lunes, 4 de julio de 2016

Finalidad de la evaluación de redes

La Auditoria de Red le ofrece las herramientas necesarias para determinar la eficacia con que su red respalda sus operaciones empresariales y el grado de satisfacción del cliente sin que influyan cuestiones políticas internas.
Reducción de costes, identifique gastos encubiertos mediante un inventario rápido y Preciso. Prepárese para la introducción de un sólido servicio de gestión de activos con el fin de optimizar los niveles de servicio y de dotación de personal, y de reducir costes.
Mayor productividad, mejore el funcionamiento de su red, identificando los problemas, aislando los errores para proceder a su eliminación.
Preparado para el cambio, la planificación anticipada significa que sus sistemas TI pueden estar preparados para el cambio a e-Business. Realizamos un seguimiento permanente de las tendencias de red e identificamos las oportunidades. Una evaluación centrada del perímetro de seguridad de red y de la seguridad central interna nos revelará si su red está preparada para las nuevas comunicaciones y aplicaciones e-Business.
Gane tiempo, su empresa puede ahorrar un tiempo muy valioso gracias a una planificación óptima y a un proceso de toma de decisiones basado en una información más precisa. El objetivo de una auditoria de redes es determinar la situación actual, fortalezas y debilidades, de una red de datos. Una empresa necesita saber en qué situación está la red para tomar decisiones sustentadas de reemplazo o mejora.


Requerimientos para la evaluación de redes

 Dentro de la evaluación de redes se debe tener en cuenta la necesidad de proteger la integridad y confidencialidad de la información y el uso de sus activos, para determinar el grado de confianza que se puede depositar en un sistema informático existen criterios y normas de seguridad, pero, si se requiere mejorar el nivel de seguridad que existe en una red, se tiene que realizar una evaluación de seguridad, con lo cuál se puede determinar el estado de un sistema y los cambios que se pueden realizar para mejorar dicho estado. Para realizar una evaluación de seguridad se pueden hacer pruebas de vulnerabilidad que incluyen el análisis de una red y sus políticas y controles de seguridad; pruebas de seguridad, en las que se realizan auditorias de seguridad, escaneo de vulnerabilidades y pruebas de penetración, y finalmente, el reporte de las vulnerabilidades encontradas y las sugerencias para la implementación de mejoras.

  • Se determinara la ubicación geográfica
  • Arquitectura y configuración de hardware
  • Los auditores, en su evaluación inicial deben tener en su poder la distribución e interconexión de los equipos.
  • Inventario de hardware
  • Comunicación y redes de comunicación
  • Recursos materiales hardware.


Administración 

Se puede decir que los controles de acceso a la información constituyen uno de los parámetros más importantes a la hora de administrar seguridad. Con ellos se determina quién puede acceder a qué datos, indicando a cada persona un tipo de acceso (perfil) específico. Para este cometido se utilizan diferentes técnicas que se diferencian significativamente en términos de precisión, sofisticación y costos. Se utilizan por ejemplo, palabras claves, algoritmos de inscripción, listas de controles de acceso, limitaciones por ubicación de la información, horarios, etc. Una vez determinados los controles de accesos a la información, se hace imprescindible efectuar una eficiente administración de la seguridad, lo que implica la implementación, seguimiento, pruebas y modificaciones sobre los perfiles de los usuarios de los sistemas.
Deben realizarse evaluaciones periódicas sobre el nivel de cumplimiento de los procesos relacionados con la administración de sistemas y debe de evaluarse si estos cubren las necesidades de la empresa de manera adecuada y dentro de los períodos preestablecidos. Las políticas y normas de seguridad de telecomunicaciones deben estar formalmente definidas, documentadas y aprobadas. Adicionalmente, deberán contener objetivos de control de alto nivel que definan los requerimientos de administración de seguridad en redes.
Al momento de tener el informe de la auditoría de telecomunicaciones se deberá de implementar las recomendaciones planteadas para subsanar las debilidades de control interno encontradas, por el auditor, y el área de informática deberá preocuparse en el futuro en detectar e incorporar las nuevas soluciones que vayan apareciendo respecto a vulnerabilidades correspondientes al área de telecomunicaciones.

La auditoría de comunicaciones es el proceso mediante el cual la analista determina si la organización está comunicando eficazmente su identidad y estrategia. Determinar la eficacia con que se comunican la identidad y la estructura corporativa. Este proceso es la auditoría visual o de comunicación, que incluye dos objetivos:
1. Cotejar, controlar y evaluar todas las formas de comunicación, externa y interna (así, el concretar la identidad trata de establecer la lógica y la coherencia de las comunicaciones)
2. Fase que se basa en las investigaciones que se realizan entre los diversos públicos de la empresa para establecer el impacto de todas las comunicaciones de la empresa sobre las percepciones que dichos públicos tienen sobre ella incluye la comparación, el control y la valoración de todas las formas de comunicación, impresa y visual. Realización de una auditoria:

  • Comunicaciones impresas externas. La auditoría de comunicaciones. Se inicia recogiendo todas las formas de comunicación impresa y visual, incluyendo la memoria anual, folletos descriptivos de producción, cartas membretada das o citas de los consejeros delegados.
  • Comunicaciones internas Publicaciones a los empleados. También anuncios públicos, conferencias y seminarios
  • Comunicaciones y percepciones. (p.ej. Detalles de la vida diaria de la empresa des de la forma en que se contesta al teléfono hasta la forma en que actúan los vendedores y la indumentaria del personal)Estos detalles reflejan el sistema de valores vigente en la empresa.



 Instalación 
El costo de comunicación para una organización puede ser significativo. Los gastos típicos de instalación de telecomunicaciones incluyen lo siguiente:

  • Las instalaciones de transmisión
  • Líneas telefónicas con fórmulas de valuación fijas.
  • Satélite y canales de microonda.-Radio de canal fijo y celular (Instalaciones de comunicaciones limitadas por una distancia (radio) determinada).
  • Fibra óptica, cable de cobre, cable coaxial y cable de par trenzado.
  • Equipo-Terminales.
  • Modems (Modulador - Demodulador).
  • Controladores.
  • Equipo de conmutación.
  • Cableado local.
  • Centros de control de la red.
  • Convertidores de protocolo.
  • Puentes
  • Puertas de acceso.

Software: 


  • Paquetes de Seguridad.
  • Programas de cifrado (criptografía) / descifrado
  • Software de monitoreo de la red.
  • Software de control de la red.
  • Software de conversión de protocolos.
  • Software de administración de la red (Eje., administración de activos, facturación)
  • Operadores de Intercambio Privado de Ramificación (PBX)


Operación y seguridad

Las aplicaciones se hacen disponibles a los usuarios mediante una red de telecomunicaciones, y los vínculos o nexos de las telecomunicaciones pueden ser una parte integral de una aplicación usando el procesamiento distribuido o cooperativo.
Los riesgos de las aplicaciones incluyen acceso no autorizado a los datos confidenciales, manipulación maliciosa de datos, interrupción de operaciones de negocio, e información inexacta o incompleta. Las aplicaciones que son en línea, altamente interactivas y caracterizadas por tiempos de respuesta rápido, comúnmente requieren controles adiciónales de telecomunicaciones.

Mientras se realiza el análisis de una red de telecomunicaciones pueden surgir una múltiple cantidad de riesgos tanto de costos y de comunicación entre los cuales se encuentran los siguientes:

  • La facturación del porteador puede ser incorrecta debido a la complejidad de los procedimientos de tarifas y a los procedimientos de facturación usados por los porteadores.
  • La no disponibilidad de servicio o la pérdida de datos pueden interrumpir negocios y dañar, destruir, o desconectar los medios de transmisión.
  • Los costos de operación de la red no pueden ser totalmente proyectados al tomar la decisión del negocio.
  • La red puede no apoyar la actividad del negocio o no ser fácil de usar.
  • Los costos de la red pueden ser demasiado altos para la actividad del negocio.
  • La red puede no ser entregada de una manera oportuna, causando costos excesivos y pérdidas en el negocio.

Ante tales riesgos y situaciones se deben de emplear técnicas o métodos que permitían mitigar tales riesgos la organización debe desarrollar cuidadosamente un plan estratégico integrado a largo plazo.
Un riesgo clave para una red son los usuarios no autorizados que logran acceso a la red y tratan de ejecutar aplicaciones o autorizar usuarios para conseguir acceso a las aplicaciones para las cuales ellos no están autorizados. Los riesgos generales planteados para una red, por un usuario no autorizado, incluyen el uso no autorizado de los recursos dé la red para transportar datos, modificaciones o eliminación de datos, revelación de información y uso de los recursos de la red para negar la utilización legítima de los servicios.

Personal responsable del área


  • Director / Gerente de Informática 
  • Subgerentes de informática 
  • Asistentes de informática 
  • Técnicos de soporte externo
  • El administrador o gerente de telecomunicaciones, quien comúnmente controla los aspectos planificadores, presupuestarios y operacionales de comunicaciones.
  • El administrador o gerente de la red, quien típicamente administra el personal y el equipó.
  • El administrador o gerente de voz, quien administra el equipo telefónico, el informe de llamadas, la facturación, instalación de teléfonos, etc.
  • El administrador o gerente de aplicaciones de comunicaciones, quien es responsable de hacer los requerimientos funcionales de las aplicaciones en la realidad técnica.
  • Técnicos
  • Instaladores.
  • Equipo técnico de control de la red.
  • Equipo técnico (personal) de escritorio de ayuda al usuario.
  • Analistas de la red.
  • Operadores de Intercambio Privado de Ramificación (PBX)



 Determinar el nivel de aplicación de alguna de las normas consideradas para la auditoria de redes

 Planificación
La primera norma de auditoría de tecnologías de la información y la comunicación es:
“La auditoría de tecnologías de la información y la comunicación se debe planificar en forma metodológica, para alcanzar eficientemente los objetivos de la misma.” Se diseñarán programas de trabajo que se aplicarán durante la ejecución del trabajo de campo, para el efecto, en función a la evaluación del control interno y evaluación de riesgos, se determinará la naturaleza, oportunidad y extensión de los procedimientos de auditoría que se aplicarán para la obtención de evidencia competente y suficiente. Como resultado del proceso de planificación de la auditoría de tecnologías de la información y la comunicación, se debe elaborar el Memorándum de Planificación de Auditoría, el cual debe contener todos los aspectos detallados en la presente norma y aquéllos que se consideren necesarios incluir, y que tengan relación con los objetivos del examen, el alcance y la metodología.

Supervisión
La segunda norma de auditoría de tecnologías de la información y la comunicación es:
“Personal competente debe supervisar sistemática y oportunamente el trabajo realizado por los profesionales que conformen el equipo de auditoría.” La supervisión implica dirigir los esfuerzos del equipo de auditores gubernamentales hacia la consecución de los objetivos de auditoría.

Control interno
La tercera norma de auditoría de tecnologías de la información y la comunicación es: “Debe obtenerse una comprensión del control interno relacionado con el objeto del examen.”
Se debe evaluar el control interno para identificar las áreas críticas que requieren un examen profundo y determinar su grado de confiabilidad a fin de establecer la naturaleza, alcance y oportunidad de los procedimientos de auditoría a aplicar. Comprende el plan de organización, incluyendo la Unidad de Auditoría Interna, todos los métodos coordinados y procedimientos adoptados en la entidad para promover la eficacia y la eficiencia de las operaciones y la confiabilidad de la información, así como el cumplimiento de las políticas.

Evidencia
La cuarta norma de auditoría de tecnologías de la información y la comunicación es:
“Debe obtenerse evidencia competente y suficiente como base razonable para sustentar los hallazgos y conclusiones del auditor gubernamental.” La acumulación de evidencia es un proceso integrado a toda la ejecución de la auditoría y debe sustentar todos los atributos de los hallazgos de auditoría (condición, criterio, causa y efecto).

Comunicación de resultados
La quinta norma de auditoría de tecnologías de la información y la comunicación es: “El informe de auditoría de tecnologías de la información y la comunicación debe ser oportuno, objetivo, claro, convincente, conciso y será el medio para comunicar los resultados obtenidos durante la misma.”
El informe de auditoría de tecnologías de la información y la comunicación debe ser emitido en forma escrita, lógica y organizada.


Referencias
D'Sousa, C. (s.f.). Obtenido de http://www.monografias.com/trabajos11/siste/siste.shtml
Hernández, J. M. (23 de Febrero de 2006). wikilearning. Obtenido de http://www.wikilearning.com/curso_gratis/seguridad_fisica_como/9707-8
Hernández, J. M. (s.f.). tldp.org. Obtenido de http://es.tldp.org/Manuales-LuCAS/doc-como-seguridad-fisica/COMO-seguridad-fisica.pdf
Marin, F. C. (24 de Agosto de 2007). Monografias. Obtenido de http://www.monografias.com/trabajos7/ceproc/ceproc.shtml
Marin, F. C. (17 de Febrero de 2008). Obtenido de http://www.monografias.com/trabajos7/ceproc/ceproc.shtml
web.mit.edu. (2013). web.mit. Obtenido de http://web.mit.edu/rhel-doc/3/rhel-sg-es-3/s1-netprot-hardware.html
Publicadas por a la/s

1 comentario:

Suscribirse a: Comentarios de la entrada (Atom)