AUDITORA A LOS SISTEMAS DE REDES

Podemos definir este tipo de auditora de la siguiente manera:

Es la revisin exhaustiva, especfica y especializada que se realiza a los sistemas de redes de una empresa, considerando
en la evaluacin los tipos de redes, arquitectura, topologa, sus protocolos de comunicacin, las conexiones, accesos
privilegios, administracin y dems aspectos que repercuten en su instalacin, administracin, funcionamiento y
aprovechamiento. Es tambin la revisin del software institucional, de los recursos informticos e informacin de las
operaciones, actividades y funciones que permiten compartir las bases de datos, instalaciones, software y hardware de
un sistema de red. las redes han invadido el entorno de los sistemas computacionalesny lo ms comn es encontrar
empresas que comparten los recursos del sistema por medio de redes computacionales para satisfacer ms su actividad
informtica; la red ms popular y de mayor aplicacin en el trabajo de sistemas es la red de rea local (LAN: Local Area
Network), aunque la red de rea metropolitana (MAN: Metropolitan
Area Network) y la red de rea amplia (WAN: Wide Area Network), esta ltima de cobertura mundial, tambin son muy
utilizadas; dentro de este grupo de redes tambin est la popular red mundial Internet, la ms conocida por quienes
cuentan con sistemas computacionales. es necesario realizar una auditora a los sistemas de redes de cmputo para
evaluar el comportamiento informtico de muchas organizaciones se busca valorar todos los aspectos que intervienen
en la creacin, configuracin, funcionamiento y aplicacin de las redes de cmputo, a fin de analizar la forma en que se
comparten y aprovechan en la empresa los recursos informticos y las funciones de sistemas; tambin se evalan la
distribucin de cargas de trabajo, la centralizacin de los sistemas de redes computacionales y la repercusin de la
seguridad, proteccin y salvaguarda de informacin, personal y activos informticos. Para analizar el impacto de las
redes en las empresas, se propone examinar las siguientes orientaciones que permitirn evaluar los principales aspectos
que impactan el funcionamiento de los sistemas de red de rea local, metropolitana y amplia, as como
de Internet; estudiaremos estos aspectos a travs de los siguientes rubros:
Los objetivos de una red de cmputo.
Las caractersticas de la red de cmputo.
Los componentes fsicos de una red de cmputo.
La conectividad y comunicaciones de una red de cmputo.
Los servicios que proporciona una red de cmputo.
Los sistemas operativos, lenguajes, programas, paqueteras, utileras y bibliotecas
de la red de cmputo.
Las configuraciones, topologas, tipos y cobertura de las redes de cmputo.
Los protocolos de comunicacin interna de la red.
La administracin de una red de cmputo.
La seguridad de las redes de cmputo.
Esto es necesario si el auditor quiere contar con el suficiente conocimiento informtico que le permita analizar los
principales rubros que conforman una red de cmputo. es potestad absoluta del responsable de esta auditora utilizar
los puntos tal y como aqu se proponen, modificarlos o eliminar los que no considere necesarios, de acuerdo con su
experiencia, conocimientos y habilidades; siempre y cuando su objetivo sea obtener mejores resultados en su revisin.
Evaluacin del diseo instalacin y aprovechamiento de la red de cmputo
En esta parte de la auditora se analizan las razones por las que fue necesario implantar una red de cmputo en
la empresa, investigando desde cmo se hizo el anlisis de las necesidades del proyecto, el diseo de la red y su
configuracin lgica y fsica, hasta su implementacin y aprovechamiento. rasgos, el auditor de sistemas debe analizar:
1,2,3,4--Anlisis del cumplimiento de los objetivos fundamentales de la organizacin para instalar una red de cmputo,
evaluando en cada caso:
La forma de compartir los recursos informticos de la organizacin, especialmente la informacin y los activos.
La cobertura de los servicios informticos para la captura, procesamiento y emisin de informacin en la
organizacin.
La cobertura de los servicios de comunicacin.
La frecuencia con que los usuarios recurren a los recursos de la red.
La confiabilidad y seguridad en el uso de la informacin institucional.
5-Anlisis de la delimitacin de los proyectos de red, a fin de evaluar la manera en que se cumple con:
La delimitacin temporal, por el tiempo en que se instalar la red.
La delimitacin espacial, por las dimensiones fsicas y lgicas del proyecto
de red.
 La delimitacin conceptual, por el anlisis especfico de las necesidades que
se deben satisfacer con la red de cmputo.
6-Anlisis de los estudios de viabilidad y factibilidad en el diseo e instalacin de la red de cmputo en la empresa, en
relacin con:
El estudio de factibilidad tecnolgica.
El Estudio de factibilidad econmica.
El estudio de factibilidad administrativa.
El estudio de factibilidad operativa.
7-Evaluacin del diseo e implementacin de la red segn el mbito de cobertura
Anlisis de las redes de multicomputadoras.
-Evaluar el funcionamiento la cobertura de punto a punto.
-Evaluar el funcionamiento la tecnologa que se usa con un solo cable entre las mquinas conectadas.
Anlisis de la red de rea local (LAN).
-Evaluar su cobertura de 10 metros a 1 kilmetro.
- Evaluar el uso adecuado y confiable de la tecnologa utilizada internamente para la transmisin de datos, como el cable
coaxial, cable par trenzado, fibra ptica o sistemas de transmisin satelital o de microondas en todas las computadoras
conectadas a la LAN.
-Evaluar la restriccin adoptada para establecer el tamao de la red.
-Evaluar el tiempo promedio de transmisin de la red (entre el peor y el mejor caso de transmisiones conocidas de
datos).
-Evaluar que las velocidades utilizadas normalmente en su transmisin estn en el rango de 10 a 100 Mbps.
Anlisis de la red de rea metropolitana (MAN).
-Evaluar su cobertura de 10 a 100 km.
-Evaluar los criterios adoptados para establecer el tamao y cobertura de la red.
-Evaluar el funcionamiento de la tecnologa utilizada internamente en la transmisin de datos, como el cable coaxial,
cable par trenzado, fibra ptica o sistemas de transmisin satelital o de microondas en todas las mquinas conectadas
en la red LAN.
Anlisis de la red de rea amplia (WAN)
- Evaluar su cobertura de 100 a 1,000 km.
-Evaluar el funcionamiento de la composicin, consistente en la coleccin de hosts (computadoras interconectadas) o
LANs de hosts conectados por medio de subredes.
- Evaluar la forma de enviar los paquetes de un enrutador router a otro, segn las caractersticas de envo de la red.
-Evaluar el uso adecuado y confiable de la tecnologa utilizada (interna y externamente) en la transmisin de datos,
como el cable coaxial, cable par trenzado, fibra ptica o sistemas de transmisin satelital o de microondas en todas las
mquinas conectadas a las LANs y a la WAN.
-Evaluar la conveniencia del tiempo promedio de transmisin de la red entre LANs y entre subredes.
Anlisis de las redes pblicas (tambin incluida Internet).
-Evaluar su cobertura de 10,000 a 100,000 km.
-Evaluar la composicin de esta red, consistente en la integracin de la red Internet a la vinculacin con puertas de
enlace (gateways), computadoras que pueden traducir entre formatos incompatibles.
-Evaluar el uso adecuado y confiable de la tecnologa y sistemas de interconexin utilizados (interna y externamente) en
la transmisin de datos, como el cable coaxial, cable par trenzado, fibra ptica o sistemas de transmisin satelital o de
microondas.
Anlisis de la redes inalmbricas.
- Evaluar el uso adecuado de este tipo de red segn sus caractersticas.
- Evaluar el uso adecuado y confiable de la transmisin de datos por medio de radio, microondas, satlites o infrarrojo o
cualesquier otros mecanismos de comunicacin sin cable.
- Evaluar La posibilidad de combinar las redes inalmbricas con otras computadoras mviles u otras redes.
El diseo de entrevistas (seccin 9.1), cuestionarios (seccin 9.2) y encuestas
(seccin 9.3) elaborados con preguntas acordes con las necesidades de su evaluacin
sobre la configuracin de la red, el anlisis y diseo para su instalacin,
la configuracin e instalacin fsica y lgica de la red, as como sobre la actualizacin
informtica, emigracin de sistemas, las medidas preventivas y correctivas
relacionadas con la seguridad de la actividad informtica del rea de
sistemas y de las dems reas de la empresa que cuenten con sistemas.
Tambin puede utilizar dichas herramientas para evaluar la opinin de los usuarios
de sistemas, respecto al funcionamiento de la red, la frecuencia de fallas, si
las hay, la satisfaccin de sus necesidades informticas, la disponibilidad de los
Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionales 637
sistemas y el manejo de la informacin de sus reas, as como sobre la administracin
de sistemas de red en la empresa.
Adems, quiz como una de las primeras acciones de evaluacin, el auditor de sistemas
tambin puede utilizar esta herramienta:
El levantamiento de inventarios (seccin 9.5), a fin de hacer un recuento de los
bienes informticos destinados al funcionamiento de la red y del rea de sistemas,
as como de los bienes informticos que se pueden analizar en el funcionamiento
de los sistemas que conforman la red. Para llevar a cabo esto, es
recomendable realizar los siguientes inventarios:
Inventarios de los componentes de las redes de cmputo de la empresa, que
incluyan servidores, terminales, cableados, componentes y dems bienes informticos
que integran la red, as como los fabricantes, marcas, modelos
procesadores, tarjetas madre, velocidad, configuracin, memorias, sistemas
de almacenamiento, tarjetas adicionales, nmeros de serie, responsables de
su resguardo y todos los dems aspectos relacionados con el inventario de la
seguridad de estos equipos.
Inventario de los sistemas operativos, lenguajes, programas, paqueteras, utileras
y dems software institucional, as como de las licencias, resguardos,
originales, copias autorizadas y copias pirata, a fin de valorar la proteccin y
custodia de dichos sistemas.
Inventario de la seguridad y proteccin de la informacin y de los datos del
sistema de red.
Inventario de los bienes muebles, inmuebles, materiales y consumibles del
rea de sistemas, a fin de valorar su proteccin y uso.
Inventario de los accesos a los sistemas de redes, as como del acceso a la informacin
que se maneja en ellos y los sistemas operativos, lenguajes, programas
y dems software institucional de esas redes o de equipos mayores en red.
Inventario de las instalaciones fsicas de las redes, a fin de evaluar los accesos
establecidos para la proteccin de los bienes informticos del rea de sistemas,
as como su uso.
Inventario de configuraciones, protocolos, tarjetas y dems caractersticas
tcnicas del funcionamiento de los sistemas de red.
Inventario de las normas, polticas, reglamentos y medidas preventivas y correctivas
del rea de sistemas, a fin de evaluar la seguridad establecida para
satisfacer las necesidades de proteccin de la funcin informtica.
Otros inventarios relacionados con la seguridad, proteccin y salvaguarda de
los bienes informticos del rea de sistemas.
638 Auditora en sistemas computacionales
Otras herramientas que es recomendable utilizar en estas auditoras son las siguientes:
Las tcnicas de observacin (seccin 9.4), a fin de evaluar el funcionamiento
normal del sistema operativo de la red, el procesamiento y uso de la informacin
y del software de la empresa, as como para observar el desarrollo normal de las
operaciones y actividades de los usuarios de la red, actividades y acciones de
stos para comprobar las medidas de seguridad establecidas para la red, e incluso
para la observacin de su comportamiento durante simulacros realizados
de acuerdo con los planes contra contingencias de los sistemas de la red. Asimismo,
cuando el caso lo requiera, el auditor podr realizar la observacin oculta,
el monitoreo, la observacin participativa y los dems tipos de observacin
descritos en esa seccin.
Las tcnicas de revisin documental (seccin 10.5) para revisar los proyectos
de instalacin de la red, planos de configuracin de cableado, configuraciones,
distribucin de los componentes de la red, los planes contra contingencias, manuales
e instructivos de seguridad, licencias y resguardos de sistemas, bitcoras
de reportes de incidencias que afectan a la red y al desarrollo de proyectos de
redes y de nuevos sistemas, bitcoras de mantenimiento y evaluacin, as como
planes, programas y presupuestos para satisfacer los requerimientos de operacin
y funcionalidad de la red de cmputo. Siempre y cuando esta revisin se
realice para evaluar lo que se refiera a la administracin y control de las funciones
de la red, de los activos informticos que la integran, as como el manejo de
su informacin y sus sistemas.
La matriz de evaluacin (seccin 10.7) o la matriz DOFA (seccin 10.8), segn
las preferencias y necesidades de revisin del auditor; con estas herramientas
puede auditar las fortalezas y debilidades del funcionamiento de la red de cmputo,
tales como la administracin del servidor, las terminales, el software, la informacin,
el aprovechamiento de los recursos informticos de la empresa y la
respuesta a las necesidades informticas. Tambin puede analizar las reas de
oportunidad para fortalecer la comunicacin entre los sistemas de la empresa,
la actualizacin de tecnologas de proteccin y las barreras para proteger los accesos
del exterior. Tambin puede analizar las posibles amenazas del avance de
la tecnologa de redes y de comunicacin para evitar la fragilidad en la actualizacin
de los sistemas de red.
Es indispensable que el responsable de esta auditora tome en cuenta lo siguiente
al elaborar su programa de auditora a los sistemas de redes:
La elaboracin de una gua de evaluacin (seccin 11.1), a fin de planear especficamente
cada uno los aspectos importantes del funcionamiento de las redes
que tiene que evaluar, tanto en lo tcnico, como en la configuracin, operacin,
compatibilidad, comunicacin y dems aspectos relacionados con el funciona-
Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionales 639
miento de la red. Para ello es recomendable que tome en cuenta cada uno de
los puntos indicados en el inicio de esta seccin, adaptndolos a las necesidades
especficas de la red en la empresa, e incluso modificndolos para adecuarlos
conforme a sus propias necesidades de evaluacin, y conforme a las
caractersticas propias del sistema de red, a su tamao, componentes, configuracin
y dems peculiaridades de la red.
Un buen elemento de control para el responsable de esta evaluacin es el siguiente:
El uso de la lista de chequeo (seccin 11.6), ya que con esta herramienta puede
verificar que quien realice la auditora cubra todos los puntos descritos en su planeacin
de auditora. Inclusive, de acuerdo con el diseo de esta lista de chequeo,
tambin puede auditar todos los aspectos que repercuten en la red de la empresa.
El uso de las tcnicas de muestreo (seccin 9.6), debido a que al evaluar el
cumplimiento de las funciones, tareas y operaciones relativas a la administracin
y funcionamiento de una red de cmputo, sera casi imposible, a la vez que
inoperante, revisar todas las actividades que se realizan en la red, ms an cuando
sta es WAN o Internet. Por esta razn tiene que utilizar muestras representativas
del cumplimiento de las operaciones de la red, de acuerdo con las
necesidades y caractersticas de la red adoptada en la organizacin, as como
con su configuracin, componentes y la magnitud de interacciones que ocurren
en la transmisin de datos de la red. Esto independientemente del mtodo de
muestreo que se utilice en esta evaluacin.
Puede hacer lo mismo con las actividades de los protocolos de transmisin de informacin,
el manejo de sus sistemas de comunicacin, el procesamiento de informacin
y operaciones que permiten el funcionamiento de la red y todos aquellos
aspectos que se puedan evaluar mediante el muestreo de las actividades de la red.
El responsable de la auditora puede utilizar la siguiente herramienta para evaluar
las funciones de los ejecutivos, empleados y usuarios de sistemas, as como el desempeo
de todo lo que est alrededor del funcionamiento de una red de cmputo:
La ponderacin (seccin 11.2) es una herramienta muy til , ya que le permite
evaluar el funcionamiento adecuado de cada una de las partes de la red de
cmputo, al asignarle a cada parte el peso que, segn su criterio, le corresponda,
para hacer ms equitativa la evaluacin, en este caso a cada una de las partes
consideradas como divisin fundamental del funcionamiento de una red;
por ejemplo, la evaluacin del diseo de la red, del funcionamiento de los protocolos,
de la parte tcnica de su funcionamiento o cualquier otra divisin establecida
por el auditor
Recordemos que con esta tcnica es posible darle un peso especfico a cada
una de las partes en que se divide la actividad de las redes, y que la ponderacin
se tiene que adoptar de cada una de las subsecciones que conforman este

Los modelos de simulacin (seccin 11.3), ya que con ellos es posible hacer
simulacros del funcionamiento de la red, de los accesos a las reas fsicas y de
los accesos a los sistemas y a la informacin de la red; tambin se pueden realizar
el desarrollo de pruebas simuladas, planeadas previamente, con las que el
auditor realiza actividades concretas para utilizar la red de una manera inadecuada
y ver su comportamiento. Tambin puede hacer todo tipo de simulaciones,
de acuerdo con las necesidades de evaluacin y con su experiencia.
El anlisis de la diagramacin de sistemas (seccin 11.7), el cual tambin
puede ser una herramienta valiosa para el auditor, ya que le permite hacer el seguimiento
de las redes de cmputo, de su instalacin, diseo e implementacin,
as como el seguimiento de cualquier actividad de captura, procesamiento y
emisin de resultados de los sistemas de red, de los flujos que se siguen en la
transmisin de la informacin entre las partes que la integran, adems del seguimiento
de las rutinas de los programas de sta o de las actividades y funciones
que se realizan en ella.