Professional Documents
Culture Documents
Auditoria de Redes
Para poder auditar redes, lo primero y fundamental es
entender el modelo en el que se basan todas las
comunicaciones, el modelo comn de referencia
adaptado por ISO (International Standards Organization)
se denomina Modelo OSI (Open Systems
Interconections), y consta de 7 capas
Modelo OSI
El modelo de Open
Systems
Interconnection
(OSI) especifica cmo
debe
ocurrir
la
conexin
que
permite
la
comunicacin entre
computadoras
en
una red.
Aplicacin
Nivel 7
Presentacin
Nivel 6
Sesin
Nivel 5
Transportacin
Nivel 4
Nivel 3
Nivel 2
Nivel 1
Red
Enlace Datos
Fsico
MODELO OSI
Aplicacin
Presentacin
Sesin
Transportaci
n
Redes
Enlace datos
Fsico
Nivel
7
Descripcin
Respalda interaccin a nivel de las
aplicaciones
AUDITANDO LA GERENCIA DE
COMUNICACIONES
El primer punto de una auditoria es determinar que la
funcin de gestin de redes y comunicaciones este
claramente definida, debiendo ser responsable, en
general, de las siguientes reas:
Gestin de la red, inventario de equipamiento y
normativa de conectividad
Monitorizacin de las comunicaciones, registro y
resolucin de problemas
Revisin de costes y su asignacin de proveedores y
servicios de transporte.
Lista de control
La gerencia de comunicaciones despache con el puesto
directivo que en el organigrama tenga autoridad suficiente
para dirigir y controlar la funcin
Haya coordinacin organizativa entre las comunicaciones de
datos y la de voz, en caso de estar separadas estas dos
funciones
Existan normas en comunicaciones
Existan, si fueran necesarios planes para comunicaciones a
alta velocidad, como fibra ptica, ATM, etc.
Planificacin de redes de cableado integral para cualquier
nuevo edificio o dependencia que vaya utilizar la empresa
Objetivos de control
Como objetivos de control, se debe marca la existencia de:
Areas controladas para los equipos de comunicaciones, previendo asi
accesos inadecuados
Proteccin y tendido adecuado de cables y lneas de comunicaciones,
para evitar accesos fsicos
Controles de utilizacin de los equipos de pruebas de comunicaciones,
usados para monitorizar la red y su trafico
Atencin especifica a la recuperacin de los sistemas de comunicacin
de datos en el plan de recuperacin de desastres en los sistemas de
informacin
Controles especficos en caso de que se utilicen lneas telefnicas
normales con acceso a la red de datos para prevenir accesos no
autorizados al sistema de red
Lista de control
El equipo de comunicaciones de mantiene en
habitaciones cerradas con acceso limitado a personas
autorizadas
solo personas con responsabilidad y conocimientos
estn incluidas en la lista de personas
permanentemente autorizadas para entrar en las salas
de equipo de comunicaciones.
En las zonas adyacentes a las salas de comunicaciones,
todas las lneas de comunicaciones fuera de la vista
Existen procedimientos para la proteccin de cables y
bocas de conexin que dificulten el que sean
Objetivos
Registro de la actividad de la red, para ayudar a
reconstruir incidencias y detectar accesos no
autorizados
Tcnicas de cifrado de datos donde haya riesgos de
accesos impropios a transmisiones sensibles
Controles adecuados que cubran la importancia o
exportacin de datos a travs de puertas, en cualquier
punto de la red, a otros sistemas informticos.
Lista de control
El software de comunicaciones, para permitir el acceso, exige cdigo de
usuario y contrasea
Los usuarios no puedan acceder a ningn sistema, ni siquiera de ayuda,
antes de haberse identificado correctamente
Se inhabilita al usuario que sea incapaz de dar la contrasea despus de
un numero determinado de intentos infructuosos
Se toman estadsticas que incluyan tasas de errores y de retransmisin
Los mensajes lgicos transmitidos identifican el originante, la fecha, la
hora y el receptor.
Si la organizacin tiene canales de comunicacin con otras
organizaciones se analice la conveniencia de cifrar estos canales
Si se utiliza la transmisin de datos sensibles a travs de redes abiertas
como internet, comprobar que estos viajan cifrados