Auditoría TI - ITIL

Hoy en día, las Tecnologías de la Información (TI) son un factor clave en la competitividad de las empresas y forman parte del núcleo de la gestión empresarial. Es fundamental evaluar la eficacia y la eficiencia con las que las empresas actúan en lo que TI se refiere.

La Auditoría TI es un proceso, el cual se orienta a la verificación y aseguramiento de la eficacia y de la eficiencia de las políticas y procedimientos establecidos para la implantación y uso adecuado de las Tecnologías de la Información, en cualquier ámbito.

La Auditoría TI debe ser más amplia que la simple detección de errores, debe proponer la toma de decisiones que permitan corregir los errores en caso de que existan y mejorar la forma de actuación. El examen que conforma una Auditoría TI abarca una serie de controles, verificaciones y juicios que concluyen en un conjunto de recomendaciones y un Plan de Acción. Es la elaboración de este Plan de Acción lo que diferencia a la Auditoría TI de lo que sería una auditoría tradicional.

3digits realiza todo el proceso de Auditoría TI con técnicos certificados en ITIL v3. ITIL son las siglas de una metodología desarrollada a finales de los años 80 por iniciativa del gobierno del Reino Unido, específicamente por la OGC u Oficina Gubernativa de Comercio Británica (Office of Goverment Commerce). Las siglas de ITIL significan (Information Technology Infrastructure Library) o Biblioteca de Infraestructura de Tecnologías de Información.

Esta metodología es la aproximación más globalmente aceptada para la gestión de servicios de TIen todo el mundo, ya que es una recopilación de las mejores prácticas tanto del sector público como del sector privado. Estas buenas practicas se dan en base a toda la experiencia adquirida con el tiempo y proveen un conjunto completo de prácticas que abarca no sólo los procesos y requerimientos técnicos y operacionales, sino que se relaciona con la gestión estratégica, la gestión de operaciones y la gestión financiera de una organización moderna.

ITIL v3 postula un ciclo de vida basado en cinco procesos:

1. Estrategia del Servicio

2. Diseño del Servicio

3. Transición del Servicio

4. Operación del Servicio

5. Mejora Continua del Servicio

  

¿Por qué implantar ITIL?

Hoy en día, la dependencia de las Tecnologías de la Información por parte de las organizaciones es total. No en vano, se han convertido en un elemento indispensable en la creación de negocio para las compañías. Por eso, contar con unos estándares que ayuden a mantener la calidad de los servicios de TI y a reducir la complejidad de la infraestructura tecnológica que hay que gestionar resulta indispensable. ITIL desempeña un papel fundamental al ser la metodología más reconocida mundialmente para la mejora de la calidad en la prestación y el aumento de la productividad y eficiencia en la gestión de los servicios de TI. Y es que ITIL es una colección de documentos públicos, que basados en procesos y en un marco de mejores prácticas de la industria, permite la gestión de servicios de TI con calidad y a un coste adecuado.

Este concepto, por tanto, recoge las experiencias de múltiples organizaciones de todo el mundo en gestión de servicios TI, que, una vez analizadas y seleccionadas las más útiles, dan lugar a un conjunto de libros de las mejores prácticas. Proporciona un método para planificar procesos comunes, roles y actividades con relaciones y líneas de comunicación apropiadas, que permiten optimizar la gestión de servicios TI; es decir, ofrece un enfoque sistemático a la provisión de servicios TI de calidad.

Para garantizar el éxito de nuestro modelo de implantación progresiva, debemos destacar aquellos aspectos de la solución de Gestión de TI que facilitarían en gran medida su despliegue dentro de la organización. Estos son:

Enfoque Integrado

El primer aspecto a tomar en cuenta es el de proporcionar una única solución que permita una visión global de los puntos clave de la Gestión de TI y que disponga de una amplia cobertura funcional en una plataforma homogénea. Dicho enfoque integrado facilita la implantación, mantenimiento y actualización de la solución, lo cual se refleja mediante una reducción de costes y una mayor eficacia en la prestación del servicio.

Escalabilidad

Además de disponer de una plataforma homogénea para la Gestión TI, es necesario asegurar que la solución que simplanta gradualmente es escalable. Para ello, consideramos esencial que la herramienta disponga de funcionalidades que permitan un soporte multi-organización, es decir, que se pueda extender un modelo organizativo altamente centralizado hacia un modelo multisocietario de alta dispersión geográfica y funcional, que incluso pueda traspasar fronteras nacionales con usuarios en diferentes idiomas y zonas horarias. Este tipo de necesidad se ha incrementado como resultado de la creciente globalización en diferentes sectores empresariales. Muchos de nuestros clientes han pasado por procesos de consolidación de su operativa resultado de Fusiones y Adquisiciones empresariales, o simplemente por cambios de estrategia dentro de su organización. Sea cual sea la razón, este tipo de modelo progresivo debe de facilitar la adaptación a la nueva situación de la compañía.

Coste Total de Propiedad Bajo

El Coste Total de Propiedad (TCO, por sus siglas en inglés) sigue siendo una asignatura pendiente en muchas organizaciones de TI. Hoy en día, se centran muchas decisiones de implantación de soluciones primordialmente en la inversión inicial (infraestructuras y despliegue), sin tomar en cuenta los costes recurrentes post-implantación, que suelen representar entre un 50 y un 70% del TCO. Por esta razón, consideramos de vital importancia para el modelo de implantación progresiva propuesto, un enfoque de solución Out-of-the-box. Dicho enfoque se fundamenta en ofrecer, de manera estándar, una serie de prestaciones –como asistentes predefinidos, informes o indicadores– que faciliten la parametrización e integración gradual de los diversos procesos contemplados dentro del proyecto. Esto, con el paso del tiempo, supondrá menores costes de mantenimiento y de migración, con lo cual es posible esperar una reducción importante en el TCO. No olvidemos que esta reducción de costes es uno de los factores que servirán para demostrar los beneficios de la implantación progresiva de procesos de Gestión TI.

El modelo en la práctica

Esta propuesta de implantación progresiva no parte de una base teórica no probada, sino que se apoya en la experiencia en el desarrollo e implantación de una solución para Gestión de TI en diversas organizaciones tanto públicos como privados, a nivel mundial. La filosofía inherente a este modelo es la de quick-wins (ganancias rápidas), que pretende realizar entregas parciales que satisfagan requerimientos funcionales de los usuarios implicados. Dicho de otra manera, se busca poner en producción, de forma paulatina, las funcionalidades que permitan a los usuarios finales tener una toma de contacto inicial con los nuevos procesos a ser implantados o mejorados. Este enfoque facilita el proceso de Gestión del Cambio, debido a que esta exposición inicial de los usuarios permite realizar a tiempo los ajustes necesarios en el despliegue ya realizado y preparar mejor los siguientes pasos en la implantación. Además, está dinámica permite mantener un alto nivel de motivación de todos los implicados en la implantación, principalmente al ver los resultados positivos de las fases que se van completando, en vez de iniciar una proyecto de implantación demasiado largo y costoso, que al final pretende desplegar simultáneamente n procesos de gestión “el día D a la hora H”, con los altos riesgos que ese enfoque siempre supone.

Para ejemplificar lo expuesto anteriormente, y empleando ITIL como telón de fondo, se proporciona una recomendación de despliegue progresivo de procesos en la organización, tomando en cuenta las diferentes experiencias de implantación en diversas organizaciones. El orden de implantación de los procesos debe servir como una orientación inicial que debe de adaptarse a las necesidades concretas de cada empresa, después de un análisis inicial de su situación actual y de sus requerimientos para un a mejor prestación del servicio TI al negocio. Un punto importante a destacar: se debe de considerar, como punto de partida, la elaboración de un catálogo de servicios corporativo que recoga todos aquellos servicios que presta TI al negocio. Durante esta fase preliminar, se recomienda tomar en cuenta aspectos como la estandarización de nomenclaturas, identificación de niveles de criticidad, impacto para el negocio y grado de visibilidad dentro de la organización, entre otros.

¿QUÉ ES LA AUDITORIA DE TECNOLOGIA DE INFORMACIÓN (A.T.I.)?

ROL DE LA AUDITORIA EN LA EMPRESA :

El auditor de sistemas debe jugar un rol proactivo a través de todas las etapas del proceso de sistematización del negocio. Adicionalmente debe apoyar a la Auditoria Financiera en su proceso de obtención de evidencia y validación de procedimientos de control a través del uso de C.A.A.T. (computer audit assisted technologies) y del computador.

Los servicios de Auditoría de Tecnología de Información se encuentran orientados al mercado pro-activo y preventivo, brindándole a nuestros clientes evaluaciones de sus controles, que sirvan para el fortalecimiento de su seguridad e infraestructura tecnológica.

Auditoría de Tecnología de la Información

• Auditoría de Sistemas
• Outsourcing o Co-Sourcing de Auditorias de Sistemas
• Revisiones de estándar de seguridad del PCI – VISA
• Auditoría de Sistemas especializadas (ACH, Cajeros automáticos (ATM), etc.)
• Certificación-Declaración de Sistemas Contables
• Certificación-Declaración de Sistemas de Almacenamiento Tecnológico
• Sistema de Gestión de Seguridad de la Información (Norma ISO)
• Evaluación y Alineamiento de Tecnología con mejores prácticas Gobierno de TI

OBJETIVOS ESPECIFICOS:

–	La información y la tecnología es el activo más valioso de nuevo milenio.
–	La información puede constituirse en una ventaja competitiva de la empresa frente a terceros. Su uso inadecuado puede convertirse en la peor amenaza
–	La información es la memoria y el conocimiento de la empresa. Base de su desarrollo y adaptación futura
–	Todo lo que la rodea (la información) y la soporta, debe estar adecuadamente asegurado y controlado. Hablamos de equipos, personas y programas de computador
–	Es necesario determinar si los recursos informáticos están siendo utilizados de la manera más efectiva, eficiente y económica.
–	Es de vital importancia evaluar si los sistemas de negocios que posee la empresa tienen involucrados los CONTROLES suficientes que garanticen una información libre de errores, fraudes, alteración o falta de disponibilidad. Es decir, que dicha información está realmente segura y protegida del acceso no autorizado, daño intencional o destrucción por parte de terceros o personal de la empresa
–	Se hace necesario mantener servicios de monitoreo de nuevas tecnologías, de forma que estas se adquieran y utilicen en beneficio de los objetivos de la empresa, generando ventajas competitivas y beneficios tangibles frente a terceros.
–	Solo la experiencia continuada, real, exitosa, el conocimiento acumulado de muchos años en proyectos de sistematización de todo tipo y el uso de estándares y metodologías de reconocido valor técnico, garantizan que la tecnología Informática, y la información en si misma, están siendo adecuadamente utilizadas y aseguradas. Caracteristicas La Informática hoy, está integrando en la gestión de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. Debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. La Auditoría Informática es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una empresa. Los principales objetivos que constituyen a la auditoría Informática son: el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos, la verificación del cumplimiento de la Normativa en este ámbito y la revisión de la eficaz gestión de los recursos informáticos.

La auditoría de TI en un entorno VICA. El reto de la razonabilidad en un ecosistema digital

Introducción

En un mundo en constante movimiento, altamente Volátil, Incierto, Complejo y Ambiguo (VICA), la función de auditoría en las empresas enfrenta un desafío mayor en su ejercicio de evaluación y asesoría al primer nivel de las organizaciones, pues ya no son tan conocidos los escenarios para auditar y los métodos de verificación y evaluación no cuentan con la flexibilidad para enfrentar dichos escenarios.

Si bien los discursos metodológicos y fundamentos de la auditoría generalmente aceptados, son referentes importantes que aseguran el proceso mismo de verificación, no así las condiciones y detalles que se advierten en el contexto mismo del trabajo de campo, donde las tecnologías emergentes, las tendencias en las redes sociales y las novedades propias de los ciber ataques, hacen que el auditor enfrente situaciones que posiblemente no pudieron ser identificadas con las herramientas actuales .

Los auditores, particularmente de tecnología de información, se enfrentan en la actualidad a escenarios novedosos que le exigen una comprensión superior a la que tienen a la fecha, habida cuenta que ya su dominio de evaluación no se encuentra identificado de manera física y tangible, sino que representa una apuesta de servicios tercerizados, que está más allá de su alcance y por lo tanto, deberá establecer una nueva forma de analizarlos.

Así, los auditores de tecnología de información pasaron de tener en sus papeles de trabajo temáticas como redes, comunicaciones, servidores, archivos, bases de datos, cintas, controles de acceso, a revisar un nuevo escenario denominado ecosistema tecnológico o digital (ver más información en http://insecurityit.blogspot.de/2012/09/pronosticos-de-seguridad-de-la.html), donde lo que fluyen son servicios e información, como fundamento mismo de su operación. Un mundo digital creado por el hombre donde se construyen realidades superiores, donde la imaginación y la estrategia plantean los límites y posibilidades.

Un auditor de tecnología de información (TI) en un ecosistema digital (4) debe desarrollar habilidades y práctica diferentes para poder encarar el reto de “auditar” un contexto como éste, donde la dinámica es la norma, las probabilidades son inciertas y las posibilidades son todas. Así, el profesional de auditoría debe lidiar con la incertidumbre que supone este entorno y enfrentar las diversas conexiones presentes y emergentes de este ecosistema para tratar de entender la esencia del mismo.

En razón con lo anterior, el auditor de TI consciente de su saber disciplinar y las contradicciones del contexto que ahora enfrenta, debe orientar su práctica metodológica hacia lo sistémico, a la búsqueda de respuestas en la dinámica de las relaciones, más que en la estática de sus componentes. Esto es, motivar un cambio de pensamiento especializado, a uno transdisciplinario que consulta otras disciplinas y métodos para comprender mejor lo que el ecosistema le presenta.

Por tanto, este breve documento busca revisar la condición actual del auditor de TI, sus prácticas y métodos de trabajo frente al ecosistema digital y los retos emergentes que debe asumir y anticipar para continuar generando valor a la alta gerencia.

Evolución de la práctica de auditoría de TI

La dinámica propia del trabajo de auditoría en general demanda un proceso de planeación (que consulta inclusive ejercicios anteriores), la contextualización con el área auditada (poner en conocimiento del área evaluada el alcance y los apoyos requeridos), los fundamentos de la evaluación (estándares y buenas prácticas que se van a tener en cuenta), la ejecución (la recolección y análisis de documentos, la aplicación de las pruebas), resultados (el detalle de los hallazgos identificados) y el reporte (conclusiones documentadas del ejercicio realizado). En este ejercicio, el registro controlado de todos los soportes y hallazgos es la fuente misma de la precisión y credibilidad de las conclusiones de dicho trabajo.

En este derrotero metodológico, el auditor de TI, explora los diferentes componentes del sistema de información o tecnología objeto de la revisión para producir sus resultados. Es claro que deberá establecer el mapa relacional del sistema en evaluación con los objetivos del negocio y los otros procesos de las empresas, para no perder la vista general de los impactos que tiene el sistema bajo análisis para la empresa. Este tipo de ejercicios, exige de los auditores la especialidad de tecnología de información y sobre manera el entendimiento de la dinámica interna de la organización.

En escenarios conocidos, donde la operación de la empresa ocurre en un lugar cierto y preciso, las prácticas vigentes de auditoría revelan resultados relevantes, que permiten dar cuenta de la razonabilidad de la seguridad y el control que los sistemas de información tienen para mantener una operación confiable y ajustada a las buenas prácticas y estándares en la materia. Las listas de chequeo, los cuestionarios de control, las pruebas de auditoría con cruces de datos, las simulaciones de máquinas y servicios, así como algunas técnicas de valoración de seguridad de la información sobre aspectos claves de los sistemas información, hacen parte de la batería de recursos que los auditores disponen para hacer su labor.

Mientras la operación de tecnología de información estuvo inmersa dentro de los procesos de adquisición de hardware, software, aplicaciones y servicios de apoyo, las prácticas de auditoría tradicionales, basadas en estándares referentes, particularmente de riesgos, estuvieron atentas a dar respuesta a la necesidad de los grupos de interés, para ilustrar el nivel de confiabilidad que dicha infraestructura tenía y cómo avanzar para mitigar la exposición a los riesgos identificados.

La conectividad con internet, los servicios web, la exposición de web-services, las aplicaciones java, los marcos de desarrollo de aplicaciones en la web y servicios de pagos en línea, cambiaron la forma de cómo sus prácticas debían dar una nueva lectura a sus conclusiones. Un mundo más interactivo y menos estático hizo que los auditores comenzaran a pasar de un método relativamente conocido, a uno donde la especialidad técnica comenzaba a desbordar las respuestas para sus grupos de interés.

En este escenario los marcos metodológicos hicieron giros estratégicos importantes, donde ahora la web era la vista más elaborada de la práctica, sin descuidar los asideros conceptuales que se mantenían sin cambios relevantes. Esto motivó una actualización de los auditores tradiciones de TI, para incorporar nuevos conocimientos sobre la dinámica de internet, sus posibilidades y nuevos riesgos.

Durante más de una década, los auditores de TI avanzaron con los desarrollos tecnológicos, como custodios de sus prácticas de seguridad y control, motivando cambios relevantes e importantes en el gobierno de las tecnologías de información, que ha impactado positivamente el ejercicio de aquellos que tienen la responsabilidad de apalancar el modelo de generación de valor de las empresas con tecnología, cargo generalmente denominado a nivel internacional como Chief Information Officer o Chief Technology Officer.

Hoy, las cosas vuelven a cambiar y la exigencia se hace mayor, por tanto, las prácticas de los auditores de TI requieren una nueva revisión que les permita crear un nuevo momentum en el ejercicio de la auditoría, no para abandonar lo que usa en la actualidad, sino para ajustarlo e incorporar nuevas propuestas para enfrentar las nuevas amenazas y retos en un mundo hiperconectado, con información instantánea, en la nube y en el móvil.

La auditoría de TI y el ecosistema digital

Gartner, en su documento denominado “The nexus of forces” publicado en 2012, anticipa el nuevo escenario que el mundo debe asumir, conocer, usar y explotar para crear la nueva etapa de la sociedad global, donde casi todas las cosas serán servicios, estarán conectadas y transmitiendo en tiempo real. La realidad de la computación en la nube, la computación móvil, los grandes datos, la analítica y las redes sociales, establecen los nuevos normales de operación y desarrollo tanto de las personas, como de las organizaciones.

La vista convergente del mundo hace camino en cada uno de los elementos que sintonizan a las organizaciones con sus grupos de interés, elevando los niveles de transparencia y visibilidad que permiten a los interesados tener la información relevante, hacerse a un criterio y opinar de manera abierta y sin reparos. Las redes sociales se han convertido en un eslabón estratégico de las empresas, no sólo como “parlante abierto” de su realidad, sino como ocasión de liderazgo organizacional abierto, que demanda una completa inmersión en la dinámica social y tecnológica de la sociedad local donde opera y la realidad global donde se enmarca.

El ecosistema digital, como construcción conceptual, reviste una serie de componentes, muchos de ellos operados por terceros, con especialidades y capacidades específicas, las cuales se ofrecen en diferentes modelos y posibilidades, es el cliente el que define la manera de cómo los recursos disponibles van a ser organizados y usados, para crear entornos nuevos o propuestas alternas que generarán experiencias diferentes en los usuarios finales.

Esta nueva realidad, que ahora inicia en un teléfono inteligente en las manos de una persona, en cualquier parte del mundo y que es capaz de movilizar información y acciones con otros a través de conexiones internacionales, que no requiere puntos únicos de ingreso o conexión, que conoce de aplicaciones y servicios especializados, y que está dispuesto a estar en línea todo el tiempo, muestra con claridad que los perímetros de control se han vuelto porosos, que el control de la descarga de aplicaciones se ha vuelto efímera y el nivel de exposición y riesgos emergentes está a la orden del día.

Las recomendaciones restrictivas propias de las prácticas de auditoría en estos entornos dinámicos contradicen los modelos de negocio que exigen las empresas de hoy. En este sentido, las prácticas de seguridad y control, habituadas a entornos estáticos y conocidos, comienzan a ceder terreno para inaugurar una transición a nuevas prácticas donde variables como tipo de información a la que requiere tener acceso, perfil de la persona que solicita el acceso y lugar donde se encuentra la persona que solicita el acceso, comienzan a ser relevantes para establecer el nivel de protección que se requiere.

Por tanto, los auditores de TI deben tomar nota sobre esta nueva realidad y comenzar a retar sus propias prácticas, que si bien seguirán basadas en las realidades de la exposición al riesgo, sí deberán consultar y entender la manera de cómo el ecosistema digital dicta las normas de interacción y establece los nuevos normales, los cuales deberán ser insumo para plantear las renovadas exigencias de la auditoría, ahora en un escenario más dinámico y más volátil, motivando una práctica de seguridad y control más moderna que custodie la dinámica de la información y el valor de la empresa más ajustado a su realidad .

Referencias

(1) Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.

(2) Harrington, L. y Piper, A. (2015) Driving success in changing world. 10 imperatives for internal audit. The IIA Research Foundation. Global Internal Audit Common Body of Knowledge. Recuperado de: https://na.theiia.org/iiarf/Pages/Common-Body-of-Knowledge-CBOK.aspx

(3) Quintanar, E. (1983) Normas de auditoría generalmente aceptadas. Revista Española de Financiación y Contabilidad. Vol.12, No.42. Septiembre-Diciembre. 667-680

(4) Cano, J. (2015) Computación forense. Descubriendo los rastros informáticos. Segunda Edición. Bogotá, Colombia: Alfaomega.

(5) Huerta J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la enseñanza por competencias profesionales integradas. Centro Universitario de Ciencias de la Salud. Universidad de Guadalajara. Guadalajara, México:Editorial Universitaria.

(6) Tamayo, A. (2001) Auditoría de sistemas. Una visión práctica. Universidad Nacional de Colombia. Sede Manizales. Manizales, Colombia: Centro de Publicaciones, Universidad Nacional de Colombia.

(7) Piattini, M. y Del Peso, E. (2000) Auditoría informática. Un enfoque práctico. Segunda edición. Madrid, España: Ra-ma Editorial y publicaciones.

(8) Schmidt, E. y Cohen, J. (2014) The new digital age. Transforming nations, businesess, and our lives. New York, USA: Vintage Books.

(9) Fernández, C. y Piattini, M. (2012) Modelo para el gobierno de las TIC basado en las normas ISO. AENOR (Asociación Española de Normalización y Certificación). Madrid, España: AENOR.

(10) Howard, C., Plummer, D. C., Genoves, Y., Mann, J., Willis, D. A. y Mitchel Smith, D. (2012) The nexus of forces: Social, Mobile, Cloud and Information. Gartner report. Disponible en: https://www.gartner.com/doc/2049315

2.6. EVALUACIÓN DE LA RED

2.6.1.    ESTÁNDAR ANSI/EIA/TIA 568 A Y B.

El Cableado estructurado especifica los requisitos mínimos para cableado de telecomunicaciones dentro de edificios comerciales. (SITES, 2010)

Elementos del Cableado Estructurado:

ü  Facilidades de entrada

ü  Sala de equipos

ü  Backbone (Cableado central)

ü  Armarios de telecomunicaciones

ü  Cableado horizontal

ü  Áreas de trabajo.

2.6.2.    IEEE 802.11X

Ventajas:

ü  Wi-Fi es un conjunto global de estándares.

ü  El sistema de paquetes de radio es diferente.

ü  Le permite a las LANs ser desplegadas sin cablear.

ü  Los productos de Wi-Fi están extensamente disponibles en el mercado.

ü  La competencia entre vendedores ha bajado los precios considerablemente desde que empezó la tecnología.

ü  Las redes Wi-Fi soportan Roaming.

ü  Soporta Encriptación de Datos.

Desventajas:

ü  Usa la banda 2.4 GHz.

ü  El consumo de electricidad es bastante alto comparado con otros estándares.

ü  El estándar de encriptación inalámbrico más común, el WEP.

ü  Las redes Wi-Fi tienen limitado el rango de alcance.

2.6.3.    NORMAS PARA ESTABLECER UN SITE DE TELECOMUNICACIONES.

Un Site es el espacio utilizado para albergar el equipo de telecomunicaciones y cómputo de una organización.

Algunas de las normas utilizadas son las siguientes:

ü  ANSI/TIA/EIA-568-B.1

ü  ANSI/TIA/EIA-569-B

ü  ANSI/TIA/EIA-606-A-2002. Norma de Administración para la Infraestructura de Telecomunicaciones Comerciales.

ü  ANSI J-STD-607-A: Requerimientos para el Aterramiento de Telecomunicaciones de Edificios Comerciales.

ü  ISO/IEC 11801 especifica sistemas de cableado para telecomunicación de multipropósito. Cableado estructurado que es utilizable para un amplio rango de aplicaciones (análogas y de telefonía ISDN, varios estándares de comunicación de datos, construcción de sistemas de control, automatización de fabricación). Cubre tanto cableado de cobre balanceado como cableado de fibra óptica. El estándar fue diseñado para uso comercial que puede consistir en uno o múltiples edificios en un campus.

ü  ISO/IEC 118011: Sistemas de Cableado Genéricos.

ü  NFPA 70 Código Eléctrico Nacional

ü  NFPA 70E Seguridad Eléctrica en Lugares de Trabajo.

ü  NFPA 101 Código de Seguridad Humana. Proporciona los requisitos mínimos, para el diseño, la operación, y el mantenimiento de edificios y estructuras para la seguridad de la vida humana contra los incendios.

RECOMENDACIONES PARA LA IMPLEMENTACIÓN DE UN SITE.

ü  Selección del Sitio

ü  Tamaño: Guía para voz y datos, guía para otros equipos.

ü  Aprovisionamiento

ü  Equipos de Calefacción, Ventilación y Aire acondicionado

ü  Acabados interiores

ü  Iluminación

ü  Energía Eléctrica

ü  Puertas

ü  Tierra Física

ü  Extinguidores

2.6.4.    Pasos para realizar una auditoría Física y Lógica.

Pasos para realizar una auditoría física.

ü  Se debe garantizar que exista:

ü  Áreas de equipo de comunicación con control de acceso.

ü  Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.

ü  Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el tráfico en ella.

ü  Prioridad de recuperación del sistema.

ü  Control de las líneas telefónicas.

Comprueba  que:

ü  El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.

ü  La seguridad física del equipo de comunicaciones sea adecuada.

ü  Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas.

ü  Las líneas de comunicación estén fuera de la vista.

ü  Se dé un código a cada línea, en vez de una descripción física de la misma.

ü  Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos a la red.

ü  Existan revisiones periódicas de la red buscando pinchazos a la misma.

ü  El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas.

ü  Existan alternativas de respaldo de las comunicaciones.

ü  Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro llamada, código de conexión o interruptores.

Pasos para llevar a cabo una auditoría lógica.

En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red.
Para éste tipo de situaciones:

ü  Se deben dar contraseñas de acceso.

ü  Controlar los errores.

ü  Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red.

ü  Registrar las actividades de los usuarios en la red.

ü  Encriptar la información pertinente.

ü  Evitar la importación y exportación de datos.

ü  Inhabilitar el software o hardware con acceso libre.

ü  Generar estadísticas de las tasas de errores y transmisión.

ü  Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.

ü  Asegurar que los datos que viajan por Internet vayan cifrados.

ü  Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red.

ü  Deben existir políticas que prohíban la instalación de programas o equipos personales en la red.

ü  Los accesos a servidores remotos han de estar inhabilitados.

2.6.5.    Modelos OSI y TCP/IP

ü  Modelo OSI. (Open Systems Interconection), es usado para describir el uso de datos entre la conexión física de la red y la aplicación del usuario final.

ü  Modelo TCP/IP. (Protocolo de Control de Transmisión/Protocolo de Internet) es la base de internet, y sirve para enlazar computadoras que utilizan diferentes sistemas operativos, incluyendo PC, minicomputadoras y computadoras centrales sobre redes de área local LAN y de área Ámplia WAN. (Redes , 2009)

2.5. EVALUACIÓN DE HARDWARE Y SOFTWARE.

2.5.1.    DESCRIBIR LAS CARACTERÍSTICAS DEL HARDWARE Y SOFTWARE APROPIADO PARA TAREAS ESPECÍFICAS

Existen una serie de objetivos del auditorio entorno al hardware:

ü  Hardware

ü  Teclado

ü  Mouse

ü  CPU

ü  Monitos

ü  Impresora

ü  Memoria ROM

ü  Memoria RAM

2.4. LICENCIAMIENTO DE SOFTWARE

2.4.1. TIPOS DE LICENCIAMIENTOS DE SOFTWARE Y CONDICIONES DE USO.

ü  Licencia: contrato entre el desarrollador de un software sometido a propiedad intelectual y a derechos de autor y el usuario, en el cual se definen con precisión los derechos y deberes de ambas partes. Es el desarrollador, o aquél a quien éste haya cedido los derechos de explotación, quien elige la licencia según la cual distribuye el software.

ü  Patente: conjunto de derechos exclusivos garantizados por un gobierno o autoridad al inventor de un nuevo producto (material o inmaterial) susceptible de ser explotado industrialmente para el bien del solicitante por un periodo de tiempo limitado.

ü  Derecho de autor o copyright: forma de protección proporcionada por las leyes vigentes en la mayoría de los países para los autores de obras originales incluyendo obras literarias, dramáticas, musicales, artísticas e intelectuales, tanto publicadas como pendientes de publicar.

Software libre: proporciona la libertad de

ü  Ejecutar el programa, para cualquier propósito.

ü  Estudiar el funcionamiento del programa, y adaptarlo a sus necesidades.

ü  Redistribuir copias.

ü  Mejorar el programa, y poner sus mejoras a disposición del público, para beneficio de toda la comunidad.

Software de fuente abierta sus términos de distribución cumplen los criterios de

ü  Distribución libre

ü  Inclusión del código fuente

ü  Permitir modificaciones y trabajos derivados en las mismas condiciones que el

ü  software original

ü  Integridad del código fuente del autor, pudiendo requerir que los trabajos derivados tengan distinto nombre o versión

ü  No discriminación a personas o grupos

ü  Sin uso restringido a campo de actividad

ü  Los derechos otorgados a un programa serán válidos para todo el software redistribuido sin imponer condiciones complementarias

ü  La licencia no debe ser específica para un producto determinado

ü  La licencia no debe poner restricciones a otro producto que se distribuya junto con el software licenciado

ü  La licencia debe ser tecnológicamente neutral.

Estándar abierto: según Bruce Perens, el basado en los principios de

ü  Disponibilidad

ü  Maximizar las opciones del usuario final

ü  Sin tasas sobre la implementación

ü  Sin discriminación de implementador

ü  Permiso de extensión o restricción

ü  Evitar prácticas predatorias por fabricantes dominantes

ü  Software de dominio público: aquél que no está protegido con copyright

ü  Software con copyleft: software libre cuyos términos de distribución no permiten a los redistribuidores agregar ninguna restricción adicional cuando lo redistribuyen o modifican, o sea, la versión modificada debe ser también libre.

ü  Software semi libre: aquél que no es libre, pero viene con autorización de usar, copiar, distribuir y modificar para particulares sin fines de lucro.

ü  Freeware: se usa comúnmente para programas que permiten la redistribución pero no la modificación (y su código fuente no está disponible).

ü  Shareware: software con autorización de redistribuir copias, pero debe pagarse cargo por licencia de uso continuado.

ü  Software privativo: aquél cuyo uso, redistribución o modificación están prohibidos o necesitan una autorización.

ü  Software comercial: el desarrollado por una empresa que pretende ganar dinero por su uso. (Labrador, 2005)