INTRODUCCIN

Las redes locales (LAN) tienen un papel importante en el funcionamiento de las empresas hoy en da. Envista de que muchas organizaciones carecen de estudios sobre las seguridades informticas, se realiz el siguiente estudio cuyo fin es ayudar a las empresas a identificar su situacin actual con respecto a las seguridades informticas y sugerir los correctivos necesarios. Este estudio se compone de los siguientes puntos:

Anlisis del Estado actual de la red, incluyendo controles fsicos y lgicos, deteccin de usuarios no autorizados, hardware de comunicaciones, tipos de trfico de red, esquema de antivirus, acceso a Internet, esquema y pruebas de respaldo.

Elaboracin de un plan de respaldo y contingencia que garantice la disponibilidad de los recursos tanto en la parte de servidores y equipos de comunicacin, enlaces de transmisin, aplicaciones y datos en general.

Anlisis de Polticas de seguridad actuales, que incluye verificacin de polticas de claves, control de personal, perfiles de usuario, sistemas operativos de red, esquema de licencias de software.

Anlisis de proteccin de recursos informticos y establecimiento de un plan de capacitacin en las polticas de seguridad.

1. Situacin Actual. El primer paso para realizar una auditora de redes locales es identificar cual es la situacin actual del Ministerio de transportes y Comunicaciones con respecto a las seguridades informticas, realizando lo siguiente:

Inventario de hardware: Consiste en realizar un diagrama de los componentes fsicos de la red.

Inventario de software existente: Elaboracin de un listado de los programas instalados en cada mquina de la red.

Esquema de antivirus: Se especifica el software antivirus utilizado en la empresa.

Esquema de respaldos: Identificar la frecuencia y el medio con el que se realizan los respaldos de la informacin de la empresa, en caso de que se realicen.

Anlisis de riesgos: Realizar un anlisis de los riesgos posibles a los que se encuentra expuesta la empresa basndose en los puntos anteriormente mencionados en el estudio de la situacin actual.

2. Solucin propuesta y plan de contingencias Como resultado del anlisis hecho de la situacin actual, se deben proponer las respectivas recomendaciones para cada una de los problemas encontrados, as como establecer un plan de contingencias que permita garantizar el

funcionamiento de la red local en caso de suscitarse algn imprevisto. A continuacin, se presenta un esquema genrico de las recomendaciones y plan de contingencias a implementar:
2

2.1. Recomendaciones contra la accin de virus Es aconsejable tener un proveedor de software antivirus para las estaciones y otro diferente para el servidor, para reducir la probabilidad de que un virus que no est en la lista de actualizacin, se filtre en toda la red. Tambin es necesario implementar un procedimiento para las actualizaciones automticas de las definiciones de virus, labor que se debe realizar en horas en que no se degrade el performance del trfico de red.

2.2. Recomendaciones contra accesos no autorizados Es recomendable que los equipos ms importantes de la empresa residan en un rea accesible solo a personal autorizado, sean estos tanto servidores como equipos de comunicacin. Es necesario controlar el acceso a las instalaciones como el acceso a las maquinas con sus debidos perfiles. Se deben establecer polticas para el flujo de datos en la red, adems de incluir sistemas de monitoreo de los accesos realizados a la red.

2.3. Recomendaciones para prevenir fallas en los equipos Se recomienda realizar mantenimiento preventivo de los equipos, tambin contar con un grupo electrgeno, UPS y llevar un control del software instalado en las mquinas, teniendo un equipo de pruebas para las nuevas instalaciones de programas.

2.4. Recomendaciones de cmo realizarlas actualizaciones de parches de seguridad Como complemento a las sugerencias anteriores, es recomendable estar al da con la instalacin de los diferentes parches de seguridad para el software de la empresa y tener instalado software original y licenciado.

2.5. Plan de contingencias El Plan de Contingencias o Emergencias, constituye el instrumento principal para dar una respuesta oportuna, adecuada y coordinada a una situacin de emergencia causada por fenmenos destructivos de origen natural o humano. Como parte del plan de contingencias, tenemos:

2.5.1. Actividades previas al desastre Son todas las actividades de planeamiento, preparacin, entrenamiento y ejecucin de las actividades de resguardo de la informacin, las cuales nos asegurarn un proceso de recuperacin con el menor costo posible

2.5.2. Actividades durante el desastre Son todas las actividades a realizar en el momento que ocurre un siniestro, estas actividades deben estar previamente establecidas en el plan de emergencias de la sede del MTC, donde se detallan entre otras cosas vas de salida o escape, plan de evacuacin del personal, plan de puesta a buen recaudo de los activos, ubicacin y sealizacin de los elementos contra el siniestro (extintores, etc.), lista de telfonos de Bomberos /Ambulancia.

2.5.3. Actividades despus del desastre Despus de ocurrido el siniestro o desastre es necesario realizar las actividades que se detallan en el Plan de contingencias establecido. Previo a su ejecucin se deben tomar en cuenta los puntos que se detallan a continuacin. Evaluacin de daos. Priorizacin de actividades del plan de accin Ejecucin de actividades Evaluacin de resultados Retroalimentacin del plan de accin

3. Polticas de seguridad Desarrollar un sistema de seguridad significa "planear, organizar, dirigir y

controlar las actividades para mantener y garantizar la integridad fsica de los recursos informticos, as como resguardar los activos de la empresa". Los objetivos que se desean alcanzar luego de implantar un plan de polticas de seguridad son los siguientes: Establecer un esquema de seguridad con claridad y transparencia bajo la responsabilidad de la empresa en la administracin del riesgo. Compromiso de todo el personal de la empresa con el proceso de seguridad, agilizando la aplicacin de los controles con dinamismo y armona. Que la prestacin del servicio de seguridad gane en calidad. Todos los empleados se convierten en inspectores del sistema de seguridad.

4. LISTADO DE VERIFICACIN DE AUDITORIA DE REDES 4.1. Gestin administrativa de la red.

100% Excelente Los objetivos de la red De computo Las caractersticas de la Red de cmputo Los componentes fsicos de la red de cmputo La conectividad y las comunicaciones de la red de cmputo Los servicios que proporcionan La red de cmputo Las configuraciones, topologas, tipos y cobertura de las redes de cmputo. Los protocolos de comunicacin interna de la red. La administracin de la red de cmputo. La seguridad de las redes de cmputo 80% Buena 60% Regular 40% Mnimo 20% No cumple

4.2. Evaluacin de anlisis de la red de cmputo

Evaluar y calificar el cumplimiento de los siguientes aspectos Evaluacin de la existencia y uso de metodologas, normas, estndares y polticas para el anlisis y diseo de redes de cmputo. Anlisis de la definicin de la problemtica y solucin para instalar redes de cmputo en la empresa. Anlisis de cumplimiento de los objetivos fundamentales de la organizacin para instalar una red de cmputo, evaluando en cada caso. La forma de repartir los recursos informticos de la organizacin, especialmente la informacin y los activos. La cobertura de servicios informticos para la captura, el procesamiento y la emisin de informacin en la organizacin. La cobertura de los servicios de comunicacin. La frecuencia con que los usuarios recurren a los recursos de la red La confiabilidad y seguridad en el uso de la informacin institucional La centralizacin, administracin, operacin, asignacin y el control de los recursos informticos de la organizacin La distribucin equitativa de los costos de adquisicin y el control de los recursos informticos de la organizacin. La escalabilidad y migracin de los recursos computacionales de la organizacin. La satisfaccin de las necesidades de poder computacional de la organizacin, sea con redes, cliente /servidor o mainframe La solucin a los problemas de Comunicacin de informacin y datos en las reas de la organizacin.

Excelente

Bueno

Regular

Mnimo

No cumple

4.3. Anlisis de los estudios de viabilidad y factibilidad en el diseo e instalacin de la red de cmputo en la empresa:
Evaluar y calificar el cumplimiento de los siguientes aspectos El estudio de factibilidad tecnolgica El estudio de factibilidad econmica El estudio de factibilidad administrativa El estudio de factibilidad operativa Excelente Bueno Regular Mnimo No cumple

4.4. Evaluacin del diseo e implementacin de la red segn el mbito de cobertura

Excelente Anlisis de las Redes de multi computadoras Evaluar el Funcionamiento de la cobertura de punto a punto Evaluar el Funcionamiento de la tecnologa que se usa con un solo cable entre las mquinas conectadas Evaluar el funcionamiento de las aplicaciones, usos y explotacin de las redes Bueno Regular Mnimo No cumple

4.5. Anlisis de la red de rea local (LAN)

Excelente Evaluar el uso adecuado y confiable de la utilizada internamente para la transmisin de datos. Evaluarla la restriccin adoptada para establecer el tamao de la red Evaluarla velocidad. Bueno Regular Mnimo No cumple

INFORME DE AUDITORIA
1. Identificacin del informe Auditoria del Sistema de Redes 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada Ministerio de Transportes y Comunicaciones (MTC) 4. Objetivos Evaluar el tipo de red, arquitectura, topologa, protocolos de comunicacin, las conexiones, accesos, privilegios, administracin y dems aspectos que repercuten en su instalacin. Revisin del software institucional para la administracin de la red. 5. Hallazgos Potenciales No se cuenta con un Software que permita la seguridad de restriccin y/o controla la Red. No existe un plan que asegure acciones correctivas asociadas a la conexin con redes externas. No estn definidos los parmetros o normas de calidad. La gerencia de redes no tiene un plan que permite modificar en forma oportuna el plan a largo plazo de tecnologa de redes, teniendo en cuenta los tecnolgicos. No existe un calendario de mantenimiento de rutina peridico del hardware definido por la gerencia de redes. No existe un plan proactivo de tareas a fin de anticipar los problemas y solucionarlos antes de que los mismos afecten el desempeo de la red. posibles cambios

6. Alcance de la auditoria La auditora, comprende el presente periodo 2010 y se ha realizado especialmente al rea de Informtica de acuerdo a las normas y dems disposiciones aplicable para tal efecto. 7. Conclusiones: El rea de Informtica presenta deficiencias sobre todo en el debido cumplimiento de Normas de redes y funciones. Esto demuestra la importancia de realizar un anlisis de las vulnerabilidades de las redes locales, ya que si no se cuenta con medidas preventivas contra los desastres, se corre el riesgo de comprometer seriamente la vida operacional delos organismos gubernamentales como el MTC. Por esta razn, concluimos que el esquema de auditoria mostrado en este artculo puede servir de base para las pequeas y medianas empresas pongan en marcha un plan de seguridad, ya que ningn esfuerzo, sea este econmico o humano, es demasiado cuando est en juego informacin confidencial y vital para el normal funcionamiento del negocio. 8. Recomendaciones Elaborar toda la documentacin tcnica correspondiente a los sistemas de redes. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y an de los programadores. Implementar un plan que permita modificar en forma oportuna el plan a largo plazo de tecnologa de redes. Elaborar un calendario de mantenimiento de rutina peridico del hardware. 9. Fecha Del Informe Martes, 15 de junio de 2010 10. Identificacin Y Firma Del Auditor APELLIDOS Y NOMBRES YYYYYYY ZZZZZZZZ, XXXXXXX CARGO AUDITOR INFORMTICO

Bibliografa
Audinet: http://www.audinet.org AUDITORIA INFORMATICA. Un enfoque prctico Mario Piatini Emilio del Peso Ed. Rama AUDITORIA DE LOS SISTEMAS DE INFORMACIN Rafael Bernal y scar Coltell Univ. Politcnica de Valencia MARTN LVAREZ. L., Redes Informticas: La base de las sper autopistas de datos. Tower Communications SRL, 1994. COBB, S., Manual de Seguridad para PC y Redes Locales. McGraw-Hill, 1995.