8.2. Vulnerabilidades, amenazas y riesgos.

Vulnerabilidades, amenazas y riesgos.

En el comienzo de la auditoria, el auditor interno debe determinar el propósito del negocio con la red, ya que este puede ayudar a definir los componentes que representan el mayor riesgo.

Las aplicaciones se hacen disponibles a los usuarios mediante una red de telecomunicaciones, y los vínculos o nexos de las telecomunicaciones pueden ser una parte integral de una aplicación usando el procesamiento distribuido o cooperativo. 

Los controles requeridos en la red dependen tanto del tipo de aplicaciones que soporta la red, como del tipo de organización de los servidores de la red. 

Los riesgos de las aplicaciones incluyen acceso no autorizado a
los datos confidenciales, manipulación maliciosa de datos, interrupción de operaciones de negocio, e información inexacta o incompleta. 

Las aplicaciones que son en línea , altamente interactivas y caracterizadas por tiempos de respuesta rápido, comúnmente requieren controles adicionales de telecomunicaciones. Durante el análisis de la red, una variedad de riesgos tiene que ser manejados, incluyendolo siguiente:.Los costos de la red pueden ser demasiado altos para la actividad del negocio..

Los costos de operación de la red no pueden ser totalmente proyectados al tomar la decisión del negocio. La red puede no ser entregada de una manera oportuna, causando costos excesivos y pérdidas en el negocio.

La red puede no apoyar la actividad del negocio o no ser fácil de usar.

Los riesgos asociado con el área del transporte y el porteador en la actividad de lastelecomunicaciones, incluyen lo siguiente:  

La no disponibilidad de servicio o la pérdida de datos pueden interrumpir negocios y dañar, destruir, o desconectar los medios de transmisión. Tales riesgos pueden ser mitigados protegiendo físicamente las instalaciones de comunicaciones, incluyendo las áreas por donde los circuitos entran en el local. Los medios de transmisión deben ser controlados y probados para evitar degradación del servicio.

Los riesgos financieros asociados con el reemplazo del equipo, deben ser interpretados por técnicos calificados. Los negocios perdidos pueden ser el resultado de una falla delos medios de comunicaciones; que priva a la administración de la informaciónrequerida para tomar las decisiones adecuadas. Muchos de los riesgos que causan la perdida de negocios, pueden ser mitigados por un bien probado plan de recuperación dedesastres. 

La facturación del porteador puede ser incorrecta debido a la complejidad de los procedimientos de tarifas y a los procedimientos de facturación usados por los porteadores.

Para mitigar tales riesgos, todos los circuitos deben ser exactamente inventariados y lasfacturas y ordenes de cargo reconciliadas sobre una base periódica.

Los riesgos de obsolescencia están relacionados con la conveniencia de los servicios detransmisión para las necesidades del negocio y la capacidad para respaldar los diversoscomponentes de la red. Para mitigar estos riesgos de obsolescencia, la organización debedesarrollar cuidadosamente un plan estratégico integrado a largo plazo.

Un riesgo clave para una red son los usuarios no autorizados que logran acceso a la red ytratan de ejecutar aplicaciones o autorizar usuarios para conseguir acceso a lasaplicaciones para las cuales ellos no están autorizados. Los riesgos generales planteados para una red, por un usuario no autorizado, incluyen el uso no autorizado de los recursosde la red para transportar datos, modificaciones o eliminación de datos, revelación deinformación y uso de los recursos de la red para negar la utilización legítima de losservicios. 

Los controles incluyen lo siguiente:

• Seguridad física de la red, para evitar que los usuarios estén accediendo físicamente alos dispositivos y medios de transmisión de la red.
• Seguridad de acceso lógico, para evitar a los usuarios no autorizados utilizar la red unavez que ellos estén conectados físicamente a la misma.
• Hay también riesgos y controles de acceso; asociados con usuarios que utilizan redesconmutadas públicas para conmutar en una red.

Los diferentes tipos de conexiones, susriesgos asociados y los controles relacionados incluyen lo siguiente:

• Usar modems sincrónicos en lugar de modems asincrónicos para conectar a la red losdispositivos de protección de puerto, reduce el riesgo de acceso no autorizado.
• Las redes conectadas a la red de conmutación pública de teléfonos tienen un mayor riesgo de acceso no autorizado, porque cualquier usuario con el equipo adecuado puedeintentar conectarse a la red.

Los riesgos pueden ser reducidos manteniendo confidenciales los números de teléfono, usando dispositivos de supresión de tono en puertos y limitando la disponibilidad de la red a ciertas horas del día..Las redes conectadas a una red de conmutación pública de información, también tienenun gran riesgo de acceso no autorizado, debido a que las listas publicadas de númerosde teléfono son fácilmente disponibles a los usuarios que pueden intentar conectarse ala red. 

Estos riesgos pueden ser reducidos con el uso de servicios que requieran la verificación de autorización, limitando el acceso para un subconjunto de ubicaciones dela red y desconectando usuarios después un número específico de códigos deidentificación incorrectos. La administración de cambios implica la aprobación, el desarrollo, la prueba y ladocumentación de los cambios a una red. 

Los riesgos y los controles asociados con laadministración de cambios incluyen lo siguiente:.Los cambios inexactos o no autorizados 

• Los procedimientos de autorización decambios adecuados aseguran un adecuado nivel de prueba de la unidad y del sistema. Enciertas situaciones, independientemente, la administración de terceras personas para larevisión de los cambios puede ser conveniente..La incapacidad para aislar fallas
• Los inventarios precisos deben ser guardados, losumbrales de desempeño deben ser establecidos y las pista de auditoría e informaciónhistórica deben ser registradas precisamente..Las inconsistencias e incompatibilidad entre componentes 
• La arquitectura de la red debe centrarse en la conectividad y un proveedor debe ser contratado para cadacomponente específico. Los proveedores deben ser administrados; para protegerse contrala degradación del servicio y las demoras en la resolución de problemas.

En conclusión podemos resumir : 

LOS CONTROLES DEPENDEN DE : 

• TIPO DE APLICACIÓN

• TIPO DE ORGANIZACIÓN DE LOS SERVIDORES

 RIESGOS DE LAS APLICACIONES:

• ACCESOS NO AUTORIZADOS a los datos confidenciales, MANIPULACIÓN MALICIOSAS,INTERRUPCION DE OPERACIONES DE NEGOCIOS,

• LAS APLICACIONES QUE SON EN LINEA , ALTAMENTE INTERACTIVAS Y NECESIDADDE EXCELENTES TIEMPOS DE RESPUESTA NECESATAN CONTROLES ADICIONALES.

DURANTE EL ANÁLISIS DE LA RED SE DEBE VERIFICAR LOS SIGUIENTES RIESGOS

• COSTOS

• TRANSPORTE

• OBSOLESCENCIA

• USUARIOS NO AUTORIZADOS

.

 CONTROLES:

• SEGURIDAD FÍSICA: ACCESO FISICO A LOS DISPOSITIVOS 
• SEGURIDAD LOGICA: ACCESO A LA RED UNA VEZ CONECTADOSFÍSICAMENTE.

Fuente(s): 

• https://es.scribd.com/doc/98758587/Auditoria-en-Telecomunicaciones-GUIA