En que consiste la auditoria de la red física
La estructura de control establecida para administrar la integridad, confidencialidad y la accesibilidad a los datos y recursos del sistema de información. Características de los tipos de controles de seguridad
Se debe garantizar que exista: •
Áreas de equipo de comunicación con control de acceso. Protección y tendido adecuado de cables y líneas de comunicación para evitar
•
accesos físicos. Control de utilización de equipos de prueba de comunicaciones para monitorizar
•
• •
la red y el tráfico en ella. Prioridad de recuperación del sistema. Control de las líneas telefónicas.
Comprobando que: •
l equipo de comunicaciones !a de estar en un lugar cerrado y con acceso
•
limitado. La seguridad física del equipo de comunicaciones sea adecuada. "e tome tomen n medi medida dass para para separ separar ar las las acti activi vida dades des de los los elec electr tric icis ista tass y de
•
• • •
• •
• •
cableado de líneas telefónicas. Las líneas de comunicación est#n fuera de la vista. "e d# un código a cada línea, en vez de una descripción física de la misma. $aya procedimientos de protección de los cables y las bocas de cone%ión para evitar pinc!azos a la red. %istan revisiones periódicas de la red buscando pinc!azos a la misma. l equipo de prueba de comunicaciones !a de tener unos propósitos y funciones específicas. %istan alternativas de respaldo de las comunicaciones. Con respecto a las líneas líneas telefónicas& telefónicas& 'o debe darse el n(mero como p(blico y tenerlas configuradas con retrollamada, código de cone%ión o interruptores.
)spectos a revisar en la auditoria física de la red sta etapa de la auditoría es muy importante de revisar, ya que en muc!as ocasiones las empresas u organizaciones poseen pocos recursos, y esto puede crear vulnerabilidades, tambi#n e%isten situaciones opuestas en las cuales tienen muc!os recursos y están siendo sub utilizados. $ay que revisar el $ard*are de los servidores que utilizan, y el propósito de uso del servidor en sí, con el ob+etivo de comprender si los recursos que posee cada servidor son los óptimos para prestar el tipo de servicio o función para lo que !a sido designado. $ay que tomar en cuenta que cada sistema operativo de servidor consume una - cantidad de recursos de /emoria 0)/ y procesador, y seg(n el uso destinado deberán ser las características del equipo analizado. s conveniente que se posean estudios de 1enc!mar2 del caso, para poder tener parámetros de comparaciones y recomendaciones. 3eneralmente se pueden encontrar redes de tipo L)', 4)', /)' dentro de una institución, por lo cual !ay que revisar el equipo y cableado que lo conforma. 0eferente al cableado estructurado 5verificar que realmente cumpla con este estándar6 c!equeando desde la categoría de cable utilizado para cada punto de red, el tipo de configuración que se utilizada para cada cable 5789 ) o 16 y que dic!a configuración sea la misma en todos y cada uno de los puntos de red. :erificar con equipos especiales la transmisión de datos de cada punto, certificando que se está cumpliendo con el estándar mínimo de transmisión de paquetes por punto. stablecer si se posee un plano del dise;o del cableado estructurado en el cual se tiene la ubicación e identificación de cada punto de red tanto en el edificio como en el Patc! panel respectivo.
metros del equipo activo y que el Patc! Cord de la estación de traba+o no sea mayor a ?> metros, para cumplir con el estándar de distancias má%imas de ?>> metros.
"eguidamente !ay que revisar el dise;o de la red a nivel físico, esto significa revisar qu# tipo de equipo activo y equipo pasivo que poseen. n relación al equipo pasivo se debe verificar que los patc! panel sean los adecuados para la cantidad de puntos de red e%istentes, de preferencia si el patc! panel está usando una configuración de espe+o previo a conectarse al equipo activo del caso. l equipo activo de una red L)' puede estar conformado por una - cantidad de concentradores entre los que se pueden encontrar $@1 o "4
y esto permite que el tiempo de respuesta en la
comunicación entre servidores sea óptimo. l "*itc! que se debe utilizar en este segmento de red deberá ser de fibra óptica o 31
comunicación y transferencia de paquetes sea e%celente. "e debe tomar en cuenta que los modelos de servidores e%istentes soporten este tipo de tecnología de redes. n los casos que una empresa u organización posea red 4)' o /)' se debe establecer la cantidad de usuarios que !ay en cada oficina remota, con lo cual se deben de revisar las configuraciones de cableado estructurado de cada oficina, ya que deberán de cumplir con los estándares que se tienen en las oficinas centrales.
)l
e%istir este tipo de redes se entiende que e%iste un 0outer que tiene como ob+etivo brindarles servicio y optimizar el tráfico de estas redes. sto significa que dic!o tráfico accede (nicamente al área de servidores y muy poco o prácticamente nulo a la red L)'. La razón del poco acceso o prácticamente nulo a la red L)' central es porque todos los arc!ivos o programas compartidos deben estar alo+ados en los servidores. n esta fase no se audita aun el equipo del 3ate*ay yKo Hire*all que pueda tener una empresa, ya que estos equipos son parte de la infra estructura Hísica pero su funcionamiento y configuración dependen de la infra estructura Lógica de la red. Las (nicas revisiones que se deben de !acer son relacionadas a que cumplan con estándares relacionados a cableado estructurado. Menciona los aspectos a revisar en la auditoria física de la red
s importante recomendar que un auditor revise si el equipo activo e%istente en la organización tiene las facultades de administrarse de forma remota. Los puntos a revisar son& •
/#todos de acceso al cuarto de servidores.
•
1itácoras de acceso al área de servidores.
•
"istema de monitoreo por medio de video.
•
1itácoras de :ideo.
•
Aemperatura ambiente del área de servidores.
•
Circuito el#ctrico independiente del cuarto de servidores.
•
"istema de protección de descargas electroatmosf#ricas para el cuarto de servidores.
•
@bicación, distribución de los 0ac2 y propósito del rac2.
•
"istemas detectores de $umo.
•
quipos para apagado de Huego a base de CFG.
•
Circulación del aire acondicionado en el cuarto de servidores.
•
Canales a#reos de trasporte del cableado estructurado que ingresa al cuarto.
•
0ac2 independiente para equipos activos y pasivos de :oz, Jatos, :ideo.
•
/apas disponibles de los diferentes puntos de red y su uso.
•
/#todos de limpieza del área de servidores, frecuencia, entrenamiento del personal que la realiza, etc.
