Auditoria de Redes

April 3, 2018 | Author: truney | Category: Enterprise Resource Planning, Computer Network, Financial Audit, Software, Technology


Comments



Description

“Año de la Consolidación Económica y Social del Perú”UNIVERSIDAD NACIONAL DE PIURA FACULTAD DE INGENIERÍA INDUSTRIAL ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA CURSO TEMA DOCENTE INTEGRANTES : : : : CONTROL Y AUDITORÍA INFORMÁTICA AUDITORÍA DE REDES ING. HUGO ROSALES GARCÍA, M.SC.  NEYRA TRUJILLO, MIGUEL ÁNGEL  SEMINARIO PASAPERA, JONATHAN Piura - Perú 2010 1 ÍNDICE DE CONTENIDO INTRODUCCIÓN ............................................................................................................................. 3 BENEFICIOS DE LAS AUDITORÍAS DE REDES .................................................................................. 5 ¿CUÁLES SON LOS CONCEPTOS CLAVES EN LA AUDITORÍA DE REDES?........................................ 6 TIPOS DE AUDITORÍAS DE REDES .................................................................................................. 6 AUDITORÍA DE LA ARQUITECTURA DE REDES ........................................................................... 6 AUDITORÍA DE RENDIMIENTO DE REDES .................................................................................. 7 AUDITORÍA DE LA DISPONIBILIDAD DE REDES .......................................................................... 8 TÉCNICAS QUE SE PUEDEN UTILIZAR PARA LA AUDITORÍA DE REDES .......................................... 9 HERRAMIENTAS SOFTWARE UTILIZADAS ...................................................................................... 9 CASO PRÁCTICO........................................................................................................................... 10 PROPÓSITO .............................................................................................................................. 10 CUESTIÓN DE FONDO .............................................................................................................. 10 ¿EN QUÉ CONSISTE?................................................................................................................ 10 METODOLOGÍA........................................................................................................................ 11 HALLAZGOS ............................................................................................................................. 12 ANÁLISIS .................................................................................................................................. 14 RECOMENDACIONES ............................................................................................................... 15 CONCLUSIÓN ........................................................................................................................... 16 BIBLIOGRAFÍA .............................................................................................................................. 17 ÍNDICE DE TABLAS Tabla 1: Aspectos típicos de seguridad física para salas secundarias. ........................................ 11 Tabla 2: Aspectos típicos de seguridad física para salas principales........................................... 11 Tabla 3: Hallazgos de ausencia de políticas y procedimientos para la administración de la seguridad de la red física............................................................................................................. 12 Tabla 4: Hallazgos referentes a las salas principales y secundarias. ........................................... 13 Tabla 5: Hallazgos identificados agrupados en categorías.......................................................... 14 Tabla 6: Ponderación de los hallazgos. ....................................................................................... 14 ÍNDICE DE ILUSTRACIONES Ilustración 1: Análisis de los hallazgos. ....................................................................................... 15 2 INTRODUCCIÓN La infraestructura de las Tecnologías de la Información y de las Comunicaciones (TIC) se ha convertido en un activo empresarial estratégico y la red constituye su núcleo. Las redes de comunicaciones de las empresas e instituciones públicas se han convertido en el sistema circulatorio de las mismas y, a través de ellas, fluye la información de las empresas, su verdadero patrimonio informacional. Se puede definir la auditoría de redes como el conjunto de técnicas y procedimientos de gestión, destinados al análisis y control de los sistemas que componen una red, mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información. Los sistemas que forman parte de una red son básicamente: nodos de red, sistemas operativos y software básico, software de uso específico y sistemas de información (nodos de almacenamiento masivo y base de datos). El objetivo fundamental de una auditoría es la obtención de un juicio objetivo, independiente y desinteresado. En el caso concreto de la auditoría de redes es preciso el conocimiento detallado y preciso de las necesidades de la empresa u organización cubierta por la red objeto de auditoría. Dada su importancia de cara al correcto funcionamiento de las organizaciones, la seguridad de estas redes es un factor clave. Ahora bien, sólo con la implantación de las necesarias medidas de seguridad no es suficiente, hay que auditar las redes para comprobar si, efectivamente, se cumplen y, en algunos casos, dentro de esas auditorías habrá que simular ataques a las mismas para detectar posibles agujeros en su seguridad. Tenemos que partir de la idea de que las redes son vulnerables y que las amenazas que se ciernen sobre ellas son de distinto tipo como veremos a continuación. Para desarrollar estos conceptos seguiremos lo que dice el profesor Ribagorda Garnacho: “Vulnerabilidad es la susceptibilidad de un sistema o componente a sufrir daños por un ataque específico, o equivalentemente una debilidad del sistema de protección de un recurso que puede ser explotado por un ataque”. Ejemplos de vulnerabilidades pueden ser: la implantación en las redes de los sistemas abiertos, la extensión de las mismas o la falta de preparación específica y experiencia de los usuarios. Por amenaza se entiende la violación potencial de la seguridad de un sistema a diferencia de ataque, que es la materialización de una amenaza. 3 Las amenazas pueden ser de varios tipos: Pasivas, que son aquellas que atentan a la confidencialidad de la información, pero no la alteran. Activas, que son aquellas que cambian el estado de la información o del sistema y pueden ser: la interrupción, la modificación y la generación. o La interrupción consiste en intermitir una transmisión, lo que significa una amenaza a la disponibilidad de la información. o La modificación consiste en alterar un mensaje, lo que es una amenaza a su integridad. o La generación es la construcción de mensajes falsos, lo que, en definitiva, también es una amenaza a la integridad de la información. En la auditoría de redes se deben revisar, entre otros, los siguientes puntos:                   Tipos y redes de conexiones. Tipos de transacciones. Información u programas transmitidos. Uso del cifrado. Tipos de terminales. Protecciones: físicas y lógicas. Protección de fax y voz, en caso necesario. Transferencia de ficheros y controles existentes. Conexiones externas a través de pasarelas (gateway) y encaminadores (routers) y controles existentes. Separación de dominios entre Internet e Intranet. Verificación de accesos no justificados. Utilización del correo electrónico. Protección de programas. Control de las páginas web. Quién puede modificar las páginas web y hasta dónde. Cumplimiento de la LSSI. Cumplimiento de LOPD. Verificación de los accesos a redes exteriores registrados. Con esto no pretendemos hacer una análisis exhaustivo de lo que se debe tener en cuenta en una auditoría de redes, sino simplemente poner de relieve la importancia que tienen éstas en el funcionamiento normal de la empresa y, por lo tanto, la necesidad de verificar que se cumplen las medidas de seguridad propuestas respectos a las mismas. La seguridad en el procesamiento de información, comunicaciones en redes de área local (LAN) y en redes de área extensa (WAN) y en la transmisión de datos, es una premisa imprescindible en la mayoría de las entidades, que avala las inversiones realizadas de recursos tanto humanos como materiales. En muchas ocasiones, los beneficios de una entidad empresarial no son susceptibles de incremento mediante el aumento de ingresos, sino por la reducción de costes. Y es precisamente en este aspecto donde la auditoría actúa como elemento sinérgico del sistema de control interno de la entidad. 4 En la actualidad no es concebible el desarrollo de la gestión empresarial sin la existencia de los procedimientos y las herramientas de control correspondientes. En multitud de empresas y organismos, la auditoría convencional referida a aspectos económicos-financieros está siendo acompañada y en cierto modo, complementada por una auditoría de redes. No mucho tiempo atrás, una empresa con una organización ejemplar en cuanto a división y competencias podía estar cometiendo errores inadvertidos en su sector de comunicaciones e informático, proporcionando debilidades a corto y mediano plazo extensibles al resto de los ámbitos de la empresa, mediante un efecto mariposa o efecto dominó. Con las actividades de análisis y síntesis que supone una auditoría de red, la empresa u organismo comprobará el estado de su instalación de red, desde los niveles más bajos (componentes electrónicos, lógica digital y sistemas microprogramados) hasta los protocolos empleados por las aplicaciones de usuario de mayor nivel en la arquitectura de red. La arquitectura de red se define por la visión de cada uno de los esquemas de cada parte: Físico, desde el punto de vista del hardware, mostrando la topología o distribución física de las máquinas que componen la red. Lógico, desde la perspectiva de la distribución de los servicios prestados por cada nodo de la red, clasificación de los distintos tipos de tráfico, la estructura lógica de la red (división en subredes, VLANs, etc.) Administrativo, desde la perspectiva en posesión de los recursos humanos encargados de las tareas relacionadas con la gestión, administración y mantenimiento de la red. BENEFICIOS DE LAS AUDITORÍAS DE REDES Ayuda a adecuar la disponibilidad y el rendimiento de la red a las necesidades de la empresa. Proporciona información que maximiza el retorno de las inversiones o payback en redes y TIC (Tecnologías de la Información y Comunicación) de la empresa. Aumenta la estabilidad y fiabilidad de la red. Reduce el riesgo potencial de las nuevas implantaciones y actualizaciones en la red, tanto el entorno estrictamente tecnológico como en los procesos empleados. Aumenta la satisfacción de los clientes al alcanzar mayores cotas de rendimiento y disponibilidad de la red. Entendiendo el concepto de cliente, en su definición más amplia, que abarca al cliente interno, los usuarios directos de la red (empleados de la entidad u organización)-y al cliente externo, aquel que solicita un servicio y es la fuente principal de ingresos. 5 ¿CUÁLES SON LOS CONCEPTOS CLAVES EN LA AUDITORÍA DE REDES? Finalidad y utilidad. Estos dos conceptos serán el referente para diferenciar distintos tipos de auditoría que se pueden plantear en una red. TIPOS DE AUDITORÍAS DE REDES Existen diversos tipos de auditorías de redes debido fundamentalmente al grado de escalabilidad y personalización obtenidos. De forma sintética, se puede hablar de tres tipos básicos de auditorías en redes, que pueden ser complementadas mediante auditorías ad-hoc. AUDITORÍA DE LA ARQUITECTURA DE REDES La finalidad principal de este tipo de auditorías es la obtención de un mapa básico de topología de red como punto de partida del diseño del entorno de red en su conjunto. Por otro lado, la utilidad de este tipo de auditorías es la generación de recomendaciones para las áreas susceptibles de cambio y/o actualización de la empresa u organización, evitando los puntos potenciales de criticidad y fallo en la red auditada. La primera fase de una auditoría de la arquitectura de redes es la recopilación de información sobre las necesidades empresariales o corporativistas y de datos técnicos sobre los equipos de red activos. Mediante un proceso específico de entrevistas al equipo de recursos humanos dedicado a la gestión-administración, provisión y mantenimiento de la red, se identifican las necesidades empresariales relacionadas con la red. Además, se recolecta la información pertinente sobre los procesos aplicativos que se ejecutan en la red y los planes de crecimiento futuro. Para la recogida de datos técnicos sobre los equipos activos de red, se utilizan herramientas software y hardware de red seguras. La utilidad de esta auditoría se desglosa en el informe que incluye la siguiente información: Un listado de los equipos activos en la red WAN/LAN Un mapa de la topología de red física. Un resumen analítico de ingeniería donde destacan los puntos potenciales de fallo y/o mejora de la red auditada. 6 AUDITORÍA DE RENDIMIENTO DE REDES La finalidad principal de este tipo de auditoría es proporcionar datos del rendimiento, siendo la utilidad de la misma la generación de recomendaciones en forma de informes que ayuden a determinar las mejoras que precisa la red para garantizar las necesidades de los usuarios de los aplicativos, tanto en el presente como en el futuro. Se debe contar con un mapa de la topología de red, como punto de partida para la primera de las fases de este tipo de auditoría, el análisis del rendimiento. Como resultado, se obtendrá principalmente una solución ERP (Enterprise Resource Planning o Planificación de Recursos Empresariales). Un ERP es un software de gestión integral de empresa cuyas características fundamentales son: Resuelve todas las necesidades de flujos de información dentro de la organización. La aplicación posee naturaleza estándar, con la disponibilidad de un entorno propio de desarrollo a disposición de la empresa, facilitando las adaptaciones necesarias en el sistema de gestión para responder a los cambios de su entorno. La siguiente fase de la auditoría, es la Evaluación de planes de crecimiento futuro de la red y/o planes de cambios necesarios en el entorno de aplicaciones críticas de la empresa. A continuación, se elige el momento más adecuado para realizar la recopilación de datos del rendimiento de la red, mediante la implantación de herramientas que recojan datos de rendimiento de la red a través de los siguientes ítems: Uso comparativo. Salud de la red en aspectos globales. Análisis de errores. Determinación de los diez principales emisores de tráfico en la red. Determinación de los diez principales receptores de tráfico en la red. Distribución y uso de los protocolos de comunicaciones. Finalmente, se realiza el informe ad-hoc a la red auditada, donde se incluye un resumen para la dirección de la empresa u organización, describiendo los resultados de la auditoría de rendimiento y ofreciendo las recomendaciones oportunas de toma de decisiones. Complementariamente, se adjunta el informe resumido de ingeniería que interpreta los datos de rendimiento y proporciona un resumen de referencia del rendimiento del entorno de red en su conjunto, las recomendaciones para mejorar el rendimiento actual en base a las necesidades empresariales, las recomendaciones para prever el crecimiento futuro de la red, datos indicadores de problemas potenciales afectando al tiempo de retorno y tiempo de respuesta de los procesos y un apéndice con todos los datos del rendimiento en formato gráfico. De forma opcional, se suele fijar una reunión-presentación con el equipo directivo, para ofrecer una presentación interactiva de observaciones y recomendaciones relativas al rendimiento del entorno en relación a las necesidades empresariales. 7 AUDITORÍA DE LA DISPONIBILIDAD DE REDES La finalidad de esta auditoría es la comprensión profunda de los requerimientos para alcanzar y mantener la disponibilidad y fiabilidad de la red que la empresa u organización precisa. El desarrollo de este tipo de auditoría se basa en una serie de entrevistas a miembros clave de la plantilla de la empresa u organización en sus propias dependencias, que versan sobre los siguientes aspectos: Planificación de servicios: objetivos de alta disponibilidad, gestión de niveles y acuerdos de servicios (SLA, Service Level Agreement), aplicaciones y sistemas críticos de la red. Estructura de la organización: personal encargado de la red, necesidades de formación y conocimientos específicos, funciones, dependencias y responsabilidades. Relaciones con el proveedor: comunicaciones, contratos de soporte y tipos de soporte (presencial, remoto, 24x7, etc.) Gestión de cambios: traslados, incorporaciones y cambio; verificación previas de la red antes de actualizar la red y procedimientos de actualización de software. Gestión de fallos e incidencias: procedimientos de control de incidencias en el servicio, procedimientos de escalado técnico, procedimientos de escalado gerencial, procedimientos de seguimiento y análisis, prevención y estrategias de aislamiento de fallos en la red. Entorno físico: seguridad física, consideraciones ambientales, estrategia de cableado estructural y etiquetado, accesos a los emplazamientos a mantenedores y suministradores. Planificación de contingencias: copias de seguridad y respaldo, recuperación proactivas y reactivas de la información. Seguridad: revisión de reglas en firewalls, políticas y procedimientos, acceso remoto, autentificación de métodos y políticas de intranet y extranet. Para concluir, se planifica una presentación con el personal directivo y con personal clave encargado de la red, donde se realiza una comparación entre los objetivos empresariales con estrategias de operaciones TIC y sus planes de implantación, indicando las vulnerabilidades de la red, obstáculos y factores críticos. 8 TÉCNICAS QUE SE PUEDEN UTILIZAR PARA LA AUDITORÍA DE REDES Entrevistas Cuestionarios Encuestas Levantamiento de inventario Técnicas de observación Técnicas de revisión documental Matriz FODA Listas de chequeo Técnicas de muestreo Trazas o Huellas Log’s Modelos de simulación HERRAMIENTAS SOFTWARE UTILIZADAS Las principales herramientas de software libre empleadas en las auditorías de redes son las siguientes: 1. Para el análisis de red: Scotty: herramienta de monitorización de agentes que incluye capacidades de gestión de dispositivos SNMP. Está implementado en Tcl/Tk con extensiones propias, e incluye un navegador MIBs. Tcpdump: herramienta de adquisición y análisis de tráfico. Es una fuente de la librería libpcap. Ethereal/Wireshark: herramienta de adquisición y análisis de tráfico con un entorno gráfico de alto nivel. Se pueden realizar distintos tipos de filtrado de la información capturada. Kismet: es un sniffer, un husmeador de paquetes, y un sistema de detección de intrusiones para redes inalámbricas 802.11. Aircrack-ng: es una suite de seguridad inalámbrica que consiste en un packet sniffer de red, un crackeador de redes WEP y WPA/WPA2-PSK y otro conjunto de herramientas de auditoría inalámbrica. Mrtg: herramienta con interfaz WWW que permite una lectura en tiempo real de estadísticas de distintos elementos, entre otros, dispositivos SNMP. Es una de las herramientas más conocidas para monitorización de tráfico, y una de las más extendidas. Cheops: herramienta sustitutiva de scotty para la gestión de elementos de red, también incluye soporte SNMP, además es tremendamente gráfica e intuitiva. 9 Mon: se trata de una herramienta integrada para la gestión de red, soportando múltiples sistemas en los que, a través de agentes, se pueden monitorizar las aplicaciones de éstos y su rendimiento. Tiene soporte SNMP y ofrece la posibilidad de definir muchos niveles de alertas, desde correo electrónico a notificaciones con voz en tiempo real. Iptraf: es un monitor de red a nivel IP. Permite la obtención del ancho de banda consumido, monitorizar todas las conexiones relativas a una máquina, comprobación de checksums errors y detectar ciertas operaciones no permitidas por parte de los usuarios. 2. Para la realización de gráficos y esquemas: Tkined: es la interfaz gráfica de la herramienta scotty. ArgoUML: software que facilita la comunicación entre desarrolladores, clientes, analistas y demás personas que intervienen en un proyecto utilizando un lenguaje gráfico denominado UML. Xfig: Herramienta de dibujo vectorial en 2D. Dia: Herramienta de propósito general para la creación de diagramas. CASO PRÁCTICO Este informe contiene el resultado de la auditoria de redes físicas realizada sobre la red de área local de la Universidad Tecnológica Nacional Facultad Regional de Córdoba - Colombia. PROPÓSITO El propósito de esta auditoría es evaluar los controles de seguridad para proteger los recursos de la red físicas de la Universidad Tecnológica Nacional, Facultad Regional de Córdoba. Obtener una visión general de la ubicación de todos los dispositivos de la red de área local. Evaluar el ambiente de control físico sobre los dispositivos de la red de área local. CUESTIÓN DE FONDO El funcionamiento de la Universidad se basa en su sistema de informático. Este es necesario para brindar servicios tanto a estudiantes como a empleados. Algunos de estos servicios son: Inscripciones, seguimiento de alumnos, dictado de clases, servicio de comunicaciones, internet y otros. ¿EN QUÉ CONSISTE? Esta auditoría está limitada a la seguridad física de la red de área local de la Universidad Tecnológica Nacional, Facultad Regional de Córdoba. Las actividades que protegen el equipamiento de daño físico son: 10 Permitir que solo los responsables de mantenimiento de los equipos de cómputos ingresen a las salas de equipamiento. Proveer mecanismos de detección de fuego, humo, agua, suciedad, etc. Almacenar materiales peligrosos, como químicos de limpieza, en lugares separados y alejados de los equipos de cómputos. Proveer de dispositivos reguladores de tensión y UPSs para salvar el equipamiento de daños producidos por los niveles de tensión y cortes abruptos en el suministro eléctrico. Planificar la manera de recomenzar con las operaciones después de un fallo, incluyendo las copias de seguridad de programas y datos. METODOLOGÍA Durante nuestra visita preliminar identificamos todas las salas donde se encuentra el equipamiento de cómputos y las clasificamos en “principales” y “secundarias”, entendiéndose por principales aquellas donde se ubican los dispositivos más importantes para la red tales como servidores, hubs, switch, etc. Es válido resaltar que las salas principales deben contar con un mayor control de seguridad que las secundarias. La Tabla 1 y la Tabla 2 describen los aspectos típicos a implementar para el control físico de la red en las salas principales y secundarias.  Para Salas Secundarias Escritura de estándares para la administración de seguridad de los recursos de la red.     Bloqueo de salas permitiendo solo el ingreso a personas autorizadas. Monitoreo y registro de los accesos a las salas. Detección de fuego, humo y agua. Extintores de fuego adecuados y habilitados. Tabla 1: Aspectos típicos de seguridad física para salas secundarias.   Para las Salas Principales (Además de los aspectos necesarios para las salas secundarias) Escritura de políticas y procedimientos para la realización y recuperación de copias de seguridad. Ubicación de las salas en el interior del edificio. Y en lo posible sin ventanas ni puertas al exterior o patios internos.    Dispositivos alejados del piso. UPSs para asegurar la continuidad de las operaciones. Copias de seguridad ubicadas fuera de la sala y adecuadamente protegidas Tabla 2: Aspectos típicos de seguridad física para salas principales. Para obtener una visión general de la ubicación de todos los dispositivos de red, nos contactamos con el personal encargado de las aulas G del edificio, el Laboratorio de Sistemas y el centro de cómputos. Posteriormente visitamos cada una de estas salas para evaluar, los controles sobre la seguridad física, las condiciones ambientales y controles sobre las copias de seguridad e inventarios. Para esto nos entrevistamos con los responsables de cada una de estas salas. 11 HALLAZGOS Actualmente no existen políticas ni procedimientos escritos para la gestión de la seguridad física de la red. Sino que, son los encargados de cada sala quienes llevan adelante estas tareas a criterio propio y por lo tanto de manera heterogénea. HALLAZGO DESCRIPCIÓN Debido a la ausencia de estos, el mantenimiento, lo realiza el encargado de turno basándose en su experiencia. Además tampoco se cuenta con procedimientos para el monitoreo de las conexiones de la red por lo que es difícil determinar el estado de los equipos. Por lo que no se conoce la disponibilidad de equipos, su ubicación, estado ni procedencia. No está disponible información referente a errores comunes y sus soluciones encontradas. Por lo que cada encargado debe, a cada error, encontrarle una nueva solución aunque se trate de problemas recurrentes. Tampoco es posible realizar un seguimiento de las fallas y sus causas, con el objeto de implementar medidas correctivas. Esto genera la necesidad de la presencia permanente del encargado. No se cuenta con una metodología para el diagnóstico de fallas. No están claramente definidas las responsabilidades del personal, lo que ocasiona confusión acerca de las tareas que debe realizar cada persona. No existen políticas ni procedimientos para Mantenimiento. No existen políticas ni procedimientos para inventarios. No existen políticas ni procedimientos para registros de errores y soluciones. No existen políticas ni procedimientos para la asignación de responsabilidades. Tabla 3: Hallazgos de ausencia de políticas y procedimientos para la administración de la seguridad de la red física. 12 HALLAZGO Referentes a las salas principales y secundarias. (No existe distinción entre estas.) AMBIENTAL  Tubos fluorescentes sin coberturas.  Cielo raso en mal estado.  Matafuego con candado.  Matafuego alejado.  No se conoce el uso del matafuego.  Cable canal deteriorado.  Espacio reducido entre maquina.  Tomacorrientes instalados sobre muebles de caño.  Cable dificultando el paso de la persona.  Cable en el piso.  El cableado de la red se encuentra junto al de la red eléctrica.  No se restringe el acceso a persona no autorizadas a los dispositivos mayores ni menores (debido a que estos dispositivos coexisten en la misma sala).  No existen carteles que prohíban comer y/o fumar dentro de las salas. CABLEADO DE LA RED HORIZONTAL  Conectores de pared no se encuentran fijos.  Conectores sin capuchones.  Conectores al descubierto.  Conectores en el piso.  Conectores de PC sin atornillar.  Cableado sin identificadores.  Cableado suelto.  Cableado sin protección.  Cableado anudado.  Cableado de longitud excesiva.  Ausencia de precintos.  Precintos con presión excesiva.  Cables precintados a muebles. CENTRO DEL CABLEADO  Dispositivos sin identificadores.  Dispositivos accesibles a personas no autorizadas.  Centro de cableado en el piso  La puerta del centro de cableado no se abre con facilidad. Tabla 4: Hallazgos referentes a las salas principales y secundarias. 13 ANÁLISIS Los hallazgos identificados, se han agrupado en categorías por su similitud. Para permitir una visión más global de los problemas. Esto se refleja en la siguiente tabla: CATEGORÍA Ambiental PROBLEMAS Tubos fluorescentes sin coberturas. Tomacorrientes instalados sobre muebles de caño. Problemas con Matafuego. Cables en el piso o junto a la red eléctrica. Cielo raso en mal estado. VISITADAS 5 5 5 5 5 5 5 5 3 3 3 3 CON PROBLEMA 5 5 4 3 2 5 5 3 3 2 2 3 Red Horizontal Problemas con conectores. Problemas con cableado. Problemas con precintos. Centro de Cableado Dispositivos sin identificadores. Dispositivos accesibles a personas no autorizadas. Centro de cableado en el piso. Centro de cableado mal ubicado. Tabla 5: Hallazgos identificados agrupados en categorías. Para un mejor análisis de los riesgos se dio una ponderación diferenciando los hallazgos del centro del cableado del resto (ambientales y red horizontal), asignándoles los valores de 1.0 y 0.6 respectivamente. Por otra parte, cada hallazgo fue ponderado independientemente, utilizando una escala de 0.0 a 1.0. Reflejando los resultados en la siguiente tabla. DESCRIPCION DEL PROBLEMA Centro de cableado mal ubicado Dispositivos accesibles a personas no autorizadas. Dispositivos sin identificadores. Problemas con conectores. Tomacorrientes instalados sobre muebles de caño. Problemas con cableado. Centro de cableado en el piso. Problemas con Matafuego. Tubos fluorescentes sin coberturas. Cables en el piso o junto a la red eléctrica. Problemas con precintos. Cielo raso en mal estado. CC 3 3 3 SALAS PROBLEMAS 3 2 3 5 5 5 2 4 5 3 3 2 PP PC 100% 1.0 67% 1.0 100% 100% 100% 100% 67% 80% 100% 60% 60% 40% 1.0 0.6 0.6 0.6 1.0 0.6 0.6 0.6 0.6 0.6 PI 0.7 0.7 0.4 0.6 0.5 0.5 0.3 0.4 0.2 0.3 0.3 0.4 VR 70 47 40 36 30 30 20 19 12 11 11 10 5 5 5 3 5 5 5 5 5 Tabla 6: Ponderación de los hallazgos. 14 Ilustración 1: Análisis de los hallazgos. RECOMENDACIONES En primer lugar que se coloquen los centros de cableado en lugares adecuados, fuera del alcance del alcance de personas no autorizadas. También recomendamos que se identifiquen los dispositivos principales. También recomendamos que, se escriban y difundan las políticas y los procedimientos necesarios para proteger los recursos informáticos de la red de área local de la universidad. Estos procedimientos deberían ser para mantenimiento, inventario, registros de errores y soluciones y responsabilidades. Los mismos deberán servir de guía para que los encargados realicen la correcta gestión del control físico sobre la red. Y por último, que los encargados de cada sala realicen las acciones necesarias para:   Mantener el cableado en buenas condiciones. Mantener los conectores en buen estado. Estas acciones deben ejecutarse en forma periódica. 15 CONCLUSIÓN Nuestra opinión es que, los controles sobre los recursos de la red de área local de la universidad deben ser mejorados puesto que presenta importantes dificultades. Esto se debe a la ausencia de lineamientos claros para su gestión. 16 BIBLIOGRAFÍA DEL PESO NAVARRO, EMILIO (2003). Servicios de la Sociedad de la Información. Madrid: Díaz de Santos. DEL PESO NAVARRO, EMILIO; DEL PESO, MAR; PIATTINI VELTHUIS, MARIO G. (2008). Auditoría de Tecnologías y Sistemas de Información. México: Alfaomega Ra-Ma. DELGADO ROJAS, XIOMAR (1998). Auditoría Informática. Costa Rica: EUNED. DE MIGUEL ALBITE, ENRIQUE (2005). Auditorías en Redes Telemáticas. 17
Copyright © 2024 DOKUMEN.SITE Inc.