AUDITORIA DE REDES

Auditoria de Redes
Para poder auditar redes, lo primero y fundamental es
entender el modelo en el que se basan todas las
comunicaciones, el modelo comn de referencia
adaptado por ISO (International Standards Organization)
se denomina Modelo OSI (Open Systems
Interconections), y consta de 7 capas

Modelo OSI
El modelo de Open
Systems
Interconnection
(OSI) especifica cmo
debe
ocurrir
la
conexin
que
permite
la
comunicacin entre
computadoras
en
una red.

Aplicacin
Nivel 7

Presentacin

Nivel 6

Sesin

Nivel 5

Transportacin

Nivel 4
Nivel 3
Nivel 2
Nivel 1

Red
Enlace Datos
Fsico

MODELO OSI
Aplicacin
Presentacin
Sesin
Transportaci
n
Redes
Enlace datos
Fsico

Nivel
7

Descripcin
Respalda interaccin a nivel de las
aplicaciones

Traduccin entre formatos y conversin de

datos

Establece y mantiene enlace de

comunicacin entre computadoras

Asegura que se enve transmisin sin

errores

Provee la ruta a direcciones lgicas

Prepara paquetes datos para transmisin

fsica

Administra el proceso de transmisin fsico

a travs del medio

Carmen R. Cintrn Ferrer - 2004,

Derechos Reservados

AUDITANDO LA GERENCIA DE
COMUNICACIONES
El primer punto de una auditoria es determinar que la
funcin de gestin de redes y comunicaciones este
claramente definida, debiendo ser responsable, en
general, de las siguientes reas:
Gestin de la red, inventario de equipamiento y
normativa de conectividad
Monitorizacin de las comunicaciones, registro y
resolucin de problemas
Revisin de costes y su asignacin de proveedores y
servicios de transporte.

Lista de control
La gerencia de comunicaciones despache con el puesto
directivo que en el organigrama tenga autoridad suficiente
para dirigir y controlar la funcin
Haya coordinacin organizativa entre las comunicaciones de
datos y la de voz, en caso de estar separadas estas dos
funciones
Existan normas en comunicaciones
Existan, si fueran necesarios planes para comunicaciones a
alta velocidad, como fibra ptica, ATM, etc.
Planificacin de redes de cableado integral para cualquier
nuevo edificio o dependencia que vaya utilizar la empresa

Auditando la red fsica

En una primera divisin, se establecen distintos riesgos
para los datos que circulan dentro del edificio de
aquellos que viajan por el exterior. Por tanto ha de
auditarse hasta que punto las instalaciones fsicas del
edificio ofrecen garantas y han sido estudiadas las
vulnerabilidades existentes

Objetivos de control
Como objetivos de control, se debe marca la existencia de:
Areas controladas para los equipos de comunicaciones, previendo asi
accesos inadecuados
Proteccin y tendido adecuado de cables y lneas de comunicaciones,
para evitar accesos fsicos
Controles de utilizacin de los equipos de pruebas de comunicaciones,
usados para monitorizar la red y su trafico
Atencin especifica a la recuperacin de los sistemas de comunicacin
de datos en el plan de recuperacin de desastres en los sistemas de
informacin
Controles especficos en caso de que se utilicen lneas telefnicas
normales con acceso a la red de datos para prevenir accesos no
autorizados al sistema de red

Lista de control
El equipo de comunicaciones de mantiene en
habitaciones cerradas con acceso limitado a personas
autorizadas
solo personas con responsabilidad y conocimientos
estn incluidas en la lista de personas
permanentemente autorizadas para entrar en las salas
de equipo de comunicaciones.
En las zonas adyacentes a las salas de comunicaciones,
todas las lneas de comunicaciones fuera de la vista
Existen procedimientos para la proteccin de cables y
bocas de conexin que dificulten el que sean

Auditando la red lgica

Es necesario monitorizar la red, revisar los errores o
situaciones anrmales que se producen y tener
establecidos los procedimientos para detectar y aislar
equipos en situacin anmala
Como objetivos de control, se debe marcar la existencias
de:
Contraseas y otros procedimientos para limitar y
detectar cualquier intento de acceso no autorizado a la
red de comunicaciones.
Facilidades de control de errores para detectar errores
de transmisin y establecer las retransmisiones

Objetivos
Registro de la actividad de la red, para ayudar a
reconstruir incidencias y detectar accesos no
autorizados
Tcnicas de cifrado de datos donde haya riesgos de
accesos impropios a transmisiones sensibles
Controles adecuados que cubran la importancia o
exportacin de datos a travs de puertas, en cualquier
punto de la red, a otros sistemas informticos.

Lista de control
El software de comunicaciones, para permitir el acceso, exige cdigo de
usuario y contrasea
Los usuarios no puedan acceder a ningn sistema, ni siquiera de ayuda,
antes de haberse identificado correctamente
Se inhabilita al usuario que sea incapaz de dar la contrasea despus de
un numero determinado de intentos infructuosos
Se toman estadsticas que incluyan tasas de errores y de retransmisin
Los mensajes lgicos transmitidos identifican el originante, la fecha, la
hora y el receptor.
Si la organizacin tiene canales de comunicacin con otras
organizaciones se analice la conveniencia de cifrar estos canales
Si se utiliza la transmisin de datos sensibles a travs de redes abiertas
como internet, comprobar que estos viajan cifrados