Introducción:
Anteriormente, la comunicación entre las
computadoras se efectuaba a través del transporte físico de los datos a través
de los medios extraíbles. La necesidad de compartir datos hizo que se
desarrollaran las redes de computadoras. Actualmente las telecomunicaciones y
las redes son un pilar sobre el cual se sostienen la mayoría de las operaciones
que se realizan en una organización. Dada su rápida expansión, es muy común que
hoy en día muchas organizaciones tengan infraestructura de red y de
telecomunicaciones, no se concibe una empresa que no tenga sus aplicaciones de
software para las operaciones cotidianas, usando una red de computadoras, por
tanto es casi seguro que si ocurriera un fallo en la infraestructura de
telecomunicaciones, la organización quedaría prácticamente paralizada. La
auditoria de la seguridad en este campo procura entonces evitar que las
consecuencias de un problema no sea devastadoras.
Definición:
¿Qué es una Auditoría en Telecomunicaciones?
Una Auditoria en Telecomunicaciones es
una evaluación del entorno de las Telecomunicaciones tanto a nivel global como
a nivel empresarial.
El propósito de una auditoria en
telecomunicaciones es asegurar:
- Seguridad
- Cumplimiento de la política empresarial.
- Eficacia en cuanto al coste
- Efectividad del servicio
- El respaldo de las Telecomunicaciones al objetivo de la empresa.
Una adecuada auditoria debe incluir todos
los tipos de telecomunicaciones: voz, video y datos.
Una auditoria debe abarcar todo el equipo
de telecomunicaciones, política de servicio y gastos utilizados por la empresa.
Una auditoria empieza con una política de
evaluación, se identifican y analizan políticas relevantes para determinar si
cumplen las pautas y objetivos organizacionales.
El equipo de comunicación como sistema de correo,
IVR,... deben ser evaluados para determinar si cumplen con los requisitos del
negocio actual y, si es posible, se deben considerar soluciones alternativas.
Servicios de comunicación tales como líneas de
teléfono, servicios CENTREX y servicios de respuesta son evaluados para
determinar si los niveles de servicio y coste cumplen los objetivos
organizacionales y si otras soluciones potenciales deben ser evaluadas para
reemplazar a los servicios actuales.
La auditoria en telecomunicaciones puede
ser realizada tanto por auditoría interna como por auditores externos.
¿Qué es la Auditoria Informática en Redes y
Telecomunicaciones?
La auditoria informática es el proceso de recoger,
agrupar y evaluar evidencias para determinar si un sistema de información
salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organización, utiliza eficientemente los
recursos, y cumple con las leyes y regulaciones establecidas. También permiten
detectar de forma sistemática el uso de los recursos y los flujos de
información dentro de una organización y determinar qué información es crítica
para el cumplimiento de su misión y objetivos, identificando necesidades,
duplicidades, costes, valor y barreras, que obstaculizan flujos de información
eficientes.
¿Qué características tiene la Auditoria Informática en Redes y Telecomunicaciones?
La información de la empresa y para la empresa, siempre
importante, se ha convertido en un Activo Real de la misma, como sus Stocks o
materias primas si las hay. Por ende, han de realizarse inversiones
informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.
Del mismo modo, los Sistemas Informáticos han de
protegerse de modo global y particular: a ello se debe la existencia de la
Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de
alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la
Informática, se reorganiza de alguna forma su función: se está en el campo de
la Auditoría de Organización Informática.
Estos tres tipos de auditorías engloban a las actividades
auditoras que se realizan en una auditoría parcial. De otra manera: cuando se
realiza una auditoria del área de Desarrollo de Proyectos de la Informática de
una empresa, es porque en ese Desarrollo existen, además de ineficiencias,
debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla
de ellas.
¿Cuál es el perfil del Auditor Informático en Redes y Telecomunicaciones?
El perfil de un auditor informático en redes y
telecomunicaciones es el que corresponde a un Ingeniero en Informática o en
Sistemas especializado en el área de telemática.
El auditor de informático especializado en esta área
deberá inquirir sobre los índices de utilización de las líneas contratadas con
información abundante sobre tiempos de desuso. Deberá proveerse de la topología
de la Red de Comunicaciones, actualizada, ya que la desactualización de esta
documentación significaría una grave debilidad. La inexistencia de datos sobre
la cuantas líneas existen, cómo son y donde están instaladas, supondría que se
bordea la Inoperatividad Informática. Sin embargo, las debilidades más
frecuentes o importantes se encuentran en las disfunciones organizativas.
¿Por qué y Para qué se hace la Auditoria Informática en Redes y Telecomunicaciones?
a) Asegurar la integridad, confidencialidad y
confiabilidad de la información.
b) Minimizar existencias de riesgos en el uso de
Tecnología de información
c) Conocer la situación actual del área informática para
lograr los objetivos.
d) Asegurar seguridad, utilidad, confianza, privacidad y disponibilidad
en el ambiente informático, así como también seguridad del personal, los datos,
el hardware, el software y las instalaciones.
e) Incrementar la satisfacción de los usuarios de los
sistemas informáticos.
f) Capacitar y educar sobre controles en los Sistemas de
Información.
g) Buscar una mejor relación costo-beneficio de los
sistemas automáticos y tomar decisiones en cuanto a inversiones para la
tecnología de información.
¿Qué metodologías sigue la Auditoria Informática en redes y Telecomunicaciones?
Las metodologías son necesarias para desarrollar
cualquier proyecto que nos propongamos de manera ordenada y eficaz.
Todas las metodologías existentes desarrolladas y
utilizadas en la auditoría y el control informático, se puede agrupar en dos
grandes familias:
Cuantitativas: Basadas en un modelo matemático numérico
que ayuda a la realización del trabajo, están diseñadas par producir una lista
de riesgos que pueden compararse entre sí con facilidad por tener asignados
unos valores numérico. Están diseñadas para producir una lista de riesgos que
pueden compararse entre si con facilidad por tener asignados unos valores
numéricos. Estos valores son datos de probabilidad de ocurrencia de un evento
que se debe extraer de un riesgo de incidencias donde el numero de incidencias
tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano
capaz de definir un proceso de trabajo, para seleccionar en base al experiencia
acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad
del profesional para usar el check-list/guía). Basadas en métodos estadísticos
y lógica borrosa, que requiere menos recursos humanos / tiempo que las
metodologías cuantitativas.
¿A qué tipos de empresas se aplica la Auditoria Informática en Redes y Telecomunicaciones?
La Auditoria Informática en Redes y Telecomunicaciones se
lo aplica en especial a empresas que poseen ciertamente de tecnologías de
comunicaciones y/o sistemas de información que están conectados ya sea mediante
intranet o internet, en Bolivia podemos citar a las siguientes principales
empresas:
- Entel Movil
- Viva GSM
- Tigo
- AXS
- Cotel
5.1 Finalidad de la evaluación en
telecomunicaciones
Objetivos a tomar en cuenta:
§
Verificar
la existencia de controles en software y hardware
§
Asegurar
la existencia de controles y procedimientos de la administración
§
Administración
de la red de telecomunicaciones
§
Instalación
de red
§
La
operación y seguridad de la red
§
El
mantenimiento de la red
§
Comprobar
que la distribución de las bases de datos en la red sea segura
§
Verificar
que las medidas de respaldo sean adecuadas
§
Verificar
que el software de comunicación sea efectivo y controlado
§
Verificar
que solo se encuentre software autorizado en la red
§
Evaluar
las acciones que lleven a cabo para actualizar los diferentes componentes de la
red
§
Verificar
que existan parámetros de medición del desempeño de la red: bitácoras,
graficas, estadísticas
5.2 Requerimientos para la evaluación
Cableado estructurado:
Especifica los requisitos
mínimos para cableado de telecomunicaciones dentro de edificios comerciales
Elementos:
Ø Facilidades de Entrada
Ø Sala de equipos
Ø BackBone ( Cableado Central)
Ø Armarios de telecomunicaciones
Ø Cableado Horizontales
Ø Áreas de Trabajo
Normas Para establecer un Site de Telecomunicaciones
•
ANSI/TIA/EIA-568-B.1
•
ANSI/TIA/EIA-569-B
•
ANSI/TIA/EIA-606-A-2002.
Norma de Administración para la Infraestructura de Telecomunicaciones
Comerciales.
ANSI J-STD-607-A: Requerimientos para el Aterramiento de Telecomunicaciones de Edificios Comerciales
•
ISO/IEC 11801 especifica
sistemas de cableado para telecomunicación de multipropósito. Cableado
estructurado que es utilizable para un amplio rango de aplicaciones
(análogas y de telefonía ISDN, varios estándares de comunicación de datos,
construcción de sistemas de control, automatización de fabricación). Cubre
tanto cableado de cobre balanceado como cableado de fibra óptica. El
estándar fue diseñado para uso comercial que pueden consistir en uno o
múltiples edificios en un campus.
•
ISO/IEC 118011: Sistemas
de Cableado Genéricos.
•
NFPA 70 Código
Eléctrico Nacional
•
NFPA 70E Seguridad
Eléctrica en Lugares de Trabajo.
•
NFPA 101 Código
de Seguridad Humana. proporciona los requisitos mínimos, para el diseño, la
operación, y el mantenimiento de edificios y estructuras para la seguridad de
la vida humana contra los incendios.
Recomendaciones para implementación de un Site Telecomunicaciones
•
Selección del Sitio
•
Tamaño: Guía para voz y datos, guía para
otros equipos.
•
Provisionamiento
•
Equipos de Calefacción, Ventilación y Aire
acondicionado
•
Acabados interiores
•
Iluminación
•
Energía Eléctrica
•
Puertas
•
Tierra Física
•
Extinguidores
Pasos para Realizar una Auditoria Física:
Se debe garantizar que exista:
•
Áreas de equipo de comunicación con control
de acceso.
•
Protección y tendido adecuado de cables y
líneas de comunicación para evitar accesos físicos.
•
Control de utilización de equipos de prueba
de comunicaciones para monitorizar la red y el tráfico en ella.
•
Prioridad de recuperación del sistema.
• Control
de las líneas telefónicas
Comprueba que:
•
El equipo de comunicaciones ha de estar en un
lugar cerrado y con acceso limitado.
•
La seguridad física del equipo de
comunicaciones sea adecuada.
•
Se tomen medidas para separar las actividades
de los electricistas y de cableado de líneas telefónicas.
•
Las líneas de comunicación estén fuera de la
vista.
•
Se dé un código a cada línea, en vez de
una descripción física de la misma.
•
Haya procedimientos de protección
de los cables y las bocas de conexión para evitar pinchazos a la red.
•
Existan revisiones periódicas de la red
buscando pinchazos a la misma.
•
El equipo de prueba de comunicaciones ha de
tener unos propósitos y funciones específicas.
•
Existan alternativas de respaldo de las
comunicaciones.
•
Con respecto a las líneas telefónicas: No
debe darse el número como público y tenerlas configuradas con retro llamada,
código de conexión o interruptores.
Pasos para llevar a cabo una auditoria Lógica
En ésta, debe evitarse un daño interno, como
por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que
satura por completo la red.
Para éste tipo de situaciones:
Para éste tipo de situaciones:
•
Se deben dar contraseñas de acceso.
•
Controlar los errores.
•
Garantizar que en una transmisión, ésta solo
sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de
acceso de la información a la red.
•
Registrar las actividades de los usuarios en
la red.
•
Encriptar la información pertinente.
•
Evitar
la importación y exportación de datos.
•
Inhabilitar
el software o hardware con acceso libre.
•
Generar estadísticas de las tasas
de errores y transmisión.
•
Los mensajes lógicos de transmisión han de
llevar origen, fecha, hora y receptor.
•
El software de comunicación, ha de tener
procedimientos correctivos y de control ante mensajes duplicados, fuera de
orden, perdidos o retrasados.
•
Los datos sensibles, solo pueden ser impresos
en una impresora especificada y ser vistos desde una terminal
debidamente autorizada.
•
Se debe hacer
un análisis del riesgo de aplicaciones en
los procesos.
•
Se debe hacer un análisis de la conveniencia
de cifrar los canales de transmisión entre diferentes organizaciones.
•
Asegurar que los datos que viajan por
Internet vayan cifrados.
•
Si en la LAN hay equipos
con modem entonces se debe revisar el control de seguridad asociado
para impedir el acceso de equipos foráneos a la red.
•
Deben existir políticas que prohíban la
instalación de programas o equipos personales en la red.
•
Los accesos a servidores remotos
han de estar inhabilitados.
Modelos OSI y TCP/IP
•
OSI (Open
Systems Interconection), es usado para describir el uso de datos entre la
conexión física de la red y la aplicación del usuario final.
•
El TCP/IP
(Protocolo de Control de Transmisión/Protocolo de Internet) es la base de Internet, y sirve
para enlazar computadoras que utilizan diferentes sistemas operativos,
incluyendo PC, minicomputadoras y computadoras centrales sobre
redes de área local (LAN) y área extensa (WAN).
La información se pasa de una capa a otra, comenzando en la capa de
Aplicación en el host de transmisión, siguiendo por la jerarquía hacia la capa
Física, pasando por el canal de comunicaciones al host de destino, donde la
información vuelve a la jerarquía y termina en la capa de Aplicación.
Soluciones de Seguridad:
Conectividad, perímetro, detección de intrusos, identidad,
administración de seguridad, VPN, cortafuegos, autentificación, política de
seguridad.
5.3 La administración
Estándares para la administración de acceso a la información
Se puede decir que los
controles de acceso a la información constituyen uno de los parámetros más
importantes a la hora de administrar seguridad. Con 42 ellos se determina quién
puede acceder a qué datos, indicando a cada persona un tipo de acceso (perfil)
específico. Para este cometido se utilizan diferentes técnicas que se
diferencian significativamente en términos de precisión, sofisticación y
costos. Se utilizan por ejemplo, palabras claves, algoritmos de inscripción,
listas de controles de acceso, limitaciones por ubicación de la información,
horarios, etc. Una vez determinados los controles de accesos a la información,
se hace imprescindible efectuar una eficiente administración de la seguridad,
lo que implica la implementación, seguimiento, pruebas y modificaciones sobre
los perfiles de los usuarios de los sistemas. Este es uno de los puntos
fundamentales a tener en cuenta para garantizar la seguridad y al mismo tiempo
una correcta accesibilidad a la información. En efecto, en todo proyecto
informático que pretenda brindar información a diferentes niveles, garantizando
correcta toma de decisiones y accesibilidad a un amplio espectro de usuarios,
se deberá prestar mucha atención a este punto. Para ello, es importante que se
plantee en la organización, la necesidad de establecer estándares para la
administración de seguridad de accesos. Con ello se garantizará un eficiente,
seguro y al mismo tiempo correcto uso de la información
5.4 La instalación.
·
Que
existan procedimientos que aseguren la oportuna y adecuada instalación del
diferente componente de la red.
·
Que
exista un registro de las
actividades que se realizan durante el proceso de instalación de los componentes de la red, hardware y software.
·
Registro
de las compras de los elementos de la
red.
·
Seguro
de dichas compras
·
Control
de software que se encuentra instalado.
Para dar de alta
el personal especializado que
hora uso de los centros de cómputo debe facilitar
los medios para registrarlos y
mantener actualizado dicho registró a través de:
La unidad administrativa que sea responsable de un centro
terminal debe registrarse y dar
de alta a todo el personal que haga uso del equipo de dicho centro.
El área del centro de
cómputo mantendrá el registro del personal
que haga uso de dicho centro
terminal.
·
Todo
el personal que haga uso del centro terminal
debe tener asignado un
número de cuenta para mantener
justificada la utilización de las
facilidades de cómputo al nivel administrado.
·
Es
necesario que el personal que tiene
acceso a los centros terminales se capaciten
con el fin de mantenerlo
actualizado.
5.5 Operación y seguridad
Auditoría de la continuidad de operaciones
Es uno de los puntos que nunca se deberían
pasar por alto en una auditoria de seguridad, por las consecuencias que puede
tener el no haberlo revisado o haberlo hecho sin la suficiente profundidad; no
basta con ver un manual cuyo título sea Plan de Contingencias o denominación
similar, sino que es imprescindible conocer si funcionaría con la garantías
necesarias y cubriría los requerimientos en un tiempo inferior al fijado y con
una duración suficiente. En un plan de contingencia se presume que hay un lapso
de tiempo, tiempo sobre el cual se declara la emergencia, y entran a operar una
serie de procedimientos que permiten que el servicio se restablezca en el menor
tiempo posible. Una vez resuelta la emergencia, se disparan otra serie de
procedimientos que vuelven la operación a su normalidad, procesos que pueden
ser bastante engorrosos de ejecutar, en especial cuando de sincronizar la
información se trata. El enfoque del plan de contingencia se basa en la
minimización del impacto financiero que pueda tener un desastre en la compañía,
mientras que el plan de continuidad está orientado a asegurar la continuidad financiera,
101 satisfacciones del cliente y productividad a pesar de una catástrofe.
Mientras que el plan de contingencia se concentra en la recuperación de eventos
únicos que producen una interrupción prolongada del servicio, el plan de
continuidad se ejecuta permanentemente a través de la administración de riesgos
tanto en la información como en la operación. Los riesgos que se enfrentaban en
la planeación anterior eran desastres con baja frecuencia pero muy alto
impacto.
Hoy los riesgos son casi
todos de muy alto impacto por las implicaciones que tienen en la empresa
ampliada (socios de negocios) y de muy alta ocurrencia. Ya todas las empresas
están expuestas a ataques con virus, problemas de seguridad en la información,
calidad del software, almacenamiento de datos inapropiado, arquitecturas
tecnológicas complejas y hasta políticas poco efectivas de administración de
recursos que pueden abrirle las puertas a una catástrofe con el mismo impacto
en el negocio (y hasta mayor) que el impacto causado por una amenaza física
como un incendio o un terremoto. Un plan de continuidad tiene como objetivo
tratar de alcanzar una disponibilidad de cinco nueves (99.999%) para la
infraestructura crítica, lo que implica que el sistema siempre estará
disponible. Hoy existe la tecnología para poder obtener estos resultados; sin
embargo, el costo de esta tecnología todavía no está al alcance de todas las
empresas. El plan de contingencia tiene como beneficio para la empresa
garantizar la recuperación de servicios que están desmejorados por la falla, en
un período de entre 12 y 72 horas. 102 Un plan de contingencia se refleja en un
documento que especifican las tareas que hay que hacer antes, durante y después
de la contingencia, además de los responsables de cada acción.
Un plan de continuidad se basa en las
tecnologías emergentes (como unidades de discos para redes, SAN, y cintas para
copias de respaldo de altísima velocidad), y la excelencia operativa del centro
de cómputo. Un plan de continuidad no es excluyente de un plan de contingencia,
sino más bien que el segundo está dentro del primero. Un plan de continuidad
para el negocio debe incluir: un plan de recuperación de desastres, el cual
especifica la estrategia de un negocio para implementar procedimientos después
de una falla; un plan de reanudación que especifica los medios para mantener
los servicios críticos en la ubicación de la crisis; un plan de recuperación
que especifica los medios para recuperar las funciones del negocio en una
ubicación alterna; y un plan de contingencia que especifica los medios para
manejar eventos externos que puedan tener serio impacto en la organización. En
la auditoría es necesario revisar si existe tal plan; si es completo y
actualizado; si cubre los diferentes procesos, áreas y plataformas, o bien si
existen planes diferentes según entorno, evaluar en todo caso su idoneidad, así
como los resultados de las pruebas que se hayan realizado. Si las revisiones no
nos aportan garantías suficientes debemos sugerir pruebas complementarias o
hacerlo constar en el informe, incluso indicarlo en el apartado de limitaciones
Auditoría de la seguridad
La existencia de amenazas
que afectan la disponibilidad, integridad y confidencialidad de los datos es
real. Es crítico para las organizaciones identificar esas amenazas y adoptar
recomendaciones que permitan prevenir, detectar y protegerse de ellas. La
diversidad y la heterogeneidad de los sistemas de información que requieren las
organizaciones actuales, sumado a la globalización a la que se enfrentan al
conectar esos sistemas al mundo de Internet, genera un sinfín de incertidumbres
en lo referente a la seguridad de la información. Las soluciones integrales de
seguridad que abarcan desde el diagnóstico de la situación actual, hasta la
implementación y puesta en marcha de las mismas en todos los niveles de la
organización, incluyendo el análisis y la definición de los elementos de
seguridad que deben ser implantados a nivel técnico. 78 El punto de partida
para un sistema de seguridad informática es la realización del diagnóstico de
la situación actual, para proyectar las soluciones
Auditoría y control de la seguridad física
Es muy importante ser
consciente que por más que nuestra empresa sea la más segura desde el punto de
vista de ataques externos (hackers, virus, ataques de sistema operativo, entre
otros); la seguridad de la misma será nula si no se ha previsto como combatir
un incendio o cualquier otro tipo de desastre natural y no tener presente
políticas claras de recuperación. 84 La seguridad física es una de los aspectos
más olvidados a la hora del diseño de un sistema informático. Si bien algunos
de los aspectos de seguridad física básicos se prevén, otros, como la detección
de un atacante interno a la empresa que intenta acceder físicamente a una sala de
cómputo de la misma, no. Esto puede derivar en que para un atacante sea más
fácil lograr tomar y copiar una cinta de respaldo de la sala de cómputo, que
intentar acceder vía lógica a la misma. La seguridad física consiste en la
aplicación de barreras físicas y procedimientos de control, como medidas de
prevención y contramedidas ante amenazas a los recursos e información
confidencial. Se refiere a los controles y mecanismos de seguridad dentro y
alrededor del centro de cómputo, así como los medios de acceso remoto al y
desde el mismo; implementados para proteger el hardware y medios de
almacenamiento de datos.
Auditoría y control de la seguridad lógica
Después de ver como nuestro
sistema puede verse afectado por la falta de seguridad física, es importante
recalcar que la mayoría de los daños que puede sufrir un centro de cómputo no
será sobre los medios físicos sino contra información por él almacenada y
procesada. Así, la seguridad física sólo es una parte del amplio espectro que
se debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya
se ha mencionado, el activo más importante que se posee es la información, y
por lo tanto deben existir técnicas, más allá de la seguridad física que la
asegure. Estas técnicas las brinda la seguridad lógica. 86 La seguridad lógica
consiste en la aplicación de barreras y procedimientos que resguarden el acceso
a los datos y sólo se permita acceder a ellos a las personas autorizadas para
hacerlo. Existe un viejo dicho en la seguridad informática que dicta que “todo
lo que no está permitido debe estar prohibido” y esto es lo que debe asegurar
la seguridad lógica. Los objetivos que se plantean serán:
1. Restringir el acceso a
los programas y archivos
2. Asegurar que los
operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar
los programas ni los archivos que no correspondan.
3. Asegurar que se estén
utilizando los datos, archivos y programas correctos en y por el procedimiento
correcto.
4. Asegurar que la
información transmitida sea recibida por el destinatario al cual ha sido
enviada y no a otro.
5. Asegurar que la
información recibida sea la misma que ha sido transmitida.
6. Asegurar que existan
sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Asegurar que se disponga
de pasos alternativos de emergencia para la transmisión de información.
5.6 Personal responsable del área
PERSONAL AUTORIZADO
En el comienzo de la auditoría, el auditor interno
debe determinar el propósito del negocio con la red, ya que este puede ayudar a
definir los componentes que representan el mayor riesgo.Algunas de las fuerzas importantes que conducen el uso de las redes detelecomunicaciones
incluyen servicio al cliente, informes financieros, administración
de procesos, generación de utilidades y comunicación interna en la
organización. Una red de telecomunicaciones también puede otorgar una
ventaja estratégica a una organización. Un siguiente paso lógico en la
planeación de los objetivos y el alcance de una auditoría de telecomunicaciones
es determinar quién debe ser entrevistado. Los candidatos para las
entrevistas de auditoría incluyen los siguientes: El administrador o gerente de
telecomunicaciones, quien comúnmente controla los aspectos
planificadores, presupuestarios y operacionales de comunicaciones. El
administrador o gerente
de la red, quien típicamente administra el personal y el
equipo. El administrador o gerente de voz, quien administra el equipo
telefónico, el informe de llamadas, la facturación, instalación de teléfonos,
etc. El administrador o gerente de aplicaciones de comunicaciones, quien es
responsable de hacer los requerimientos funcionales de las aplicaciones en la
realidad
técnica.Las funciones y las responsabilidades de estas posiciones pueden ser combinadas odistribuidas
sobre uno o varios miembros del personal.
El auditor interno puede más fácilmente establecer
el alcance de la auditoría utilizando un mapa de la red. Un mapa de la red debe
mostrar el tramo geográfico de la red, las ubicaciones de los sitios de mayor
procesamiento e instalaciones del usuario,
Hardware de procesamiento principal y Software
de aplicaciones, vínculos o nexos de la red, capacidad de la línea y el tipo de
información transmitida. Un mapa de la red puede ser
tan complejo y detallado como un esquema de ingeniería o como un diagrama
de localizaciones de averías electrónicas, pero inicialmente debe ser mantenido
al nivel más alto de detalle. Una variedad de técnicas puede ser usada para
verificar la existencia de controles
adecuados en el entorno de las telecomunicaciones.
Estas incluyen las siguientes: La revisión de la
dirección y administración de las telecomunicaciones, particularmente las
políticas y procedimientos de telecomunicaciones de la organización.
Verificación de la
integridad de la red y procedimientos de monitoreo, tales comoinformes
de incidentes y medición del tiempo de respuesta.
Revisión del Software de la red y la seguridad de acceso:
En áreas como el dial-in y el Software de
diagnóstico y monitoreo.
Revisión de los procedimientos de administración de cambios en lastelecomunicaciones, particularmente los cambios en el área de
Software de comunicaciones:
Revisión de la exactitud del backup
(Respaldo) y recuperación de la red, mediante el
examen de los procedimientos y las redundancias de
Backup (respaldo) en la red.
5.7 Determinar el nivel de aplicación de alguna de las normas consideradas para la auditoría en las telecomunicaciones
El auditor de informático especializado
en esta área deberá inquirir sobre los índices de utilización de las líneas
contratadas con información abundante sobre tiempos de desuso. Deberá proveerse
de la topología de la Red de Comunicaciones, actualizada, ya que la
desactualización de esta documentación significaría una grave debilidad. La
inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están
instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo,
las debilidades más frecuentes o importantes se encuentran en las disfunciones
organizativas.
TL 9000 define los requisitos del sistema de telecomunicaciones de calidad,
para el diseño, desarrollo, producción, instalación y mantenimiento de los
productos, hardware, software o servicios.
Para las organizaciones que trabajan en el sector de las
telecomunicaciones, la certificación TL 9000 representa una importante
oportunidad para la normalización y la mejora. Nuestra participación en el
programa piloto de América del Norte para desarrollar TL 9000, le ha permitido
a LRQA ser uno de los primeros registradores TL 9000 recibiendo la acreditación
por el ANAB, anteriormente ANSI-RAB.
Como resultado de ello, LRQA es una empresa líder en el sector de las
comunicaciones que trabaja para proporcionar evaluación, certificación y
servicios de capacitación a la norma TL 9000 de las organizaciones líderes en
el mercado.
¿Qué es TL 9000?
El objetivo de la TL 9000 es definir los requisitos del sistema de calidad
de telecomunicaciones de para el diseño, desarrollo, producción, instalación y
mantenimiento de los productos, hardware, software y servicios.
El estándar se compone de dos manuales (T1160 y T1180), que definen los
requisitos del sistema de gestión de la TL 9000:
Manual de requisitos del sistema de
calidad: Este manual define el
conjunto común de requisitos del sistema de calidad para los proveedores de
productos de telecomunicaciones: hardware, software o servicios. Los requisitos
se basan en la popular norma internacional ISO 9001.
Manual de medidas del Sistema de Calidad: Este manual
define un conjunto mínimo de mediciones de rendimiento y costo y los
indicadores de calidad para medir y evaluar los resultados de la aplicación del
sistema de calidad.
¿Cuáles son los Beneficios de la Certificación TL9000?
La certificación TL 9000 ayuda a crear un marco sistemático en el que las
organizaciones de la unidad mejora continua, la creación de una ventaja
competitiva para su organización, porque:
·
Es reconocido mundialmente como la mejor práctica de calidad dentro de la
industria de las telecomunicaciones.
·
Le permite trabajar con las organizaciones cuando se trata de una
obligación contractual o expectativa, lo que potencialmente mejora su posición
en el mercado frente a los competidores.
·
Puede ofrecer mejores resultados mensurables en las principales áreas
métricas tales como menos residuos, la reducción de costes y mejora de
productos que contribuyan a una mayor satisfacción del cliente y la mejora del
desempeño de los proveedores.
·
Le da una estructura sólida para el desarrollo interno y la mejora
continua.
·
Puede mejorar su desempeño de los proveedores y las relaciones con los
mismos.
¿Cómo puede ayudarle LRQA?
LRQA es un mundialmente reconocido por su evaluación, certificación y
servicios de capacitación, y más de la mitad de las 200 empresas más
importantes del mundo eligen nuestros servicios
Nuestros asesores son especialistas de la industria y expertos que se
corresponden con las necesidades de su negocio, lo que permite una eficaz y
robusta auditoria de su sistema.
Nuestro enfoque de negocios asegura fiabilidad nuestras evaluaciones se
centran en las áreas y temas que son importantes para su negocio. Como el
primer organismo de certificación en obtener la acreditación para la expedición
de certificados en sistemas de gestión de calidad, entendemos los requisitos
del sistema y, por tanto, podemos adaptar nuestro enfoque para ayudar a
satisfacer sus objetivos.
Más allá de la certificación, LRQA proporciona una amplia gama de servicios
de apoyo a su empresa en el crecimiento a futuro y desarrollo, incluyendo
capacitación y evaluación del sistema integrado de gestión.
Conclusión
Dependiendo de cómo la tecnología
de la información es aplicada en la organización, esta podrá tener un alto
impacto en el logro de su visión, misión u objetivos estratégicos.
Las empresas o instituciones deberán de contar
con un adecuado control interno sobre todas sus áreas y en especial sobre el
área de telecomunicaciones para garantizar una mejor utilización de sus
recursos.
A través de la auditoría de telecomunicaciones
se lleva a cabo un exhaustivo análisis del estado de seguridad de
telecomunicaciones y de sus sistemas frente a usuarios de Internet y usuarios
de su propia organización.