Sánchez Patraca Rita Anaid Oaxaca Arenas Leticia Zepahua Ixmatlahua Irineo Orozco Ortega Iván

Introducción:

Anteriormente, la comunicación entre las computadoras se efectuaba a través del transporte físico de los datos a través de los medios extraíbles. La necesidad de compartir datos hizo que se desarrollaran las redes de computadoras. Actualmente las telecomunicaciones y las redes son un pilar sobre el cual se sostienen la mayoría de las operaciones que se realizan en una organización. Dada su rápida expansión, es muy común que hoy en día muchas organizaciones tengan infraestructura de red y de telecomunicaciones, no se concibe una empresa que no tenga sus aplicaciones de software para las operaciones cotidianas, usando una red de computadoras, por tanto es casi seguro que si ocurriera un fallo en la infraestructura de telecomunicaciones, la organización quedaría prácticamente paralizada. La auditoria de la seguridad en este campo procura entonces evitar que las consecuencias de un problema no sea devastadoras.

Definición:

¿Qué es una Auditoría en Telecomunicaciones?

Una Auditoria en Telecomunicaciones es una evaluación del entorno de las Telecomunicaciones tanto a nivel global como a nivel empresarial.

El propósito de una auditoria en telecomunicaciones es asegurar:

Seguridad
Cumplimiento de la política empresarial.
Eficacia en cuanto al coste
Efectividad del servicio
El respaldo de las Telecomunicaciones al objetivo de la empresa.

Una adecuada auditoria debe incluir todos los tipos de telecomunicaciones: voz, video y datos.

Una auditoria debe abarcar todo el equipo de telecomunicaciones, política de servicio y gastos utilizados por la empresa.

Una auditoria empieza con una política de evaluación, se identifican y analizan políticas relevantes para determinar si cumplen las pautas y objetivos organizacionales.

El equipo de comunicación como sistema de correo, IVR,... deben ser evaluados para determinar si cumplen con los requisitos del negocio actual y, si es posible, se deben considerar soluciones alternativas.

Servicios de comunicación tales como líneas de teléfono, servicios CENTREX y servicios de respuesta son evaluados para determinar si los niveles de servicio y coste cumplen los objetivos organizacionales y si otras soluciones potenciales deben ser evaluadas para reemplazar a los servicios actuales.

La auditoria en telecomunicaciones puede ser realizada tanto por auditoría interna como por auditores externos.

¿Qué es la Auditoria Informática en Redes y Telecomunicaciones?

La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. También permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

¿Qué características tiene la Auditoria Informática en Redes y Telecomunicaciones?

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.

Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

¿Cuál es el perfil del Auditor Informático en Redes y Telecomunicaciones?

El perfil de un auditor informático en redes y telecomunicaciones es el que corresponde a un Ingeniero en Informática o en Sistemas especializado en el área de telemática.

El auditor de informático especializado en esta área deberá inquirir sobre los índices de utilización de las líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas.

¿Por qué y Para qué se hace la Auditoria Informática en Redes y Telecomunicaciones?

a) Asegurar la integridad, confidencialidad y confiabilidad de la información.

b) Minimizar existencias de riesgos en el uso de Tecnología de información

c) Conocer la situación actual del área informática para lograr los objetivos.

d) Asegurar seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, el software y las instalaciones.

e) Incrementar la satisfacción de los usuarios de los sistemas informáticos.

f) Capacitar y educar sobre controles en los Sistemas de Información.

g) Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto a inversiones para la tecnología de información.

¿Qué metodologías sigue la Auditoria Informática en redes y Telecomunicaciones?

Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.

Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se puede agrupar en dos grandes familias:

Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo, están diseñadas par producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numérico. Están diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numéricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito.

Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.

¿A qué tipos de empresas se aplica la Auditoria Informática en Redes y Telecomunicaciones?

La Auditoria Informática en Redes y Telecomunicaciones se lo aplica en especial a empresas que poseen ciertamente de tecnologías de comunicaciones y/o sistemas de información que están conectados ya sea mediante intranet o internet, en Bolivia podemos citar a las siguientes principales empresas:

- Entel Movil

- Viva GSM

- Tigo

- AXS

- Cotel

5.1 Finalidad de la evaluación en telecomunicaciones

Objetivos a tomar en cuenta:

§ Verificar la existencia de controles en software y hardware

§ Asegurar la existencia de controles y procedimientos de la administración

§ Administración de la red de telecomunicaciones

§ Instalación de red

§ La operación y seguridad de la red

§ El mantenimiento de la red

§ Comprobar que la distribución de las bases de datos en la red sea segura

§ Verificar que las medidas de respaldo sean adecuadas

§ Verificar que el software de comunicación sea efectivo y controlado

§ Verificar que solo se encuentre software autorizado en la red

§ Evaluar las acciones que lleven a cabo para actualizar los diferentes componentes de la red

§ Verificar que existan parámetros de medición del desempeño de la red: bitácoras, graficas, estadísticas

5.2 Requerimientos para la evaluación

Cableado estructurado:

Especifica los requisitos mínimos para cableado de telecomunicaciones dentro de edificios comerciales

Elementos:

Ø Facilidades de Entrada

Ø Sala de equipos

Ø BackBone ( Cableado Central)

Ø Armarios de telecomunicaciones

Ø Cableado Horizontales

Ø Áreas de Trabajo

Normas Para establecer un Site de Telecomunicaciones

• ANSI/TIA/EIA-568-B.1

• ANSI/TIA/EIA-569-B

• ANSI/TIA/EIA-606-A-2002. Norma de Administración para la Infraestructura de Telecomunicaciones Comerciales.

ANSI J-STD-607-A: Requerimientos para el Aterramiento de Telecomunicaciones de Edificios Comerciales

• ISO/IEC 11801 especifica sistemas de cableado para telecomunicación de multipropósito. Cableado estructurado que es utilizable para un amplio rango de aplicaciones (análogas y de telefonía ISDN, varios estándares de comunicación de datos, construcción de sistemas de control, automatización de fabricación). Cubre tanto cableado de cobre balanceado como cableado de fibra óptica. El estándar fue diseñado para uso comercial que pueden consistir en uno o múltiples edificios en un campus.

• ISO/IEC 118011: Sistemas de Cableado Genéricos.

• NFPA 70 Código Eléctrico Nacional

• NFPA 70E Seguridad Eléctrica en Lugares de Trabajo.

• NFPA 101 Código de Seguridad Humana. proporciona los requisitos mínimos, para el diseño, la operación, y el mantenimiento de edificios y estructuras para la seguridad de la vida humana contra los incendios.

Recomendaciones para implementación de un Site Telecomunicaciones

• Selección del Sitio

• Tamaño: Guía para voz y datos, guía para otros equipos.

• Provisionamiento

• Equipos de Calefacción, Ventilación y Aire acondicionado

• Acabados interiores

• Iluminación

• Energía Eléctrica

• Puertas

• Tierra Física

• Extinguidores

Pasos para Realizar una Auditoria Física:

Se debe garantizar que exista:

• Áreas de equipo de comunicación con control de acceso.

• Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.

• Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el tráfico en ella.

• Prioridad de recuperación del sistema.

• Control de las líneas telefónicas

Comprueba que:

• El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.

• La seguridad física del equipo de comunicaciones sea adecuada.

• Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas.

• Las líneas de comunicación estén fuera de la vista.

• Se dé un código a cada línea, en vez de una descripción física de la misma.

• Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos a la red.

• Existan revisiones periódicas de la red buscando pinchazos a la misma.

• El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas.

• Existan alternativas de respaldo de las comunicaciones.

• Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro llamada, código de conexión o interruptores.

Pasos para llevar a cabo una auditoria Lógica

En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red.
Para éste tipo de situaciones:

• Se deben dar contraseñas de acceso.

• Controlar los errores.

• Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red.

• Registrar las actividades de los usuarios en la red.

• Encriptar la información pertinente.

• Evitar la importación y exportación de datos.

• Inhabilitar el software o hardware con acceso libre.

• Generar estadísticas de las tasas de errores y transmisión.

• Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.

• El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados.

• Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada.

• Se debe hacer un análisis del riesgo de aplicaciones en los procesos.

• Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciones.

• Asegurar que los datos que viajan por Internet vayan cifrados.

• Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red.

• Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.

• Los accesos a servidores remotos han de estar inhabilitados.

Modelos OSI y TCP/IP

• OSI (Open Systems Interconection), es usado para describir el uso de datos entre la conexión física de la red y la aplicación del usuario final.

• El TCP/IP (Protocolo de Control de Transmisión/Protocolo de Internet) es la base de Internet, y sirve para enlazar computadoras que utilizan diferentes sistemas operativos, incluyendo PC, minicomputadoras y computadoras centrales sobre redes de área local (LAN) y área extensa (WAN).

La información se pasa de una capa a otra, comenzando en la capa de Aplicación en el host de transmisión, siguiendo por la jerarquía hacia la capa Física, pasando por el canal de comunicaciones al host de destino, donde la información vuelve a la jerarquía y termina en la capa de Aplicación.

Soluciones de Seguridad:

Conectividad, perímetro, detección de intrusos, identidad, administración de seguridad, VPN, cortafuegos, autentificación, política de seguridad.

5.3 La administración

Estándares para la administración de acceso a la información

Se puede decir que los controles de acceso a la información constituyen uno de los parámetros más importantes a la hora de administrar seguridad. Con 42 ellos se determina quién puede acceder a qué datos, indicando a cada persona un tipo de acceso (perfil) específico. Para este cometido se utilizan diferentes técnicas que se diferencian significativamente en términos de precisión, sofisticación y costos. Se utilizan por ejemplo, palabras claves, algoritmos de inscripción, listas de controles de acceso, limitaciones por ubicación de la información, horarios, etc. Una vez determinados los controles de accesos a la información, se hace imprescindible efectuar una eficiente administración de la seguridad, lo que implica la implementación, seguimiento, pruebas y modificaciones sobre los perfiles de los usuarios de los sistemas. Este es uno de los puntos fundamentales a tener en cuenta para garantizar la seguridad y al mismo tiempo una correcta accesibilidad a la información. En efecto, en todo proyecto informático que pretenda brindar información a diferentes niveles, garantizando correcta toma de decisiones y accesibilidad a un amplio espectro de usuarios, se deberá prestar mucha atención a este punto. Para ello, es importante que se plantee en la organización, la necesidad de establecer estándares para la administración de seguridad de accesos. Con ello se garantizará un eficiente, seguro y al mismo tiempo correcto uso de la información

5.4 La instalación.

· Que existan procedimientos que aseguren la oportuna y adecuada instalación del diferente componente de la red.

· Que exista un registro de las actividades que se realizan durante el proceso de instalación de los componentes de la red, hardware y software.

· Registro de las compras de los elementos de la red.

· Seguro de dichas compras

· Control de software que se encuentra instalado.

Para dar de alta el personal especializado que hora uso de los centros de cómputo debe facilitar los medios para registrarlos y mantener actualizado dicho registró a través de:

La unidad administrativa que sea responsable de un centro terminal debe registrarse y dar de alta a todo el personal que haga uso del equipo de dicho centro.

El área del centro de cómputo mantendrá el registro del personal que haga uso de dicho centro terminal.

· Todo el personal que haga uso del centro terminal debe tener asignado un número de cuenta para mantener justificada la utilización de las facilidades de cómputo al nivel administrado.

· Es necesario que el personal que tiene acceso a los centros terminales se capaciten con el fin de mantenerlo actualizado.

5.5 Operación y seguridad

Auditoría de la continuidad de operaciones

Es uno de los puntos que nunca se deberían pasar por alto en una auditoria de seguridad, por las consecuencias que puede tener el no haberlo revisado o haberlo hecho sin la suficiente profundidad; no basta con ver un manual cuyo título sea Plan de Contingencias o denominación similar, sino que es imprescindible conocer si funcionaría con la garantías necesarias y cubriría los requerimientos en un tiempo inferior al fijado y con una duración suficiente. En un plan de contingencia se presume que hay un lapso de tiempo, tiempo sobre el cual se declara la emergencia, y entran a operar una serie de procedimientos que permiten que el servicio se restablezca en el menor tiempo posible. Una vez resuelta la emergencia, se disparan otra serie de procedimientos que vuelven la operación a su normalidad, procesos que pueden ser bastante engorrosos de ejecutar, en especial cuando de sincronizar la información se trata. El enfoque del plan de contingencia se basa en la minimización del impacto financiero que pueda tener un desastre en la compañía, mientras que el plan de continuidad está orientado a asegurar la continuidad financiera, 101 satisfacciones del cliente y productividad a pesar de una catástrofe. Mientras que el plan de contingencia se concentra en la recuperación de eventos únicos que producen una interrupción prolongada del servicio, el plan de continuidad se ejecuta permanentemente a través de la administración de riesgos tanto en la información como en la operación. Los riesgos que se enfrentaban en la planeación anterior eran desastres con baja frecuencia pero muy alto impacto.

Hoy los riesgos son casi todos de muy alto impacto por las implicaciones que tienen en la empresa ampliada (socios de negocios) y de muy alta ocurrencia. Ya todas las empresas están expuestas a ataques con virus, problemas de seguridad en la información, calidad del software, almacenamiento de datos inapropiado, arquitecturas tecnológicas complejas y hasta políticas poco efectivas de administración de recursos que pueden abrirle las puertas a una catástrofe con el mismo impacto en el negocio (y hasta mayor) que el impacto causado por una amenaza física como un incendio o un terremoto. Un plan de continuidad tiene como objetivo tratar de alcanzar una disponibilidad de cinco nueves (99.999%) para la infraestructura crítica, lo que implica que el sistema siempre estará disponible. Hoy existe la tecnología para poder obtener estos resultados; sin embargo, el costo de esta tecnología todavía no está al alcance de todas las empresas. El plan de contingencia tiene como beneficio para la empresa garantizar la recuperación de servicios que están desmejorados por la falla, en un período de entre 12 y 72 horas. 102 Un plan de contingencia se refleja en un documento que especifican las tareas que hay que hacer antes, durante y después de la contingencia, además de los responsables de cada acción.

Un plan de continuidad se basa en las tecnologías emergentes (como unidades de discos para redes, SAN, y cintas para copias de respaldo de altísima velocidad), y la excelencia operativa del centro de cómputo. Un plan de continuidad no es excluyente de un plan de contingencia, sino más bien que el segundo está dentro del primero. Un plan de continuidad para el negocio debe incluir: un plan de recuperación de desastres, el cual especifica la estrategia de un negocio para implementar procedimientos después de una falla; un plan de reanudación que especifica los medios para mantener los servicios críticos en la ubicación de la crisis; un plan de recuperación que especifica los medios para recuperar las funciones del negocio en una ubicación alterna; y un plan de contingencia que especifica los medios para manejar eventos externos que puedan tener serio impacto en la organización. En la auditoría es necesario revisar si existe tal plan; si es completo y actualizado; si cubre los diferentes procesos, áreas y plataformas, o bien si existen planes diferentes según entorno, evaluar en todo caso su idoneidad, así como los resultados de las pruebas que se hayan realizado. Si las revisiones no nos aportan garantías suficientes debemos sugerir pruebas complementarias o hacerlo constar en el informe, incluso indicarlo en el apartado de limitaciones

Auditoría de la seguridad

La existencia de amenazas que afectan la disponibilidad, integridad y confidencialidad de los datos es real. Es crítico para las organizaciones identificar esas amenazas y adoptar recomendaciones que permitan prevenir, detectar y protegerse de ellas. La diversidad y la heterogeneidad de los sistemas de información que requieren las organizaciones actuales, sumado a la globalización a la que se enfrentan al conectar esos sistemas al mundo de Internet, genera un sinfín de incertidumbres en lo referente a la seguridad de la información. Las soluciones integrales de seguridad que abarcan desde el diagnóstico de la situación actual, hasta la implementación y puesta en marcha de las mismas en todos los niveles de la organización, incluyendo el análisis y la definición de los elementos de seguridad que deben ser implantados a nivel técnico. 78 El punto de partida para un sistema de seguridad informática es la realización del diagnóstico de la situación actual, para proyectar las soluciones

Auditoría y control de la seguridad física

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos (hackers, virus, ataques de sistema operativo, entre otros); la seguridad de la misma será nula si no se ha previsto como combatir un incendio o cualquier otro tipo de desastre natural y no tener presente políticas claras de recuperación. 84 La seguridad física es una de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos de seguridad física básicos se prevén, otros, como la detección de un atacante interno a la empresa que intenta acceder físicamente a una sala de cómputo de la misma, no. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de respaldo de la sala de cómputo, que intentar acceder vía lógica a la misma. La seguridad física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del centro de cómputo, así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Auditoría y control de la seguridad lógica

Después de ver como nuestro sistema puede verse afectado por la falta de seguridad física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputo no será sobre los medios físicos sino contra información por él almacenada y procesada. Así, la seguridad física sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física que la asegure. Estas técnicas las brinda la seguridad lógica. 86 La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no está permitido debe estar prohibido” y esto es lo que debe asegurar la seguridad lógica. Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos

2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.

3. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.

4. Asegurar que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro.

5. Asegurar que la información recibida sea la misma que ha sido transmitida.

6. Asegurar que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.

7. Asegurar que se disponga de pasos alternativos de emergencia para la transmisión de información.

5.6 Personal responsable del área

PERSONAL AUTORIZADO

En el comienzo de la auditoría, el auditor interno debe determinar el propósito del negocio con la red, ya que este puede ayudar a definir los componentes que representan el mayor riesgo.Algunas de las fuerzas importantes que conducen el uso de las redes detelecomunicaciones incluyen servicio al cliente, informes financieros, administración de procesos, generación de utilidades y comunicación interna en la organización. Una red de telecomunicaciones también puede otorgar una ventaja estratégica a una organización. Un siguiente paso lógico en la planeación de los objetivos y el alcance de una auditoría de telecomunicaciones es determinar quién debe ser entrevistado. Los candidatos para las entrevistas de auditoría incluyen los siguientes: El administrador o gerente de telecomunicaciones, quien comúnmente controla los aspectos planificadores, presupuestarios y operacionales de comunicaciones. El administrador o gerente de la red, quien típicamente administra el personal y el equipo. El administrador o gerente de voz, quien administra el equipo telefónico, el informe de llamadas, la facturación, instalación de teléfonos, etc. El administrador o gerente de aplicaciones de comunicaciones, quien es responsable de hacer los requerimientos funcionales de las aplicaciones en la realidad técnica.Las funciones y las responsabilidades de estas posiciones pueden ser combinadas odistribuidas sobre uno o varios miembros del personal.

El auditor interno puede más fácilmente establecer el alcance de la auditoría utilizando un mapa de la red. Un mapa de la red debe mostrar el tramo geográfico de la red, las ubicaciones de los sitios de mayor procesamiento e instalaciones del usuario,

Hardware de procesamiento principal y Software de aplicaciones, vínculos o nexos de la red, capacidad de la línea y el tipo de información transmitida. Un mapa de la red puede ser tan complejo y detallado como un esquema de ingeniería o como un diagrama de localizaciones de averías electrónicas, pero inicialmente debe ser mantenido al nivel más alto de detalle. Una variedad de técnicas puede ser usada para verificar la existencia de controles adecuados en el entorno de las telecomunicaciones.

Estas incluyen las siguientes: La revisión de la dirección y administración de las telecomunicaciones, particularmente las políticas y procedimientos de telecomunicaciones de la organización. Verificación de la integridad de la red y procedimientos de monitoreo, tales comoinformes de incidentes y medición del tiempo de respuesta.

Revisión del Software de la red y la seguridad de acceso:

En áreas como el dial-in y el Software de diagnóstico y monitoreo. Revisión de los procedimientos de administración de cambios en lastelecomunicaciones, particularmente los cambios en el área de

Software de comunicaciones:

Revisión de la exactitud del backup

(Respaldo) y recuperación de la red, mediante el examen de los procedimientos y las redundancias de

Backup (respaldo) en la red.

5.7 Determinar el nivel de aplicación de alguna de las normas consideradas para la auditoría en las telecomunicaciones

TL 9000 define los requisitos del sistema de telecomunicaciones de calidad, para el diseño, desarrollo, producción, instalación y mantenimiento de los productos, hardware, software o servicios.

Para las organizaciones que trabajan en el sector de las telecomunicaciones, la certificación TL 9000 representa una importante oportunidad para la normalización y la mejora. Nuestra participación en el programa piloto de América del Norte para desarrollar TL 9000, le ha permitido a LRQA ser uno de los primeros registradores TL 9000 recibiendo la acreditación por el ANAB, anteriormente ANSI-RAB.

Como resultado de ello, LRQA es una empresa líder en el sector de las comunicaciones que trabaja para proporcionar evaluación, certificación y servicios de capacitación a la norma TL 9000 de las organizaciones líderes en el mercado.

¿Qué es TL 9000?

El objetivo de la TL 9000 es definir los requisitos del sistema de calidad de telecomunicaciones de para el diseño, desarrollo, producción, instalación y mantenimiento de los productos, hardware, software y servicios.

El estándar se compone de dos manuales (T1160 y T1180), que definen los requisitos del sistema de gestión de la TL 9000:

Manual de requisitos del sistema de calidad: Este manual define el conjunto común de requisitos del sistema de calidad para los proveedores de productos de telecomunicaciones: hardware, software o servicios. Los requisitos se basan en la popular norma internacional ISO 9001.

Manual de medidas del Sistema de Calidad: Este manual define un conjunto mínimo de mediciones de rendimiento y costo y los indicadores de calidad para medir y evaluar los resultados de la aplicación del sistema de calidad.

¿Cuáles son los Beneficios de la Certificación TL9000?

La certificación TL 9000 ayuda a crear un marco sistemático en el que las organizaciones de la unidad mejora continua, la creación de una ventaja competitiva para su organización, porque:

· Es reconocido mundialmente como la mejor práctica de calidad dentro de la industria de las telecomunicaciones.

· Le permite trabajar con las organizaciones cuando se trata de una obligación contractual o expectativa, lo que potencialmente mejora su posición en el mercado frente a los competidores.

· Puede ofrecer mejores resultados mensurables en las principales áreas métricas tales como menos residuos, la reducción de costes y mejora de productos que contribuyan a una mayor satisfacción del cliente y la mejora del desempeño de los proveedores.

· Le da una estructura sólida para el desarrollo interno y la mejora continua.

· Puede mejorar su desempeño de los proveedores y las relaciones con los mismos.

¿Cómo puede ayudarle LRQA?

LRQA es un mundialmente reconocido por su evaluación, certificación y servicios de capacitación, y más de la mitad de las 200 empresas más importantes del mundo eligen nuestros servicios

Nuestros asesores son especialistas de la industria y expertos que se corresponden con las necesidades de su negocio, lo que permite una eficaz y robusta auditoria de su sistema.

Nuestro enfoque de negocios asegura fiabilidad nuestras evaluaciones se centran en las áreas y temas que son importantes para su negocio. Como el primer organismo de certificación en obtener la acreditación para la expedición de certificados en sistemas de gestión de calidad, entendemos los requisitos del sistema y, por tanto, podemos adaptar nuestro enfoque para ayudar a satisfacer sus objetivos.

Más allá de la certificación, LRQA proporciona una amplia gama de servicios de apoyo a su empresa en el crecimiento a futuro y desarrollo, incluyendo capacitación y evaluación del sistema integrado de gestión.

Conclusión

Dependiendo de cómo la tecnología de la información es aplicada en la organización, esta podrá tener un alto impacto en el logro de su visión, misión u objetivos estratégicos.

Las empresas o instituciones deberán de contar con un adecuado control interno sobre todas sus áreas y en especial sobre el área de telecomunicaciones para garantizar una mejor utilización de sus recursos.

A través de la auditoría de telecomunicaciones se lleva a cabo un exhaustivo análisis del estado de seguridad de telecomunicaciones y de sus sistemas frente a usuarios de Internet y usuarios de su propia organización.

lunes, 18 de mayo de 2015

Software de comunicaciones: