UNIDAD 5 AUDITORIA EN LAS TELECOMUNICACIONES

Introducción:

Anteriormente, la comunicación entre las computadoras se efectuaba a través del transporte físico de
los datos a través de los medios extraíbles. La necesidad de compartir datos hizo que se desarrollaran
las redes de computadoras. Actualmente las telecomunicaciones y las redes son un pilar sobre el cual
se sostienen la mayoría de las operaciones que se realizan en una organización. Dada su rápida
expansión, es muy común que hoy en día muchas organizaciones tengan infraestructura de red y de
telecomunicaciones, no se concibe una empresa que no tenga sus aplicaciones de software para las
operaciones cotidianas, usando una red de computadoras, por tanto es casi seguro que si ocurriera un
fallo en la infraestructura de telecomunicaciones, la organización quedaría prácticamente paralizada.
La auditoría de la seguridad en este campo procura entonces evitar que las consecuencias de un
problema no sea devastadoras.

¿Qué es una Auditoría en Telecomunicaciones?

Una Auditoria en Telecomunicaciones es una evaluación del entorno de las Telecomunicaciones tanto a
nivel global como a nivel empresarial.

El propósito de una auditoria en telecomunicaciones es asegurar:

Seguridad

Cumplimiento de la política empresarial.

Eficacia en cuanto al coste

Efectividad del servicio

El respaldo de las Telecomunicaciones al objetivo de la empresa.

Una adecuada auditoria debe incluir todos los tipos de telecomunicaciones: voz, video y datos.

Una auditoria debe abarcar todo el equipo de telecomunicaciones, política de servicio y gastos
utilizados por la empresa.

Una auditoria empieza con una política de evaluación, se identifican y analizan políticas relevantes para
determinar si cumplen las pautas y objetivos organizacionales.

El equipo de comunicación como sistema de correo, servidores, etc. deben ser evaluados para
determinar si cumplen con los requisitos del negocio actual y, si es posible, se deben considerar
soluciones alternativas.

Servicios de comunicación tales como líneas de teléfono, servicios CENTREX y servicios de respuesta
son evaluados para determinar si los niveles de servicio y coste cumplen los objetivos organizacionales
y si otras soluciones potenciales deben ser evaluadas para reemplazar a los servicios actuales.

La auditoría en telecomunicaciones puede ser realizada tanto por auditoría interna como por auditores
externos.
¿Qué es la Auditoria Informática en Redes y Telecomunicaciones?

La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un

sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes
y regulaciones establecidas. También permiten detectar de forma sistemática el uso de los recursos y
los flujos de información dentro de una organización y determinar qué información es crítica para el
cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de información eficientes.

¿Qué características tiene la Auditoria Informática en Redes y Telecomunicaciones?

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo

Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones
informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se
debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de
alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función:

se está en el campo de la Auditoría de Organización Informática.

Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría
parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la
Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades
de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

¿Cuál es el perfil del Auditor Informático en Redes y Telecomunicaciones?

El perfil de un auditor informático en redes y telecomunicaciones es el que corresponde a un Ingeniero

en Informática o en Sistemas especializado en el área de telemática.

El auditor de informático especializado en esta área deberá inquirir sobre los índices de utilización de
las líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la
topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación
significaría una grave debilidad. La inexistencia de datos sobre la cuantas líneas existen, cómo son y
donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las
debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas.

¿Por qué y Para qué se hace la Auditoria Informática en Redes y Telecomunicaciones?

a) Asegurar la integridad, confidencialidad y confiabilidad de la información.

b) Minimizar existencias de riesgos en el uso de Tecnología de información

c) Conocer la situación actual del área informática para lograr los objetivos.
d) Asegurar seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así
como también seguridad del personal, los datos, el hardware, el software y las instalaciones.

e) Incrementar la satisfacción de los usuarios de los sistemas informáticos.

f) Capacitar y educar sobre controles en los Sistemas de Información.

g) Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto
a inversiones para la tecnología de información.

¿Qué metodologías sigue la Auditoria Informática en redes y Telecomunicaciones?

Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de manera
ordenada y eficaz.

Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se

puede agrupar en dos grandes familias:

Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo,
están diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por
tener asignados unos valores numéricos. Están diseñadas para producir una lista de riesgos que pueden
compararse entre si con facilidad por tener asignados unos valores numéricos. Estos valores son datos
de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el
número de incidencias tiende al infinito.

Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para
seleccionar en base a lal experiencia acumulada. Puede excluir riesgos significantes desconocidos
(depende de la capacidad del profesional para usar el check-list/guía). Basadas en métodos estadísticos
y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.

¿A qué tipos de empresas se aplica la Auditoria Informática en Redes y Telecomunicaciones?

La Auditoria Informática en Redes y Telecomunicaciones se lo aplica en especial a empresas que

poseen ciertamente de tecnologías de comunicaciones y/o sistemas de información que están
conectados ya sea mediante intranet o internet, en Bolivia podemos citar a las siguientes principales
empresas:

- Entel Movil

- Viva GSM

- Tigo

- AXS

- Cotel

5.1 Finalidad de la evaluación en telecomunicaciones

Objetivos a tomar en cuenta:

§ Verificar la existencia de controles en software y hardware

§ Asegurar la existencia de controles y procedimientos de la administración

§ Administración de la red de telecomunicaciones

§ Instalación de red

§ La operación y seguridad de la red

§ El mantenimiento de la red

§ Comprobar que la distribución de las bases de datos en la red sea segura

§ Verificar que las medidas de respaldo sean adecuadas

§ Verificar que el software de comunicación sea efectivo y controlado

§ Verificar que solo se encuentre software autorizado en la red

§ Evaluar las acciones que lleven a cabo para actualizar los diferentes componentes de la red

§ Verificar que existan parámetros de medición del desempeño de la red: bitácoras, graficas,
estadísticas

5.2 Requerimientos para la evaluación

Cableado estructurado:

Especifica los requisitos mínimos para cableado de telecomunicaciones dentro de edificios comerciales

Elementos:

Ø Facilidades de Entrada

Ø Sala de equipos

Ø BackBone ( Cableado Central)

Ø Armarios de telecomunicaciones

Ø Cableado Horizontales

Ø Áreas de Trabajo
Normas Para establecer un Site de Telecomunicaciones

• ANSI/TIA/EIA-568-B.1
• ANSI/TIA/EIA-569-B
• ANSI/TIA/EIA-606-A-2002. Norma de Administración para la Infraestructura de
Telecomunicaciones Comerciales.
• ANSI J-STD-607-A: Requerimientos para el Aterramiento de Telecomunicaciones de Edificios
Comerciales
• ISO/IEC 11801 especifica sistemas de cableado para telecomunicación de multipropósito.
Cableado estructurado que es utilizable para un amplio rango de aplicaciones (análogas y de
telefonía ISDN, varios estándares de comunicación de datos, construcción de sistemas de
control, automatización de fabricación). Cubre tanto cableado de cobre balanceado como
cableado de fibra óptica. El estándar fue diseñado para uso comercial que pueden consistir en
uno o múltiples edificios en un campus.
• ISO/IEC 118011: Sistemas de Cableado Genéricos.
• NFPA 70 Código Eléctrico Nacional
• NFPA 70E Seguridad Eléctrica en Lugares de Trabajo.
• NFPA 101 Código de Seguridad Humana. proporciona los requisitos mínimos, para el diseño, la
operación, y el mantenimiento de edificios y estructuras para la seguridad de la vida humana
contra los incendios.

Recomendaciones para implementación de un Site Telecomunicaciones

• Selección del Sitio

• Tamaño: Guía para voz y datos, guía para otros equipos.
• Provisionamiento
• Equipos de Calefacción, Ventilación y Aire acondicionado
• Acabados interiores
• Iluminación
• Energía Eléctrica
• Puertas
• Tierra Física
• Extinguidores

Pasos para Realizar una Auditoria Física:

Se debe garantizar que exista:

• Áreas de equipo de comunicación con control de acceso.

• Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos.
• Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el
tráfico en ella.
• Prioridad de recuperación del sistema.
• Control de las líneas telefónicas

Comprueba que:

• El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.

 • La seguridad física del equipo de comunicaciones sea adecuada.
• Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas
telefónicas.
• Las líneas de comunicación estén fuera de la vista.
• Se dé un código a cada línea, en vez de una descripción física de la misma.
• Haya procedimientos de protección de los cables y las bocas de conexión para evitar pinchazos
a la red.
• Existan revisiones periódicas de la red buscando pinchazos a la misma.
• El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas.
• Existan alternativas de respaldo de las comunicaciones.
• Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas
configuradas con retro llamada, código de conexión o interruptores.

Pasos para llevar a cabo una auditoria Lógica

En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar
mensajes hasta que satura por completo la red.

Para éste tipo de situaciones:

• Se deben dar contraseñas de acceso.

• Controlar los errores.
• Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto,
regularmente se cambia la ruta de acceso de la información a la red.
• Registrar las actividades de los usuarios en la red.
• Encriptar la información pertinente.
• Evitar la importación y exportación de datos.
• Inhabilitar el software o hardware con acceso libre.
• Generar estadísticas de las tasas de errores y transmisión.
• Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor.
• El software de comunicación, ha de tener procedimientos correctivos y de control ante
mensajes duplicados, fuera de orden, perdidos o retrasados.
• Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde
una terminal debidamente autorizada.
• Se debe hacer un análisis del riesgo de aplicaciones en los procesos.
• Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre
diferentes organizaciones.
• Asegurar que los datos que viajan por Internet vayan cifrados.
• Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad
asociado para impedir el acceso de equipos foráneos a la red.
• Deben existir políticas que prohíban la instalación de programas o equipos personales en la
red.
• Los accesos a servidores remotos han de estar inhabilitados.
• Modelos OSI y TCP/IP
• OSI (Open Systems Interconection), es usado para describir el uso de datos entre la conexión
física de la red y la aplicación del usuario final.
 • El TCP/IP (Protocolo de Control de Transmisión/Protocolo de Internet) es la base de Internet, y
sirve para enlazar computadoras que utilizan diferentes sistemas operativos, incluyendo PC,
minicomputadoras y computadoras centrales sobre redes de área local (LAN) y área extensa
(WAN).

La información se pasa de una capa a otra, comenzando en la capa de Aplicación en el host de

transmisión, siguiendo por la jerarquía hacia la capa Física, pasando por el canal de comunicaciones al
host de destino, donde la información vuelve a la jerarquía y termina en la capa de Aplicación.

Soluciones de Seguridad:

Conectividad, perímetro, detección de intrusos, identidad, administración de seguridad, VPN,

cortafuegos, autentificación, política de seguridad.

5.3 La administración

Estándares para la administración de acceso a la información

Se puede decir que los controles de acceso a la información constituyen uno de los parámetros más
importantes a la hora de administrar seguridad. Con ellos se determina quién puede acceder a qué
datos, indicando a cada persona un tipo de acceso (perfil) específico. Para este cometido se utilizan
diferentes técnicas que se diferencian significativamente en términos de precisión, sofisticación y
costos. Se utilizan, por ejemplo, palabras claves, algoritmos de inscripción, listas de controles de
acceso, limitaciones por ubicación de la información, horarios, etc. Una vez determinados los controles
de accesos a la información, se hace imprescindible efectuar una eficiente administración de la
seguridad, lo que implica la implementación, seguimiento, pruebas y modificaciones sobre los perfiles
de los usuarios de los sistemas. Este es uno de los puntos fundamentales a tener en cuenta para
garantizar la seguridad y al mismo tiempo una correcta accesibilidad a la información. En efecto, en
todo proyecto informático que pretenda brindar información a diferentes niveles, garantizando
correcta toma de decisiones y accesibilidad a un amplio espectro de usuarios, se deberá prestar mucha
atención a este punto. Para ello, es importante que se plantee en la organización, la necesidad de
establecer estándares para la administración de seguridad de accesos. Con ello se garantizará un
eficiente, seguro y al mismo tiempo correcto uso de la información

5.4 La instalación.

 Que existan procedimientos que aseguren la oportuna y adecuada instalación del

diferente componente de la red.
 Que exista un registro de las actividades que se realizan durante el proceso de
instalación de los componentes de la red, hardware y software.
 Registro de las compras de los elementos de la red.
 Seguro de dichas compras
 Control de software que se encuentra instalado.

Para dar de alta el personal especializado que hora uso de los centros de cómputo debe facilitar los
medios para registrarlos y mantener actualizado dicho registró a través de:

La unidad administrativa que sea responsable de un centro terminal debe registrarse y dar de alta a
todo el personal que haga uso del equipo de dicho centro.
El área del centro de cómputo mantendrá el registro del personal que haga uso de dicho centro
terminal.

· Todo el personal que haga uso del centro terminal debe tener asignado un número de cuenta
para mantener justificada la utilización de las facilidades de cómputo al nivel administrado.

· Es necesario que el personal que tiene acceso a los centros terminales se capaciten con el fin de
mantenerlo actualizado.

5.5 Operación y seguridad

Auditoría de la continuidad de operaciones

Es uno de los puntos que nunca se deberían pasar por alto en una auditoria de seguridad, por las
consecuencias que puede tener el no haberlo revisado o haberlo hecho sin la suficiente profundidad;
no basta con ver un manual cuyo título sea Plan de Contingencias o denominación similar, sino que es
imprescindible conocer si funcionaría con las garantías necesarias y cubriría los requerimientos en un
tiempo inferior al fijado y con una duración suficiente. En un plan de contingencia se presume que hay
un lapso de tiempo, tiempo sobre el cual se declara la emergencia, y entran a operar una serie de
procedimientos que permiten que el servicio se restablezca en el menor tiempo posible. Una vez
resuelta la emergencia, se disparan otra serie de procedimientos que vuelven la operación a su
normalidad, procesos que pueden ser bastante engorrosos de ejecutar, en especial cuando de
sincronizar la información se trata. El enfoque del plan de contingencia se basa en la minimización del
impacto financiero que pueda tener un desastre en la compañía, mientras que el plan de continuidad
está orientado a asegurar la continuidad financiera, 101 satisfacciones del cliente y productividad a
pesar de una catástrofe. Mientras que el plan de contingencia se concentra en la recuperación de
eventos únicos que producen una interrupción prolongada del servicio, el plan de continuidad se
ejecuta permanentemente a través de la administración de riesgos tanto en la información como en la
operación. Los riesgos que se enfrentaban en la planeación anterior eran desastres con baja frecuencia
pero muy alto impacto.

Hoy los riesgos son casi todos de muy alto impacto por las implicaciones que tienen en la empresa
ampliada (socios de negocios) y de muy alta ocurrencia. Ya todas las empresas están expuestas a
ataques con virus, problemas de seguridad en la información, calidad del software, almacenamiento de
datos inapropiado, arquitecturas tecnológicas complejas y hasta políticas poco efectivas de
administración de recursos que pueden abrirle las puertas a una catástrofe con el mismo impacto en el
negocio (y hasta mayor) que el impacto causado por una amenaza física como un incendio o un
terremoto. Un plan de continuidad tiene como objetivo tratar de alcanzar una disponibilidad de cinco
nueves (99.999%) para la infraestructura crítica, lo que implica que el sistema siempre estará
disponible. Hoy existe la tecnología para poder obtener estos resultados; sin embargo, el costo de esta
tecnología todavía no está al alcance de todas las empresas. El plan de contingencia tiene como
beneficio para la empresa garantizar la recuperación de servicios que están desmejorados por la falla,
en un período de entre 12 y 72 horas. 102 Un plan de contingencia se refleja en un documento que
especifican las tareas que hay que hacer antes, durante y después de la contingencia, además de los
responsables de cada acción.
 Un plan de continuidad se basa en las tecnologías emergentes (como unidades de discos para redes,
SAN, y cintas para copias de respaldo de altísima velocidad), y la excelencia operativa del centro de
cómputo. Un plan de continuidad no es excluyente de un plan de contingencia, sino más bien que el
segundo está dentro del primero. Un plan de continuidad para el negocio debe incluir: un plan de
recuperación de desastres, el cual especifica la estrategia de un negocio para implementar
procedimientos después de una falla; un plan de reanudación que especifica los medios para mantener
los servicios críticos en la ubicación de la crisis; un plan de recuperación que especifica los medios para
recuperar las funciones del negocio en una ubicación alterna; y un plan de contingencia que especifica
los medios para manejar eventos externos que puedan tener serio impacto en la organización. En la
auditoría es necesario revisar si existe tal plan; si es completo y actualizado; si cubre los diferentes
procesos, áreas y plataformas, o bien si existen planes diferentes según entorno, evaluar en todo caso
su idoneidad, así como los resultados de las pruebas que se hayan realizado. Si las revisiones no nos
aportan garantías suficientes debemos sugerir pruebas complementarias o hacerlo constar en el
informe, incluso indicarlo en el apartado de limitaciones

Auditoría de la seguridad

La existencia de amenazas que afectan la disponibilidad, integridad y confidencialidad de los datos es

real. Es crítico para las organizaciones identificar esas amenazas y adoptar recomendaciones que
permitan prevenir, detectar y protegerse de ellas. La diversidad y la heterogeneidad de los sistemas de
información que requieren las organizaciones actuales, sumado a la globalización a la que se enfrentan
al conectar esos sistemas al mundo de Internet, genera un sinfín de incertidumbres en lo referente a la
seguridad de la información. Las soluciones integrales de seguridad que abarcan desde el diagnóstico
de la situación actual, hasta la implementación y puesta en marcha de las mismas en todos los niveles
de la organización, incluyendo el análisis y la definición de los elementos de seguridad que deben ser
implantados a nivel técnico. 78 El punto de partida para un sistema de seguridad informática es la
realización del diagnóstico de la situación actual, para proyectar las soluciones

Auditoría y control de la seguridad física

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto
de vista de ataques externos (hackers, virus, ataques de sistema operativo, entre otros); la seguridad
de la misma será nula si no se ha previsto como combatir un incendio o cualquier otro tipo de desastre
natural y no tener presente políticas claras de recuperación. 84 La seguridad física es una de los
aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos
de seguridad física básicos se prevén, otros, como la detección de un atacante interno a la empresa que
intenta acceder físicamente a una sala de cómputo de la misma, no. Esto puede derivar en que para un
atacante sea más fácil lograr tomar y copiar una cinta de respaldo de la sala de cómputo, que intentar
acceder vía lógica a la misma. La seguridad física consiste en la aplicación de barreras físicas y
procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los
recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y
alrededor del centro de cómputo, así como los medios de acceso remoto al y desde el mismo;
implementados para proteger el hardware y medios de almacenamiento de datos.
Auditoría y control de la seguridad lógica

Después de ver como nuestro sistema puede verse afectado por la falta de seguridad física, es
importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputo no será sobre
los medios físicos sino contra información por él almacenada y procesada. Así, la seguridad física sólo
es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de
seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por
lo tanto deben existir técnicas, más allá de la seguridad física que la asegure. Estas técnicas las brinda la
seguridad lógica. 86 La seguridad lógica consiste en la aplicación de barreras y procedimientos que
resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para
hacerlo. Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no está permitido
debe estar prohibido” y esto es lo que debe asegurar la seguridad lógica. Los objetivos que se plantean
serán:

1. Restringir el acceso a los programas y archivos

2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar
los programas ni los archivos que no correspondan.

3. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento
correcto.

4. Asegurar que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no
a otro.

5. Asegurar que la información recibida sea la misma que ha sido transmitida.

6. Asegurar que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.

7. Asegurar que se disponga de pasos alternativos de emergencia para la transmisión de información.

5.6 Personal responsable del área

PERSONAL AUTORIZADO

En el comienzo de la auditoría, el auditor interno debe determinar el propósito del negocio con la red,
ya que este puede ayudar a definir los componentes que representan el mayor riesgo. Algunas de las
fuerzas importantes que conducen el uso de las redes de telecomunicaciones incluyen servicio al
cliente, informes financieros, administración de procesos, generación de utilidades y comunicación
interna en la organización. Una red de telecomunicaciones también puede otorgar una ventaja
estratégica a una organización. Un siguiente paso lógico en la planeación de los objetivos y el alcance
de una auditoría de telecomunicaciones es determinar quién debe ser entrevistado. Los candidatos
para las entrevistas de auditoría incluyen los siguientes: El administrador o gerente de
telecomunicaciones, quien comúnmente controla los aspectos planificadores, presupuestarios y
operacionales de comunicaciones. El administrador o gerente de la red, quien típicamente administra
el personal y el equipo. El administrador o gerente de voz, quien administra el equipo telefónico, el
informe de llamadas, la facturación, instalación de teléfonos, etc. El administrador o gerente de
aplicaciones de comunicaciones, quien es responsable de hacer los requerimientos funcionales de las
aplicaciones en la realidad técnica. Las funciones y las responsabilidades de estas posiciones pueden
ser combinadas o distribuidas sobre uno o varios miembros del personal.

El auditor interno puede más fácilmente establecer el alcance de la auditoría utilizando un mapa de la
red. Un mapa de la red debe mostrar el tramo geográfico de la red, las ubicaciones de los sitios de
mayor procesamiento e instalaciones del usuario,

Hardware de procesamiento principal y Software de aplicaciones, vínculos o nexos de la red, capacidad

de la línea y el tipo de información transmitida. Un mapa de la red puede ser tan complejo y detallado
como un esquema de ingeniería o como un diagrama de localizaciones de averías electrónicas, pero
inicialmente debe ser mantenido al nivel más alto de detalle. Una variedad de técnicas puede ser usada
para verificar la existencia de controles adecuados en el entorno de las telecomunicaciones.

Estas incluyen las siguientes: La revisión de la dirección y administración de las telecomunicaciones,

particularmente las políticas y procedimientos de telecomunicaciones de la organización. Verificación
de la integridad de la red y procedimientos de monitoreo, tales comoinformes de incidentes y medición
del tiempo de respuesta.

Revisión del Software de la red y la seguridad de acceso:

En áreas como el dial-in y el Software de diagnóstico y monitoreo. Revisión de los procedimientos de

administración de cambios en las telecomunicaciones, particularmente los cambios en el área de

Software de comunicaciones:

Revisión de la exactitud del backup

(Respaldo) y recuperación de la red, mediante el examen de los procedimientos y las redundancias de

Backup (respaldo) en la red.

5.7 Determinar el nivel de aplicación de alguna de las normas consideradas para la auditoría en las
telecomunicaciones

El auditor de informático especializado en esta área deberá inquirir sobre los índices de utilización de
las líneas contratadas con información abundante sobre tiempos de desuso. Deberá proveerse de la
topología de la Red de Comunicaciones, actualizada, ya que la desactualización de esta documentación
significaría una grave debilidad. Las inexistencias de datos sobre la cuanta línea existen, cómo son y
donde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, las
debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas.

TL 9000 define los requisitos del sistema de telecomunicaciones de calidad, para el diseño, desarrollo,
producción, instalación y mantenimiento de los productos, hardware, software o servicios.
Para las organizaciones que trabajan en el sector de las telecomunicaciones, la certificación TL 9000
representa una importante oportunidad para la normalización y la mejora. Nuestra participación en el
programa piloto de América del Norte para desarrollar TL 9000, le ha permitido a LRQA ser uno de los
primeros registradores TL 9000 recibiendo la acreditación por el ANAB, anteriormente ANSI-RAB.

Como resultado de ello, LRQA es una empresa líder en el sector de las comunicaciones que trabaja para
proporcionar evaluación, certificación y servicios de capacitación a la norma TL 9000 de las
organizaciones líderes en el mercado.

¿Qué es TL 9000?

El objetivo de la TL 9000 es definir los requisitos del sistema de calidad de telecomunicaciones de para
el diseño, desarrollo, producción, instalación y mantenimiento de los productos, hardware, software y
servicios.

El estándar se compone de dos manuales (T1160 y T1180), que definen los requisitos del sistema de
gestión de la TL 9000:

Manual de requisitos del sistema de calidad: Este manual define el conjunto común de requisitos del
sistema de calidad para los proveedores de productos de telecomunicaciones: hardware, software o
servicios. Los requisitos se basan en la popular norma internacional ISO 9001.

Manual de medidas del Sistema de Calidad: Este manual define un conjunto mínimo de mediciones de
rendimiento y costo y los indicadores de calidad para medir y evaluar los resultados de la aplicación del
sistema de calidad.

¿Cuáles son los Beneficios de la Certificación TL9000?

La certificación TL 9000 ayuda a crear un marco sistemático en el que las organizaciones de la unidad
mejora continua, la creación de una ventaja competitiva para su organización, porque:

• Es reconocido mundialmente como la mejor práctica de calidad dentro de la industria de las

telecomunicaciones.
• Le permite trabajar con las organizaciones cuando se trata de una obligación contractual o
expectativa, lo que potencialmente mejora su posición en el mercado frente a los
competidores.
• Puede ofrecer mejores resultados mensurables en las principales áreas métricas tales como
menos residuos, la reducción de costes y mejora de productos que contribuyan a una mayor
satisfacción del cliente y la mejora del desempeño de los proveedores.
• Le da una estructura sólida para el desarrollo interno y la mejora continua.
• Puede mejorar su desempeño de los proveedores y las relaciones con los mismos.

¿Cómo puede ayudarle LRQA?

LRQA es un mundialmente reconocido por su evaluación, certificación y servicios de capacitación, y

más de la mitad de las 200 empresas más importantes del mundo eligen nuestros servicios
Nuestros asesores son especialistas de la industria y expertos que se corresponden con las necesidades
de su negocio, lo que permite una eficaz y robusta auditoria de su sistema.

Nuestro enfoque de negocios asegura fiabilidad nuestras evaluaciones se centran en las áreas y temas
que son importantes para su negocio. Como el primer organismo de certificación en obtener la
acreditación para la expedición de certificados en sistemas de gestión de calidad, entendemos los
requisitos del sistema y, por tanto, podemos adaptar nuestro enfoque para ayudar a satisfacer sus
objetivos.

Más allá de la certificación, LRQA proporciona una amplia gama de servicios de apoyo a su empresa en
el crecimiento a futuro y desarrollo, incluyendo capacitación y evaluación del sistema integrado de
gestión.

Conclusión

Dependiendo de cómo la tecnología de la información es aplicada en la organización, esta podrá tener

un alto impacto en el logro de su visión, misión u objetivos estratégicos.

Las empresas o instituciones deberán de contar con un adecuado control interno sobre todas sus áreas
y en especial sobre el área de telecomunicaciones para garantizar una mejor utilización de sus recursos.

A través de la auditoría de telecomunicaciones se lleva a cabo un exhaustivo análisis del estado de

seguridad de telecomunicaciones y de sus sistemas frente a usuarios de Internet y usuarios de su
propia organización.