una red virtual según las direcciones MAC de las estaciones. Este 
tipo de VLAN es más flexible que la VLAN basada en puerto, ya que la red 
es independiente de la ubicación de la estación. 
 VLAN de nivel 3: existen diferentes tipos de VLAN de nivel 3: 
 VLAN basada en la dirección de red: conecta subredes según la 
dirección IP de origen de los datagramas. Este tipo de solución 
brinda gran flexibilidad, en la medida en que la configuración de los 
switches cambia automáticamente cuando se mueve una estación. 
En contrapartida, puede haber una ligera disminución del 
rendimiento, ya que la información contenida en los paquetes debe 
analizarse detenidamente. 
 VLAN basada en protocolo: permite crear una red virtual por tipo de 
protocolo (por ejemplo, TCP/IP, IPX, AppleTalk, etc.). Por lo tanto, se 
pueden agrupar todos los equipos que utilizan el mismo protocolo en 
la misma red. 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 21 
 Y COMUNICACIONES 
VPN (Virtual Private Network/Red Privada Virtual) 
Existe Software que nos permiten tener acceso remoto a diferentes computadores 
simulando que estamos trabajando ahí mismo, el cual nos permite una vez 
instalado en los dos equipos acceder de forma inmediata a los equipos y aparentar 
estar trabajando en ellos sin hacer presencia física, todo esto por medio de la red. 
Tipos de VPN 
Básicamente existen tres arquitecturas de conexión VPN: 
 VPN de acceso remoto: Es quizás el modelo más usado actualmente, y 
consiste en usuarios o proveedores que se conectan con la empresa desde 
sitios remotos (oficinas comerciales, domicilios, hoteles, aviones 
preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez 
autenticados tienen un nivel de acceso muy similar al que tienen en la red 
local de la empresa. 
 VPN punto a punto: Este esquema se utiliza para conectar oficinas remotas 
con la sedecentral de la organización. El servidor VPN, que posee un 
vínculo permanente a Internet, acepta las conexiones vía Internet 
provenientes de los sitios y establece el túnel VPN. Los servidores de las 
sucursales se conectan a Internet utilizando los servicios de su proveedor 
local de Internet, típicamente mediante conexiones de banda ancha. Esto 
permite eliminar los costosos vínculos punto a punto tradicionales 
(realizados comúnmente mediante conexiones de cable físicas entre los 
nodos), sobre todo en las comunicaciones internacionales. 
 Tunneling: La técnica de tunneling consiste en encapsular un protocolo de 
red sobre otro (protocolo de red encapsulador) creando un túnel dentro de 
una red de computadoras. El establecimiento de dicho túnel se implementa 
incluyendo una PDU determinada dentro de otra PDU con el objetivo de 
transmitirla desde un extremo al otro del túnel sin que sea necesaria una 
interpretación intermedia de la PDU encapsulada. De esta manera se 
encaminan los paquetes de datos sobre nodos intermedios que son 
incapaces de ver en claro el contenido de dichos paquetes. El túnel queda 
definido por los puntos extremos y el protocolo de comunicación empleado, 
que entre otros, podría ser SSH. 
 VPN over LAN: Este esquema es el menos difundido pero uno de los más 
poderosos para utilizar dentro de la empresa. Es una variante del tipo 
"acceso remoto" pero, en vez de utilizar Internet como medio de conexión, 
emplea la misma red de área local (LAN) de la empresa. Sirve para aislar 
zonas y servicios de la red interna. Esta capacidad lo hace muy 
conveniente para mejorar las prestaciones de seguridad de las redes 
inalámbricas (WiFi). 
 
TOPOLOGÍAS DE RED 
 
En el contexto de una red de comunicaciones, el término TOPOLOGÍA se refiere a 
la forma según la cual se interconectan entre sí los puntos finales, o estaciones, 
conectados a la red. Las topologías usuales en redes, son: bus o lineal, árbol, 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 22 
 Y COMUNICACIONES 
anillo y estrella. El bus es un caso especial de la topología en árbol, con un solo 
tronco y sin ramas. 
 
Topologías en Bus o Lineal 
En esta tecnología, todas las estaciones de trabajo se conectan a un canal de 
comunicaciones único (bus). Toda la información fluye por el canal y cada estación 
recibe solo la información que va dirigida a ella, este tipo de redes son sencillas de 
instalar y brindan gran flexibilidad para aumentar o disminuir el número de 
estaciones, La cantidad de cable que se utiliza es mínima, sobre todo en 
comparación con la topología de estrella, pues el cable no tiene que ir desde el 
servidor hasta cada una de las estaciones de trabajo. Tiene la ventaja además de 
que la falla en alguna de las estaciones no repercute en la red, pero una ruptura 
en la línea común si la inutilizará por completo. 
 
Se caracteriza por el uso de un medio multipunto, en este caso, todas las 
estaciones se encuentran directamente conectadas, a través de interfaces físicas 
apropiadas conocidas como Tomas de Conexión (taps), a un medio de transmisión 
lineal o bus. El funcionamiento full-duplex entre la estación y la toma de conexión 
permite la transmisión y la recepción de datos a través del bus. Una transmisión 
desde cualquier estación se propaga a través del medio en ambos sentidos y es 
recibida por el resto de estaciones. En cada extremo del bus existe un terminador 
que absorbe las señales, eliminándolas del bus. 
 
 
 
 
Fig. 2.3 Topología de Bus ó Lineal 
 
Topología de Árbol 
Esta topología es una generalización de la topología de bus o lineal; el medio de 
transmisión es un cable ramificado, sin bucles cerrados que comienza en un punto 
conocido como raíz o cabecera (head end). Uno o más cables comienzan en el 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 23 
 Y COMUNICACIONES 
punto raíz y cada uno de ellos puede presentar ramificaciones. Las ramas puedes 
disponer de ramas adicionales, dando lugar a esquemas más complejos. De 
nuevo la transmisión desde una estación se propaga a través del medio y puede 
alcanzar el resto de las estaciones. 
 
Existen dos problemas en esta disposición. En primer lugar, dado que la 
transmisión desde una estación se puede recibir en dos estaciones, es necesario 
algún método para indicar a quién va dirigida la transmisión. En segundo lugar, se 
precisa un mecanismo para regular la transmisión; para solucionar estos 
problemas, las estaciones de trabajo transmiten datos en bloques pequeños 
llamados trama. Cada trama consta de una porción de los datos que una estación 
desea transmitir, además de una cabecera de trama la cual contiene la 
información de control. A cada estación en el bus se le asigna una dirección, o 
identificador, única, incluyéndose en la cabecera la dirección destino de la trama. 
 
La estructura de la trama resuelve así el primer problema mencionado 
anteriormente: proporciona un mecanismo para indicar el receptor de los datos. 
También proporciona una herramienta básica para resolver el segundo problema, 
el control de acceso. En particular, en las estaciones transmiten por turnos de 
acuerdo con alguna forma cooperativa. 
 
 
 
Fig. 2.4 Topología de árbol 
 
Topología de Anillo 
El bus se cierra sobre sí mismo formando un anillo, de esta manera se asegura 
que la distancia a recorrer por la información entre dos equipos conectados al 
anillo es siempre la más corta posible; es decir, cada estación está conectada a la 
siguiente y la última está conectada a la primera. Cada estación tiene un receptor 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 24 
 Y COMUNICACIONES 
y un transmisor que hace la función de repetidor, pasando la señal a la siguiente 
estación, esto se debe a los protocolos que utilizan el paso de testigo (Token 
Ring). Esta topología es basada en estándares de facto de IBM para redes locales 
que no tuvieron mucha aceptación y hoy están prácticamente en desuso. En la 
actualidad las topologías de anillo se utilizan para redes de área extensa que 
utilizan otro tipo de protocolos (redes de fibra). En un anillo doble, dos anillos 
permiten que los datos se envíen en ambas direcciones, esta configuración crea 
redundancia (tolerancia a fallos). 
 
Entre las ventajas que encontramos en este tipo de topologías son: 
 Simplicidad de la arquitectura. 
 La facilidad de la configuración. 
 Facilidad de fluidez de datos. 
 
Mientras que las desventajas que presenta son: 
 La longitud de canal es limitada. 
 El canal usualmente se degradará a medida que la red crece. 
 Transferencia de datos será lenta. 
 
 
 
Fig. 2.5 Topología de Anillo 
 
Topología en Estrella 
Consiste en que todos los equipos finales de la red se conecten a uno intermedio 
que encamina la información a los destinatarios. Se utiliza en redes algo más 
extensas que las locales. Normalmente no es práctico que sea un único equipo el 
que actúa de intermediario (ya que la red sería muy sensible a fallos de un único 
equipo) y se suele emplear más de uno. 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 25 
 Y COMUNICACIONES 
 
Ventajas: 
 Presenta buena flexibilidad para incrementar el número de equipos 
conectados a la red. 
 Si alguna de las computadoras falla el comportamiento de la red sigue sin 
problemas, sin embargo, si el problema se presenta en el controlador 
central se afecta toda la red. 
 El diagnóstico de problemas es simple, debido a que todos los equipos 
están conectados a un controlador central. 
 
Desventajas: 
 No es adecuada para grandes instalaciones, debido a la cantidad de cable 
que deben agruparse en el controlador central. 
 Esta configuración es rápida para las comunicaciones entre las estaciones 
o nodos y el controlador, pero lascomunicaciones entre estaciones es 
lenta. 
 
 
 
Fig. 2.6 Topología de Estrella 
 
Topología de Malla 
Consiste en que todos los equipos integrantes de una red se conecten todos con 
todos. Esto solo es viable, desde un punto de vista práctico para redes con un 
pequeño número de equipos. En la práctica se emplea para redes de área extensa 
combinada con la topología de estrella. Los equipos finales se conectan a un 
conjunto de equipos intermedios en forma de estrella, mientras que estos últimos 
se conectan entre sí, todos con todos con una topología de malla. Esta 
configuración asegura una máxima disponibilidad de la red en caso de fallo de 
alguno de los equipos. 
Presenta ventajas como: 
 La posibilidad de llevar los mensajes de un nodo a otro por diferentes 
caminos. 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 26 
 Y COMUNICACIONES 
 No puede existir absolutamente ninguna interrupción en las 
comunicaciones. 
 Cada servidor tiene sus propias comunicaciones con todos los demás 
servidores. 
 Si falla un cable el otro se hará cargo del tráfico. 
 No requiere un nodo o servidor central lo que reduce el mantenimiento. 
 Si un nodo desaparece o falla no afecta en absoluto a los demás nodos. 
 
Y su desventaja es: 
 Red es costosa de instalar ya que requiere de mucho cable. 
 
 
 
Fig. 2.7 Topología de Malla 
 
EQUIPOS DE COMUNICACIÓN 
 
Los principales equipos de comunicación con los que se crean las diferentes redes 
que en la actualidad se conocen son: 
 Switch 
 Router 
 
Estos se interconectan entre e indican el camino por donde el tráfico de datos se 
guiara para llegar al equipo final que realizo la petición. 
 
SWITCH 
Es un dispositivo digital de lógica de interconexión de redes de computadores que 
opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Su función es 
interconectar dos o más segmentos de red, de manera similar a los puentes 
(bridges), pasando datos de un segmento a otro de acuerdo con la dirección MAC 
de destino de las tramas en la red. 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 27 
 Y COMUNICACIONES 
Estos se utilizan cuando se desea conectar múltiples redes, fusionándolas en una 
sola. Al igual que los puentes, dado que funcionan como un filtro en la red, 
mejoran el rendimiento y la seguridad de las LAN’s (Local Area Network- Red de 
Área Local). 
Los switches poseen la capacidad de aprender y almacenar las direcciones de red 
de nivel 2 (direcciones MAC) de los dispositivos alcanzables a través de cada uno 
de sus puertos. Por ejemplo, un equipo conectado directamente a un puerto de un 
switch provoca que el switch almacene su dirección MAC, esto permite que, a 
diferencia de los concentradores o hubs, la información dirigida a un dispositivo 
vaya desde el puerto origen al puerto de destino. En el caso de conectar dos 
switches o un switch y un concentrador, cada switch aprenderá las direcciones 
MAC de los dispositivos accesibles por sus puertos, por lo tanto en el puerto de 
interconexión se almacenan las MAC de los dispositivos del otro switch. 
 
ROUTER 
Es un dispositivo de hardware para interconexión de red de computadoras que 
opera en la capa tres (nivel de red) del modelo OSI. Un router es un dispositivo 
para la interconexión de redes informáticas que permite asegurar el enrutamiento 
de paquetes entre redes o determinar la mejor ruta que debe tomar el paquete de 
datos. 
 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 28 
 Y COMUNICACIONES 
 
 
Marcos de 
Referencia y 
Metodología 
 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 29 
 Y COMUNICACIONES 
Principales Marcos de Referencia y Metodologías 
 
Committee of Sponsoring Organizations of the Treadway 
Commission (COSO) 
 
Busca definir un nuevo marco conceptual del control interno, capaz de integrar las 
diversas definiciones y conceptos que venían siendo utilizados sobre este tema, 
logrando así que, al nivel de las organizaciones públicas o privadas, de la auditoría 
interna o externa, o de los niveles académicos o legislativos, se cuente con un 
marco conceptual común, una visión integradora que satisfaga las demandas 
generalizadas de todos los sectores involucrados 
 
El marco integrado de control que plantea el informe COSO consta de cinco 
componentes interrelacionados, derivados del estilo de la dirección, e integrados 
al proceso de gestión: 
 
 Ambiente de control 
 Evaluación de riesgos 
 Actividades de control 
 Información y comunicación 
 Supervisión 
 
El ambiente de control refleja el espíritu ético vigente en una entidad respecto del 
comportamiento de los agentes, la responsabilidad con que encaran sus 
actividades, y la importancia que le asignan al control interno. Sirve de base de los 
otros componentes, ya que es dentro del ambiente reinante que se evalúan los 
riesgos y se definen las actividades de control tendientes a neutralizarlos. 
Simultáneamente se capta la información relevante y se realizan las 
comunicaciones pertinentes, dentro de un proceso supervisado y corregido de 
acuerdo con las circunstancias. 
 
El modelo refleja el dinamismo propio de los sistemas de control interno. Así, la 
evaluación de riesgos no sólo influye en las actividades de control, sino que puede 
también poner de relieve la conveniencia de reconsiderar el manejo de la 
información y la comunicación. 
 
No se trata de un proceso en serie, en el que un componente incide 
exclusivamente sobre el siguiente, sino que es interactivo multidireccional en tanto 
cualquier componente puede influir, y de hecho lo hace, en cualquier otro. 
Existe también una relación directa entre los objetivos (Eficiencia de las 
operaciones, confiabilidad de la información y cumplimiento de leyes y 
reglamentos) y los cinco componentes referenciados, la que se manifiesta 
permanentemente en el campo de la gestión: las unidades operativas y cada 
agente de la organización conforman secuencialmente un esquema orientado a 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 30 
 Y COMUNICACIONES 
los resultados que se buscan, y la matriz constituida por ese esquema es a su vez 
cruzada por los componentes. 
 
The Criteria of Control Board (COCO) 
 
El modelo COCO fue emitido en 1995 por el Consejo denominado "The Criteria of 
Control Board" y dado a conocer por el Instituto Canadiense de Contadores 
Certificados (CICA) a través de un Consejo encargado de diseñar y emitir criterios 
o lineamientos generales sobre control interno. 
 
El cambio importante que plantea el informe canadiense consiste que en lugar de 
conceptualizar al proceso de control como una pirámide de componentes y 
elementos interrelacionados, proporciona un marco de referencia a través de 20 
criterios generales, que el personal en toda la organización puede usar para 
diseñar, desarrollar, modificar o evaluar el control. El llamado ciclo de 
entendimiento básico del control, como se representa en el informe, consta de 
cuatro etapas que contienen los 20 criterios generales, conformando un ciclo 
lógico de acciones a ejecutar para asegurar el cumplimiento de los objetivos de la 
organización. 
 
En la estructura del informe, los criterios son elementos básicos para entender y, 
en su caso, aplicar el sistema de control. Se requieren adecuados análisis y 
comparaciones para interpretar los criterios en el contexto de una organización en 
particular, y para una evaluación efectiva de los controles implantados. 
El Informe prevé 20 criterios agrupados en cuanto al: 
 
 Propósito 
 Compromiso 
 Aptitud 
 Evaluación y Aprendizaje. 
 
En el propósito, los objetivos deben ser comunicados, se deben identificar los 
riesgos internos y externos que afecten el logrode objetivos. Las políticas para 
apoyar el logro de objetivos deben ser comunicadas y practicadas, para que el 
personal identifique el alcance de su libertad de actuación, se deben establecer 
planes para guiar los esfuerzos y los objetivos y planes deben incluir metas, 
parámetros e indicadores de medición del desempeño. En el compromiso se 
deben establecer y comunicar los valores éticos de la organización, las políticas y 
prácticas sobre recursos humanos deben ser consistentes con los valores éticos 
de la organización y con el logro de sus objetivos. La autoridad y responsabilidad 
deben ser claramente definidas y consistentes con los objetivos de la 
organización, para que las decisiones se tomen por el personal apropiado y se 
debe fomentar una atmósfera de confianza para apoyar el flujo de la información. 
En la etapa de aptitud el personal debe tener los conocimientos, habilidades y 
herramientas necesarios para el logro de objetivos, el proceso de comunicación 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 31 
 Y COMUNICACIONES 
debe apoyar los valores de la organización, se debe identificar y comunicar 
información suficiente y relevante para el logro de objetivos, las decisiones y 
acciones de las diferentes partes de una organización deben ser coordinadas y las 
actividades de control deben ser diseñadas como una parte integral de la 
organización. Finalmente en la etapa de evaluación y aprendizaje se debe 
monitorear el ambiente interno y externo para identificar información que oriente 
hacia la reevaluación de objetivos, el desempeño debe ser evaluado contra metas 
e indicadores, las premisas consideradas para el logro de objetivos deben ser 
revisadas periódicamente, los sistemas de información deben ser evaluados 
nuevamente en la medida en que cambien los objetivos y se precisen deficiencias 
en la información, debe comprobarse el cumplimiento de los procedimientos 
modificados y se debe evaluar periódicamente el sistema de control e informar de 
los resultados. 
 
Modelo de Madurez (Maturity Model) 
 
Los modelos de madurez para el control de los procesos de TI consisten en 
desarrollar un método de puntaje de modo que una organización pueda calificarse 
a sí misma desde inexistente hasta optimizada (de 0 a 5). Este método ha sido 
derivado del Modelo de Madurez que el Software Engineering Institute definió para 
la madurez de la capacidad de desarrollo de software. 
 
Los Modelos de Madurez se construyen a partir del modelo genérico cualitativo a 
los que se agregan las prácticas y los principios de los dominios siguientes de 
forma creciente a través de todos los niveles: 
 Entendimiento y conocimiento de los riesgos y de los problemas de control. 
 Capacitación y comunicación aplicadas a los problemas. 
 Proceso y prácticas que son implementados. 
 Técnicas y automatización para hacer los procesos más efectivos y 
eficientes. 
 Grado de cumplimiento de la política interna, las leyes y las 
reglamentaciones. 
 Tipo y grado de pericia empleada 
 
La escala 0-5 se basa en una escala simple de madurez que muestra cómo 
evoluciona un proceso desde Inexistente hasta optimizado. Debido a que son 
procesos de administración, la madurez y la capacidad aumentada es también 
sinónimo de mayor manejo del riesgo y mayor eficiencia. 
 
0 Inexistente 
1 Inicial 
2 Repetible 
3 Definida 
4 Administrada 
5 Optimizada 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 32 
 Y COMUNICACIONES 
 
El inexistente consiste en total falta de un proceso reconocible, la organización ni 
siquiera ha reconocido que hay un problema que resolver. En el inicial hay 
evidencia de que la organización ha reconocido que los problemas existen y que 
necesitan ser resueltos, sin embargo, no hay procesos estandarizados pero en 
cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o 
caso por caso; el método general de la administración es desorganizado. En el 
repetible los procesos se han desarrollado hasta el punto en que diferentes 
personas siguen procedimientos similares emprendiendo la misma tarea, no hay 
capacitación o comunicación formal de procedimientos estándar y la 
responsabilidad se deja a la persona y hay un alto grado de confianza en los 
conocimientos de las personas y por lo tanto es probable que haya errores. En 
definida los procedimientos han sido estandarizados y documentados, y 
comunicados a través de capacitación, sin embargo se ha dejado en manos de la 
persona el seguimiento de estos procesos, y es improbable que se detecten 
desviaciones y los procedimientos mismos no son sofisticados sino que son la 
formalización de las prácticas existentes. En la administrada es posible monitorear 
y medir el cumplimiento de los procedimientos y emprender acción donde los 
procesos parecen no estar funcionando efectivamente, los procesos están bajo 
constante mejoramiento y proveen buena práctica y se usan la automatización y 
las herramientas en una forma limitada o fragmentada. Finalmente en el punto de 
optimizada los procesos han sido refinados hasta un nivel de la mejor práctica, 
basados en los resultados de mejoramiento continuo y diseño de la madurez con 
otras organizaciones y TI se usa en una forma integrada para automatizar el flujo 
de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, 
haciendo que la empresa se adapte con rapidez. 
 
Information Technologies Infrastructure Library (ITIL) 
 
Es un conjunto de mejores prácticas para la dirección y gestión de servicios de 
tecnologías de la información en lo referente a Personas, Procesos y Tecnología, 
desarrollado por la OGC (Office of Government Commerce) del Reino Unido, que 
cumple y desarrolla la norma BS15000 de la BSI (British Standards Institution). 
 
A través de las Mejores Prácticas especificadas en ITIL se hace posible para 
departamentos y organizaciones reducir costos, mejorar la calidad del servicio 
tanto a clientes externos como internos y aprovechar al máximo las habilidades y 
experiencia del personal, mejorando su productividad. ITIL es un conjunto de 
libros, que permiten mejorar notablemente la calidad de los servicios de 
tecnologías de la información y que presta una organización a sus clientes o un 
departamento a su organización. 
 
ITIL cubre cada escenario del ciclo de vida de los servicios. 
 
 Service Strategy 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 33 
 Y COMUNICACIONES 
 Service Design 
 Service Transition 
 Service Operation 
 Continual Service Improvement 
 
La estrategia de servicios proporciona una guía para diseñar, desarrollar e 
implementar el Service Management no sólo como capacidad organizacional, sino 
también como un valor estratégico. Sirve para revisar los servicios actuales y 
mejorar la alineación entre las capacidades y las estrategias del negocio. Service 
Design se ocupa del diseño de servicios y sus procesos relacionados. No afecta 
solo los nuevos servicios, sino también a los que han sido modificados para su 
paso a un entorno de producción. El propósito de la etapa de Service Operation 
es coordinar y llevar a cabo las actividades y procesos requeridos para entregar y 
administrar los servicios de acuerdo a los niveles de servicio acordados con los 
clientes y usuarios del negocio, además es responsable de administrar la 
tecnología que se utiliza para entregar y soportar estos servicios. La Transición del 
Servicio se enfoca en implementar todos los aspectos del servicio, no solo su 
aplicación y como es usados en circunstancias normales. Es necesario asegurar 
que el servicio puede operar bajo extremos previstos o circunstancias anormales y 
que el soporte por fallas o errores está disponible. Finalmente el Continual Service 
Improvement se centra en continuamente estar alineando y re-alineando los 
serviciosde TI a las necesidades del negocio, identificando e implementando 
mejoras en los servicios de TI que a su vez soportan los procesos de negocio. 
 
Control Objectives for Information and related 
Technology (COBIT) 
 
COBIT es un marco de referencia general dirigido a la administración de TI y como 
tal estas escalas necesitan ser prácticas para aplicar y razonablemente fáciles de 
entender. Los Criterios de Información contenidos en el Marco Referencial de 
COBIT ayudan a asegurarse de que estamos enfocados en los aspectos correctos 
de la administración cuando describimos la práctica real. COBIT brinda un modelo 
de procesos genéricos que representa todos los procesos que normalmente se 
encuentran en las funciones de TI, ofreciendo un modelo de referencia común 
entendible para los gerentes operativos de TI y del negocio. Se establecieron 
equivalencias entre los modelos de procesos COBIT y las áreas de enfoque del 
gobierno de TI, ofreciendo así un puente entre lo que los gerentes operativos 
deben realizar y lo que los ejecutivos desean gobernar. 
 
Para lograr un gobierno efectivo, los ejecutivos esperan que los controles a ser 
implementados por los gerentes operativos se encuentren dentro de un marco de 
control definido para todo los procesos de TI. Los objetivos de control de TI de 
COBIT están organizados por proceso de TI; por lo tanto, el marco de trabajo 
brinda una alineación clara entre los requerimientos de gobierno de TI, los 
procesos de TI y los controles de TI. 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 34 
 Y COMUNICACIONES 
Estándares de IEEE 
 
802.1 Define la relación entre los estándares 802 del IEEE y el Modelo de 
Referencia para Interconexión de Sistemas Abiertos (OSI) de la ISO (Organización 
Internacional de Estándares). Por ejemplo, este Comité definió direcciones para 
estaciones LAN de 48 bits para todos los estándares 802, de modo que cada 
adaptador puede tener una dirección única. Los vendedores de tarjetas de 
interface de red están registrados y los tres primeros bytes de la dirección son 
asignados por el IEEE. Cada vendedor es entonces responsable de crear una 
dirección única para cada uno de sus productos. 
 
802.2 Control de Enlaces Lógicos. Define el protocolo de control de enlaces 
lógicos (LLC) del IEEE, el cual asegura que los datos sean transmitidos de forma 
confiable por medio del enlace de comunicación. La capa de Datos-Enlace en el 
protocolo OSI esta subdividida en las subcapas de Control de Acceso a Medios 
(MAC) y de Control de Enlaces Lógicos (LLC). En Puentes, estas dos capas sirven 
como un mecanismo de switcheo modular, como se muestra en la figura I-5. El 
protocolo LLC es derivado del protocolo de Alto nivel para Control de Datos-
Enlaces (HDLC) y es similar en su operación. Nótese que el LLC provee las 
direcciones de Puntos de Acceso a Servicios (SAP's), mientras que la subcapa 
MAC provee la dirección física de red de un dispositivo. Las SAP's son 
específicamente las direcciones de una o más procesos de aplicaciones 
ejecutándose en una computadora o dispositivo de red. 
 
802.3: Protocolo de IEEE para LAN que especifica la implementación de la 
capas físicay de la subcapa MAC de la capa de enlace de datos. IEEE 
802.3 utiliza el acceso CSMA/ CDa varias velocidades a través de diversos 
medios físicos. Las extensiones del estándar IEEE 802.3 especifican 
implementaciones para fast Ethernet. Las variaciones físicas de las 
especificación IEEE 802.3 original incluyen 10Base2, 10Base5, 10BaseF, 
10BaseT, y 10Broad36. Las variaciones físicas para Fast Ethernet incluyen 
100BaseTX y 100BaseFX. 
 
802.4: Especifica el bus de señal pasante. 
 
802.5: Protocolo de LAN IEEE que especifica la implementación de la capa físicas 
y de la subcapa MAC de la capa de enlace de datos. IEEE 802.5 usa de acceso 
de transmisión de tokens a 4 Mbps ó 16 Mbps en cableado STP O UTP y de 
punto de vista funcional y operacional es equivalente a token Ring de IBM. 
 
 
 
 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 35 
 Y COMUNICACIONES 
ANSI 
 
ANSI (Instituto Nacional Americano de Normalización) Organización voluntaria 
compuesta por corporativas, organismos del gobierno y otros miembros que 
coordinan las actividades relacionadas con estándares, aprueban los estándares 
nacionales de los EE.UU. y desarrollan posiciones en nombre de los Estados 
Unidos ante organizaciones internacionales de estándares. ANSI ayuda a 
desarrollar estándares de los EE.UU. e internacionales en relación con, entre otras 
cosas, comunicaciones y networking. ANSI es miembro de la IEC (Comisión 
Electrotécnica Internacional), y la Organización Internacional para la 
Normalización. 
 
La norma central que especifica un género de sistema de cableado para 
telecomunicaciones es la norma ANSI/TIA/EIA-568-A, "Norma para construcción 
comercial de cableado de telecomunicaciones". Esta norma fue desarrollada y 
aprobada por comités del Instituto Nacional Americano de Normas (ANSI), la 
Asociación de la Industria de Telecomunicaciones (TIA), y la Asociación de la 
Industria Electrónica, (EIA) La norma establece criterios técnicos y de 
rendimiento para diversos componentes y configuraciones de sistemas. 
Además, hay un número de normas relacionadas que deben seguirse con 
apego. Dichas normas incluyen la ANSI/EIA/TIA-569,"Norma de construcción 
comercial para vías y espacios de telecomunicaciones", que proporciona 
directrices para conformar ubicaciones, áreas, y vías a través de las cuales se 
instalan los equipos y medios de telecomunicaciones. 
 
Otra norma relacionada es la ANSI/TIA/EIA-606, "Norma de administración para la 
infraestructura de telecomunicaciones en edificios comerciales". Proporciona 
normas para la codificación de colores, etiquetado, y documentación de un 
sistema de cableado instalado. Seguir esta norma, permite una mejor 
administración de una red, creando un método de seguimiento de los traslados, 
cambios y adiciones. Facilita además la localización de fallas, detallando cada 
cable tendido por características. ANSI/TIA/EIA-607, "Requisitos de aterrizado y 
protección para telecomunicaciones en edificios comerciales", que dicta prácticas 
para instalar sistemas de aterrizado que aseguren un nivel confiable de referencia 
a tierra eléctrica, para todos los equipos. 
 
Cada uno de estas normas funciona en conjunto con la 568-A. Cuando se 
diseña e instala cualquier sistema de telecomunicaciones, se deben revisar 
las normas adicionales como el código eléctrico nacional (NEC) de los 
E.U.A., o las leyes y previsiones locales como las especificaciones NOM 
(Norma Oficial Mexicana). 
 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 36 
 Y COMUNICACIONES 
Organización Internacional para la Normalización (ISO) 
 
Organización internacional que tiene a su cargo una amplia gama de 
estándares, incluyendo aquellos referidos al networking. ISO desarrolló el modelo 
de referencia OSI, un modelo popular de referencia de networking. La ISO 
establece en julio de 1994 la norma ISO 11801 que define una instalación 
completa (componente y conexiones) y valida la utilización de los cable de 100 o 
mega o 120 o mega. La ISO 11801 actualmente trabaja en conjunto para unificar 
criterios. 
 
Las ventajas de la ISO es fundamental ya que facilita la detección de las fallas 
que al momento de producirse esto afecte solamente a la estación que depende 
de esta conexión, permite una mayor flexibilidad para la expansión, eliminación y 
cambio de usuario del sistema. Los costos de instalación de UTP son 
superiores a los de coaxial, pero se evitan las pérdida económicaproducida 
por la caída del sistema por cuanto se afecte solamente un dispositivo. La ISO 
11801 reitera la categoría EIA/TIA (Asociación de industria eléctricas y 
telecomunicaciones) .Este define las clases de aplicación y es denominado 
estándar de cableado de telecomunicaciones para edificio comerciales. 
COBIT 
 
Introducción 
 
COBIT es un marco de referencia y un juego de herramientas de soporte que 
permiten a la gerencia cerrar la brecha con respecto a los requerimientos de 
control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a 
los Interesados (Stakeholders); este permite el desarrollo de políticas claras y de 
buenas prácticas para control de TI a través de las empresas. COBIT 
constantemente se actualiza y armoniza con otros estándares. Por lo tanto, se ha 
convertido en el integrador de las mejores prácticas de TI y el marco de referencia 
general para el gobierno de TI que ayuda a comprender y administrar los riesgos y 
beneficios asociados con TI. La estructura de procesos de COBIT y su enfoque de 
alto nivel orientado al negocio brindan una visión completa de TI y de las 
decisiones a tomar acerca de la misma. 
Los beneficios de implementar COBIT como marco de referencia de gobierno 
sobre TI incluyen: 
 Mejor alineación, con base en su enfoque de negocios 
 Una visión, entendible para la gerencia, de lo que hace TI 
 Propiedad y responsabilidades claras, con base en su orientación a 
procesos 
 Aceptación general de terceros y reguladores 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 37 
 Y COMUNICACIONES 
 Entendimiento compartido entre todos los Interesados, con base en un 
lenguaje común 
 Cumplimiento de los requerimientos COSO para el ambiente de control de 
TI 
 
Marco de Trabajo COBIT 
 
Un marco de control para el Gobierno TI define las razones de por qué se necesita 
el Gobierno de TI, los interesados y que se necesita cumplir en el gobierno de TI. 
 Por qué: Cada vez más, la alta dirección se está dando cuenta del impacto 
significativo que la información puede tener en el éxito de una empresa. La 
dirección espera un alto entendimiento de la manera en que la tecnología 
de información (TI) es operada y de la posibilidad de que sea aprovechada 
con éxito para tener una ventaja competitiva. 
 Quién: Un marco de referencia de gobierno y de control requiere servir a 
una variedad de interesados internos y externos, cada uno de los cuales 
tiene necesidades específicas: 
 Interesados dentro de la empresa que tienen interés en generar valor 
de las inversiones en TI 
 Interesados internos y externos que proporcionan servicios de TI 
 Interesados internos y externos con responsabilidades de 
control/riesgo 
 Qué: Para satisfacer los requerimientos previos, un marco de referencia 
para el gobierno y el control de TI, debe satisfacer las siguientes 
especificaciones generales: 
 Brindar un enfoque de negocios que permita la alineación entre las 
metas de negocio y de TI. 
 Establecer una orientación a procesos para definir el alcance y el 
grado de cobertura, con una estructura definida que permita una fácil 
navegación en el contenido. 
 Ser generalmente aceptable al ser consistente con las mejores 
prácticas y estándares de TI aceptados, y que sea independiente de 
tecnologías específicas. 
 Proporcionar un lenguaje común, con un juego de términos y 
definiciones que sean comprensibles en general para todos los 
Interesados. 
 Ayudar a satisfacer requerimientos regulatorios, al ser consistente 
con estándares de gobierno corporativo generalmente aceptados 
(COSO) y con controles de TI esperados por reguladores y auditores 
externos. 
 
Como respuesta a las necesidades descritas en la sección anterior, el marco de 
trabajo COBIT se creó con las características principales de ser orientado a 
negocios, orientado a procesos, basado en controles e impulsado por mediciones. 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 38 
 Y COMUNICACIONES 
 
 
 
3.1 Principio Básico de COBIT 
 
Para gobernar efectivamente TI, es importante determinar las actividades y los 
riesgos que requieren ser administrados. Normalmente se ordenan dentro de 
dominios de responsabilidad de plan, construir, ejecutar y Monitorear. Dentro del 
marco de COBIT, estos dominios, como se muestra en la Figura 3.2, se llaman: 
 
 Planear y Organizar (PO) – Proporciona dirección para la entrega de 
soluciones (AI) y la entrega de servicio (DS). 
 Adquirir e Implementar (AI) – Proporciona las soluciones y las pasa para 
convertirlas en servicios. 
 Entregar y Dar Soporte (DS) – Recibe las soluciones y las hace utilizables 
por los usuarios finales. 
 Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar 
que se sigue la dirección provista. 
 
 
 
3.2 Dominios en COBIT 
 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 39 
 Y COMUNICACIONES 
Planear y Organizar (PO) 
 
Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la 
manera en que TI puede contribuir de la mejor manera al logro de los objetivos del 
negocio. Además, la realización de la visión estratégica requiere ser planeada, 
comunicada y administrada desde diferentes perspectivas. Finalmente, se debe 
implementar una estructura organizacional y una estructura tecnológica apropiada. 
Este dominio cubre los siguientes cuestionamientos típicos de la gerencia: 
 ¿Están alineadas las estrategias de TI y del negocio? 
 ¿La empresa está alcanzando un uso óptimo de sus recursos? 
 ¿Entienden todas las personas dentro de la organización los objetivos de 
TI? 
 ¿Se entienden y administran los riesgos de TI? 
 ¿Es apropiada la calidad de los sistemas de TI para las necesidades del 
negocio? 
 
Pocesos 
 
PO1 Definir un Plan Estratégico de TI 
PO2 Definir la Arquitectura de la Información 
PO3 Determinar la Dirección Tecnológica 
PO4 Definir los Procesos, Organización y Relaciones de TI 
PO5 Administrar la Inversión en TI 
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia 
PO7 Administrar Recursos Humanos de TI 
PO8 Administrar la Calidad 
PO9 Evaluar y Administrar los Riesgos de TI 
PO10 Administrar Proyectos 
 
Adquirir e Implementar (AI) 
 
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser 
identificadas, desarrolladas o adquiridas así como implementadas e integradas en 
los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas 
existentes está cubierto por este dominio para garantizar que las soluciones sigan 
satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los 
siguientes cuestionamientos de la gerencia: 
 ¿Es probable que los nuevos proyectos generan soluciones que satisfagan 
las necesidades del negocio? 
 ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro 
del presupuesto? 
 ¿Trabajarán adecuadamente los nuevos sistemas una vez sean 
implementados? 
 ¿Los cambios no afectarán a las operaciones actuales del negocio? 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 40 
 Y COMUNICACIONES 
Procesos 
 
AI1 Identificar soluciones automatizadas 
AI2 Adquirir y mantener software aplicativo 
AI3 Adquirir y mantener infraestructura tecnológica 
AI4 Facilitar la operación y el uso 
AI5 Adquirir recursos de TI 
AI6 Administrar cambios 
AI7 Instalar y acreditar soluciones y cambios 
 
Entregar y Dar Soporte (DS) 
 
Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la 
prestación del servicio, la administración de la seguridad y de la continuidad, el 
soporte del servicio a los usuarios, la administración de los datos y de las 
instalaciones operativos. 
 
Por lo general cubre las siguientes preguntas de la gerencia:¿Se están entregando los servicios de TI de acuerdo con las prioridades del 
negocio? 
¿Están optimizados los costos de TI? 
¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva 
y segura? 
¿Están implantadas de forma adecuada la confidencialidad, la integridad y la 
disponibilidad? 
 
Procesos 
 
DS1 Definir y administrar los niveles de servicio 
DS2 Administrar los servicios de terceros 
DS3 Administrar el desempeño y la capacidad 
DS4 Garantizar la continuidad del servicio 
DS5 Garantizar la seguridad de los sistemas 
DS6 Identificar y asignar costos 
DS7 Educar y entrenar a los usuarios 
DS8 Administrar la mesa de servicio y los incidentes 
DS9 Administrar la configuración 
DS10 Administrar los problemas 
DS11 Administrar los datos 
DS12 Administrar el ambiente físico 
DS13 Administrar las operaciones 
 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 41 
 Y COMUNICACIONES 
Monitorear y Evaluar (ME) 
 
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en 
cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio 
abarca la administración del desempeño, el monitoreo del control interno, el 
cumplimiento regulatorio y la aplicación del gobierno. Por lo general abarca las 
siguientes preguntas de la gerencia: 
 ¿Se mide el desempeño de TI para detectar los problemas antes de que 
sea demasiado tarde? 
 ¿La Gerencia garantiza que los controles internos son efectivos y 
eficientes? 
 ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas 
del negocio? 
 ¿Se miden y reportan los riesgos, el control, el cumplimiento y el 
desempeño? 
 
Procesos 
 
ME1 Monitorear y Evaluar el Desempeño de TI 
ME2 Monitorear y Evaluar el Control Interno 
ME3 Garantizar el Cumplimiento Regulatorio 
ME4 Proporcionar Gobierno de TI 
 
A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI 
generalmente usados (ver figura 3.3 para la lista completa). Mientras la mayoría 
de las empresas ha definido las responsabilidades de planear, construir, ejecutar y 
monitorear para TI, y la mayoría tienen los mismos procesos clave, pocas tienen la 
misma estructura de procesos o le aplicaran todos los 34 procesos de COBIT. 
 
COBIT proporciona una lista completa de procesos que puede ser utilizada para 
verificar que se completan las actividades y responsabilidades; sin embargo, no es 
necesario que apliquen todas, y, aun más, se pueden combinar como se necesite 
por cada empresa. 
 
Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI 
que soporta. Información de cómo se pueden medir las metas, también se 
proporcionan cuáles son sus actividades clave y entregables principales, y quién 
es el responsable de ellas. 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 42 
 Y COMUNICACIONES 
3.3 Marco de Trabajo completo de COBIT 
 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 43 
 Y COMUNICACIONES 
 
 
Auditoria de 
dispositivos 
de Red 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 44 
 Y COMUNICACIONES 
Auditoria de dispositivos de Red 
 
Elementos a auditar en una red 
 
Seguridad Física 
 
El resultado de esta sección es encontrar condiciones que dentro de la 
infraestructura física, no de TI, pudiese influir en la seguridad de este última. Entre 
las condiciones que se busca verificar se encuentran: 
 Los mecanismos de control de acceso físico a las instalaciones que 
albergan componentes del sistema de IT. 
 Que existan mecanismos de respuesta automática ante intrusiones o 
situaciones anómalas. Ej. Aumento de temperatura, fuego, temblores. 
 Que existan mecanismos adecuados de protección de respaldos y de los 
equipos ante amenazas de hurto o destrucción accidental. 
 Que existan mecanismos adecuados de control de las condiciones 
ambientales que pudiesen influir en el funcionamiento de la tecnología, 
medios de almacenamiento u otros. 
 Que existan medidas de contingencia antes riesgos físicos y que estos 
estén acorde a las condiciones del lugar y que el personal ha sido 
entrenado y los conoce. 
 Que existan fuentes adicionales de suministro eléctrico. 
 Que los equipos de suministro eléctrico están adecuadamente 
dimensionados y protegidos. 
 
Infraestructura inalámbrica 
 
Actualmente el desarrollo inalámbrico es uno de los aspectos que distingue el 
crecimiento de las redes de datos. Por otro lado, si bien la utilización de 
tecnologías inalámbricas permite ampliar el desarrollo de las redes de datos y 
amplía su campo de incidencia, trae consigo un grupo importante de riesgos. Por 
ejemplo una red mal configurada permitiría el acceso desde sitios remotos. En la 
terminología de seguridad se llama a esas redes “redes dulces”. Varias redes 
inalámbricas coexisten en este ambiente sin protección por lo que es posible 
conectarse a muchas de ellas e incluso acceder a los recursos internos de las 
organizaciones. 
 
Los siguientes aspectos son cubiertos por esta sección: 
 
 Verificar la seguridad del esquema de autentificación y control de acceso. 
 Verificar la seguridad del sistema DHCP. 
 Verificar los mecanismos de control de integridad y confidencialidad. 
 Verificar la Seguridad del entorno. 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 45 
 Y COMUNICACIONES 
 
 
Infraestructura de detección de intrusos 
 
Uno de los elementos que conforman actualmente cualquier sistema de protección 
son los detectores de intrusos. Como los programas antivirus, un detector de 
intrusos busca patrones que puedan ser identificados en estas circunstancias no 
como virus sino como intrusiones, tráfico no permitido o fuera de rango, 
comportamiento anómalo de los sistemas, etc. Existen varias subdivisiones de los 
sistemas de detección de intrusos. Aquí nos referiremos a las dos más comunes. 
La división entre ellos se basa en el sitio donde se realizan la búsqueda de 
patrones. Los detectores de intrusos basados en servidores realizan su función 
buscando en las bitácoras de los sistemas que protegen. 
 
El éxito de un sistema de detección de intrusos se basa en la correcta 
configuración de los filtros de tráfico. Un filtro muy estricto generará tantas alarmas 
que será poco utilizable y será difícil encontrar información realmente útil dentro de 
una gran cantidad de registros de alarmas poco significativas. Lo contrario ocurre 
si los filtros son muy débiles, en este caso no se registrarán las alarmas 
necesarias. Otro aspecto es que el detector de intrusos verifique todos los sitios de 
acceso o servidores. 
 
Esta sección cubre los siguientes aspectos: 
 
 Verificar la configuración básica de seguridad de un Detector de Intrusos 
Basado en red. 
 Verificar la seguridad del sistema los Sistemas de Detección de Intrusos 
basados en host. 
 
Dispositivos Firewalls 
 
Los dispositivos cortafuegos (firewalls) son uno de los baluartes de cualquier 
sistema de seguridad. Muchos son los aspectos que deben tomarse en cuenta 
para que un dispositivo firewall sea realmente un dispositivo útil y entre los puntos 
más importantes que están directamente relacionados con el cumplimiento de las 
funciones de seguridad informática para las cuales una organización coloca un 
dispositivo firewall en su red son: 
 
 Verificar efectividad de las reglas de filtrado. 
 Verificar efectividad de las políticas de mantenimiento de la configuración 
 Verificar configuración y seguridad del sistema de bitácoras. 
 
 
 AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 
 
 SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 46 
 Y COMUNICACIONES 
Principales protocolos de Seguridad 
 
Un escenario típico consiste en algunos,