Ice 82

INST POLITÉCNICO NA
TITUTO P ACIONAL
ESCUEL
LA SUPERIIOR DE ING
GENIERÍA MECÁNICA Y
ELÉCTRRICA
UNID
DAD CULH
HUACÁN
SEM
MINARIO
O: AUDITO
ORIA DE
E TECNOL
LOGIAS DE LA
INFORMACIÓÓN Y COM
MUNICACCIONES
T
TESIN
NA
Au
uditorría del Swittch de
e Acc
ceso
de la
a Red
d LAN N
QUE
E PARA OBTENER
O R EL TÍTU
ULO DE
LICENCIADO EN CIENCIAS DE LA COMUNICACIÓN
P R E S E N T A
ALEJANDRO SAUCEDO VIDALS
ASESOR: RAYMUNDO SANTANA ALQUICIRA
MARZO 2011
AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN
SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 2

Y COMUNICACIONES
AGRADECIMIENTOS
A nuestras familias por brindarnos las herramientas, apoyo y cariño

para lograr esta etapa de nuestra educación y por siempre estar con
nosotros.
A nuestra institución el Instituto Politécnico Nacional, que a través de

la UPIICSA y la ESIIME Culhuacán nos brindaron herramientas y
conocimientos para poder aportar a la sociedad como profesionistas,
comprometidos con brindar lo mejor de nosotros en cada tarea que
emprendamos.
A los amigos y aquellas personas que han estado en nuestro camino

enseñándonos, apoyándonos y brindándonos un tiempo de calidad
que hoy se ve reflejado en lo que somos y que también son parte de
esta culminación de una etapa de vida.
A nuestros profesores y asesores que nos guiaron y aportaron

conocimientos que seguro serán de suma importancia en el camino
profesional.
Finalmente agradecemos la oportunidad que hoy tenemos de poder

obtener el título profesional que nos representa una meta alcanzada,
pero que a la vez es el comienzo de una nueva etapa llena de retos
que afrontar y que sin duda tomaremos con la mejor de las actitudes.

Y COMUNICACIONES
INDICE GENERAL
AUDITORIA INFORMÁTICA 8
CONCEPTO DE AUDITORÍA 8
DEFINICIÓN 8
¿QUIÉN HACE LA AUDITORÍA? 8
EVOLUCIÓN DE LA PRÁCTICA DE AUDITORÍA 8
ENFOQUE TRADICIONAL: 8
NUEVA VISIÓN: 8
DIFERENCIAS ENTRE AUDITORÍA INFORMÁTICA… 9
… Y CONTROL INTERNO 9
INTRODUCCIÓN A LA ADMINISTRACIÓN DE RIESGOS 10
AUDITORÍA INTERNA 10
¿QUÉ ES UN RIESGO? 10
ADMINISTRACIÓN DE RIESGOS (AR) 10
ESTABLECER Y FUNDAR UN EQUIPO DE ARI 11
ANÁLISIS DE VULNERABILIDADES 11
MAPEO DE AMENAZAS/ VULNERABILIDAD/ RECURSOS 12
MITIGACIÓN DEL RIESGO 12
ANÁLISIS COSTO-BENEFICIO 12
REPORTE FINAL 12
POLÍTICAS GENERALES DE SEGURIDAD 12
CONCEPTOS GENERALES DE RED 17
INTRODUCCIÓN 17
TIPOS DE RED 17
PAN (PERSONAL AREA NETWORK/ÁREA DE RED PERSONAL) 17
LAN (LOCAL AREA NETWORK/RED DE ÁREA LOCAL) 18
MAN (METROPOLITAN AREA NETWORK/RED DE ÁREA METROPOLITANA) 19
WAN (W IDE AREA NETWORK/RED DE ÁREA AMPLIA) 19
GAN (GENERIC ACCESS NETWORK/RED DE ACCESO GENÉRICO) 20
VLAN (VIRTUAL LOCAL AREA NETWORK/RED DE ÁREA LOCAL VIRTUAL) 20
VPN (VIRTUAL PRIVATE NETWORK/RED PRIVADA VIRTUAL) 21
TOPOLOGÍAS DE RED 21
TOPOLOGÍAS EN BUS O LINEAL 22
TOPOLOGÍA DE ÁRBOL 22
TOPOLOGÍA DE ANILLO 23
TOPOLOGÍA EN ESTRELLA 24

Y COMUNICACIONES
TOPOLOGÍA DE MALLA 25
EQUIPOS DE COMUNICACIÓN 26
SWITCH 26
ROUTER 27
PRINCIPALES MARCOS DE REFERENCIA Y METODOLOGÍAS 29
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) 29

THE CRITERIA OF CONTROL BOARD (COCO) 30
MODELO DE MADUREZ (MATURITY MODEL) 31
INFORMATION TECHNOLOGIES INFRASTRUCTURE LIBRARY (ITIL) 32
CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) 33
ESTÁNDARES DE IEEE 34
ANSI 35
ORGANIZACIÓN INTERNACIONAL PARA LA NORMALIZACIÓN (ISO) 36
COBIT 36
INTRODUCCIÓN 36
MARCO DE TRABAJO COBIT 37
PLANEAR Y ORGANIZAR (PO) 39
ADQUIRIR E IMPLEMENTAR (AI) 39
ENTREGAR Y DAR SOPORTE (DS) 40
MONITOREAR Y EVALUAR (ME) 41
AUDITORIA DE DISPOSITIVOS DE RED 44
ELEMENTOS A AUDITAR EN UNA RED 44

SEGURIDAD FÍSICA 44
INFRAESTRUCTURA INALÁMBRICA 44
INFRAESTRUCTURA DE DETECCIÓN DE INTRUSOS 45
DISPOSITIVOS FIREWALLS 45
PRINCIPALES PROTOCOLOS DE SEGURIDAD 46
GENERIC ROUTING ENCAPSULATION (GRE 47) 46
POINT-TO-POINT TUNNELING PROTOCOL. 46
IP SEC 47
PROTOCOLO DE TUNELADO DE NIVEL 2 (L2TP) 47
SECURE SHELL (SSH) 47
PROTECCIÓN DE LOS SISTEMAS ELECTRÓNICOS Y ELÉCTRICOS 47
IMPLEMENTACIÓN DE UPS 47
JAULA DE FARADAY 48

Y COMUNICACIONES
ACONDICIONAMIENTO DE AIRE. 48
IMPORTANCIA DE AUDITAR UNA RED Y CONCEPTO DE AUDITORÍA DE RED 49
AUDITORIA DE LA RED FÍSICA 49
AUDITORIA DE LA RED LÓGICA 50
AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 51
ESTADO ACTUAL 52
PROBLEMÁTICA 52
PROPUESTA 52
ESTUDIO GENERAL DEL ÁREA A AUDITAR 52
PLANEACIÓN Y PROGRAMA DE TRABAJO 53
REUNIÓN CON ÁREA PARA NOTIFICAR AUDITORÍA 53
ENTREGA DE OFICIO DE ORDEN Y LEVANTAMIENTO DE ACTA DE INICIO DE AUDITORÍA 54
SOLICITUD DE INFORMACIÓN Y DOCUMENTACIÓN 54
ENTREVISTAS CON RESPONSABLES DE ACTIVIDADES 54
ANÁLISIS DE LA INFORMACIÓN 55
EVALUACIÓN DEL CONTROL INTERNO 55
PRUEBAS SUSTANTIVAS Y DE CUMPLIMIENTO 56
IDENTIFICACIÓN DE IRREGULARIDADES 56
REUNIÓN PARA COMENTAR IRREGULARIDADES 56
ELABORACIÓN DE REPORTES E INFORME DE OBSERVACIONES 57
MATRIZ DE RIESGO 57
REUNIÓN DE CONFRONTA, LEVANTAMIENTO DE ACTA DE CIERRE Y FIRMA DE OBSERVACIONES.
60
ELABORACIÓN DE OFICIO DE ENVÍO DE INFORME Y REPORTE DE OBSERVACIONES. 61
CONCLUSIONES. 63
ANEXOS 64
GLOSARIO 103
BIBLIOGRAFÍA 108

Y COMUNICACIONES
Conceptos
Generales
de Auditoría

Y COMUNICACIONES
Auditoria Informática
Concepto de auditoría
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra
auditor, que se refiere a todo aquel que tiene la virtud de oír.
Definición
Es un proceso, de recoger, agrupar y evaluar evidencias para determinar si un
sistema de información salvaguarda los activos, mantiene la integridad de los
datos, lleva a cabo los fines de la organización, y utiliza eficientemente los
recursos. Proceso metodológico para valorar y evaluar la confianza que se puede
depositar en TI. La auditoría informática evalúa y comprueba los controles y
procedimientos informáticos más complejos, desarrollando y aplicando técnicas
mecanizadas de auditoría, incluyendo el uso de software. La auditoría operativa o
de gestión es una revisión que comprende las actividades, sistemas y controles
dentro de la empresa para conseguir economía, eficiencia, eficacia u otros
objetivos.
¿Quién hace la auditoría?

La realización de las auditorias corresponde a los auditores, pudiéndose dividir la
función auditora en dos grandes grupos: La auditoría externa y la auditoría interna.
La función de auditoría informática puede existir en cualquiera de los citados
entornos.
Evolución de la práctica de Auditoría

Enfoque tradicional:
Su finalidad está asociada a la evaluación de un conjunto de prácticas operativas
vinculadas al diseño, desarrollo y explotación del soporte IT, así como la
adquisición de bienes o contratación de servicios requeridos para brindar estas
funciones y su administración (cumplimiento).
Nueva visión:
Evaluar el nivel de seguridad y control del entorno de IT asegurándose que el
mismo refuerza la estructura de control interno de la organización (cumplimiento).
Asegurar que la organización obtiene en mayor beneficio de sus recursos de IT
(Gobierno de TI) contribuyendo a reforzar el Gobierno Corporativo de la
Organización (Desempeño y Gestión).

Y COMUNICACIONES
Diferencias entre Auditoría Informática…

 Tiene la función de vigilancia y evaluación mediante dictámenes y todas las
metodologías van encaminadas a esta función.
 Tiene sus propios objetivos distintos a los auditores de cuentas. Los
auditores de cuentas la necesitan para utilizar la información de sus
sistemas para evaluaciones financieras y operativas.
 Evalúan eficiencia, costo y seguridad en su más amplia visión.
 Operan según el plan auditor.
 Establecen planes con tiempos definidos y ciclos completos.
 Sistemas de evaluación de repetición de auditoría por nivel de exposición
del área auditada y el resultado de la última auditoria de esta área.
 Función de soporte informático de todos los auditores
… y Control Interno
 Funciones de control dual con otros departamentos.
 Función normativa y del cumplimiento del marco jurídico.
 Tiene funciones propias (Administración de la Seguridad lógica, etc.)
 Responsable del desarrollo y actualización del plan de contingencias,
manuales de procedimientos y plan de seguridad.
 Dictar normas de seguridad informática.
 Definir los procedimientos de control.
 Control de soportes físicos.
 Control de información sensible o comprometida.
 Control de calidad del servicio informático.
 Definición de requerimientos de seguridad en proyectos nuevos.
 Control de cambios y versiones.
 El control informático es el componente de la actuación segura entre los
usuarios, la informática y control interno, todos ellos auditados por auditoría
informática.

Y COMUNICACIONES
Control Interno Informático Auditoria Informática

Personal Interno
Conocimientos Especializados en Tecnologías de la Información
Similitudes Verificación del Cumplimiento de Controles Internos, Normativa y Procedimientos,
Establecidos por la Dirección de Informática y la Dirección General para los Sistemas de
Información.
Análisis de los controles en el día a día Análisis de un momento
informático determinado
Informa a la Dirección del Departamento de Informa a la Dirección General de
Informática la Organización
Diferencias
Solo personal interno Personal interno y/o Externo
El alcance de sus funciones es únicamente sobre el Tiene cobertura sobre todos los
Departamento de Informática componentes de los sistemas de
información de la Organización
Tabla. 1.1 Diferencias entre Auditoria Informática y Control Interno
Introducción a la Administración de Riesgos

Auditoría interna
La auditoría interna en una actividad independiente, objetiva en la consulta y el
aseguramiento, diseñada para agregar valor y mejorar la operación de las
organizaciones. Esta ayuda a las organizaciones a cumplir sus objetivos
aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia
en la gestión de riesgo, control y el gobierno de procesos.
¿Qué es un riesgo?
La palabra deriva del italiano risicare que significa "atreverse". En este sentido, el
riesgo es una opción en lugar de un destino. De las acciones que nos atrevemos a
tomar, depende la toma de decisiones, son lo que la historia de riesgos es para
todos nosotros. No todos los proyectos requieren un planteamiento formal de
gestión de riesgos, pero para obtener el máximo beneficio, la gestión del riesgo
debe convertirse en un proceso sistemático.
El riesgo está presente en las organizaciones en todos los niveles de operación,

desde el nivel estratégico, nivel operativo y nivel táctico, pero normalmente se
describe como un negocio o el riesgo operativo.
Administración de Riesgos (AR)

Un programa de administración de riesgos de la información está basado sobre las
buenas políticas de administración de riesgos, las cuales abarcan todos los
aspectos relevantes de la infraestructura, y de todo aquello que contenga que ver
con la información. La política de AR debe ser de alto nivel basada en los objetivos
del negocio, los objetivos de la seguridad, con un enfoque bien definido,

Y COMUNICACIONES
responsabilidades, alcances y desventajas; todos estos aspectos de forma clara y

acordados. De igual manera, estas políticas deberán ser bien comunicadas a todo
el personal involucrado.
Establecer y fundar un equipo de ARI

La principal tarea de un equipo de ARI es la valoración de los riesgos (Risk
Assessment). Esta tarea constituye la principal para poder justificar los controles
necesarios y el presupuesto indicado, de acuerdo a los resultados que un “risk
assessment” arroje.
Análisis de Amenazas
Identificar Recursos
amenazas Personales Externas
Identifica amenazas
que puedan impactar
Lista de recursos que Perdida de servicios
el ambiente o Gente clave enferma
se necesitan proteger (voz y datos)
infraestructura
evaluada
Amplio conocimiento Amenazas
Perdida de Servicios
de instalaciones, ambientales: Fuego, Enfermedades
Elementales (luz,
contratos con terremotos, simultaneas
agua, teléfono, etc.)
proveedores, explosiones o (Epidemias)
por un periodo largo
garantías y leyes, etc. inundaciones
Incluir eventos raros Perdida (renuncia /
Bienes tangibles e
pero posibles (fallas terminación de
intangibles (todo lo de Fenómenos Naturales
en la estructura del contrato / muerte) de
valor)
edificio persona
Considerar pérdida o
daño de recursos en
términos de pérdida
Robos (discos, laptops
de tiempo, costo,
reparación, utilidad o
reemplazo.
Software
malintencionado
(Virus, spyware, etc.)
Proveedores en
quiebra
Contratistas
Terrorismo político
Mal uso de los
recursos.
Tabla 1.2 Principales actividades del Risk Assessment
Análisis de vulnerabilidades
Esta tarea incluye la identificación de las vulnerabilidades que puedan incrementar
la frecuencia o impacto en el caso de una amenaza que afecte al ambiente en

Y COMUNICACIONES
cuestión. Es el identificar las vulnerabilidades que permitirán a las amenazas

ocurrir con mayor frecuencia, mayor impacto, o ambos.
Mapeo de Amenazas/ Vulnerabilidad/ Recursos

Es necesaria establecer las relaciones entre las amenazas, vulnerabilidad y los
recursos que se ven afectados. Esto traerá como consecuencia una manera
consistente de medir las consecuencias entre estos tres aspectos.
Mitigación del riesgo

La primera tarea en esta etapa es la de completar la valoración (risk assessment)
con el proceso de mitigación del riesgo, costeo y análisis de costo-beneficio.
Selección de salvaguardas (controles) y análisis de la mitigación de riesgos

Esta tarea incluye la identificación las salvaguardas que mitiguen las
vulnerabilidades y el grado en que dichas salvaguardas puedan reducir el impacto
o la frecuencia de una amenaza. En otras palabras, esta tarea abarca la
evaluación de riesgos relativo a los recursos y a las amenazas antes y después de
que han sido aplicadas las salvaguardas seleccionadas
Análisis costo-beneficio
Esta tarea incluye la valoración del grado de una reducción de riesgo, la cual se
espera alcanzar mediante la implantación de las salvaguardas de reducción de
riesgos seleccionadas. El beneficio bruto menos el costo anual de las
salvaguardas seleccionadas para alcanzar la reducción del nivel de riesgo, nos
lleva al beneficio neto. Herramientas para calcular el retorno de la inversión o el
valor presente, siempre son utilizadas para realizar un análisis más detallado de la
actividad de los costos de las salvaguardas.
Reporte Final
Este reporte incluye el reporte interno como los detalles y recomendaciones de la
selección de salvaguardas y el análisis de mitigación del riesgo, además de las
tareas realizadas para apoyar el análisis costo-beneficio. Este reporte, con las
recomendaciones adecuadas, proporciona a los altos niveles con las bases
subsecuentes acciones en la administración de riesgos.
Políticas generales de seguridad
¿Por qué hablar de la Seguridad de la Información?

 Porque el negocio se sustenta a partir de la información que maneja.
 Porque no sólo es un tema Tecnológico.
 Porque la institución no cuenta con Políticas de Seguridad de la Información
formalmente aceptadas y conocidas por todos.

Y COMUNICACIONES
 Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo

mayor.
 “Ninguna medicina es útil a menos que el paciente la tome”.
 Reconocer los activos de información importantes para la institución.

 Información propiamente: bases de datos, archivos, conocimiento de las
personas
 Documentos: contratos, manuales, facturas, pagarés, solicitudes de
créditos.
 Software: aplicaciones, sistemas operativos, utilitarios.
 Físicos: equipos, edificios, redes.
 Recursos humanos: empleados internos y externos.
 Servicios: electricidad, soporte, mantención.
Reconocer las Amenazas a que están expuestos
Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad,

Integridad o Disponibilidad de los Activos de Información”.
Ejemplos:
 Desastres naturales (terremotos, inundaciones)
 Errores humanos
 Fallas de Hardware y/o Software
 Fallas de servicios (electricidad)
 Robo
Reconocer las Vulnerabilidades
Vulnerabilidad: “Una debilidad que facilita la materialización de una amenaza”

Ejemplos:
 Inexistencia de procedimientos de trabajo
 Concentración de funciones en una sola persona
 Infraestructura insuficiente
Identificación de Riesgos
Riesgo: “La posibilidad de que una amenaza en particular explote una
vulnerabilidad y afecte un activo”
¿Que debe analizarse?
El impacto (leve, moderado, grave)
La probabilidad (baja, media, alta)
Estándares de Seguridad
Normas Internacionales de seguridad
Proporcionan un conjunto de buenas prácticas en gestión de seguridad de la
información:
Ejemplos ISO/IEC 17799, COBIT, ISO 15408

Y COMUNICACIONES
ISO 17799 que tiene la bondad de ser transversal a las organizaciones, abarcando
la seguridad como un problema integral y no meramente técnico.
Políticas, planes y procedimientos
Las Políticas definen qué se debe proteger en el sistema, mientras que los
Procedimientos de Seguridad describen cómo se debe conseguir dicha protección
¿Qué es una Política?

Conjunto de orientaciones o directrices que rigen la actuación de una persona o
entidad en un asunto o campo determinado.
¿Qué es una Política de Seguridad?

Conjunto de directrices que permiten resguardar los activos de información.
¿Cómo debe ser la política de seguridad?

 Definir la postura del Director y de la gerencia con respecto a la necesidad
de proteger la información corporativa.
 Definir la base para la estructura de seguridad de la organización.
 Ser un documento de apoyo a la gestión de seguridad informática.
 Tener larga vigencia, manteniéndose sin grandes cambios en el tiempo.
 Ser general, sin comprometerse con tecnologías específicas.
 Debe abarcar toda la organización.
 Debe ser clara y evitar confusiones.
 No debe generar nuevos problemas.
 Debe permitir clasificar la información en confidencial, uso interno o pública.
 Debe identificar claramente funciones específicas de los empleados como:
responsables, custodio o usuario, que permitan proteger la información.
¿Qué debe contener una política de seguridad de la información?
 Políticas específicas
 Procedimientos
 Estándares o prácticas
 Estructura organizacional
Políticas Específicas
Definen en detalle aspectos específicos que regulan el uso de los recursos de
información y están más afectas a cambios en el tiempo que la política general.
Procedimiento
Define los pasos para realizar una actividad
Evita que se aplique criterio personal.
Estándar
En muchos casos depende de la tecnología
Y COMUNICACIONES
Se debe actualizar periódicamente
Aspectos a considerar en una política
 Alcance: recursos, instalaciones y procesos de la organización sobre los

que se aplican.
 Objetivos perseguidos y prioridades de seguridad.
 Compromiso de la Dirección de la organización.
 Clasificación de la información e identificación de los activos a proteger.
 Análisis y gestión de riesgos.
 Elementos y agentes involucrados en la implantación de las medidas de
seguridad.
 Asignación de responsabilidades en los distintos niveles organizativos.
 Definición clara y precisa de los comportamientos exigidos y de los que
están prohibidos (“AppropriateUsePolicy”) por parte del personal.
 Identificación de las medidas, normas y procedimientos de seguridad a
implantar.
 Gestión de las relaciones con terceros (clientes, proveedores, partners.
etc).
 Gestión de incidentes.
 Planes de contingencia y de continuidad del negocio.
 Cumplimiento de la legislación vigente.
 Definición de las posibles violaciones y de las consecuencias derivadas del
incumplimiento de las Políticas de Seguridad

Y COMUNICACIONES
Conceptos
Generales
de Red

Y COMUNICACIONES
CONCEPTOS GENERALES DE RED
Introducción
La fusión de las computadoras y las comunicaciones ha tenido una influencia
profunda en la manera en que están organizados los sistemas computacionales.
El modelo antiguo de una sola computadora que realiza todas las tareas ha sido
reemplazado por otro en el que un gran número de computadoras separadas pero
interconectadas hacen el trabajo. Estos sistemas se denominan “Redes de
Computadoras”; el cual se define como un conjunto de computadoras autónomas
interconectadas.
El objetivo principal de una red es interconectar diferentes sistemas de cómputo y,

en general, distintos equipos terminales de datos (EDT), para que compartan
recursos, intercambien datos y se apoyen mutuamente. Un segundo objetivo de
las redes es proporcionar alta confiabilidad en la preservación y fidelidad de la
información que transportan, así como el funcionamiento de la red. Esto significa
que los datos no se deben perder durante su manejo y deben conservarse
siempre sin alteraciones con respecto a los datos originales.
Tipos de Red
Las redes de información se pueden clasificar según su extensión y su topología.
Una red puede empezar siendo pequeña para crecer junto con la organización o
institución. A continuación se presenta los distintos tipos de redes disponibles:
Por Cobertura:
 PAN
 LAN
 MAN
 WAN
 GAN
 VLAN
 VPN
PAN (Personal Area Network/Área de Red Personal)

Se establece que las redes de área personal son una configuración básica
llamada así mismo personal. Actualmente existen diversas tecnologías que
permiten su desarrollo, entre ellas se encuentran la tecnología inalámbrica
Bluetooth o las tecnologías de infrarrojos. Sin embargo para su completo
desarrollo es necesario que estas redes garanticen una seguridad de alto nivel,
que sean altamente adaptables a diversos entornos, y que sean capaces de
proporcionar una alta gama de servicios y aplicaciones.
Las redes para espacios personales continúan desarrollándose hacia la tecnología
del Bluetooth y el concepto de redes dinámicas, el cual nos permite una fácil

Y COMUNICACIONES
comunicación con los dispositivos que van adheridos a nuestro cuerpo o a nuestra
indumentaria, ya sea que estemos en movimiento o no, dentro del área de
cobertura de nuestra red. PAN prevé el acercamiento de un paradigma de redes,
la cual atrae el interés de los investigadores y las industrias que quieren aprender
más acerca de las soluciones avanzadas para redes, tecnologías de radio, altas
transferencias de bits, nuevos patrones para celulares, y un soporte de software
más sofisticado.
El sistema tendrá que soportar diferentes aplicaciones y distintos escenarios de
operación, y así poder abarcar una gran variedad de dispositivos.
Fig. 2.1Red de Tipo Personal
LAN (Local Area Network/Red de Área Local)

En su aplicación más extendida una red LAN, es la interconexión de ordenadores
personales y estaciones de trabajo en oficinas, fábricas, etc.; para compartir
recursos e intercambiar datos y aplicaciones. Todas las redes están diseñadas
para compartir dispositivos y tener acceso a ellos de una manera fácil y sin
complicaciones.
Características
 Operan dentro de un Área geográfica limitada.
 Permite el multiacceso a medios con alto ancho de banda.
 Controla la red de forma privada con administración Local
 Proporciona conectividad continua a los servicios locales.
 Conecta dispositivos físicamente adyacentes
 Capacidad de transmisión comprendida entre 1 Mbps y 1 Gbps.
 Extensión máxima no superior a 3 km (una FDDI puede llegar a 200 km).
 Uso de un medio de comunicación privado.
 La simplicidad del medio de transmisión que utiliza (cable coaxial, cables
telefónicos y fibra óptica).
 La facilidad con que se pueden efectuar cambios en el hardware y el
software.

Y COMUNICACIONES
 Gran variedad y número de dispositivos conectados.

 Posibilidad de conexión con otras redes.
 Limitante de 100 m, puede llegar a más si se usan repetidores.
MAN (Metropolitan Area Network/Red de Área Metropolitana)

Es una red de alta velocidad (banda ancha) que da cobertura en un área
geográfica extensa, proporciona capacidad de integración de múltiples servicios
mediante la transmisión de datos, voz y vídeo, sobre medios de transmisión tales
como fibra óptica y par trenzado, la tecnología de pares de cobre se posiciona
como la red más grande del mundo y es una excelente alternativa para la creación
de redes metropolitanas, por su baja latencia (entre 1 y 50 ms), gran estabilidad y
la carencia de interferencias radioeléctricas, las redes MAN, ofrecen velocidades
de 10Mbps, 20Mbps, 45Mbps, 75Mbps, sobre pares de cobre y 100Mbps, 1Gbps y
10Gbps mediante Fibra Óptica.
Las Redes MAN, se basan en tecnologías Bonding, de forma que los enlaces
están formados por múltiples pares de cobre con el fin de ofrecer el ancho de
banda necesario. Además esta tecnología es muy estable, gracias a que los
enlaces están formados por múltiples pares de cobre y es materialmente imposible
que 4, 8 ó 16 hilos se averíen de forma simultánea. Estas redes pueden ser
públicas o privadas.
WAN (Wide Area Network/Red de Área Amplia)

Es un tipo de red capaz de cubrir distancias desde unos 100 hasta unos 1000 km,
brindando servicio a un país o un continente.
Muchas WAN son construidas por y para una organización o empresa particular y
son de uso privado, otras son construidas por los proveedores de internet (ISP)
para proveer de conexión a sus clientes. Hoy en día internet proporciona WAN de
alta velocidad, y la necesidad de redes privadas WAN se ha reducido
drásticamente. Normalmente la WAN es una red punto a punto, es decir, red de
paquete conmutado.
Fig. 2.2 Tipos de Redes

Y COMUNICACIONES
GAN (Generic Access Network/Red de Acceso Genérico)

Describe los sistemas de telecomunicación que permiten un roaming transparente
con handover entre LAN’s y WAN’s utilizando un mismo teléfono móvil que ha de
ser de modo dual. En la parte de red de área local el acceso radio de los sistemas
GAN se efectúa en bandas ISM de uso común, del tipo 802.11 (WiFi). Mientras
que en la parte de comunicación móvil en el exterior de edificios, donde no hay
cobertura WiFi, se emplean servicios de 2,5G del tipo GSM/GPRS, o 3G UMTS.
Lo que se persigue con las redes GAN es alcanzar una convergencia plena de
servicios fijos y móviles basados en IP, incluida la telefonía vocal. Para ello es
preciso que los operadores de telefonía móvil que quieran beneficiarse de esta
convergencia tengan redes con arquitectura en Subsistema Multimedia IP (IMS) y
los de telefonía fija tengan servicios equivalentes a los móviles mediante redes IP
fijas.
VLAN (Virtual Local Area Network/Red de Área Local Virtual)

Es una red de área local que agrupa un conjunto de equipos de manera lógica y
no física. Efectivamente, la comunicación entre los diferentes equipos en una red
de área local está regida por la arquitectura física. Gracias a las redes virtuales
(VLAN), es posible liberarse de las limitaciones de la arquitectura física
(limitaciones geográficas, limitaciones de dirección, etc.), ya que se define una
segmentación lógica basada en el agrupamiento de equipos según determinados
criterios (direcciones MAC, números de puertos, protocolo, etc.).
Tipos de Vlan
Se han definido diversos tipos de VLAN, según criterios de conmutación y el nivel
en el que se lleve a cabo:
 VLAN de nivel 1 (también denominada VLAN basada en puerto) define una
red virtual según los puertos de conexión del switch.
 VLAN de nivel 2 (también denominada VLAN basada en la dirección MAC)
define una red virtual según las direcciones MAC de las estaciones. Este
tipo de VLAN es más flexible que la VLAN basada en puerto, ya que la red
es independiente de la ubicación de la estación.
 VLAN de nivel 3: existen diferentes tipos de VLAN de nivel 3:
 VLAN basada en la dirección de red: conecta subredes según la
dirección IP de origen de los datagramas. Este tipo de solución
brinda gran flexibilidad, en la medida en que la configuración de los
switches cambia automáticamente cuando se mueve una estación.
En contrapartida, puede haber una ligera disminución del
rendimiento, ya que la información contenida en los paquetes debe
analizarse detenidamente.
 VLAN basada en protocolo: permite crear una red virtual por tipo de
protocolo (por ejemplo, TCP/IP, IPX, AppleTalk, etc.). Por lo tanto, se
pueden agrupar todos los equipos que utilizan el mismo protocolo en
la misma red.

Y COMUNICACIONES
VPN (Virtual Private Network/Red Privada Virtual)

Existe Software que nos permiten tener acceso remoto a diferentes computadores
simulando que estamos trabajando ahí mismo, el cual nos permite una vez
instalado en los dos equipos acceder de forma inmediata a los equipos y aparentar
estar trabajando en ellos sin hacer presencia física, todo esto por medio de la red.
Tipos de VPN
Básicamente existen tres arquitecturas de conexión VPN:
 VPN de acceso remoto: Es quizás el modelo más usado actualmente, y
consiste en usuarios o proveedores que se conectan con la empresa desde
sitios remotos (oficinas comerciales, domicilios, hoteles, aviones
preparados, etcétera) utilizando Internet como vínculo de acceso. Una vez
autenticados tienen un nivel de acceso muy similar al que tienen en la red
local de la empresa.
 VPN punto a punto: Este esquema se utiliza para conectar oficinas remotas
con la sede central de la organización. El servidor VPN, que posee un
vínculo permanente a Internet, acepta las conexiones vía Internet
provenientes de los sitios y establece el túnel VPN. Los servidores de las
sucursales se conectan a Internet utilizando los servicios de su proveedor
local de Internet, típicamente mediante conexiones de banda ancha. Esto
permite eliminar los costosos vínculos punto a punto tradicionales
(realizados comúnmente mediante conexiones de cable físicas entre los
nodos), sobre todo en las comunicaciones internacionales.
 Tunneling: La técnica de tunneling consiste en encapsular un protocolo de
red sobre otro (protocolo de red encapsulador) creando un túnel dentro de
una red de computadoras. El establecimiento de dicho túnel se implementa
incluyendo una PDU determinada dentro de otra PDU con el objetivo de
transmitirla desde un extremo al otro del túnel sin que sea necesaria una
interpretación intermedia de la PDU encapsulada. De esta manera se
encaminan los paquetes de datos sobre nodos intermedios que son
incapaces de ver en claro el contenido de dichos paquetes. El túnel queda
definido por los puntos extremos y el protocolo de comunicación empleado,
que entre otros, podría ser SSH.
 VPN over LAN: Este esquema es el menos difundido pero uno de los más
poderosos para utilizar dentro de la empresa. Es una variante del tipo
"acceso remoto" pero, en vez de utilizar Internet como medio de conexión,
emplea la misma red de área local (LAN) de la empresa. Sirve para aislar
zonas y servicios de la red interna. Esta capacidad lo hace muy
conveniente para mejorar las prestaciones de seguridad de las redes
inalámbricas (WiFi).
TOPOLOGÍAS DE RED
En el contexto de una red de comunicaciones, el término TOPOLOGÍA se refiere a
la forma según la cual se interconectan entre sí los puntos finales, o estaciones,
conectados a la red. Las topologías usuales en redes, son: bus o lineal, árbol,
Y COMUNICACIONES
anillo y estrella. El bus es un caso especial de la topología en árbol, con un solo

tronco y sin ramas.
Topologías en Bus o Lineal

En esta tecnología, todas las estaciones de trabajo se conectan a un canal de
comunicaciones único (bus). Toda la información fluye por el canal y cada estación
recibe solo la información que va dirigida a ella, este tipo de redes son sencillas de
instalar y brindan gran flexibilidad para aumentar o disminuir el número de
estaciones, La cantidad de cable que se utiliza es mínima, sobre todo en
comparación con la topología de estrella, pues el cable no tiene que ir desde el
servidor hasta cada una de las estaciones de trabajo. Tiene la ventaja además de
que la falla en alguna de las estaciones no repercute en la red, pero una ruptura
en la línea común si la inutilizará por completo.
Se caracteriza por el uso de un medio multipunto, en este caso, todas las

estaciones se encuentran directamente conectadas, a través de interfaces físicas
apropiadas conocidas como Tomas de Conexión (taps), a un medio de transmisión
lineal o bus. El funcionamiento full-duplex entre la estación y la toma de conexión
permite la transmisión y la recepción de datos a través del bus. Una transmisión
desde cualquier estación se propaga a través del medio en ambos sentidos y es
recibida por el resto de estaciones. En cada extremo del bus existe un terminador
que absorbe las señales, eliminándolas del bus.
Fig. 2.3 Topología de Bus ó Lineal
Topología de Árbol
Esta topología es una generalización de la topología de bus o lineal; el medio de
transmisión es un cable ramificado, sin bucles cerrados que comienza en un punto
conocido como raíz o cabecera (head end). Uno o más cables comienzan en el

Y COMUNICACIONES
punto raíz y cada uno de ellos puede presentar ramificaciones. Las ramas puedes
disponer de ramas adicionales, dando lugar a esquemas más complejos. De
nuevo la transmisión desde una estación se propaga a través del medio y puede
alcanzar el resto de las estaciones.
Existen dos problemas en esta disposición. En primer lugar, dado que la

transmisión desde una estación se puede recibir en dos estaciones, es necesario
algún método para indicar a quién va dirigida la transmisión. En segundo lugar, se
precisa un mecanismo para regular la transmisión; para solucionar estos
problemas, las estaciones de trabajo transmiten datos en bloques pequeños
llamados trama. Cada trama consta de una porción de los datos que una estación
desea transmitir, además de una cabecera de trama la cual contiene la
información de control. A cada estación en el bus se le asigna una dirección, o
identificador, única, incluyéndose en la cabecera la dirección destino de la trama.
La estructura de la trama resuelve así el primer problema mencionado

anteriormente: proporciona un mecanismo para indicar el receptor de los datos.
También proporciona una herramienta básica para resolver el segundo problema,
el control de acceso. En particular, en las estaciones transmiten por turnos de
acuerdo con alguna forma cooperativa.
Fig. 2.4 Topología de árbol
Topología de Anillo
El bus se cierra sobre sí mismo formando un anillo, de esta manera se asegura
que la distancia a recorrer por la información entre dos equipos conectados al
anillo es siempre la más corta posible; es decir, cada estación está conectada a la
siguiente y la última está conectada a la primera. Cada estación tiene un receptor

Y COMUNICACIONES
y un transmisor que hace la función de repetidor, pasando la señal a la siguiente

estación, esto se debe a los protocolos que utilizan el paso de testigo (Token
Ring). Esta topología es basada en estándares de facto de IBM para redes locales
que no tuvieron mucha aceptación y hoy están prácticamente en desuso. En la
actualidad las topologías de anillo se utilizan para redes de área extensa que
utilizan otro tipo de protocolos (redes de fibra). En un anillo doble, dos anillos
permiten que los datos se envíen en ambas direcciones, esta configuración crea
redundancia (tolerancia a fallos).
Entre las ventajas que encontramos en este tipo de topologías son:

 Simplicidad de la arquitectura.
 La facilidad de la configuración.
 Facilidad de fluidez de datos.
Mientras que las desventajas que presenta son:

 La longitud de canal es limitada.
 El canal usualmente se degradará a medida que la red crece.
 Transferencia de datos será lenta.
Fig. 2.5 Topología de Anillo
Topología en Estrella
Consiste en que todos los equipos finales de la red se conecten a uno intermedio
que encamina la información a los destinatarios. Se utiliza en redes algo más
extensas que las locales. Normalmente no es práctico que sea un único equipo el
que actúa de intermediario (ya que la red sería muy sensible a fallos de un único
equipo) y se suele emplear más de uno.

Y COMUNICACIONES
Ventajas:
 Presenta buena flexibilidad para incrementar el número de equipos
conectados a la red.
 Si alguna de las computadoras falla el comportamiento de la red sigue sin
problemas, sin embargo, si el problema se presenta en el controlador
central se afecta toda la red.
 El diagnóstico de problemas es simple, debido a que todos los equipos
están conectados a un controlador central.
Desventajas:
 No es adecuada para grandes instalaciones, debido a la cantidad de cable
que deben agruparse en el controlador central.
 Esta configuración es rápida para las comunicaciones entre las estaciones
o nodos y el controlador, pero las comunicaciones entre estaciones es
lenta.
Fig. 2.6 Topología de Estrella
Topología de Malla
Consiste en que todos los equipos integrantes de una red se conecten todos con
todos. Esto solo es viable, desde un punto de vista práctico para redes con un
pequeño número de equipos. En la práctica se emplea para redes de área extensa
combinada con la topología de estrella. Los equipos finales se conectan a un
conjunto de equipos intermedios en forma de estrella, mientras que estos últimos
se conectan entre sí, todos con todos con una topología de malla. Esta
configuración asegura una máxima disponibilidad de la red en caso de fallo de
alguno de los equipos.
Presenta ventajas como:
 La posibilidad de llevar los mensajes de un nodo a otro por diferentes
caminos.
Y COMUNICACIONES
 No puede existir absolutamente ninguna interrupción en las

comunicaciones.
 Cada servidor tiene sus propias comunicaciones con todos los demás
servidores.
 Si falla un cable el otro se hará cargo del tráfico.
 No requiere un nodo o servidor central lo que reduce el mantenimiento.
 Si un nodo desaparece o falla no afecta en absoluto a los demás nodos.
Y su desventaja es:
 Red es costosa de instalar ya que requiere de mucho cable.
Fig. 2.7 Topología de Malla
EQUIPOS DE COMUNICACIÓN
Los principales equipos de comunicación con los que se crean las diferentes redes
que en la actualidad se conocen son:
 Switch
 Router
Estos se interconectan entre e indican el camino por donde el tráfico de datos se

guiara para llegar al equipo final que realizo la petición.
SWITCH
Es un dispositivo digital de lógica de interconexión de redes de computadores que
opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Su función es
interconectar dos o más segmentos de red, de manera similar a los puentes
(bridges), pasando datos de un segmento a otro de acuerdo con la dirección MAC
de destino de las tramas en la red.

Y COMUNICACIONES
Estos se utilizan cuando se desea conectar múltiples redes, fusionándolas en una

sola. Al igual que los puentes, dado que funcionan como un filtro en la red,
mejoran el rendimiento y la seguridad de las LAN’s (Local Area Network- Red de
Área Local).
Los switches poseen la capacidad de aprender y almacenar las direcciones de red
de nivel 2 (direcciones MAC) de los dispositivos alcanzables a través de cada uno
de sus puertos. Por ejemplo, un equipo conectado directamente a un puerto de un
switch provoca que el switch almacene su dirección MAC, esto permite que, a
diferencia de los concentradores o hubs, la información dirigida a un dispositivo
vaya desde el puerto origen al puerto de destino. En el caso de conectar dos
switches o un switch y un concentrador, cada switch aprenderá las direcciones
MAC de los dispositivos accesibles por sus puertos, por lo tanto en el puerto de
interconexión se almacenan las MAC de los dispositivos del otro switch.
ROUTER
Es un dispositivo de hardware para interconexión de red de computadoras que
opera en la capa tres (nivel de red) del modelo OSI. Un router es un dispositivo
para la interconexión de redes informáticas que permite asegurar el enrutamiento
de paquetes entre redes o determinar la mejor ruta que debe tomar el paquete de
datos.

Y COMUNICACIONES
Marcos de
Referencia y
Metodología

Y COMUNICACIONES
Principales Marcos de Referencia y Metodologías

Committee of Sponsoring Organizations of the Treadway
Commission (COSO)
Busca definir un nuevo marco conceptual del control interno, capaz de integrar las
diversas definiciones y conceptos que venían siendo utilizados sobre este tema,
logrando así que, al nivel de las organizaciones públicas o privadas, de la auditoría
interna o externa, o de los niveles académicos o legislativos, se cuente con un
marco conceptual común, una visión integradora que satisfaga las demandas
generalizadas de todos los sectores involucrados
El marco integrado de control que plantea el informe COSO consta de cinco

componentes interrelacionados, derivados del estilo de la dirección, e integrados
al proceso de gestión:
 Ambiente de control
 Evaluación de riesgos
 Actividades de control
 Información y comunicación
 Supervisión
El ambiente de control refleja el espíritu ético vigente en una entidad respecto del
comportamiento de los agentes, la responsabilidad con que encaran sus
actividades, y la importancia que le asignan al control interno. Sirve de base de los
otros componentes, ya que es dentro del ambiente reinante que se evalúan los
riesgos y se definen las actividades de control tendientes a neutralizarlos.
Simultáneamente se capta la información relevante y se realizan las
comunicaciones pertinentes, dentro de un proceso supervisado y corregido de
acuerdo con las circunstancias.
El modelo refleja el dinamismo propio de los sistemas de control interno. Así, la

evaluación de riesgos no sólo influye en las actividades de control, sino que puede
también poner de relieve la conveniencia de reconsiderar el manejo de la
información y la comunicación.
No se trata de un proceso en serie, en el que un componente incide

exclusivamente sobre el siguiente, sino que es interactivo multidireccional en tanto
cualquier componente puede influir, y de hecho lo hace, en cualquier otro.
Existe también una relación directa entre los objetivos (Eficiencia de las
operaciones, confiabilidad de la información y cumplimiento de leyes y
reglamentos) y los cinco componentes referenciados, la que se manifiesta
permanentemente en el campo de la gestión: las unidades operativas y cada
agente de la organización conforman secuencialmente un esquema orientado a

Y COMUNICACIONES
los resultados que se buscan, y la matriz constituida por ese esquema es a su vez
cruzada por los componentes.
The Criteria of Control Board (COCO)

El modelo COCO fue emitido en 1995 por el Consejo denominado "The Criteria of
Control Board" y dado a conocer por el Instituto Canadiense de Contadores
Certificados (CICA) a través de un Consejo encargado de diseñar y emitir criterios
o lineamientos generales sobre control interno.
El cambio importante que plantea el informe canadiense consiste que en lugar de

conceptualizar al proceso de control como una pirámide de componentes y
elementos interrelacionados, proporciona un marco de referencia a través de 20
criterios generales, que el personal en toda la organización puede usar para
diseñar, desarrollar, modificar o evaluar el control. El llamado ciclo de
entendimiento básico del control, como se representa en el informe, consta de
cuatro etapas que contienen los 20 criterios generales, conformando un ciclo
lógico de acciones a ejecutar para asegurar el cumplimiento de los objetivos de la
organización.
En la estructura del informe, los criterios son elementos básicos para entender y,
en su caso, aplicar el sistema de control. Se requieren adecuados análisis y
comparaciones para interpretar los criterios en el contexto de una organización en
particular, y para una evaluación efectiva de los controles implantados.
El Informe prevé 20 criterios agrupados en cuanto al:
 Propósito
 Compromiso
 Aptitud
 Evaluación y Aprendizaje.
En el propósito, los objetivos deben ser comunicados, se deben identificar los

riesgos internos y externos que afecten el logro de objetivos. Las políticas para
apoyar el logro de objetivos deben ser comunicadas y practicadas, para que el
personal identifique el alcance de su libertad de actuación, se deben establecer
planes para guiar los esfuerzos y los objetivos y planes deben incluir metas,
parámetros e indicadores de medición del desempeño. En el compromiso se
deben establecer y comunicar los valores éticos de la organización, las políticas y
prácticas sobre recursos humanos deben ser consistentes con los valores éticos
de la organización y con el logro de sus objetivos. La autoridad y responsabilidad
deben ser claramente definidas y consistentes con los objetivos de la
organización, para que las decisiones se tomen por el personal apropiado y se
debe fomentar una atmósfera de confianza para apoyar el flujo de la información.
En la etapa de aptitud el personal debe tener los conocimientos, habilidades y
herramientas necesarios para el logro de objetivos, el proceso de comunicación

Y COMUNICACIONES
debe apoyar los valores de la organización, se debe identificar y comunicar

información suficiente y relevante para el logro de objetivos, las decisiones y
acciones de las diferentes partes de una organización deben ser coordinadas y las
actividades de control deben ser diseñadas como una parte integral de la
organización. Finalmente en la etapa de evaluación y aprendizaje se debe
monitorear el ambiente interno y externo para identificar información que oriente
hacia la reevaluación de objetivos, el desempeño debe ser evaluado contra metas
e indicadores, las premisas consideradas para el logro de objetivos deben ser
revisadas periódicamente, los sistemas de información deben ser evaluados
nuevamente en la medida en que cambien los objetivos y se precisen deficiencias
en la información, debe comprobarse el cumplimiento de los procedimientos
modificados y se debe evaluar periódicamente el sistema de control e informar de
los resultados.
Modelo de Madurez (Maturity Model)

Los modelos de madurez para el control de los procesos de TI consisten en
desarrollar un método de puntaje de modo que una organización pueda calificarse
a sí misma desde inexistente hasta optimizada (de 0 a 5). Este método ha sido
derivado del Modelo de Madurez que el Software Engineering Institute definió para
la madurez de la capacidad de desarrollo de software.
Los Modelos de Madurez se construyen a partir del modelo genérico cualitativo a

los que se agregan las prácticas y los principios de los dominios siguientes de
forma creciente a través de todos los niveles:
 Entendimiento y conocimiento de los riesgos y de los problemas de control.
 Capacitación y comunicación aplicadas a los problemas.
 Proceso y prácticas que son implementados.
 Técnicas y automatización para hacer los procesos más efectivos y
eficientes.
 Grado de cumplimiento de la política interna, las leyes y las
reglamentaciones.
 Tipo y grado de pericia empleada
La escala 0-5 se basa en una escala simple de madurez que muestra cómo
evoluciona un proceso desde Inexistente hasta optimizado. Debido a que son
procesos de administración, la madurez y la capacidad aumentada es también
sinónimo de mayor manejo del riesgo y mayor eficiencia.
0 Inexistente
1 Inicial
2 Repetible
3 Definida
4 Administrada
5 Optimizada

Y COMUNICACIONES
El inexistente consiste en total falta de un proceso reconocible, la organización ni

siquiera ha reconocido que hay un problema que resolver. En el inicial hay
evidencia de que la organización ha reconocido que los problemas existen y que
necesitan ser resueltos, sin embargo, no hay procesos estandarizados pero en
cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o
caso por caso; el método general de la administración es desorganizado. En el
repetible los procesos se han desarrollado hasta el punto en que diferentes
personas siguen procedimientos similares emprendiendo la misma tarea, no hay
capacitación o comunicación formal de procedimientos estándar y la
responsabilidad se deja a la persona y hay un alto grado de confianza en los
conocimientos de las personas y por lo tanto es probable que haya errores. En
definida los procedimientos han sido estandarizados y documentados, y
comunicados a través de capacitación, sin embargo se ha dejado en manos de la
persona el seguimiento de estos procesos, y es improbable que se detecten
desviaciones y los procedimientos mismos no son sofisticados sino que son la
formalización de las prácticas existentes. En la administrada es posible monitorear
y medir el cumplimiento de los procedimientos y emprender acción donde los
procesos parecen no estar funcionando efectivamente, los procesos están bajo
constante mejoramiento y proveen buena práctica y se usan la automatización y
las herramientas en una forma limitada o fragmentada. Finalmente en el punto de
optimizada los procesos han sido refinados hasta un nivel de la mejor práctica,
basados en los resultados de mejoramiento continuo y diseño de la madurez con
otras organizaciones y TI se usa en una forma integrada para automatizar el flujo
de trabajo, suministrando herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte con rapidez.
Information Technologies Infrastructure Library (ITIL)

Es un conjunto de mejores prácticas para la dirección y gestión de servicios de
tecnologías de la información en lo referente a Personas, Procesos y Tecnología,
desarrollado por la OGC (Office of Government Commerce) del Reino Unido, que
cumple y desarrolla la norma BS15000 de la BSI (British Standards Institution).
A través de las Mejores Prácticas especificadas en ITIL se hace posible para

departamentos y organizaciones reducir costos, mejorar la calidad del servicio
tanto a clientes externos como internos y aprovechar al máximo las habilidades y
experiencia del personal, mejorando su productividad. ITIL es un conjunto de
libros, que permiten mejorar notablemente la calidad de los servicios de
tecnologías de la información y que presta una organización a sus clientes o un
departamento a su organización.
ITIL cubre cada escenario del ciclo de vida de los servicios.
 Service Strategy

Y COMUNICACIONES
 Service Design
 Service Transition
 Service Operation
 Continual Service Improvement
La estrategia de servicios proporciona una guía para diseñar, desarrollar e

implementar el Service Management no sólo como capacidad organizacional, sino
también como un valor estratégico. Sirve para revisar los servicios actuales y
mejorar la alineación entre las capacidades y las estrategias del negocio. Service
Design se ocupa del diseño de servicios y sus procesos relacionados. No afecta
solo los nuevos servicios, sino también a los que han sido modificados para su
paso a un entorno de producción. El propósito de la etapa de Service Operation
es coordinar y llevar a cabo las actividades y procesos requeridos para entregar y
administrar los servicios de acuerdo a los niveles de servicio acordados con los
clientes y usuarios del negocio, además es responsable de administrar la
tecnología que se utiliza para entregar y soportar estos servicios. La Transición del
Servicio se enfoca en implementar todos los aspectos del servicio, no solo su
aplicación y como es usados en circunstancias normales. Es necesario asegurar
que el servicio puede operar bajo extremos previstos o circunstancias anormales y
que el soporte por fallas o errores está disponible. Finalmente el Continual Service
Improvement se centra en continuamente estar alineando y re-alineando los
servicios de TI a las necesidades del negocio, identificando e implementando
mejoras en los servicios de TI que a su vez soportan los procesos de negocio.
Control Objectives for Information and related

Technology (COBIT)
COBIT es un marco de referencia general dirigido a la administración de TI y como
tal estas escalas necesitan ser prácticas para aplicar y razonablemente fáciles de
entender. Los Criterios de Información contenidos en el Marco Referencial de
COBIT ayudan a asegurarse de que estamos enfocados en los aspectos correctos
de la administración cuando describimos la práctica real. COBIT brinda un modelo
de procesos genéricos que representa todos los procesos que normalmente se
encuentran en las funciones de TI, ofreciendo un modelo de referencia común
entendible para los gerentes operativos de TI y del negocio. Se establecieron
equivalencias entre los modelos de procesos COBIT y las áreas de enfoque del
gobierno de TI, ofreciendo así un puente entre lo que los gerentes operativos
deben realizar y lo que los ejecutivos desean gobernar.
Para lograr un gobierno efectivo, los ejecutivos esperan que los controles a ser
implementados por los gerentes operativos se encuentren dentro de un marco de
control definido para todo los procesos de TI. Los objetivos de control de TI de
COBIT están organizados por proceso de TI; por lo tanto, el marco de trabajo
brinda una alineación clara entre los requerimientos de gobierno de TI, los
procesos de TI y los controles de TI.

Y COMUNICACIONES
Estándares de IEEE
802.1 Define la relación entre los estándares 802 del IEEE y el Modelo de
Referencia para Interconexión de Sistemas Abiertos (OSI) de la ISO (Organización
Internacional de Estándares). Por ejemplo, este Comité definió direcciones para
estaciones LAN de 48 bits para todos los estándares 802, de modo que cada
adaptador puede tener una dirección única. Los vendedores de tarjetas de
interface de red están registrados y los tres primeros bytes de la dirección son
asignados por el IEEE. Cada vendedor es entonces responsable de crear una
dirección única para cada uno de sus productos.
802.2 Control de Enlaces Lógicos. Define el protocolo de control de enlaces

lógicos (LLC) del IEEE, el cual asegura que los datos sean transmitidos de forma
confiable por medio del enlace de comunicación. La capa de Datos-Enlace en el
protocolo OSI esta subdividida en las subcapas de Control de Acceso a Medios
(MAC) y de Control de Enlaces Lógicos (LLC). En Puentes, estas dos capas sirven
como un mecanismo de switcheo modular, como se muestra en la figura I-5. El
protocolo LLC es derivado del protocolo de Alto nivel para Control de Datos-
Enlaces (HDLC) y es similar en su operación. Nótese que el LLC provee las
direcciones de Puntos de Acceso a Servicios (SAP's), mientras que la subcapa
MAC provee la dirección física de red de un dispositivo. Las SAP's son
específicamente las direcciones de una o más procesos de aplicaciones
ejecutándose en una computadora o dispositivo de red.
802.3: Protocolo de IEEE para LAN que especifica la implementación de la

capas físicay de la subcapa MAC de la capa de enlace de datos. IEEE
802.3 utiliza el acceso CSMA/ CDa varias velocidades a través de diversos
medios físicos. Las extensiones del estándar IEEE 802.3 especifican
implementaciones para fast Ethernet. Las variaciones físicas de las
especificación IEEE 802.3 original incluyen 10Base2, 10Base5, 10BaseF,
10BaseT, y 10Broad36. Las variaciones físicas para Fast Ethernet incluyen
100BaseTX y 100BaseFX.
802.4: Especifica el bus de señal pasante.
802.5: Protocolo de LAN IEEE que especifica la implementación de la capa físicas

y de la subcapa MAC de la capa de enlace de datos. IEEE 802.5 usa de acceso
de transmisión de tokens a 4 Mbps ó 16 Mbps en cableado STP O UTP y de
punto de vista funcional y operacional es equivalente a token Ring de IBM.

Y COMUNICACIONES
ANSI
ANSI (Instituto Nacional Americano de Normalización) Organización voluntaria
compuesta por corporativas, organismos del gobierno y otros miembros que
coordinan las actividades relacionadas con estándares, aprueban los estándares
nacionales de los EE.UU. y desarrollan posiciones en nombre de los Estados
Unidos ante organizaciones internacionales de estándares. ANSI ayuda a
desarrollar estándares de los EE.UU. e internacionales en relación con, entre otras
cosas, comunicaciones y networking. ANSI es miembro de la IEC (Comisión
Electrotécnica Internacional), y la Organización Internacional para la
Normalización.
La norma central que especifica un género de sistema de cableado para

telecomunicaciones es la norma ANSI/TIA/EIA-568-A, "Norma para construcción
comercial de cableado de telecomunicaciones". Esta norma fue desarrollada y
aprobada por comités del Instituto Nacional Americano de Normas (ANSI), la
Asociación de la Industria de Telecomunicaciones (TIA), y la Asociación de la
Industria Electrónica, (EIA) La norma establece criterios técnicos y de
rendimiento para diversos componentes y configuraciones de sistemas.
Además, hay un número de normas relacionadas que deben seguirse con
apego. Dichas normas incluyen la ANSI/EIA/TIA-569,"Norma de construcción
comercial para vías y espacios de telecomunicaciones", que proporciona
directrices para conformar ubicaciones, áreas, y vías a través de las cuales se
instalan los equipos y medios de telecomunicaciones.
Otra norma relacionada es la ANSI/TIA/EIA-606, "Norma de administración para la

infraestructura de telecomunicaciones en edificios comerciales". Proporciona
normas para la codificación de colores, etiquetado, y documentación de un
sistema de cableado instalado. Seguir esta norma, permite una mejor
administración de una red, creando un método de seguimiento de los traslados,
cambios y adiciones. Facilita además la localización de fallas, detallando cada
cable tendido por características. ANSI/TIA/EIA-607, "Requisitos de aterrizado y
protección para telecomunicaciones en edificios comerciales", que dicta prácticas
para instalar sistemas de aterrizado que aseguren un nivel confiable de referencia
a tierra eléctrica, para todos los equipos.
Cada uno de estas normas funciona en conjunto con la 568-A. Cuando se

diseña e instala cualquier sistema de telecomunicaciones, se deben revisar
las normas adicionales como el código eléctrico nacional (NEC) de los
E.U.A., o las leyes y previsiones locales como las especificaciones NOM
(Norma Oficial Mexicana).

Y COMUNICACIONES
Organización Internacional para la Normalización (ISO)

Organización internacional que tiene a su cargo una amplia gama de
estándares, incluyendo aquellos referidos al networking. ISO desarrolló el modelo
de referencia OSI, un modelo popular de referencia de networking. La ISO
establece en julio de 1994 la norma ISO 11801 que define una instalación
completa (componente y conexiones) y valida la utilización de los cable de 100 o
mega o 120 o mega. La ISO 11801 actualmente trabaja en conjunto para unificar
criterios.
Las ventajas de la ISO es fundamental ya que facilita la detección de las fallas

que al momento de producirse esto afecte solamente a la estación que depende
de esta conexión, permite una mayor flexibilidad para la expansión, eliminación y
cambio de usuario del sistema. Los costos de instalación de UTP son
superiores a los de coaxial, pero se evitan las pérdida económica producida
por la caída del sistema por cuanto se afecte solamente un dispositivo. La ISO
11801 reitera la categoría EIA/TIA (Asociación de industria eléctricas y
telecomunicaciones) .Este define las clases de aplicación y es denominado
estándar de cableado de telecomunicaciones para edificio comerciales.
COBIT
Introducción
COBIT es un marco de referencia y un juego de herramientas de soporte que
permiten a la gerencia cerrar la brecha con respecto a los requerimientos de
control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a
los Interesados (Stakeholders); este permite el desarrollo de políticas claras y de
buenas prácticas para control de TI a través de las empresas. COBIT
constantemente se actualiza y armoniza con otros estándares. Por lo tanto, se ha
convertido en el integrador de las mejores prácticas de TI y el marco de referencia
general para el gobierno de TI que ayuda a comprender y administrar los riesgos y
beneficios asociados con TI. La estructura de procesos de COBIT y su enfoque de
alto nivel orientado al negocio brindan una visión completa de TI y de las
decisiones a tomar acerca de la misma.
Los beneficios de implementar COBIT como marco de referencia de gobierno
sobre TI incluyen:
 Mejor alineación, con base en su enfoque de negocios
 Una visión, entendible para la gerencia, de lo que hace TI
 Propiedad y responsabilidades claras, con base en su orientación a
procesos
 Aceptación general de terceros y reguladores

Y COMUNICACIONES
 Entendimiento compartido entre todos los Interesados, con base en un

lenguaje común
 Cumplimiento de los requerimientos COSO para el ambiente de control de
TI
Marco de Trabajo COBIT
Un marco de control para el Gobierno TI define las razones de por qué se necesita
el Gobierno de TI, los interesados y que se necesita cumplir en el gobierno de TI.
 Por qué: Cada vez más, la alta dirección se está dando cuenta del impacto
significativo que la información puede tener en el éxito de una empresa. La
dirección espera un alto entendimiento de la manera en que la tecnología
de información (TI) es operada y de la posibilidad de que sea aprovechada
con éxito para tener una ventaja competitiva.
 Quién: Un marco de referencia de gobierno y de control requiere servir a
una variedad de interesados internos y externos, cada uno de los cuales
tiene necesidades específicas:
 Interesados dentro de la empresa que tienen interés en generar valor
de las inversiones en TI
 Interesados internos y externos que proporcionan servicios de TI
 Interesados internos y externos con responsabilidades de
control/riesgo
 Qué: Para satisfacer los requerimientos previos, un marco de referencia
para el gobierno y el control de TI, debe satisfacer las siguientes
especificaciones generales:
 Brindar un enfoque de negocios que permita la alineación entre las
metas de negocio y de TI.
 Establecer una orientación a procesos para definir el alcance y el
grado de cobertura, con una estructura definida que permita una fácil
navegación en el contenido.
 Ser generalmente aceptable al ser consistente con las mejores
prácticas y estándares de TI aceptados, y que sea independiente de
tecnologías específicas.
 Proporcionar un lenguaje común, con un juego de términos y
definiciones que sean comprensibles en general para todos los
Interesados.
 Ayudar a satisfacer requerimientos regulatorios, al ser consistente
con estándares de gobierno corporativo generalmente aceptados
(COSO) y con controles de TI esperados por reguladores y auditores
externos.
Como respuesta a las necesidades descritas en la sección anterior, el marco de

trabajo COBIT se creó con las características principales de ser orientado a
negocios, orientado a procesos, basado en controles e impulsado por mediciones.

Y COMUNICACIONES
3.1 Principio Básico de COBIT
Para gobernar efectivamente TI, es importante determinar las actividades y los

riesgos que requieren ser administrados. Normalmente se ordenan dentro de
dominios de responsabilidad de plan, construir, ejecutar y Monitorear. Dentro del
marco de COBIT, estos dominios, como se muestra en la Figura 3.2, se llaman:
 Planear y Organizar (PO) – Proporciona dirección para la entrega de

soluciones (AI) y la entrega de servicio (DS).
 Adquirir e Implementar (AI) – Proporciona las soluciones y las pasa para
convertirlas en servicios.
 Entregar y Dar Soporte (DS) – Recibe las soluciones y las hace utilizables
por los usuarios finales.
 Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar
que se sigue la dirección provista.
3.2 Dominios en COBIT

Y COMUNICACIONES
Planear y Organizar (PO)

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la
manera en que TI puede contribuir de la mejor manera al logro de los objetivos del
negocio. Además, la realización de la visión estratégica requiere ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente, se debe
implementar una estructura organizacional y una estructura tecnológica apropiada.
Este dominio cubre los siguientes cuestionamientos típicos de la gerencia:
 ¿Están alineadas las estrategias de TI y del negocio?
 ¿La empresa está alcanzando un uso óptimo de sus recursos?
 ¿Entienden todas las personas dentro de la organización los objetivos de
TI?
 ¿Se entienden y administran los riesgos de TI?
 ¿Es apropiada la calidad de los sistemas de TI para las necesidades del
negocio?
Pocesos
PO1 Definir un Plan Estratégico de TI

PO2 Definir la Arquitectura de la Información
PO3 Determinar la Dirección Tecnológica
PO4 Definir los Procesos, Organización y Relaciones de TI
PO5 Administrar la Inversión en TI
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
PO7 Administrar Recursos Humanos de TI
PO8 Administrar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos
Adquirir e Implementar (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser
identificadas, desarrolladas o adquiridas así como implementadas e integradas en
los procesos del negocio. Además, el cambio y el mantenimiento de los sistemas
existentes está cubierto por este dominio para garantizar que las soluciones sigan
satisfaciendo los objetivos del negocio. Este dominio, por lo general, cubre los
siguientes cuestionamientos de la gerencia:
 ¿Es probable que los nuevos proyectos generan soluciones que satisfagan
las necesidades del negocio?
 ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro
del presupuesto?
 ¿Trabajarán adecuadamente los nuevos sistemas una vez sean
implementados?
 ¿Los cambios no afectarán a las operaciones actuales del negocio?

Y COMUNICACIONES
Procesos
AI1 Identificar soluciones automatizadas

AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
Entregar y Dar Soporte (DS)

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la
prestación del servicio, la administración de la seguridad y de la continuidad, el
soporte del servicio a los usuarios, la administración de los datos y de las
instalaciones operativos.
Por lo general cubre las siguientes preguntas de la gerencia:

¿Se están entregando los servicios de TI de acuerdo con las prioridades del
negocio?
¿Están optimizados los costos de TI?
¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva
y segura?
¿Están implantadas de forma adecuada la confidencialidad, la integridad y la
disponibilidad?
Procesos
DS1 Definir y administrar los niveles de servicio

DS2 Administrar los servicios de terceros
DS3 Administrar el desempeño y la capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente físico
DS13 Administrar las operaciones

Y COMUNICACIONES
Monitorear y Evaluar (ME)

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en
cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio
abarca la administración del desempeño, el monitoreo del control interno, el
cumplimiento regulatorio y la aplicación del gobierno. Por lo general abarca las
siguientes preguntas de la gerencia:
 ¿Se mide el desempeño de TI para detectar los problemas antes de que
sea demasiado tarde?
 ¿La Gerencia garantiza que los controles internos son efectivos y
eficientes?
 ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas
del negocio?
 ¿Se miden y reportan los riesgos, el control, el cumplimiento y el
desempeño?
Procesos
ME1 Monitorear y Evaluar el Desempeño de TI

ME2 Monitorear y Evaluar el Control Interno
ME3 Garantizar el Cumplimiento Regulatorio
ME4 Proporcionar Gobierno de TI
A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI

generalmente usados (ver figura 3.3 para la lista completa). Mientras la mayoría
de las empresas ha definido las responsabilidades de planear, construir, ejecutar y
monitorear para TI, y la mayoría tienen los mismos procesos clave, pocas tienen la
misma estructura de procesos o le aplicaran todos los 34 procesos de COBIT.
COBIT proporciona una lista completa de procesos que puede ser utilizada para
verificar que se completan las actividades y responsabilidades; sin embargo, no es
necesario que apliquen todas, y, aun más, se pueden combinar como se necesite
por cada empresa.
Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI
que soporta. Información de cómo se pueden medir las metas, también se
proporcionan cuáles son sus actividades clave y entregables principales, y quién
es el responsable de ellas.

Y COMUNICACIONES
3.3 Marco de Trabajo completo de COBIT

Y COMUNICACIONES
Auditoria de
dispositivos
de Red

Y COMUNICACIONES
Auditoria de dispositivos de Red

Elementos a auditar en una red
Seguridad Física
El resultado de esta sección es encontrar condiciones que dentro de la

infraestructura física, no de TI, pudiese influir en la seguridad de este última. Entre
las condiciones que se busca verificar se encuentran:
 Los mecanismos de control de acceso físico a las instalaciones que
albergan componentes del sistema de IT.
 Que existan mecanismos de respuesta automática ante intrusiones o
situaciones anómalas. Ej. Aumento de temperatura, fuego, temblores.
 Que existan mecanismos adecuados de protección de respaldos y de los
equipos ante amenazas de hurto o destrucción accidental.
 Que existan mecanismos adecuados de control de las condiciones
ambientales que pudiesen influir en el funcionamiento de la tecnología,
medios de almacenamiento u otros.
 Que existan medidas de contingencia antes riesgos físicos y que estos
estén acorde a las condiciones del lugar y que el personal ha sido
entrenado y los conoce.
 Que existan fuentes adicionales de suministro eléctrico.
 Que los equipos de suministro eléctrico están adecuadamente
dimensionados y protegidos.
Infraestructura inalámbrica
Actualmente el desarrollo inalámbrico es uno de los aspectos que distingue el

crecimiento de las redes de datos. Por otro lado, si bien la utilización de
tecnologías inalámbricas permite ampliar el desarrollo de las redes de datos y
amplía su campo de incidencia, trae consigo un grupo importante de riesgos. Por
ejemplo una red mal configurada permitiría el acceso desde sitios remotos. En la
terminología de seguridad se llama a esas redes “redes dulces”. Varias redes
inalámbricas coexisten en este ambiente sin protección por lo que es posible
conectarse a muchas de ellas e incluso acceder a los recursos internos de las
organizaciones.
Los siguientes aspectos son cubiertos por esta sección:
 Verificar la seguridad del esquema de autentificación y control de acceso.

 Verificar la seguridad del sistema DHCP.
 Verificar los mecanismos de control de integridad y confidencialidad.
 Verificar la Seguridad del entorno.

Y COMUNICACIONES
Infraestructura de detección de intrusos
Uno de los elementos que conforman actualmente cualquier sistema de protección

son los detectores de intrusos. Como los programas antivirus, un detector de
intrusos busca patrones que puedan ser identificados en estas circunstancias no
como virus sino como intrusiones, tráfico no permitido o fuera de rango,
comportamiento anómalo de los sistemas, etc. Existen varias subdivisiones de los
sistemas de detección de intrusos. Aquí nos referiremos a las dos más comunes.
La división entre ellos se basa en el sitio donde se realizan la búsqueda de
patrones. Los detectores de intrusos basados en servidores realizan su función
buscando en las bitácoras de los sistemas que protegen.
El éxito de un sistema de detección de intrusos se basa en la correcta

configuración de los filtros de tráfico. Un filtro muy estricto generará tantas alarmas
que será poco utilizable y será difícil encontrar información realmente útil dentro de
una gran cantidad de registros de alarmas poco significativas. Lo contrario ocurre
si los filtros son muy débiles, en este caso no se registrarán las alarmas
necesarias. Otro aspecto es que el detector de intrusos verifique todos los sitios de
acceso o servidores.
Esta sección cubre los siguientes aspectos:
 Verificar la configuración básica de seguridad de un Detector de Intrusos

Basado en red.
 Verificar la seguridad del sistema los Sistemas de Detección de Intrusos
basados en host.
Dispositivos Firewalls
Los dispositivos cortafuegos (firewalls) son uno de los baluartes de cualquier

sistema de seguridad. Muchos son los aspectos que deben tomarse en cuenta
para que un dispositivo firewall sea realmente un dispositivo útil y entre los puntos
más importantes que están directamente relacionados con el cumplimiento de las
funciones de seguridad informática para las cuales una organización coloca un
dispositivo firewall en su red son:
 Verificar efectividad de las reglas de filtrado.

 Verificar efectividad de las políticas de mantenimiento de la configuración
 Verificar configuración y seguridad del sistema de bitácoras.

Y COMUNICACIONES
Principales protocolos de Seguridad
Un escenario típico consiste en algunos, tales como individuos, compañías,

computadoras, lectores de tarjetas magnéticas, los cuales se comunican usando
una variedad de canales (teléfono, correo electrónico, radio) o dispositivos físicos
(tarjetas bancarias, pasajes, cédulas).
Un protocolo de seguridad define las reglas que gobiernan estas comunicaciones,
diseñadas para que el sistema pueda soportar ataques de carácter malicioso.
Existen varios protocolos posibles, en todos los casos se cran túneles entre origen
y destino. Dentro de estos túneles viaja la información, bien por una conexión
normal (en este caso no se encriptan los datos) o bien por una conexión VPN. El
protocolo IP es uno de los más empleados; este se basa en GRE que es un
protocolo de tunneling. Este protocolo también se utiliza de forma conjunta con
otros protocolos como PPTP.
 Generic Routing Encapsulation (GRE 47)

 Point-to-Point Tunneling Protocol (PPTP)
 IP Sec
 Protocolo de tunelado nivel 2 (L2TP)
 Secure shell (SSH)
Generic Routing Encapsulation (GRE 47)
Es el protocolo de Encapsulación de Enrutamiento Genérico. Se emplea en

combinación con otros protocolos de túnel para crear redes virtuales privadas.
Está documentado en el RFC 1701 y el RFC 1702. Fue diseñado para
proporcionar mecanismos de propósito general, ligeros y simples, para encapsular
datos sobre redes IP. El GRE es un protocolo cliente de IP que usa el protocolo IP
47; este protocolo es normalmente usado con VPN de Microsoft entre servidores
con acceso remoto (RRAS) configurados para el enrutamiento entre redes de área
local.
Point-to-Point Tunneling Protocol.
El Protocolo de Túnel Punto a Punto (PPTP) encapsula los paquetes (frames) del
Protocolo Punto a Punto (Point-to-Point Protocol, PPP) con datagramas IP para
transmitirlos por una red IP como Internet o una intranet privada. El PPTP utiliza
una conexión TCP conocida como la conexión de control de PPTP para crear,
mantener y terminar el túnel, y una versión modificada de GRE, para encapsular
los paquetes (frames) PPP como datos para el túnel. Las cargas de los paquetes
encapsulados pueden estar encriptadas o comprimidas o ambas cosas.

Y COMUNICACIONES
IP Sec
Es un grupo de extensiones de la familia del protocolo IP pensado para proveer

servicios de seguridad a nivel de red, de un modo transparente a las aplicaciones
superiores. IP Sec está ya explicado en su trabajo correspondiente: I Pv 6 e IP Sec
Protocolo de tunelado de nivel 2 (L2TP)
Es un componente de creación importante para las VPN de acceso. Es una

extensión del protocolo Punto a Punto, fundamental para la creación de VPNs;
este combina las mejores funciones de los otros dos protocolos: tunneling. Layer 2
Forwarding (L2F) de Cisco Systems y Point-to-Point Tunneling (PPTP) de
Microsoft.
L2TP es un estándar emergente, que se encuentra actualmente en codesarrollo y

que cuenta con el respaldo de Cisco Systems, Microsoft, Ascend, 3Com y otros
líderes en la industria de la conectividad.
Secure shell (SSH)
Tradicionalmente en sistemas Unix en el momento de entrar en el sistema, tanto el

login como el password, así como el resto de la sesión, se transmiten a través de
la red LAN o incluso a través de routers y nodos ajenos en texto claro. Esto quiere
decir que cualquiera que tenga activado un sniffer puede capturar nuestras
sesiones con el potencial peligro que ello conlleva. La manera de evitar que
alguien pueda espiar las claves y sesiones, es utilizar una herramienta muy
potente, fácil de instalar y muy cómoda para el usuario; el ssh/sshd actúan
basándose en la arquitectura cliente/servidor , en este caso concreto sshd se
ejecuta en el servidor en un puerto (por defecto es el 22), a la espera de que
alguien utilice un cliente ssh se conecte para ofrecerle una sesión segura
encriptándola de extremo a extremo.
Todo es como en una sesión telnet tradicional, pero con la particularidad de que
todas las comunicaciones serán encriptadas. El manejo de cualquier programa
cliente de SSH es muy sencillo. Básicamente hay que introducir al servidor que se
quiere conectar y que algoritmo de encriptación se quiere usar
Protección de los Sistemas electrónicos y eléctricos

Implementación de UPS
Se puede plantear en este punto una definición de UPS, una traducción literal del
término aceptado mundialmente, UPS (Uninterrumpible Power Supply/Fuente de
poder ininterrumpido). Es un equipo o dispositivo capaz de suministrar potencia o
energía frente a alguna interrupción de lo que sería el suministro normal de la

Y COMUNICACIONES
misma. Además puede agregar otras funciones que terminan mejorando el

suministro de energía eléctrica a los equipos sofisticados o de alto riesgo eléctrico
que tiene conectados a ella. Una UPS nos protege, de todos los problemas
eléctricos conocidos, pero no lo hace en el 100% en todos los casos. Con mayor
precisión, esto quiere decir que nos protegerá de una caída de voltaje, pero no de
todas las caídas.
Jaula de Faraday
El efecto jaula de Faraday provoca que el campo electromagnético en el interior de

un conductor en equilibrio sea nulo, anulando el efecto de los campos externos;
esto se debe a que, cuando el conductor está sujeto a un campo electromagnético
externo, se polariza, de manera que queda cargado positivamente en la dirección
en que va el campo electromagnético, y cargado negativamente en el sentido
contrario. Puesto que el conductor se ha polarizado, este genera un campo
eléctrico igual en magnitud pero opuesto en sentido al campo electromagnético,
luego la suma de ambos campos dentro del conductor será igual a 0.
Se pone de manifiesto en numerosas situaciones cotidianas, por ejemplo, el mal

funcionamiento de los teléfonos móviles en el interior de ascensores o edificios
con estructura de rejilla de acero. Una manera de comprobarlo es con una radio
sintonizada en una emisora de Onda Media. Al rodearla con un periódico, el
sonido se escucha correctamente. Sin embargo, si se sustituye el periódico con un
papel de aluminio la radio deja de emitir sonidos: el aluminio es un conductor
eléctrico y provoca el efecto jaula de Faraday.
Acondicionamiento de Aire.
Es recomendable que todos los dispositivos eléctricos y electrónicos tengan una

atmósfera libre de polvo, dentro de unos límites especificados de temperatura y
humedad relativa. Tal control es sólo posible mediante el uso de equipos de
climatización, que realicen las funciones básicas de mantenimiento de la
temperatura del aire dentro de los límites requeridos, bien mediante la extracción
del calor, o bien suministrando o haciendo circular el aire y manteniendo la
humedad relativa.
Es recomendable que el equipo se utilice y almacene a una temperatura de 21±

1°C y una humedad relativa de 50% ± 5%. El aire acondicionado también impide la
entrada de polvo mediante presurización de la sala de la computadora con aire
fresco para crear un flujo hacia el exterior del aire procedente vía ventanas o
cualquier filtración por otro lugar. La seguridad puede verse comprometida por los
daños que las partículas de polvo pueden producir en las cabezas y en las
superficies de grabación. El polvo puede originarse o bien procedente del exterior
de la sala producido por actividades en habitaciones o edificios anejos, o por
operaciones industriales cercanas, o bien en el interior de la misma, debido a

Y COMUNICACIONES
manipulaciones de papel, desprendimientos de muros o paredes, o fibras

procedentes del techo o de los aislamientos de la sala. Una vez que se ha
identificado la procedencia del polvo, puede ser posible vencer el problema en sus
fuentes. Las personas que acceden a la sala pueden introducir también polvo en
las ropas y en el calzado.
Importancia de auditar una red y concepto de auditoría de red
La infraestructura de las Tecnologías de la Información y de las Comunicaciones

(TIC) se ha convertido en un activo empresarial estratégico y la red constituye su
núcleo.
Una Auditoria de Redes es, en esencia, una serie de mecanismos mediante los
cuales se pone a prueba una red informática, evaluando su desempeño y
seguridad, a fin de lograr una utilización más eficiente y segura de la información.
El primer paso para iniciar una gestión responsable de la seguridad es identificar
la estructura física (hardware, topología) y lógica (software, aplicaciones) del
sistema (sea un equipo, red, intranet, extranet), y hacerle un análisis de
vulnerabilidad, para saber en qué grado de exposición nos encontramos; hecha
esta "radiografía" de la red, se procede a localizar sus fallas más críticas, para
proponer una estrategia de saneamiento de los mismos; un plan de contención
ante posibles incidentes; y un seguimiento continuo del desempeño del sistema.
Auditoria De La Red Física
Garantiza:
 Áreas de equipo de comunicación con control de acceso.
 Protección y tendido adecuado de cables y líneas de comunicación para
evitar accesos físicos.
 Control de utilización de equipos de prueba de comunicaciones para
monitorizar la red y el tráfico en ella.
 Prioridad de recuperación del sistema.
 Control de las líneas telefónicas.
Comprobando:
 El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso
limitado.
 La seguridad física del equipo de comunicaciones sea adecuada.
 Se tomen medidas para separar las actividades de los electricistas y de
cableado de líneas telefónicas.
 Las líneas de comunicación estén fuera de la vista.
 Se dé un código a cada línea, en vez de una descripción física de la misma.
 Haya procedimientos de protección de los cables y las bocas de conexión
para evitar pinchazos a la red.
 Existan revisiones periódicas de la red buscando pinchazos a la misma.

Y COMUNICACIONES
 El equipo de prueba de comunicaciones ha de tener unos propósitos y

funciones específicas.
 Existan alternativas de respaldo de las comunicaciones.
 Con respecto a las líneas telefónicas: No debe darse el número como
público y tenerlas configuradas con retro-llamada, código de conexión o
interruptores.
Auditoria De La Red Lógica
Manejar:
 Se deben dar contraseñas de acceso.
 Controlar los errores.
 Garantizar que en una transmisión, ésta solo sea recibida por el
destinatario. Para esto, regularmente se cambia la ruta de acceso de la
información a la red.
 Registrar las actividades de los usuarios en la red.
 Encriptar la información pertinente.
 Evitar la importación y exportación de datos.

Y COMUNICACIONES
Auditoría del
Switch de
Acceso de la
Red LAN

Y COMUNICACIONES
Estado Actual
En el diagrama general de la red (Para mayor referencia ver anexo A) podemos
observar desde que llegan los servicios de su proveedor INFOTEC hasta llegar a
los switch de acceso de cada piso del edificio señalado, en este caso nos
enfocamos al switch de acceso ubicado en el piso 9 de la torre Picacho de la
Secretaría de Economía, es importante ver lo que engloba para poder tener mayor
información del equipo a auditar y de esta manera no dejar ningún elemento que
resultara trascendental fuera de la auditoría.
Problemática
Se suscitó una intrusión en el switch de acceso de la Red LAN, causando la falta
de control del mismo y poniendo en riesgo los servicios que pasan por dicho
switch para la subdirección de comunicaciones.
Debido a esto, el Subdirector de Comunicaciones, se preocupó por el bajo nivel de
seguridad en su equipo; como sugerencia el personal que labora en dicha
dependencia le propuso la realización de una auditoría de TI y comunicaciones
para encontrar las vulnerabilidades. Siguiendo los puntos que se describen a lo
largo de este capítulo.
Propuesta
Con esta auditoría se pretende identificar los riesgos potenciales y
vulnerabilidades actuales en el equipo y proponer la implementación de las
mejores prácticas para mitigar la mayor cantidad de ellos, permitiendo la mejor
administración del equipo.
El alcance será auditar el switch de acceso de la Red LAN del edificio Picacho de
la Secretaria de Economía, por el periodo de Enero a Febrero del 2011.
Partiremos de un estudio general del área a auditar y presentaremos un plan y
programa de trabajo en el que se efectuarán pruebas sustantivas y de
cumplimiento, además de obtener evidencias con lo que podremos efectuar un
reporte de recomendaciones por cada punto de riesgo que se encuentre y poder
mitigarlo.
Estudio General del Área a Auditar

El estudio comenzó con una visita a las instalaciones de la SE (ver anexo I), en
dicha visita se tuvo una reunión con el director de Informática y el subdirector de
Comunicaciones para conocer la problemática suscitada y una vez concluida la
plática se les solicitó acceso al lugar donde se encuentra el equipo afectado, esto
con la finalidad de conocer el estado actual de las instalaciones y así obtener un
panorama general que nos ayudará a la planeación de las posibles actividades
que definirán la auditoria.
Y COMUNICACIONES
En este recorrido se observaron las adecuaciones que tiene la SE con respecto a

la ubicación e instalación de sus equipos de comunicación, además de medios de
seguridad física tales como control de acceso sólo a través de tarjetas magnéticas,
el monitoreo de los equipos mediante cámaras de vigilancia y dispositivos de
enfriamiento para mantener a toda el área a la temperatura adecuada.
Finalmente empezamos con investigar características del equipo a auditar,
conocer cómo se manejan las comunicaciones dentro de la secretaría, de los
antecedentes del área, el porqué de la migración a equipos CISCO y de cómo está
estructurada la red local a nivel global.
Planeación y Programa de Trabajo

Se establecieron actividades concretas y fechas para las mismas (para mayor
referencia consultar el anexo II); para este punto se consideraron sólo días
hábiles y se elaboró un cronograma con base de los tiempos planteados a la
dirección para no interrumpir actividades propias del área a auditar, así como las
acciones concretas para poder obtener las evidencias y las pruebas necesarias
del equipo y las entrevistas con los encargados de la administración, control y
mantenimiento del switch de acceso, así como la solicitud de oficios necesarios
para tener acceso a la información e instalaciones necesarias en el periodo de la
auditoría y que los encargados o responsables tuvieran conocimiento y
proporcionaran lo solicitado dentro de los tiempos marcados y aprobados por la
dirección y los responsables de la auditoría.
El cronograma (para mayor referencia consultar el anexo III) abarca del 14 de
febrero al 5 de marzo del 2011 teniendo 16 días de actividades concretas dentro
de ese periodo y se contemplan el 100% de las actividades a desarrollar en esta
auditoría, así como los reportes finales, reuniones y confrontas, además de la
entrega de resultados a la Dirección General de Informática con las
recomendaciones emitidas en base a las evidencias recabadas en los tiempos
marcados y que tienen como alcance el primer bimestre del 2011.
Reunión con área para notificar auditoría

Se programó una reunión con el área a auditar, ahí mismo se establecieron los
lineamientos para la elaboración del oficio donde se notifica que se realizará la
auditoria para poder tener el apoyo del personal involucrado y que se proporcione
la evidencia necesaria así como conocer las actividades relacionadas con el
switch de acceso de la red LAN. En esta reunión se trataron además los puntos de
los alcances de la auditoría, los objetivos planteados y las dudas de la dirección
acerca del manejo de la información obtenida y la confidencialidad de los datos y
documentación, estableciendo un compromiso de no reproducción y discreción en
aquella información de uso exclusivo de la secretaría, así como aquella que si

Y COMUNICACIONES
podría ser expuesta para el análisis de la auditoría (para mayor referencia

consultar anexo IV y V).
Al término de dicha reunión se aprobó el cronograma de actividades así como se
giraron las instrucciones para la elaboración de oficios necesarios para notificar y
tener el apoyo de la dirección con el personal involucrado e iniciar las actividades
previamente expuestas.
Entrega de oficio de Orden y levantamiento de Acta de

inicio de Auditoría
Al siguiente día de la reunión con el área y de establecer actividades y tiempos
para la auditoría, se entregó el oficio de orden de auditoría (ver anexo VI), así
como el acta de inicio de la misma, con ello se dieron las indicaciones al personal
involucrado para proporcionar las evidencias que se consideren pertinentes en la
auditoría y tener acceso al equipo, se establecieron tiempos para las entrevistas y
recolección de información así como la visita al SITE a realizar las pruebas
pertinentes con el personal sin afectar la operación.
Se oficializó con esto el inicio de la auditoría ante el personal operativo con el que
estaríamos trabajando los días siguientes en la obtención de evidencias, las
cuales servirán para poder efectuar las recomendaciones en el reporte final.
Solicitud de Información y Documentación

Se solicitó formalmente la documentación y toda aquella información que
respaldará las actividades y controles llevados en relación al swith de acceso de la
red LAN del piso 9, esto con el fin de recabar los documentos existentes que
soportarán la información que será revisada tanto en las entrevistas como en el
análisis de la información, parte importante de la auditoria que servirán de
evidencias (ver anexo VII).
Entrevistas con responsables de actividades

Durante tres días se realizaron entrevistas con personal operativo de la secretaría
para recabar evidencias e información relacionada a la seguridad física y lógica
del switch, la primer entrevista se realizó con el Ingeniero Alonso Zamorate
Rentería quien es el responsable de la instalación de equipos de comunicación en
el SITE, con el pudimos observar la parte de seguridad física del equipo y se le
pidió ver diagramas de red, de acomodo y distribución de equipo y de la forma en
la que se mantiene la limpieza dentro del SITE, controles de acceso, regulación de
corriente y temperatura, además se le solicitó la información correspondiente a
planes de contingencia y los medios de seguridad física instalados.

Y COMUNICACIONES
La siguiente entrevista se efectuó con Ingeniero Eudaldo Rivera Melgarejo,

coordinador adjunto de la subdirección de comunicaciones, el cual indicó la
información más amplia de la estructura general de la red, de los controles que se
llevan y no se llevan a cabo en relación a las incidencias, se le pidió información
de la documentación de la red y la información de proveedores externos de los
servicios, manejo de reportes y planeación de la migración a equipos CISCO
expuesta.
Finalmente con el Ingeniero Francisco Javier Herrera López, Subdirector de
Comunicaciones, se le preguntó acerca de las políticas y procedimientos propios
de la subdirección, de la dirección y de la secretaría en general aplicados, de los
antecedentes de auditorías de TI y comunicaciones en el área, de la asignación de
roles y privilegios de usuarios, del manejo de planes de capacitación y
adiestramiento del personal y finalmente de cómo manejan la seguridad física y
lógica y si llevan reportes del funcionamiento de los equipos de comunicación.
Análisis de la información
Una vez que se tiene la información recabada y las evidencias entregadas se
procedió a realizar un análisis de dicha información en base a la parte documental
obtenida, en esta actividad se contaba con información proporcionada por los
encargados y responsables que se señalaron con anterioridad y solo se contó con
poca información ya que las actividades que desarrollan en la Subdirección de
Comunicaciones carecen de políticas y procedimientos y no hay un respaldo ni
bitácoras en muchos de los controles revisados, aun así y con lo que se contaba
se analizó la información y revisaron aquellos elementos que mediante dos check
list basado en CISCO (que es el proveedor del switch auditado) pudimos obtener
más información tanto en seguridad física como lógica (ver anexos VIII y IX) y que
nos serviría para, posteriormente, elaborar un reporte de recomendaciones
basado en COBIT para que los puntos observados puedan ser mejorados a través
de las mejores prácticas y se puedan acreditar posteriores auditorias, tanto
externas como internas.
Dentro de la información entregada por los encargados se encontraban reportes
de su proveedor de servicios llamado INFOTEC, el cual lleva la parte de internet,
mantenimiento de la red LAN y conectividad entre otros edificios propios de la
Secretaría, estos reportes corresponden al primer bimestre del año en curso,
periodo que fue el auditado y que se relaciona en algunas actividades del switch
de acceso de la red LAN.
Evaluación del Control Interno

Se empezó a dar valoración a las evidencias entregadas que son relacionadas al
control interno, cabe destacar que no se cuenta con bitácoras de incidencias, no
se lleva mucha documentación lo cual hace que los antecedentes de fallas y

Y COMUNICACIONES
eventos se pierda, debido a que no llevan un control interno en muchas de las

funciones y lo delegan a su proveedor de servicios mucha información está a nivel
global de todos los servicios dejando sin claridad si existe un buen control de cada
elemento de la red LAN.
Aquí mismo analizamos y evaluamos la seguridad física del equipo, los accesos al
SITE y el mantenimiento de los equipos, específicamente enfocándonos al switch
auditado, en esta evaluación también consideramos parte del checklist señalado
anteriormente y que se encuentra en los anexos en cuanto a seguridad física.
Pruebas sustantivas y de Cumplimiento

Se realizaron pruebas al switch de acceso mediante el Router Audit Tool (RAT)
que es una aplicación que permite, mediante una serie de parámetros, observar y
detectar puntos críticos de nuestro switch en cuanto a seguridad lógica (para
mayor referencia ver anexo X). Pudimos obtener mayor información mediante los
checklist señalados con anterioridad en cuanto a seguridad física y lógica del
switch de acceso.
La visita al SITE nos permitió de igual manera evaluar la seguridad dentro y fuera
de él, que puede afectar a los equipos; en él pudimos apreciar qué puntos pasa la
seguridad y en qué otros realizaremos observaciones así como del mantenimiento
preventivo y correctivo que le afecta al equipo.
Identificación de Irregularidades
Ya habiendo efectuado el análisis de la información obtenida a través de las
actividades anteriores, se procedió a identificar las irregularidades que se
encontraron en todo este proceso de auditoría para su análisis y posterior
elaboración de recomendaciones, así como los riesgos potenciales de cada
irregularidad y el cómo reducir riesgos, así como aquellos que tienen un mayor
impacto en la continuidad de la operación de la red.
Reunión para comentar Irregularidades

Se programó una reunión con el Ingeniero Francisco Javier Herrera López para
comentar aquellas irregularidades que se detectaron con base al análisis y al
recabar la información y las evidencias sustantivas que se requirieron en el
proceso de la auditoría, en dicha reunión el ingeniero nos hizo las observaciones
de que debido a la migración que están iniciando mucha documentación no se
tiene, así como falta de continuidad de actividades entre las administraciones que
salieron y la que está actualmente, señala además de que por falta de
presupuesto no se han establecido programas de capacitación al personal
continuamente.

Y COMUNICACIONES
Otro punto es que el proveedor de servicios será cambiado mediante una licitación
en menos de un mes, lo cual hace que estén en muchos cambios y el personal
tenga actividades en ciertos momentos emergentes y carentes de una guía
específica que regule las actividades de la subdirección, así como de los
encargados del SITE.
Elaboración de Reportes e Informe de Observaciones

A partir de lo comentado en la reunión y de todos los elementos con los que
contamos a lo largo de estos días, todas las evidencias recabadas y las pruebas
efectuadas fueron de suma importancia para la elaboración de este informe de
observaciones, en donde se especifican aquellos puntos en la seguridad física y
lógica donde hay que poner más énfasis debido a que son de un gran riesgo
potencial para la continuidad de los servicios que brinda el switch de acceso
auditado.
El reporte contiene los elementos recabados tanto en las entrevistas, como las
evidencias y la información documental recibida, después del análisis de dichos
elementos se efectuará una reunión de confronta, en la cual se podrán resolver los
últimos puntos con los responsables de cada área y poder elaborar el reporte final
y el levantamiento del acta de cierre correspondiente a la auditoría efectuada al
switch de acceso de la red LAN del PISO 9, edificio Picacho de la Secretaría de
Economía (Para mayor referencia ver anexo XI).
Matriz de Riesgo
Los beneficios que se obtienen al efectuar los controles marcados en la matriz de
riesgo es que la Subdirección de Comunicaciones cuente con las herramientas
mínimas necesarias para operar con eficiencia, eficacia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad el manejo de los datos y
recursos de tecnologías de información de la Secretaría de Economía, así como
asegurar la calidad de los servicios que ofrece (ver anexo XII).

Y COMUNICACIONES
El control reduce el
Riesgos / Controles Probabilidad
Consecuencia Riesgo a:
1.2 1.3 1.4 Probable planeación inadecuada de las actividades y

PLANEACIÓN Y ORGANIZACIÓN
aseguramiento de los controles aplicados a los procesos y

1 áreas de mayor riesgo para prevenir su ocurrencia. Mayor Probable Bajo
Adecuada planeación de actividades
1.9 Desconocimiento de vulnerabilidades.

2 Mayor Casi Certeza Bajo
Implementación de controles adecuados para mitigar
pérdidas.
Riesgos / Controles El control reduce el

Probabilidad
Consecuencia Riesgo a:
2.3 Instalación Errona y/o mala configuración que repercute
en el desempeño
3 Adquisición, implementación y actualización de equipos de Mayor Probable Bajo
comunicación.
ADQUISICIÓN E IMPLEMENTACIÓN
2.4 No saber cómo corregir alguna falla que se presente.

4 Solicitar, la documentación necesaria del equipo de Mayor Probable Probable
comunicación al proveedor
2.6 Falta de control en los equipos de comunicación contra
posibles incidencias.
5 Establecer la metodología para la administración de Mayor Probable Bajo
cambios.
2.7 Mala configuración de los equipos al momento de la

liberación.
Generar las instrucciones a seguir para la adecuada
6 migración y determinar el plan a seguir para la liberación de Mayor Moderadas Bajo
los nuevos equipos.

Y COMUNICACIONES
El control reduce el
Riesgos / Controles Consecuencia Probabilidad
Riesgo a:
3.1 Falta de control en el acceso al equipo de comunicaciones.

7 Catastrófico Probable Probable
Crear listas de acceso en el equipo de comunicación que se
requieran
3.2 Inexistencia de continuidad y falta de mantenimiento.

8 Mayor Moderas Bajo
Contratar el servicio de soporte y mantenimiento del
proveedor.
3.3 Falta de administración por intrusión.

9 Mayor Probable Bajo
Contar con los servicios necesarios para la revisión en los
niveles de servicio del equipo de comunicación.
3.4 No tomar en consideración las recomendaciones necesarias.

ENTREGA Y SOPORTE
10 Catastrófico Probable Bajo

Elaborar de planes para la continuidad de servicios.
3.5 Posible daño en los equipos de comunicación y la mala

11
operación. Catastrófico Probable Bajo
Establecer y dar a conocer políticas de seguridad.
3.7 Configuración inadecuada del equipo administrado.

Crear programas de capacitación para el personal responsable
e de la administración del equipo de comunicaciones.
3.12 El equipo sufra una caída.

13 Catastrófico Casi Certeza Bajo
Instalación adecuada en el rack
3.12.2 Posible choque eléctrico que puede causar daño al

14
equipo o alguna lesión a la persona. Mayor Moderadas Poco Probable
Restringir acceso con objetos metálicos
3.13 Posibles fallas en el equipo que no se puedan reparar.

Contratación de mantenimiento correctivo.

Y COMUNICACIONES
El control reduce
el Riesgo a:
4.4 Efectuar trabajo sin llegar al objetivo de la dirección.

MONITOREO
16 Establecer un marco de gobierno efectivo que Mayor Moderadas Bajo

permita medir el desempeño y asegurar la
efectividad y eficiencia de TI.
Casi Certeza 2 13
Probable 1,3,4,5,9,15 7,10,11,12
Moderadas 6,8,14,16
PROBABILIDAD
Poco Probable
Bajo
Insignificante Menores Moderados Mayor Catastrófico
IMPACTO
Reunión de Confronta, Levantamiento de Acta de Cierre y

firma de Observaciones.
Con todos los reportes elaborados se efectuó una reunión en la cual se
confrontaran aquellos elementos que faltaron de evidenciar, un punto de suma
importancia que se resaltó en esta reunión fue que muchos de los faltantes han
sido a causa de no tener políticas y procedimientos dentro de la dirección y sus
subdirecciones en cuestión, ya que ello hace que mucho del trabajo se efectúe de
manera poco regulada y sin llevar a los objetivos de la alta dirección.
Se inició con el levantamiento del acta de cierre y en esta reunión asistieron los
entrevistados, los encargados de las áreas relacionadas a lo auditado: el Ingeniero
Eudaldo Rivera Melgarejo, coordinador adjunto de la subdirección de
comunicaciones, el Ingeniero Alonso Zamorate Rentería quien es el responsable
de la instalación de equipos de comunicación en el SITE, el Ingeniero Francisco
Javier Herrera López, Subdirector de Comunicaciones así como el Ingeniero
Enrique Vara Solorio, Director General de Informática de la Secretaría de
Economía (Ver anexo XIII).

Y COMUNICACIONES
Todas aquellas observaciones hechas se les informaron para poder conocer sus
puntos de vista y si había elementos no considerados en ellas, para poder tener el
cierre de cada observación y plasmarla en el reporte final, así como las
recomendaciones basadas en la metodología COBIT que contiene las mejores
prácticas aplicadas en la normatividad que regula las actividades de las
secretarías a nivel federal (Ver anexo XIV, XV y XVI).
Elaboración de Oficio de envío de Informe y Reporte de

Observaciones.
Finalmente posterior a la última reunión se elaboró el oficio donde se informa el
resultado de la auditoría, así como el reporte de observaciones a la Dirección
General de Informática de la Secretaría de Economía, con esta acción se dio por
terminado todo el proceso de auditoría que llevamos a cabo al switch de acceso
de la red LAN del edificio Picacho, brindando una serie de recomendaciones por
cada punto de riesgo que se encontró y señalando además los niveles de riesgo y
como mitigarlos (Ver anexo XVII).

Y COMUNICACIONES
Conclusiones

Y COMUNICACIONES
Conclusiones.
Los procesos de auditoría en TI y comunicaciones son importantes en cualquier
institución, tanto privada como pública, ya que muestra a través de análisis de
riesgos, metodologías, reportes e informes, aquellas vulnerabilidades de lo
auditado y permite hacer recomendaciones para mitigar riesgos y a su vez verificar
aquellos controles tanto preventivos como correctivos necesarios en los equipos
de comunicaciones, como en este caso, el switch de acceso de la red LAN
auditado en la Secretaría de Economía.
Los procesos y niveles de seguridad para el manejo de la información deben de
estar establecidos y la auditoría debe de verificar que se apliquen en todas las
actividades y se apeguen a la normatividad vigente, las políticas y procedimientos
de cada institución, además de que estén alineadas a los objetivos de la alta
dirección. Es importante verificar la metodología para la administración de cambios
en los niveles dedicados a la infraestructura de TI, que permitan sostener los
servicios que estén involucrados.
La guía en la que fue basada la auditoría fue un Checklist que evalúa la seguridad
física de los Switches manejada por el proveedor del equipo auditado que es
CISCO; para evaluar la seguridad lógica se tomó como referencia el Checklist que
la NSA (Agencia Nacional de Seguridad de Estados Unidos) ofrece para la
revisión del IOS (Sistema Operativo de Interconectividad) de los Switches CISCO
y las recomendaciones efectuadas se basan en el modelo COBIT, que es el que
se cita en la regulación federal para la elaboración de auditorías a instituciones
gubernamentales.
Esta auditoría nos permitió adentrarnos a los procesos aplicados al switch de
acceso y darnos cuenta de la importancia de lo antes mencionado y de cómo las
recomendaciones que efectuamos mitigan riesgos que ponen en peligro la
continuidad de las operaciones de una red como la auditada, finalmente la
experiencia nos ha dejado un conocimiento amplio de todo lo que implica realizar
una auditoría a un equipo de comunicación y nos permitió adentrarnos al mundo
de la auditoria de las TI y comunicaciones, en el cual trabajaremos para ir
ampliando nuestro panorama y aplicarlo continuamente en diversos proyectos.

Y COMUNICACIONES
Anexos

Y COMUNICACIONES
Índice de Anexos
I Datos y Croquis
II Carta de Planeación
III Cronograma
IV Programa de Trabajo
V Marco Conceptual
VI Oficio de Inicio de Auditoría
VII Oficio de Petición Documental
VIII Check List Seguridad Física
IX Check List Seguridad Lógica
X Router Audit Tool
XI Reporte de Observaciones
XII Reporte y Matriz de Riesgo
XIII Minuta
XIV Informe de Auditoría
XV Indice de documentos
XVI Supervisión Integración de Expediente
XVII Oficio de Observaciones e Informe

Y COMUNICACIONES
AUDITORÍA: AE-01/11
SECRETARIA DE ECONOMIA
DIRECCIÓN GENERAL DE INFORMATICA
SUBDIRECCION DE COMUNICACIONES

Y COMUNICACIONES
AUDITORÍA: AE-01/11
DATOS GENERALES DEL

ÁREA AUDITADA
SECRETARÍA DE ECONOMÍA
ÁREA AUDITADA:
DIRECCIÓN GENERAL DE INFORMATICA
ING. FRANCISCO JAVIER HERRERA LOPEZ

NOMBRE DEL TITULAR:
SUBDIRECTOR DE COMUNICACIONES
DIRECCIÓN DE LAS Periférico Sur No. 3025 Piso 9 Col. San Jerónimo Aculco,
OFICINAS: Delegación Magdalena Contreras, C.P. 10400, Distrito Federal,
TELÉFONOS: 56299500 extensión 27435
CROQUIS DE LOCALIZACIÓN

Y I.-
COMUNICACIONES
Datos y croquis
D i recci ón General de I nf ormáti ca
Subdi recci ón de Comuni caci ones
CARTA DE PLANEACIÓN
SECRETARIA DE ECONOMIA
No. de auditoría: AE-01/11 Área a auditar: Dirección General de Informática/ Fecha: 14/Febrero/2011
Subdirección de Comunicaciones
Clave y rubro Seguridad del swich de acceso. Trimestre Primer 2011

auditado:
Antecedentes
No se cuenta con antecedentes de auditorías en este rubro efectuadas a la Secretaría de Economía.
Objetivo de la auditoría
Verificar los controles generales de seguridad en el switch de acceso que sustenta la red Lan.
Alcances / Universo
El alcance comprende auditar el switch de acceso de la Red LAN del edificio Picacho de la Secretaria de Economía, por el periodo de Enero a
Febrero del 2011; el universo a verificar será el 100% de los recursos asignados del alcance o muestra determinada.
Muestra
Dependiendo del volumen de información y actividades de gestión del área, se determina como muestra el periodo de Enero a Febrero del 2011
Problemática
Se suscitó una intrusión en el switch de acceso de la Red LAN, causando la falta de control del mismo.
Estrategia / Procedimientos
Su inicio se formalizará mediante la orden y la firma del acta respectiva, en ese mismo acto será entregada la solicitud de información; la cual,
una vez proporcionada, será analiza cuantitativa y cualitativamente a efecto de realizar las pruebas sustantivas y de cumplimiento. Posterior al
análisis y demás procedimientos y técnicas de auditoría aplicados, se recabará únicamente la documentación que sustente los hallazgos
detectados que deberán ser incluidos en el Reporte e Informe de Observaciones.
La auditoría está planeada y calendarizada sistemáticamente; su ejecución se realiza conforme a las Normas de Auditoría generalmente
aceptadas y los formatos para tal efecto establecidos; el análisis cuantitativo y cualitativo de la información, así como las entrevistas y/o
cuestionarios a aplicar a los servidores públicos responsables de la función, servirán para identificar, entre otros aspectos:
• El área, sus procesos e información general y detallada, para determinar las pruebas a realizar.
• Los puntos críticos de los controles de seguridad y documentales.
Personal Comisionado:
Nombre Cargo Firma

Francisco Javier Herrera López Subdirector de Área
Alejandro Saucedo Vidals Auditor
David Juárez Avelar Auditor
Isaac González Ramírez Auditor
Miguel Angel Romero Mora Auditor
Vo. Bo. del

Elaboró: responsable:
C. Miguel Angel Romero Mora Ing Enrique Vara Solorio
Nombre y firma Nombre y firma
SEMINARIO
Periférico sur DE
No. AUDITORÍA DE LAS Aculco,
3025 Col. San Jerónimo TECNOLOGÍAS
Delegación DE LA INFORMACIÓN
Magdalena contreras, C.P. 10400, Distrito68
Federal,
México.
Y COMUNICACIONES Pág. 1 de 1

Y COMUNICACIONES

Y COMUNICACIONES

Y COMUNICACIONES

Y COMUNICACIONES
AUDITORÍA DEL SWITCH DE ACCESO DE LA RED
D i recci ónLAN
General de I nf ormáti ca
MARCO CONCEPTUAL
No. de auditoría: AE-01/11 Área a auditar: Dirección General de Informática Fecha: 18/Febrero/2011
Tipo de auditoría: Específica /Subdirección de Comunicaciones Auditor: DJA
Rubro:
Seguridad en equipos de comunicación.
Objetivo:
Verificar los controles generales de seguridad en el switch de acceso que sustenta la red Lan.
Universo:
El alcance comprende auditar el switch de acceso de la Red LAN del edificio Picacho de la Secretaria de
Economía, por el periodo de Enero a Febrero del 2011; el universo a verificar será el 100% de los recursos
asignados del alcance o muestra determinada.
Muestra:
Dependiendo del volumen de información y actividades de gestión del área, se determina como muestra el periodo
de Enero a Febrero del 2011.
Procedimientos:
Para la realización de la auditoría, fue elaborada una Carta de Planeación, el Cronograma de Actividades y un
Programa Específico de Auditoría, que detalla secuencial y cronológicamente las etapas de planeación, ejecución e
informe de resultados.
Las técnicas para su ejecución serán el estudio general, el análisis, la inspección, la confirmación, la investigación,
la declaración, la observación, así como los ordenamientos establecidos en el Programa Anual de Auditorías
Externas de la Dirección General de Auditorías Externas y basado en los lineamientos del Órgano Interno de
Control de la Secretaría de Economía.
Conclusión:
Se darán a conocer las observaciones con sus causas, efectos, fundamento legal y recomendaciones correctivas y
preventivas propuestas, en los Reportes de Observaciones de Auditoría Externa y el Informe de Auditoría
respectivo, al finalizar la intervención.
Periférico sur No. 3025 Col. San Jerónimo Aculco, Delegación Magdalena contreras, C.P. 10400, Distrito Federal,
México.
SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN
Pág. 1 de 1 73
Y COMUNICACIONES
V.- Marco Conceptual
Oficio No. DGI/SC/01/2011
Asunto: Se ordena inicio de auditoría
México, D. F., a 16 de Febrero de 2011

SUBDIRECTOR DE COMUNICACIONES DE LA
PRESENTE
Con fundamento en lo dispuesto en el artículo 37, fracciones I, IV, V, VII y X de la Ley Orgánica de la
Administración Pública Federal, se llevará a cabo la auditoría número AE-01/11, denominada “Auditoria del switch
de acceso de la red LAN”, específicamente a la Subdirección de Comunicaciones y áreas relacionadas, cuyo
objetivo es verificar los controles generales de seguridad involucrados en el cumplimiento de metas y objetivos.
Para tal efecto, esta Dirección ha autorizado para su realización a los CC. Alejandro Saucedo Vidals, Isaac
González Ramírez, David Juárez Avelar y Miguel Angel Romero Mora, como auditores comisionados para la
ejecución de la auditoría, por lo que se solicita el acceso a la documentación conformada por registros, reportes,
informes, manuales, correspondencia y demás efectos relativos a la operación y administración de dichas áreas,
así como suministrarles todos los datos e información que soliciten para la ejecución de la auditoría.
La auditoría iniciará a la presentación de este documento y revisará lo correspondiente al periodo de enero a

febrero de 2011, lo cual es enunciativo, más no limitativo, ya que el período y objetivo de la auditoría podrán ser
ampliados según se considere pertinente.
Asimismo, le agradeceré girar sus instrucciones a quien corresponda a efecto de que el personal comisionado
tenga acceso a las instalaciones de esa Unidad Administrativa y se le brinden las facilidades necesarias para la
realización de su cometido.
Sin otro particular, quedo de usted.
ATENTAMENTE
EL DIRECTOR GENERAL DE INFORMÁTICA
ING. ENRIQUE VARA SOLORIO
C.c.p. Expediente.
SEMINARIO
México. DE AUDITORÍA DE LAS TECNOLOGÍAS DE LAPág.
INFORMACIÓN
1 de 1 74
Y COMUNICACIONES
VI.- Oficio de Inicio de Auditoria
Asunto: Solicitud de información y documentación
México, D. F., a 17 de Febrero de 2011

SUBDIRECTOR DE COMUNICACIONES DE LA
PRESENTE
Derivado de la auditoría No. AE-01/11, mediante oficio No. Oficio No. DGI/SC/01/2011 del pasado 16 de Febrero de
2011, y con fundamento en lo dispuesto en el artículo 37, fracciones I, IV, V, VII y X de la Ley Orgánica de la
Administración Pública Federal, se solicita la siguiente información y documentación:
• Manual Administrativo, en sus rubro organizacional y de procedimientos.

• Muestra de los controles y formatos operativos de los procedimientos referenciados en el Manual
Administrativo y de los adicionales para atender a las áreas usuarias.
• Programas, metas y actividades institucionales.
• Inventarios completos de software y hardware con resguardos firmados por usuario.
• Requisiciones de compra de equipos de comunicaciones, y relación de contratos de prestación de servicios y/o
mantenimiento de tecnologías de información (sistemas y/o aplicativos, telecomunicaciones, redes, etc.)
• Política de seguridad.
• Plan de contingencias y recuperación de desastres.
• Relación de equipos de comunicación con sus respectivas IP´s.
Agradeceré el envío por este conducto de la información antes descrita, en archivo electrónico y/o copias
fotostáticas; de no contar con la misma, indicar la causa o motivo, en un plazo no mayor a dos días hábiles.
Sin otro particular, hago propia la ocasión para enviar a usted un cordial saludo
ATENTAMENTE
AUDITOR
C. DAVID JUÁREZ AVELAR
C.c.p. Expediente.
México. Pág. 1 de 1
Y COMUNICACIONES
VII.- Oficio de Petición Documental

Y COMUNICACIONES

Y COMUNICACIONES
Cisco IOS Switch Security Checklist
NO
DESCRIPCIÓN PASA FALLA
APLICA
Incluir una sección de switches en las políticas de seguridad X
Control de acceso físico al switch sólo para el personal autorizado X
Instalar la última versión estable del IOS en cada switch X
Crear un ‘enable secret’ password

X
Administrar el switch separado del tráfico de datos, si el manejo no es

factible entonces dedicar un número separado de VLAN para el X
manejo dentro del tráfico
Establecer tiempos muertos para las sesiones y configurar niveles de

X
privilegios.
Configurar un banner para indicar que el acceso desautorizado está

X
prohibido.
Deshabilitar servicios de red innecesarios X
Habilitar servicios de red necesarios y configurar estos servicios

X
adecuadamente
Utilizar SSH en vez de Telnet y establecer contraseñas robustas para

X
SSH
Si el SNMP es necesario, fije una secuencia fuerte de la comunidad

X
para el SNMP.
Implementar puertos seguros para limitar el acceso basado en

X
direcciones MAC.
Deshabilitar auto-trunking en los puertos. X
Utilizar la capacidad del puerto de espejo del switch para el acceso

X
IDS.
Deshabilitar puertos en desuso. X
Asignar puertos troncos a un número nativo de VLAN que no sea

X
usado en ningún otro puerto.
Limitar las VLANs que puedan ser transportadas sobre un puerto

X
tronco para aquellos que sólo sean necesarios.
SEMINARIO
Usar configuración DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN
VLAN estática. X 78
Y COMUNICACIONES
Si es posible deshabilitar VTP, si no, establecer lo siguiente para

Y COMUNICACIONES
REPORTE DE ANÁLISIS DE RIESGOS

Fecha: 03-Marzo-2011
No. de auditoría: Descripción: Controles generales para la seguridad del switch de
AE-01/11 acceso
Dirección General de Informática – Subdirección de
Dependencia: Secretaría de Economía Área a Verificar:
Comunicaciones
SITUACIÓN
Como resultado del análisis efectuado a los controles generales para la seguridad del switch de acceso operación, de la
Subdirección de Comunicaciones de la Dirección General de Informática, en la Secretaría de Economía, para el periodo
Enero – Febrero del 2011; y como resultado de las entrevistas, investigación y análisis efectuado al switch de acceso, se
detectó los siguiente:
1.- Planeación y Organización.

1.1 No existe una planeación estratégica en materia de Tecnologías de la Información (TI), que establezca las
prioridades de la Subdirección de Comunicaciones acorde a los objetivos de la Secretaria de Economía, para una
mejor utilización de los recursos de TI.
1.2 No se cuenta con definición de los procesos, ni niveles de seguridad para información sensitiva y no sensitiva.
1.3 No se cuenta con documentación necesaria para determinar la dirección tecnológica para dar soporte al negocio.
1.4 No se cuenta con la documentación de cada uno de los roles y actividades de los usuarios.
1.5 N/A
1.6 No existe la adecuada comunicación entre la Dirección de TI y los niveles operativos con respecto al marco de
trabajo establecido.
1.7 Se cuenta con un plan de capacitación anual dirigido a personal de base, confianza y mandos medios que se
encuentra en la Secretaría de Economía.
1.8 N/A
1.9 No se cuenta con un marco de trabajo para la administración de riesgos.
1.10 No se cuenta con un marco de trabajo para la administración de programas y proyectos de TI establecidos.
2.-Adquirir e Implementar
2.1 N/A
2.2 N/A
2.3 No se cuenta con procesos para adquirir, implementar y actualizar equipos de comunicación.
2.4 No existe documentación acerca del equipo de comunicación.
2.5 N/A
2.6 No existe una metodología para la Administración de Cambios.
2.7 No se cuenta con las instrucciones de migración y la planeación para la liberación de los nuevos equipos de
comunicación.
3.-Entrega y Soporte:
3.1 No se cuenta con listas de acceso al equipo (ACL)
3.2 No se cuenta con la administración de servicios provistos por un tercero.
3.3 No se cuenta con un servicio de revisión periódica de los niveles de servicio para optimizar el desempeño del equipo
de comunicación.
3.4 No se cuenta con un plan de continuidad de servicios.
3.5 No se cuenta con políticas generales de seguridad.
3.6 N/A
3.7 El personal no está entrenado debidamente para enfrentarse algún tipo de contingencia.
3.8 Se cuenta con un sistema de atención a usuarios por medio del cual se le da seguimiento a las fallas en la red.
3.9 Los archivos de configuración de los equipos de comunicación se encuentran asegurados y respaldados, y sólo el
personal autorizado tiene acceso a ellos.
SEMINARIO
México. DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN
Pág. 80
Pág.180
dede
1 7
Y COMUNICACIONES
XI.- Reporte y Matriz de Riesgos
3.10 .No se cuenta con una respaldo de Logs de los equipos en caso de incidentes o para auditorias subsecuentes.
3.11 N/A
3.12 Existen controles de seguridad física sin embargo no se cuenta con ciertos lineamientos, tales como:
• La adecuada instalación de los equipos en los racks.
• Restricción al acceso del SITE con objetos metálicos personales (anillos, pulseras, relojes, etc.).
3.13 No se cuenta con políticas para el mantenimiento y monitoreo de los equipos de comunicación.
4.- Monitoreo
4.1 No se cuenta políticas de monitoreo y evaluación del desempeño de los equipos de comunicación.
4.2 No se cuenta con un programa de control efectivo para el monitoreo interno.
4.3 No se cuenta con una supervisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos
contractuales.
4.4 No se cuenta con un marco de gobierno de TI efectivo.
CAUSA RIESGO
1.- Planeación y Organización. 1.- Planeación y Organización.
1.1 Inobservancia a la normatividad establecida en materia de 1.2, 1.3, 1.4 Probable planeación inadecuada de las
tecnologías de la información. actividades y aseguramiento de los controles
1.2 1.3 1.4 Falta de actualización de manuales, políticas, aplicados a los procesos y áreas de mayor riesgo
lineamientos y procedimientos internos que regulen y para prevenir su ocurrencia.
documenten las actividades. 1.9 Desconocimiento de vulnerabilidades.
1.6 Falta de conciencia y entendimiento de los objetivos.
1.9 Inexistencia de una metodología para el análisis de
riesgos.
1.10 No se cuenta con un marco trabajo para la administración
de programas y proyectos.
2.- Adquirir e Implementar
2.- Adquirir e Implementar 2.3 No contar con los equipos solicitados en tiempo.
2.3 Faltan procesos para la adquisición, implementación y
actualización de equipos de comunicación. 2.4 No saber cómo corregir alguna falla que se
2.4 Documentación inexistente del equipo de cómputo. presente.
2.6 Falta de control en los equipos de comunicación
2.6 Falta de información para la administración de cambios. contra posibles incidencias.
2.7 Falta de planes y documentación para la migración. 2.7 Mala configuración de los equipos al momento de la
liberación.
3.-Entrega y Soporte: 3.-Entrega y Soporte:

3.1 Inexistencia de ACL para los equipos de comunicación. 3.1 Falta de control en el acceso al equipo de
comunicaciones.
3.2 No hay un contrato con proveedor. 3.2 Inexistencia de continuidad y falta de
3.3 No existe procedimientos establecidos para el monitoreo mantenimiento.
de la red. 3.3 Falta de administración por intrusión.
3.4 Falta de conocimiento del plan a seguir.
3.4 No tomar en consideración las recomendaciones
3.5 Falta de políticas de seguridad. necesarias.
3.5 Posible daño en los equipos de comunicación y la
3.7 Falta de capacitación para configuración del equipo de mala operación.
comunicación. 3.7 Configuración inadecuada del equipo administrado.
3.10 No se cuenta con archivos de bitácora.
3.12 Queda rezagada la realización de la instalación del 3.12 El equipo sufra una caída.
equipo en el rack.
3.12.1 No hay bitácora de acceso.
México.
SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LAPág. 811 de
de 17
INFORMACIÓN
Pág. 81
Y COMUNICACIONES
3.12.2 No hay supervisión de objetos metálicos. 3.12.2 Posible choque eléctrico que puede causar daño
al equipo o alguna lesión a la persona.
3.13 Falta contratos con proveedores. 3.13 Posibles fallas en el equipo que no se puedan
reparar.
4.- Monitoreo 4.- Monitoreo

4.1, 4.2 No se ha definido ningún tipo de políticas para el
monitoreo para el desempeño del equipos de comunicación.
4.3 No se cuenta con la supervisión que garantice el
cumplimiento de las leyes, regulaciones y requerimientos
contractuales.
4.4 Los procedimientos actuales no están alineados con los 4.4 Efectuar trabajo sin llegar al objetivo de la dirección.
objetivos de la dirección.
RECOMENDACIONES
La Subdirección de Comunicaciones de la Dirección General de Informática, deberá generar un plan de trabajo con las
actividades requeridas para solventar las recomendaciones señaladas a continuación, e informar y justificar a este
Órgano de Control los resultados obtenidos:
1.- Planeación y Organización.

1.1 Elaborar un plan en materia de TI, para una mejor utilización de los recursos de TI.
1.2 Definir los procesos y niveles de seguridad para la información.
1.3 Crear un plan de infraestructura tecnológica.
1.4 Documentar cada uno de los roles y actividades de los distintos usuarios.
1.6 Dar a conocer de manera oportuna las directrices del marco de trabajo.
1.9 Realizar un marco de trabajo adecuado para la administración de posibles riesgos.
1.10 Realizar un marco de trabajo para la administración de programas y proyectos de TI.
2.-Adquirir e Implementar
2.3 Definir los procesos para la adquisición, implementación y actualización de equipos de comunicación.
2.4 Solicitar, la documentación necesaria del equipo de comunicación al proveedor.
2.6 Establecer la metodología para la administración de cambios.
2.7 Generar las instrucciones a seguir para la adecuada migración y determinar el plan a seguir para la liberación de los
nuevos equipos.
3.1Crear listas de acceso en el equipo de comunicación que se requieran.
3.2 Contratar el servicio de soporte y mantenimiento del proveedor.
3.3 Contar con los servicios necesarios para la revisión en los niveles de servicio del equipo de comunicación.
3.4 Elaborar de planes para la continuidad de servicios.
3.5 Establecer y dar a conocer políticas de seguridad.
3.7 Crear programas de capacitación para el personal responsable e de la administración del equipo de comunicaciones.
3.10 Obtención de los logs de los equipos.
3.12 Realizar bitácoras de acceso al SITE e implementar medidas de seguridad con respecto a objetos personales de
tipo metálico y garantizar la correcta instalación en el rack correspondiente.
3.13 Realizar políticas para el mantenimiento y monitoreo de los equipos de comunicación.
4.- Monitoreo
4.1 Fijar métricas para la evaluación del desempeño y monitoreo de los equipos de comunicación.
4.2 Realizar programa de control efectivo para el monitoreo interno de la LAN.
4.3 Determinar la supervisión para garantizar el cumplimiento de las leyes, regulaciones y requerimientos contractuales.
México.
SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LAPág. 82 de Pág. 1 de 1
INFORMACIÓN 82
7
Y COMUNICACIONES
D i recciLAN
ón General de I nf ormáti ca
4.4 Establecer un marco de gobierno efectivo que permita medir el desempeño y asegurar la efectividad y eficiencia de TI.
La Subdirección de Comunicaciones, posterior a la implementación de los mecanismos de control interno observados, deberá
revisarlos, actualizarlos y difundirlos periódicamente para evitar su recurrencia.
Enviar a esta Dirección evidencia documental que acredite las acciones implementadas.
BENEFICIOS
Que la Subdirección de Comunicaciones cuente con las herramientas mínimas necesarias para operar con
eficiencia, eficacia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad el manejo de los datos
y recursos de tecnologías de información de la Secretaría de Economía, así como asegurar la calidad de los
servicios que ofrece.
Pág. 83 de 7
Y COMUNICACIONES
MATRIZ DE EVALUACIÓN
El control reduce
el Riesgo a:
1.2 1.3 1.4 Probable planeación inadecuada de las
PLANEACIÓN Y ORGANIZACIÓN
actividades y aseguramiento de los controles aplicados a

1 los procesos y áreas de mayor riesgo para prevenir su Mayor Probable Bajo
ocurrencia.
Adecuada planeación de actividades

1.9 Desconocimiento de vulnerabilidades.
2 Mayor Casi Certeza Bajo
Implementación de controles adecuados para mitigar
pérdidas.
El control
Riesgos / Controles Consecuencia Probabilidad reduce el Riesgo
a:
2.3 Instalación Errona y/o mala configuración que
repercute en el desempeño
Adquisición, implementación y actualización de
equipos de comunicación.
ADQUISICIÓN E IMPLEMENTACIÓN
2.4 No saber cómo corregir alguna falla que se presente.

4 Mayor Probable Probable
Solicitar, la documentación necesaria del equipo de
comunicación al proveedor
2.6 Falta de control en los equipos de comunicación
contra posibles incidencias.
Establecer la metodología para la administración de
cambios.
2.7 Mala configuración de los equipos al momento de la
liberación.
6 Mayor Moderadas Bajo
Generar las instrucciones a seguir para la adecuada
migración y determinar el plan a seguir para la
liberación de los nuevos equipos.
México. Pág.
Pág.84 de 1
1 de 7
Y COMUNICACIONES
D i recciLAN
El control reduce
el Riesgo a:
3.1 Falta de control en el acceso al equipo de
comunicaciones.
7 Catastrófico Probable Probable
Crear listas de acceso en el equipo de
comunicación que se requieran
3.2 Inexistencia de continuidad y falta de
mantenimiento.
8 Mayor Moderas Bajo
Contratar el servicio de soporte y mantenimiento del
proveedor.
3.3 Falta de administración por intrusión.
9 Contar con los servicios necesarios para la revisión Mayor Probable Bajo
ENTREGA Y SOPORTE
en los niveles de servicio del equipo de

comunicación.
3.4 No tomar en consideración las recomendaciones
necesarias.
Elaborar de planes para la continuidad de servicios.
3.5 Posible daño en los equipos de comunicación y la
mala operación.
Establecer y dar a conocer políticas de seguridad.
3.7 Configuración inadecuada del equipo administrado.
12 Crear programas de capacitación para el personal Catastrófico Probable Bajo

responsable e de la administración del equipo de
comunicaciones.
3.12 El equipo sufra una caída.
13 Catastrófico Casi Certeza Bajo
Instalación adecuada en el rack.
3.12.2 Posible choque eléctrico que puede causar daño
al equipo o alguna lesión a la persona.
14 Mayor Moderadas Poco Probable
Restringir acceso con objetos metálicos.
3.13 Posibles fallas en el equipo que no se puedan
reparar.
Contratación de mantenimiento correctivo.
México. Pág. 185dede
Pág. 17
Y COMUNICACIONES
D i recciLAN
El control reduce
el Riesgo a:
4.4 Efectuar trabajo sin llegar al objetivo de la dirección.
MONITOREO
16 Establecer un marco de gobierno efectivo que Mayor Moderadas Bajo

permita medir el desempeño y asegurar la
efectividad y eficiencia de TI.
Casi Certeza 2 13
Probable 1,3,4,5,9,15 7,10,11,12

PROBABILIDAD
Moderadas 6,8,14,16
Poco Probable
Bajo
Insignificante Menores Moderados Mayor Catastrófico
IMPACTO
Elaboró Revisó Visto Bueno

Subdirector de Comunicaciones Director General de Informática
C. Alejandro Saucedo Vidals Ing. Francisco Javier Herrera López Ing. Enrique Vara Solorio
México. Pág.
Pág.861 de 7
de 1
Y COMUNICACIONES

Y COMUNICACIONES

Y COMUNICACIONES

Y COMUNICACIONES

Y COMUNICACIONES

Y COMUNICACIONES

Y COMUNICACIONES
D i recciLAN
MINUTA DE LA REUNIÓN DE TRABAJO REALIZADA ENTRE LA SECRETARÍA DE ECONOMÍA Y

AUDITORES.
MINUTA No. 1
LUGAR HORA Y FECHA:
México , D.F. siendo las 12:00 hrs., del día 4 de marzo de 2011, se reunieron en la sala de juntas del piso 9 de la Dirección
General de Informática de la Secretaría de Economía en el Distrito Federal, sita en Periférico sur No. 3025 Col. San Jerónimo
Aculco, Delegación Magdalena contreras, para tratar asuntos relacionados al Programa de Controles generales para la
seguridad del switch de acceso. Participaron en la reunión el Ing. Enrique Vara Solorio, Director de Informática; Ing. Francisco
Javier Herrera López, Subdirector de Comunicaciones;
CC. Alejandro Saucedo Vidals, David Juárez Avelar, Isaac González Ramírez y Miguel Angel Romero Mora, Grupo Auditor.
ORDEN DEL DÍA:

1.- Lectura de Orden del Día.
2.- Presentación de Observaciones referente a la Auditoria.
3.- Firma de reporte de Observaciones.
OBJETIVO DE LA REUNIÓN:
Confronta, levantamiento de acta de cierre y firma de observaciones
DESARROLLO DE LA REUNIÓN:
El auditor Miguel Angel presentó y dio lectura el documento que contiene las Observaciones encontradas en la Auditoria,
abarcando los cuatro dominios que proporciona COBIT y que son Planear y Organizar, Adquirir e Implementar, Entrega y Dar
Soporte y Monitoreo. Se informó que la documentación proporcionada por el personal de TI fue insuficiente e hizo evidente la
carencia de Políticas y Controles de Seguridad dentro de la Secretaría; además de la inexistencia de un plan de contingencia
que garantice la continuidad de los servicios y la falta de redundancia en los procesos críticos de la Institución. Asimismo, se dio
a conocer que no existen planes para el monitoreo de la red LAN y no se cuenta con los manuales necesarios para la operación
de los equipos de comunicación, todo debido a la falta de contratos de soporte con los proveedores y que dan como resultado la
nula administración de cambios en cuanto a la infraestructura de comunicaciones.
Se cuestionó la existencia de dicha documentación y se invitó a que fuera presentada para así replantear un análisis distinto que
fuera de acuerdo con tal información.
El personal responsable aceptó la falta de la documentación y se llegó al siguiente acuerdo:
-----------------------------------------------------ACUERDO------------------------------------------------
La Dirección de Informática estará en espera del Informe de Recomendaciones Correctivas para su eventual ejecución.
No habiendo más asuntos que tratar, se cierra la presente minuta siendo las 13:00 hrs., del día y la fecha, firmando al margen y
al calce los que en ella intervinieron.
México.
SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA Pág. 93de
de1
INFORMACIÓN
Pág. 1 93
Y COMUNICACIONES
XIII.- Minuta
POR LA SECRETARÍA DE ECONOMÍA
Ing. Enrique Vara Solorio __________________________________

Director General de Informática.
Ing. Francisco Javier Herrera López __________________________________

Subdirector de Comunicaciones.
POR EL GRUPO AUDITOR
C. Alejandro Saucedo Vidals __________________________________
C. David Juárez Avelar ___________________________________
C. Isaac González Ramírez ___________________________________
C. Miguel Angel Romero Mora ___________________________________
México.
SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LAPág. 941de
de 110
INFORMACIÓN
Pág. 1 94
Y COMUNICACIONES
XIII.- Minuta
INFORME DE AUDITORÍA
Número de auditoría: AE-01/11
Descripción: “Auditoria del switch de acceso de la red LAN””
Unidad Administrativa, Dependencia, Órgano Político Secretaría de Economía

Administrativo, Órgano Desconcentrado o Entidad:
Clave: 713
Área(s) especifica(s): Dirección General de Informática / Subdirección de

Comunicaciones.
Número de observaciones: 01
Deficiencias no sujetas a observación:
INTRODUCCIÓN:
Después haber detectado una intrusión en un equipo de comunicación que sustenta el acceso a la red LAN, la Subdirección de
Comunicaciones opto por realizar las medidas pertinentes a este equipo, con la mira a reducir el riego de que el incidente se
volviese a suscitar. La justificación de la presente auditoría al switch de acceso de la red LA de la Secretaría de Economía,
reviste en su importancia en el no contar con antecedentes de auditorías en este rubro y en los puntos críticos de los controles
generales que se debe implementar para reforzar su operación.
Fundamento Legal:
Fundamento en lo dispuesto en el artículo 37, fracciones I, IV, V, VII y X de la Ley Orgánica de la Administración Pública
Federal
OBJETIVO:
• Determinar si existen políticas de seguridad y si éstas incluyen estándares y responsabilidad de la seguridad física y
lógica, así como verificar su vigilancia, comunicación y difusión en tiempo y forma.
• Determinar si existen controles para identificar, autenticar y autorizar el acceso a la información.
• Verificar que existan relaciones de seguridad internas y externas, se realice la evaluación de violaciones de seguridad,
se administren los incidentes, se autoricen las transacciones y se protejan las funciones asociadas a la seguridad.
ALCANCE:
Uno de los switches de acceso a la red LAN, el cual pertenece a la Subdirección de Comunicaciones de la Dirección General
de Informática de la Secretaría de Economía, en el periodo comprendido de enero a febrero de 2011, el universo auditable
será el 100% del alcance o muestra auditada..
Período: Enero – febrero 2011.

Ejercicio: Primer Bimestre 2011.
Monto Auditado: No cuantificable.
Porcentaje: El 100% del alcance o muestra determinado.
RESULTADOS:
De las entrevistas, investigación, inspección y análisis efectuado a instalaciones, equipos, información y documentación
proporcionada por el periodo de enero a febrero de 2011, se detectó lo siguiente:
1.- Planeación y organización.

En relación a las estrategias para identificar la forma en que la tecnología de información contribuya de la mejor manera al
logro de los objetivos, es necesario que la consecución de la visión estratégica sea planeada, comunicada y administrada
desde diferentes perspectivas, estableciendo una organización y una infraestructura tecnológica apropiada.
SEMINARIO
México. DE AUDITORÍA DE LAS TECNOLOGÍAS DE LAPág. 951de
de110
INFORMACIÓN
Pág. 1 95
Y COMUNICACIONES
XIV.- Informe de Auditoria
Sobre este particular, la Subdirección de Infraestructura no cuenta con una planeación estratégica en materia de TI, que
establezcan sus prioridades en acorde a los objetivos de la Secretaria de Economía para una mejor utilización de los recursos,
además de no tener bien definidos los procesos para los niveles de seguridad para el tipo de información sensitiva y no
sensitiva. Por otro lado, esta área no cuenta con la documentación necesaria para determinar la dirección tecnológica de la
dirección ya que esta no cuenta con un comité de arquitectura que establezca y administre las expectativas realistas y claras
de lo que la tecnología puede ofrecer en términos de productos, servicios y mecanismos de aplicación. Por otra parte esta
área no cuenta con la documentación de cada uno de los roles y actividades que deben realizan cada uno de los
responsables de la administración de los equipos de comunicaciones. Otro de los puntos importantes con los que esta área no
cuenta es que no existe la adecuada comunicación entre la Dirección de TI y los niveles operativos con respecto al marco de
trabajo establecido y por aparte, tampoco se cuenta con un plan para la administración de riesgos y un marco de trabajo para
la administración de programas y proyectos de TI establecidos.
2.-Adquisición e Implementación:
Para llevar a cabo la estrategia de tecnologías de información, las soluciones de TI deben ser identificadas, desarrolladas o
adquiridas, así como implementadas e integradas dentro del proceso del negocio, cubriendo los cambios y el mantenimiento
realizados a sistemas existentes.
En este rubro la Subdirección de Comunicaciones no cuenta con los procesos para adquirir, implementar y actualizar los
equipos de comunicaciones, por lo consiguiente no se cuenta con la documentación acerca de estos equipos. Otro punto en
particular de consideración alta es que no existe una metodología para el control de cambios y mucho menos se cuenta con
instrucciones para la migración y la planeación para la liberación de los nuevos equipos de comunicación.
En referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento,
pasando por seguridad y aspectos de continuidad, con el fin de proveer servicios, deben establecerse los procesos de soporte
necesarios, incluyendo el procesamiento de los datos por sistemas de aplicación.
En este aspecto la Subdirección de Comunicaciones no cuenta con una lista de acceso al equipo de comunicaciones y
tampoco cuenta con la administración de servicios provistos por un proveedor. Por otro lado esta subdirección no tienen un
servicio de revisión periódica de los niveles de servicio para optimizar el desempeño del equipo de comunicaciones y esto
conlleva a que el plan para la administración en la continuidad de servicios no se tenga contemplado, a su vez, tampoco se
cuente con políticas generales de seguridad, esto incluye el establecimiento y mantenimiento de roles y responsabilidades en
materia de seguridad, políticas, estándares y procedimientos de TI, esto también incluye realizar monitoreo y pruebas
periódicas de sustentabilidad.
Uno de los aspectos de mayor relevancia que se tiene que considerar es el personal, ya que de ellos depende el buen
funcionamiento de los equipos; es por ellos que en este rubro la Subdirección de Comunicaciones tiene una falla, ya que su
personal no está debidamente entrenado para enfrentarse a algún tipo de contingencia que se presente con el switch.
Por otra parte y realizando un rastreo de evidencia, se encontró que el administrador no cuenta con un respaldo de los
archivos Logs de los equipos de comunicación, esto es con la finalidad de contar con un registro en caso de alguna anomalía.
Otro de los aspectos a evaluar fue el referente a la parte física, en donde se encontraron con ciertas características las cuales
son muy importantes para mantener una integridad operacional bastante alta, en este aspecto se encontró que la Secretaria
de Economía cuenta con un SITE de comunicaciones, donde se encuentran albergados la gran mayoría de sus equipos, tanto
de comunicaciones como servidores y a su vez cuenta con características altas de seguridad solo que para este caso de
estudio, el equipo auditado no se encuentra bien instalado dentro del Rack y esto conlleva un gran riego ya que el equipo
puede sufrir una caída de gran impacto y consecuencia. No se cuenta con una bitácora de acceso a esta parte del inmueble y
tampoco se cuenta con un control sobre el acceso con joyería al sitio.
Por último, cabe mencionar que no se cuenta con políticas para el mantenimiento y monitoreo de los equipos de comunicación
que sustentan la red LAN de la Secretaria de Economía.
4.- Monitoreo
Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto
a los requerimientos de control, los recursos de tecnología de información necesitan ser administrados por un conjunto de
procesos agrupados, con el fin de proporcionar la información necesaria para alcanzar las metas y objetivos.
En este apartado la Subdirección de Comunicaciones no cuenta con políticas para el monitoreo y evaluación para el
México.
SEMINARIO Pág. 96 de 110 DE LA INFORMACIÓN
DE AUDITORÍA DE LAS TECNOLOGÍAS Pág. 1 de 1 96
Y COMUNICACIONES
desempeño de los equipos de comunicación, además de no contar con un programa de control efectivo para el monitoreo
interno, aunado a esto, esta Subdirección carece de una supervisión para garantizar el cumplimiento de las leyes,
regulaciones y requerimientos que se lleguen a estipular en los contratos que se realicen con los distintos proveedores de
servicios con los que cuenta.
Por último se encontró que no se cuenta con un aspecto de mucha relevancia, que es el no tener estipulado un maco de
gobierno de TI efectivo dentro de la Dirección General de Informática y bajo el cual se rigen todos los puntos anteriormente
mencionados para una efectiva administración sobre los planes y contingencias para mitigar riesgos informáticos.
No se determinaron Deficiencias no sujetas a observación.
LIMITANTES:
No se pudo contar con información concisa ya que no cuentan con gran parte de ella.
CONCLUSIÓN:
La subdirección de Comunicaciones de la Dirección General de Informática, representa una función estratégica para las
operaciones de la Secretaría de Economía, ya que es la encargada de administrar los servicios de acceso a la red LAN, la
cual proporciona el servicio de internet y servicios de red a los distintos usuarios que en esta dependencia laboran.
La ejecución de la auditoria a uno de sus equipos de acceso de ya mencionada red, sustento se deben crea políticas,
procesos y planes de contingencia para saber el que realizar en caso de encontrar otro tipo de vulnerabilidades en casos
subsecuentes, ya que, la carencia de estas metodologías ponen en riesgo la continuidad del servicio en este Edifico de
Gobierno; al verse afectada la confidencialidad, la integridad y la disponibilidad de los servicios del equipo auditado, con el fin
de incrementar la eficacia y capacidad de respuesta de los equipos ante distintas situaciones de trabajo o posibles
contingencias.
Se deberán crear listas de acceso a los equipos de comunicación, además de realizar contratos con proveedores para que de
esta manera se tenga un mantenimiento a dichos equipos; por otro lado se deberá crear un plan para la continuidad en los
servicios y realizar las políticas generales de seguridad esto con el principal objetivo de mitigar riegos, esto incluyendo
también el establecimiento de roles y responsabilidades en materia de seguridad, políticas, estándares y procedimientos de
TI, para posteriormente continuar con el monitoreo y pruebas periódicas de sustentabilidad a los equipos de comunicación.
Se recomienda a la Subdirección de Comunicaciones realizar un entrenamiento adecuado al personal que de ella depende
para que estos a su vez puedan realizar de una mejor manera con las labores que de ello dependen. Por otra parte se
recomienda a los administradores de los distintos equipos de comunicación se realice de manera periódica un respaldo de los
distintos logs de los swithces para la creación de una bitácora.
En cuanto a la parte del SITE se refiere se recomienda crear un registro de las personas que ingresan a este sitio, así como la
supervisión de los objetos metálicos (joyería) que las personas poseen al momento de estar dentro del SITE y por último se
hace la recomendación para la elaboración de políticas para el mantenimiento y monitoreo de los equipos de comunicaciones.
Resulta relevante señalar que se debe observar la normatividad en materia de tecnologías de información emitida por la
Oficialía Mayor y la Ley Organica de la Administración Pública Federal, a efecto de implementar las acciones inmediatas para
su aplicación y, complementariamente, marcos de referencia internacionales como COBIT (Objetivos de control para la
información y tecnologías afines), cuyos dominios y procesos permitirán a la Subdirección de Comunicaciones mejorar su
operación cotidiana en los rubros de planeación, organización, adquisición, implementación, entrega, soporte y monitoreo,
para una mejor operación tanto de su SITE de comunicaciones, como en sí de los propios equipos.
ELABORO AUTORIZÓ:
C. Miguel Angel Romero Mora Ing. Enrique Vara Solorio

Auditor Director General de Informática
SEMINARIO
México. DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN
Pág.
Pág. 197dede
1 97
Y COMUNICACIONES 110
Rubro o aspecto auditado: Controles generales para la seguridad del switch de acceso
Área / Unidad Administrativa: Secretaría de Economía – Subdirección de Comunicaciones.
Fecha de Inicio: 14 de Febrero de 2007 Fecha de Conclusión: 05 de Marzo de 2011
ÍNDICE
Concepto Carpeta Páginas
A PLANEACIÓN
A.1 Índice 1 1
A.2 Cédula Única de Auditoría 1 1
A.3 Supervisión de la Integración del expediente de auditoría 1 1
A.4 Carta de Planeación 1 1
A.5 Cronograma 1 1
A.6 Programa específico de trabajo 1 3
A.7 Marco conceptual 1 1
A.8 Cédula de marcas de auditoría 1 2
B INFORMES
B.1 Oficio de envío de Informe y Reportes de Observaciones 1 1
B.2 Informe de Auditoría 1 3
B.3 Reporte de Observaciones de Auditoría 1 7
C EJECUCIÓN
C.1 Orden de auditoría 1 1
C.2 Actas de inicio y cierre de auditoría 1 1
C.3 Oficios de requerimiento 1 1
C.4 Minuta de trabajo 1 1
C.5 Oficio contestación requerimientos 1 1
D NORMATIVIDAD
D.1 Leyes, códigos, normas, políticas y lineamientos 1 1
Y COMUNICACIONES
XV.- Índice de Documentos
SUPERVISIÓN DE LA INTEGRACIÓN DEL EXPEDIENTE DE LA AUDITORÍA
Dependencia: Secretaría de Economía
Área auditada: Dirección General de Economía / Subdirección de Comunicaciones
Fecha de inicio: 14 de Enero del 2011 Fecha de término: 05 de Marzo del 2011
Período auditado: Enero – febrero 2011
Personal participante: Alejandro Saucedo Vidals, David Juárez Avelar, Isaac González Ramírez, Miguel Angel Romero
Mora
EVALUACIÓN
CONCEPTO COMENTARIOS
SI NO N/A
1. ¿Se encuentra en el expediente de la auditoría la
Carta de Planeación autorizada por el coordinador X
responsable de la revisión?
2. ¿En la carta de Planeación para auditar cada rubro,
se incluyó el universo de las operaciones, los X
alcances, las muestras y los procedimientos?
3. ¿Se cumplió con el Programa de Trabajo? X
4. ¿Fueron adecuadas las bases para determinar los
X
alcances y muestras de la auditoría?
5. ¿La auditoría se realizó conforme a lo establecido en
la Ley Orgánica de la Administración Publica Federal X
y los formatos establecidos de auditoría?
6. ¿Se encuentran en papeles de trabajo bien definidos
y soportados legalmente las observaciones X
determinadas?
7. ¿Existe evidencia fehaciente de que se hayan
X
revisado los papeles de trabajo de la auditoría?
8. ¿Los papeles de trabajo fueron elaborados de
acuerdo con las especificaciones de la Guía
respectiva, incluyendo cruces, marcas y notas X
aclaratorias y mostrando claramente los
procedimientos utilizados?
9. ¿Se observó durante el desarrollo de la auditoría el
X
apego a las Normas de Auditoría?
10. ¿Se cuenta en el expediente con el informe o el
proyecto respectivo en donde consten las X
observaciones determinadas en la auditoría?
11. ¿Los expedientes de la auditoría están debidamente
X
integrados y completos?
Elaboró: Vo. Bo. del

responsable:
C. Isaac González Ramírez Ing. Enrique Vara Solorio
NOMBRE Y FIRMA NOMBRE Y FIRMA
México.
Pág. 1 de 1 99
Y COMUNICACIONES
XVI.- Supervisión Integración de Expediente
México, D. F., a 5 de Marzo de 2011
Asunto: Observaciones e informe
ING ENRIQUE VARA SOLORIO

DERECTOR GENERAL DE INFORMATICA
DE LA SECRETARIA DE ECONOMÍA.
PRESENTE
De conformidad con lo establecido en el artículo 37, fracciones I, IV, V, VII y X de la Ley Orgánica de la Administración Pública
Federal, y en referencia al oficio con fecha 17 de Febrero de 2011, mediante el cual se comunicó la práctica de la auditoría
número AE-01/11, denominada “Controles generales para la seguridad del switch de acceso”, realizada a la Subdirección de
Comunicaciones de la Dirección General de Informática de la Secretaría de Economía. En el mes de febrero a marzo del
presente año, y ante la presencia de una vulnerabilidad se realizó la presente auditoria con el objetivo de verificar los controles
generales para la seguridad del equipo de comunicación, la estructura organizacional de la dirección, los planes de seguridad y
riego, datos involucrados en el cumplimiento de metas y objetivos institucionales; contemplando el periodo de enero a febrero de
2011, sobre el particular, adjunto y le remito el reporte que contiene las observaciones detectadas, efectos y recomendaciones
que se consideran procedentes para su solución, así como el informe de los resultados obtenidos, mismo que contiene el
objetivo y alcance de la auditoría, las limitantes en su ejecución, las observaciones generadas, las conclusiones obtenidas y
riego(s) indicado(s) como deficiencia(s), el cual si bien no fue considerado como observación, por sus características se estimó
pertinente hacerlo de su conocimiento a fin de coadyuvar y mantener la transparencia, legalidad, eficacia, imparcialidad y
eficiencia de su gestión, así como el adecuado control interno del servicio encomendado a las áreas a su digno cargo.
De los resultados obtenidos, se considera relevante señalar por su importancia, que se debe fortalecer la seguridad física en
cuanto al acceso al SITE y lógica referente al equipo de comunicación, reforzar las prácticas de mantenimiento al equipo
mencionado para contar con una eficiente administración de cambios, versiones y proyectos. Es necesario definir e implementar
las políticas, lineamientos y procedimientos que permitan una operación estructurada, eficiente y consistente, a efecto de
contribuir a mitigar riesgos posibles en sus equipos de comunicación y una mejor administración de los mismos. Se sugiere como
relevante la revisión de la normatividad oficial aplicable en la materia y la adopción de marcos de referencia internacionales, los
cuales permitirán mejorar su operación cotidiana.
Las observaciones fueron comentadas en su oportunidad con personal responsables de su administración, mismos que revisaron
los reportes que se remiten, señalándose la fecha compromiso para su atención tal y como quedó asentado en los reportes de
referencia, solicitando atentamente que la documentación que se envíe a esta Dirección es para solventar las citadas
observaciones, sea en copias debidamente certificadas por el personal calificado que cuente con facultades para ello.
Asimismo, le agradezco las facilidades otorgadas y la colaboración brindada al grupo de auditores designado para llevar a cabo
la auditoría aludida por parte de los servidores públicos que los atendieron, esperando que los resultados y recomendaciones de
la auditoría coadyuven al mejor desempeño de su gestión.
Sin más por el momento, reitero a usted mi distinguida consideración.
ATENTAMENTE
AUDITOR
C. MIGUEL ANGEL ROMERO MORA
C.c.p. Expediente.
México.
Pág. 1 de 1 100
Y COMUNICACIONES
XVII.- Oficio de Observaciones e Informe
Índice de
Tablas e
Imágenes

Y COMUNICACIONES
ÍNDICE DE TABLAS E IMÁGENES
Descripción Pág.
1.1 Diferencias entre Auditoria Informática y Control Interno 10
1.2 Principales actividades del Risk Assessment 12
2.1Red de Tipo Personal 19
2.2 Tipos de Redes 20
2.3 Topología de Bus ó Lineal 23
2.4 Topología de árbol 24
2.5 Topología de Anillo 25
2.6 Topología de Estrella 26
2.7 Topología de Malla 27
3.1 Principio Básico de COBIT 39
3.2 Dominios en COBIT 39
3.3 Marco de Trabajo completo de COBIT 43

Y COMUNICACIONES
Glosario

Y COMUNICACIONES
AppleTalk.- Conjunto de protocolos desarrollados por Apple Inc. para la conexión

de redes. Fue incluido en un Macintosh en 1984 y actualmente está en desuso en
los Macintosh en favor de las redes TCP/IP.
AR (Administración de Riesgos).- Es un proceso realizado por el consejo
directivo de una entidad, la administración y el personal de dicha entidad. Es
aplicado en el establecimiento de estrategias de toda la empresa, diseñada para
identificar eventos potenciales que puedan afectar a la entidad y administrar los
riesgos para proporcionar una seguridad e integridad razonable referente al logro
de objetivos.
Arquitectura de TI.- Un marco integrado para evolucionar o dar mantenimiento a
TI existente y adquirir nueva TI para alcanzar las metas estratégicas y de negocio
de la empresa
Autenticación.- El acto de verificar la identidad de un usuario y su elegibilidad
para acceder a la información computarizada. La autenticación está diseñada para
proteger contra conexiones de acceso fraudulentas.
Bucles.- En programación, es una sentencia que se realiza repetidas veces a un
trozo aislado de código, hasta que la condición asignada a dicho bucle deje de
cumplirse. Generalmente, un bucle es utilizado para hacer una acción repetida sin
tener que escribir varias veces el mismo código, lo que ahorra tiempo, deja el
código más claro y facilita su modificación en el futuro.
Bug (Defecto de software).- Es el resultado de un fallo o deficiencia durante el
proceso de creación de programas de computadora (software). Dicho fallo puede
presentarse en cualquiera de las etapas del ciclo de vida del software aunque los
más evidentes se dan en la etapa de desarrollo.
Continuidad.- Prevenir, mitigar y recuperarse de una interrupción. Los términos
“planear la reanudación del negocio”, “planear la recuperación después de un
desastre” y “planear contingencias” también se pueden usar en este contexto;
todos se concentran en los aspectos de recuperación de la continuidad
Control de accesos.- El proceso que limita y controla el acceso a los recursos de
un sistema computacional; un control lógico o físico diseñado para brindar
protección contra la entrada o el uso no autorizados
Control interno.- Es un conjunto de áreas funcionales en una empresa u
organización y de acciones especializadas en la comunicación y control al interior
de la misma.
Datagramas.- Cada paquete se trata de forma independiente, conteniendo cada
uno la dirección de destino. Los datagramas IP son las unidades principales de
información de Internet. Los términos trama, mensaje, paquete de red y segmento
también se usan para describir las agrupaciones de información lógica en las

Y COMUNICACIONES
diversas capas del modelo de referencia OSI y en los diversos círculos

tecnológicos.
DHCP (siglas en inglés de Dynamic Host Configuration Protocol).- es un
protocolo de red que permite a los nodos de una red IP obtener sus parámetros de
configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en
el que generalmente un servidor posee una lista de direcciones IP dinámicas y las
va asignando a los clientes conforme éstas van estando libres, sabiendo en todo
momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a
quién se la ha asignado después.
Dirección MAC (Media Access Control).- Es un identificador de 48 bits (6
bloques hexadecimales) que corresponde de forma única a una ethernet de red.
Se conoce también como la dirección física en cuanto a identificar dispositivos de
red. Es individual, cada dispositivo tiene su propia dirección MAC determinada y
configurada por el IEEE (los últimos 24 bits) y el fabricante (los primeros 24 bits)
utilizando el OUI.
Directriz.- La descripción de un modo particular de lograr algo, la cual es menos
prescriptiva que un procedimiento
Dominio.- Agrupación de objetivos de control en etapas lógicas en el ciclo de vida
de inversión en TI
EMI/RFI.- Es un fenómeno que ocurre naturalmente cuando el campo
electromagnético de un dispositivo interrumpe, degrada o impide el campo
electromagnético de otro dispositivo, al encontrarse muy cerca de él.
Encriptar.- Es una manera de codificar la información para protegerla frente a
terceros.
Estándar.-Una práctica de negocio o producto tecnológico que es una práctica
aceptada, avalada por la empresa o por el equipo gerencial de TI. Los estándares
se pueden Implementar para dar soporte a una política o a un proceso, o como
respuesta a una necesidad operativa. Así como las políticas, los estándares deben
incluir una descripción de la forma en que se detectará el incumplimiento.
Firewall.- Un firewall es un dispositivo que funciona como cortafuegos entre redes,
permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es
situarlo entre una red local y la red Internet, como dispositivo de seguridad para
evitar que los intrusos puedan acceder a información confidencial.
GSM/GPRS.- General Packet Radio Service (GPRS) o servicio general de
paquetes vía radio es una extensión del Sistema Global para Comunicaciones
Móviles (Global System for Mobile Communications o GSM) para la transmisión de
datos no conmutada (o por paquetes). Una conexión GPRS está establecida por la
referencia a su nombre del punto de acceso (APN). con GPRS pueden utilizar los
servicios tales como Wireless Application Protocol (WAP) , servicio de mensajes

Y COMUNICACIONES
cortos (SMS), servicio de mensajería multimedia (MMS), Internet y para los

servicios de comunicación, como el correo electrónico y la World Wide Web
(WWW).
Handover.- Sistema utilizado en comunicaciones móviles celulares con el objetivo
de transferir el servicio de una estación base a otra cuando la calidad del enlace
es insuficiente. Este mecanismo garantiza la realización del servicio cuando un
móvil se traslada a lo largo de su zona de cobertura.
IP (siglas en inglés de Internet Protocol).- es un número que identifica un
dispositivo en una red (un ordenador, una impresora, un router, etc…). Estos
dispositivos al formar parte de una red serán identificados mediante un número IP
único en esa red.
ISM.- Son bandas reservadas internacionalmente para uso no comercial de
radiofrecuencia electromagnética en áreas industrial, científica y médica. En la
actualidad estas bandas han sido popularizadas por su uso en comunicaciones
WLAN (e.g. Wi-Fi) o WPAN (e.g. Bluetooth).
Login.- Es el término que se usa en computación para referirse al ingreso a las
cuentas de usuario, a los sistemas o servicios. Es el momento de autenticación al
acceder a un servicio o sistema que funciona normalmente, pidiendo un nombre
de usuario y una contraseña, con el fin de tener un control en dicho ingreso.
Password.- Es una serie secreta de caracteres que permite a un usuario tener
acceso a un archivo, a un ordenador, o a un programa.
PDU.- Unidades de Datos de Protocolo. Se utiliza para el intercambio entre
unidades parejas, dentro de una capa del modelo OSI.
Política.- Por lo general, un documento que ofrece un principio de alto nivel o una
estrategia a seguir. El propósito de una política es influenciar y guiar la toma de
decisiones presente y futura, haciendo que estén de acuerdo a la filosofía,
objetivos y planes estratégicos establecidos por los equipos gerenciales de la
empresa. Además del contenido de la política, esta debe describir las
consecuencias de la falta de cumplimiento de la misma, el mecanismo para
manejo de excepciones y la manera en que se verificará y medirá el cumplimiento
de la política.
Procedimiento.- Una descripción de una manera particular de lograr algo; una
forma establecida de hacer las cosas; una serie de pasos que se siguen en un
orden regular definido, garantizando un enfoque consistente y repetitivo hacia las
actividades
Proceso.- Por lo general, un conjunto de procedimientos influenciados por las
políticas y estándares de la organización, que toma las entradas provenientes de
un número de fuentes, incluyendo otros procesos, manipula las entradas, y genera
salidas, incluyendo a otros procesos, para los clientes de los procesos. Los

Y COMUNICACIONES
procesos tienen razones claras de negocio para existir, dueños responsables,

roles claros y responsabilidades alrededor de la ejecución del proceso, así como
los medios para medir el desempeño
Riesgo.- El potencial de que una amenaza específica explote las debilidades de
un activo o grupo de activos para ocasionar pérdida y/o daño a los activos. Por lo
general se mide por medio de una combinación del impacto y la probabilidad de
ocurrencia
Sniffer.- Es un programa que captura datos dentro de una red de cómputo; es
utilizado por los hackers para obtener nombres de usuarios y contraseñas, y es
una herramienta que permite auditar e identificar paquetes de datos en un red,
misma que, puede ser usado legítimamente por los administradores de redes y
personal de mantenimiento para identificar problemas de la misma red.
SSH (Secure Shell).- es un protocolo que facilita las comunicaciones seguras
entre dos sistemas usando una arquitectura cliente/servidor y que permite a los
usuarios conectarse a un host remotamente.
Tablero de control.- Una herramienta para establecer las expectativas de una
organización en cada nivel y para comparar de forma continúa el desempeño
contra las metas establecidas
TCP/IP.- Es un conjunto de protocolos de red en los que se basa Internet y que
permiten la transmisión de datos entre redes de computadoras. En ocasiones se le
denomina conjunto de protocolos TCP/IP, en referencia a los dos protocolos más
importantes que la componen: Protocolo de Control de Transmisión (TCP) y
Protocolo de Internet (IP), que fueron los dos primeros en definirse, y que son los
más utilizados de la familia.
TI (Tecnologías de Información/Information Technologies).-. Agrupan los
elementos y las técnicas utilizadas en el tratamiento y la transmisión de las
informaciones, principalmente de informática, internet y telecomunicaciones.
UMTS.- Sistema Universal de Telecomunicaciones Móviles (Universal Mobile
Telecommunications System - UMTS) es una de las tecnologías usadas por los
móviles de tercera generación (3G, también llamado W-CDMA), sucesora de
GSM, debido a que la tecnología GSM propiamente dicha no podía seguir un
camino evolutivo para llegar a brindar servicios considerados de Tercera
Generación.
WiFi.- Es una marca de la Wi-Fi Alliance (anteriormente la WECA: Wireless
Ethernet Compatibility Alliance), la organización comercial que adopta, prueba y
certifica que los equipos cumplen los estándares 802.11 relacionados a redes
inalámbricas de área local.

Y COMUNICACIONES
Bibliografía

Y COMUNICACIONES
Redes de Computadoras
Andrew S Tanenbaum
Pearson PrenticeHall
4ª. Edición, 2008.
Tecnologías y Redes de Transmisión de Datos

Herrera
Editorial Limusa S.A de C.V, Grupo Noriega Editores, 2008.
Risk Management Concepts and Guidance

Carl L. Pritchard,
ESI International Arlington,
Virginia. 2nd Edition. 2009.
Risk Management for Computer Security

Andy Jones, Debi Ashender, 2009.
Auditoría Informática: un enfoque práctico

Piattini, M., E. De Peso
Ed. Ra-Ma, 2008.
Auditoría informática en la empresa

Juan José Archa Itumendi
Ed. Paraninfo. 2008.
Auditoría en Informática
Echenique García, J. A.
Editorial: MCGRAW-HILL, 2009.
Fundamentos de control interno

Perdomo
ECAFSA, 6ª. Edición. 2009.
Handbook of Information Security Management.

Zella G. Ruthberg. Harold F. Tipton. 2010.
Information Systems Security. A Practitioner´s Reference

Philip Fites, Martin P.J. Kratz. 2008.

Y COMUNICACIONES
Control Interno Informe COSO

Samuel Alberto Mantilla
ECOE Ediciones, 3ra Edición, 2008.
Otras Referencias
http://www.datasec.com.uy/
http://www.isaca.org
www.nist.gov
www.nsa.gov
http://www.cisco.com/en/US/products/hw/switches/index.html
http://www.cisco.com/web/solutions/smb/espanol/productos/routers_switches/routi
ng_switching_primer.html
http://es.scribd.com/doc/2081382/MEDIDAS-DE-SEGURIDAD-EN-
INSTALACIONES-ELECTRICASY-REDES
http://es.scribd.com/doc/51821177/5/Politicas-generales-de-seguridad
http://www.itson.mx/dii/epadilla/AUDITORIA%20DE%20REDES.ppt
http://www.dirinfo.unsl.edu.ar/seguridadred/teorias/Analisis_de_Vulnerabilidades.p
pt

Y COMUNICACIONES

Ice 82

Cargado por

Información del documentohacer clic para expandir la información del documento

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

Ice 82

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ice 82

Cargado por

Copyright:

Formatos disponibles

INST POLITÉCNICO NA

ASESOR: RAYMUNDO SANTANA ALQUICIRA

SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 2

A nuestras familias por brindarnos las herramientas, apoyo y cariño

A nuestra institución el Instituto Politécnico Nacional, que a través de

A los amigos y aquellas personas que han estado en nuestro camino

A nuestros profesores y asesores que nos guiaron y aportaron

Finalmente agradecemos la oportunidad que hoy tenemos de poder

SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 3

CONCEPTOS GENERALES DE RED 17

SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 4

PRINCIPALES MARCOS DE REFERENCIA Y METODOLOGÍAS 29

COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO) 29

AUDITORIA DE DISPOSITIVOS DE RED 44

ELEMENTOS A AUDITAR EN UNA RED 44

SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 5

AUDITORÍA DEL SWITCH DE ACCESO DE LA RED LAN 51

SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 6

SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 7

¿Quién hace la auditoría?

Evolución de la práctica de Auditoría

SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 8

Diferencias entre Auditoría Informática…

SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 9

Control Interno Informático Auditoria Informática

Tabla. 1.1 Diferencias entre Auditoria Informática y Control Interno

Introducción a la Administración de Riesgos

El riesgo está presente en las organizaciones en todos los niveles de operación,

Administración de Riesgos (AR)

SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 10

responsabilidades, alcances y desventajas; todos estos aspectos de forma clara y

Establecer y fundar un equipo de ARI

Tabla 1.2 Principales actividades del Risk Assessment

SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 11

cuestión. Es el identificar las vulnerabilidades que permitirán a las amenazas

Mapeo de Amenazas/ Vulnerabilidad/ Recursos

Mitigación del riesgo

Selección de salvaguardas (controles) y análisis de la mitigación de riesgos

Políticas generales de seguridad

¿Por qué hablar de la Seguridad de la Información?

SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 12

 Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo

 Reconocer los activos de información importantes para la institución.

Reconocer las Amenazas a que están expuestos

Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad,

Reconocer las Vulnerabilidades

Vulnerabilidad: “Una debilidad que facilita la materialización de una amenaza”

SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 13

Políticas, planes y procedimientos

¿Qué es una Política?

¿Qué es una Política de Seguridad?

¿Cómo debe ser la política de seguridad?

¿Qué debe contener una política de seguridad de la información?

Se debe actualizar periódicamente

Aspectos a considerar en una política

 Alcance: recursos, instalaciones y procesos de la organización sobre los

SEMINARIO DE AUDITORÍA DE LAS TECNOLOGÍAS DE LA INFORMACIÓN 15