miércoles, 31 de julio de 2019

UNIDAD 5

unidad 5
Auditoria  en Telecomunicaciones 


INTRODUCCION

Las telecomunicaciones son ya una constante en la vida de las personas y hoy no es posible concebir el mundo sin ellas. Pero, ¿qué son las telecomunicaciones? Se trata de un conjunto de técnicas que permiten la comunicación a distancia, lo que puede referirse a la habitación de al lado o a una nave espacial situada a millones de kilómetros de distancia. Los orígenes de las telecomunicaciones se remontan a muchos siglos atrás, pero es a finales del siglo XIX, con la aplicación de las tecnologías emergentes en aquel momento, cuando se inicia su desarrollo acelerado. Ese desarrollo ha ido pasando por diferentes etapas que se han encadenado de forma cada vez más rápida.

Las telecomunicaciones pueden ser definidas como la serie de actividades electrónicas, eléctricas, y mecánicas que permiten a la gente y a las máquinas comunicarse unas con otras no importando las distancias. Los siguientes tres tipos de comunicaciones son facilitadas por las telecomunicaciones:

· Persona a persona

· Persona a maquina

· Maquina a maquina

Frecuentemente, las telecomunicaciones son consideradas sólo en términos de la tecnología qué respalda las comunicaciones, tales como módems, multiplexores, computadoras y terminales; sin embargó, el sistema total es algo más que simplemente la interconexión de sus componentes. La gente, las políticas, los procedimientos y las prioridades son tan críticos como la tecnología en la composición de un efectivo sistema de comunicaciones.

En el pasado, las telecomunicaciones estaban limitadas a la interconexión de dos sistemas. Con el advenimiento de los sistemas de procesamiento en línea, distribuido y cooperativo, el enlace de las telecomunicaciones ha pasado a ser una parte integral de la aplicación misma. Cuando la aplicaciones crítica, el enlace o infraestructura de las telecomunicaciones es también crítico. El propósito de este trabajo es identificar los temas de auditoría relacionados con los sistemas de telecomunicaciones detallando ciertos puntos como la finalidad que tienen una evaluación de telecomunicaciones, así como los requerimientos que se necesitan , su administración , instalación , operación y seguridad.



5.1. FINALIDAD EN LA EVALUACIÓN DE TELECOMUNICACIONES.

Una auditoria debe abarcar todo el equipo de telecomunicaciones, política de servicio y gastos utilizados por la empresa. La excelente auditoria empieza con una política de evaluación, se identifican y analizan políticas relevantes para determinar si cumplen las pautas y objetivos organizacionales.


El objetivo es conseguir una optimización tanto a nivel técnico como económico, con la certeza de disponer de una solución adaptada a sus necesidades reales.

Más del 70% de las empresas gastan en servicios de telecomunicaciones que no rentabilizan. Analizar el consumo y ajustar el coste en telecomunicaciones incrementa la competitividad dentro de la organización.

Permitiendo identificar los parámetros técnicos y se acotan sus necesidades reales permitiendo un ahorro anual en telecomunicaciones de hasta el 60%. Por lo cual libera al cliente de las gestiones relacionadas con las comunicaciones, garantizando el máximo ahorro mientras los empleados disponen de más tiempo para aumentar la productividad.

En pocas palabras permite la posibilidad de rentabilizar su tiempo, Cumplimiento de la política empresarial, liberar recursos, reducir sus costes, la garantía de disponer de la mejor solución posible y una mayor seguridad.

Para conseguir este objetivo se debe basar en tres áreas:

– Consultoría: que le permita un asesoramiento especializado para la optimización de las comunicaciones.

– Gestión: Buscando liberar al cliente de las gestiones relacionadas con las comunicaciones.

– Documentación: Realizando una serie de consecutivos reportes para el control del consumo.


5.2. REQUERIMIENTOS PARA LA EVALUACIÓN DE TELECOMUNICACIONES.

La metodología de auditorías de telecomunicaciones depende de lo que se pretenda revisar o analizar, pero como estándar se analizarán las cuatro fases básicas de un proceso de revisión:

· Estudio preliminar. Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, manuales de políticas, reglamentos, entrevistas con los principales funcionarios.

· Revisión y evaluación de controles y seguridades. Consiste en la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, revisión de procesos históricos (respaldos), revisión de documentación y archivos, entre otras actividades.

· Examen detallado de áreas críticas. Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance recursos que usara, definirá la metodología de trabajo, la duración de la auditoría, presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto.

· Comunicación de resultados. Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la auditoría. El informe debe contener lo siguiente:

ü Motivos de la auditoría

ü Objetivos

ü Alcance

ü Estructura orgánico-funcional del área informática

ü Configuración del hardware y software instalado

ü Control interno

ü Resultados de la auditoría

5.3. LA ADMINISTRACIÓN.

Se puede decir que los controles de acceso a la información constituyen uno de los parámetros más importantes a la hora de administrar seguridad. Con ellos se determina quién puede acceder a qué datos, indicando a cada persona un tipo de acceso (perfil) específico. Para este cometido se utilizan diferentes técnicas que se diferencian significativamente en términos de precisión, sofisticación y costos. Se utilizan por ejemplo, palabras claves, algoritmos de inscripción, listas de controles de acceso, limitaciones por ubicación de la información, horarios, etc. Una vez determinados los controles de accesos a la información, se hace imprescindible efectuar una eficiente administración de la seguridad, lo que implica la implementación, seguimiento, pruebas y modificaciones sobre los perfiles de los usuarios de los sistemas.

Deben realizarse evaluaciones periódicas sobre el nivel de cumplimiento de los procesos relacionados con la administración de sistemas y debe de evaluarse si estos cubren las necesidades de la empresa de manera adecuada y dentro de los períodos preestablecidos. Las políticas y normas de seguridad de telecomunicaciones deben estar formalmente definidas, documentadas y aprobadas. Adicionalmente, deberán contener objetivos de control de alto nivel que definan los requerimientos de administración de seguridad en redes.

Al momento de tener el informe de la auditoría de telecomunicaciones se deberá de implementar las recomendaciones planteadas para subsanar las debilidades de control interno encontradas, por el auditor, y el área de informática deberá preocuparse en el futuro en detectar e incorporar las nuevas soluciones que vayan apareciendo respecto a vulnerabilidades correspondientes al área de telecomunicaciones.



La auditoría de comunicaciones es el proceso mediante el cual la analista determina si la organización está comunicando eficazmente su identidad y estrategia.

Determinar la eficacia con que se comunican la identidad y la estructura corporativa. Este proceso es la auditoría visual o de comunicación, que incluye dos objetivos:

1. Cotejar, controlar y evaluar todas las formas de comunicación, externa y interna (así, el concretar la identidad trata de establecer la lógica y la coherencia de las comunicaciones)

2. Fase que se basa en las investigaciones que se realizan entre los diversos públicos de la empresa para establecer el impacto de todas las comunicaciones de la empresa sobre las percepciones que dichos públicos tienen sobre ella (p. 65)

Incluye la comparación, el control y la valoración de todas las formas de comunicación, impresa y visual. Realización de una auditoria:

Comunicaciones impresas externas. La auditoría de comunicaciones. Se inicia recogiendo todas las formas de comunicación impresa y visual, incluyendo la memoria anual, folletos descriptivos de producción, cartas membretada das o citas de los consejeros delegados.

- Comunicaciones internas Publicaciones a los empleados. También anuncios públicos, conferencias y seminarios

- Comunicaciones y percepciones. (p.ej. Detalles de la vida diaria de la empresa des de la forma en que se contesta al teléfono hasta la forma en que actúan los vendedores y la indumentaria del personal)Estos detalles reflejan el sistema de valores vigente en la empresa.


5.4. LA INSTALACIÓN.

El costo de comunicación para una organización puede ser significativo. Los gastos típicos de instalación de telecomunicaciones incluyen lo siguiente:

Las instalaciones de transmisión

Líneas telefónicas con fórmulas de valuación fijas.

Satélite y canales de microonda.-Radio de canal fijo y celular (Instalaciones de comunicaciones limitadas por una distancia (radio) determinada).

Fibra óptica, cable de cobre, cable coaxial y cable de par trenzado.

Equipo-Terminales.

·  -Modems (Modulador - Demodulador).

· -Controladores.

· -Equipo de conmutación.

· -Cableado local.

· -Centros de control de la red.

· -Convertidores de protocolo.

· -Puentes.-Puertas de acceso.

Software

· -Paquetes de Seguridad.-Programas de cifrado (criptografía) / descifrado.-

· Software de monitoreo de la red.

· -Software de control de la red.

· -Software de conversión de protocolos.

· -Software de administración de la red (Eje., administración de activos, facturación)

· -Operadores de Intercambio Privado de Ramificación (PBX)

5.5. LA OPERACIÓN Y SEGURIDAD.

Las aplicaciones se hacen disponibles a los usuarios mediante una red de telecomunicaciones, y los vínculos o nexos de las telecomunicaciones pueden ser una parte integral de una aplicación usando el procesamiento distribuido o cooperativo.

Los riesgos de las aplicaciones incluyen acceso no autorizado a los datos confidenciales, manipulación maliciosa de datos, interrupción de operaciones de negocio, e información inexacta o incompleta. Las aplicaciones que son en línea, altamente interactivas y caracterizadas por tiempos de respuesta rápido, comúnmente requieren controles adiciónales de telecomunicaciones.

Mientras se realiza el análisis de una red de telecomunicaciones pueden surgir una múltiple cantidad de riesgos tanto de costos y de comunicación entre los cuales se encuentran los siguientes:

· La facturación del porteador puede ser incorrecta debido a la complejidad de los procedimientos de tarifas y a los procedimientos de facturación usados por los porteadores.

· La no disponibilidad de servicio o la pérdida de datos pueden interrumpir negocios y dañar, destruir, o desconectar los medios de transmisión.

·

· Los costos de operación de la red no pueden ser totalmente proyectados al tomar la decisión del negocio.

· La red puede no apoyar la actividad del negocio o no ser fácil de usar.

· Los costos de la red pueden ser demasiado altos para la actividad del negocio.

· La red puede no ser entregada de una manera oportuna, causando costos excesivos y pérdidas en el negocio.


Ante tales riesgos y situaciones se deben de emplear técnicas o métodos que permitían mitigar tales riesgos la organización debe desarrollar cuidadosamente un plan estratégico integrado a largo plazo.

Un riesgo clave para una red son los usuarios no autorizados que logran acceso a la red y tratan de ejecutar aplicaciones o autorizar usuarios para conseguir acceso a las aplicaciones para las cuales ellos no están autorizados. Los riesgos generales planteados para una red, por un usuario no autorizado, incluyen el uso no autorizado de los recursos dé la red para transportar datos, modificaciones o eliminación de datos, revelación de información y uso de los recursos de la red para negar la utilización legítima de los servicios.


5.6. PERSONAL RESPONSABLE DEL ÁREA.

Los candidatos para las entrevistas de auditoría incluyen los siguientes

· El administrador o gerente de telecomunicaciones, quien comúnmente controla los aspectos planificadores, presupuestarios y operacionales de comunicaciones.

· El administrador o gerente de la red, quien típicamente administra el personal y el equipó.

· El administrador o gerente de voz, quien administra el equipo telefónico, el informe de llamadas, la facturación, instalación de teléfonos, etc.

· El administrador o gerente de aplicaciones de comunicaciones, quien es responsable de hacer los requerimientos funcionales de las aplicaciones en la realidad técnica.

· Técnicos

· Instaladores.

· Equipo técnico de control de la red.

· Equipo técnico (personal) de escritorio de ayuda al usuario.

· Analistas de la red.

· Operadores de Intercambio Privado de Ramificación (PBX)




5.7. DETERMINAR EL NIVEL DE APLICACIÓN DE ALGUNA DE LAS NORMAS CONSIDERADAS PARA LA AUDITORIA EN LAS TELECOMUNICACIONES.

Planificación:
La primera norma de auditoría de tecnologías de la información y la comunicación es:
“La auditoría de tecnologías de la información y la comunicación se debe planificar en forma metodológica, para alcanzar eficientemente los objetivos de la misma.”

Se diseñarán programas de trabajo que se aplicarán durante la ejecución del trabajo de campo, para el efecto, en función a la evaluación del control interno y evaluación de riesgos, se determinará la naturaleza, oportunidad y extensión de los procedimientos de auditoría que se aplicarán para la obtención de evidencia competente y suficiente.

Como resultado del proceso de planificación de la auditoría de tecnologías de la información y la comunicación, se debe elaborar el Memorándum de Planificación de Auditoría, el cual debe contener todos los aspectos detallados en la presente norma y aquéllos que se consideren necesarios incluir, y que tengan relación con los objetivos del examen, el alcance y la metodología.

Supervisión:
La segunda norma de auditoría de tecnologías de la información y la comunicación es:
“Personal competente debe supervisar sistemática y oportunamente el trabajo realizado por los profesionales que conformen el equipo de auditoría.”
La supervisión implica dirigir los esfuerzos del equipo de auditores gubernamentales hacia la consecución de los objetivos de auditoría.

Control interno
La tercera norma de auditoría de tecnologías de la información y la comunicación es:
“Debe obtenerse una comprensión del control interno relacionado con el objeto del examen.”
Se debe evaluar el control interno para identificar las áreas críticas que requieren un examen profundo y determinar su grado de confiabilidad a fin de establecer la naturaleza, alcance y oportunidad de los procedimientos de auditoría a aplicar.
Comprende el plan de organización, incluyendo la Unidad de Auditoría Interna, todos los métodos coordinados y procedimientos adoptados en la entidad para promover la eficacia y la eficiencia de las operaciones y la confiabilidad de la información, así como el cumplimiento de las políticas.

 Evidencia
La cuarta norma de auditoría de tecnologías de la información y la comunicación es:
“Debe obtenerse evidencia competente y suficiente como base razonable para sustentar los hallazgos y conclusiones del auditor gubernamental.”
La acumulación de evidencia es un proceso integrado a toda la ejecución de la auditoría y debe sustentar todos los atributos de los hallazgos de auditoría (condición, criterio, causa y efecto).

Comunicación de resultados
La quinta norma de auditoría de tecnologías de la información y la comunicación es:
“El informe de auditoría de tecnologías de la información y la comunicación debe ser oportuno, objetivo, claro, convincente, conciso y será el medio para comunicar los resultados obtenidos durante la misma.”
El informe de auditoría de tecnologías de la información y la comunicación debe ser emitido en forma escrita, lógica y organizada

en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

UNIDAD 5

unidad 5 Auditoria  en Telecomunicaciones  INTRODUCCION Las telecomunicaciones son ya una constante en la vida de las personas y h...

  • UNIDAD 5
    unidad 5 Auditoria  en Telecomunicaciones  INTRODUCCION Las telecomunicaciones son ya una constante en la vida de las personas y h...
  • UNIDAD III AUDITORIA DEL HARDWARE
    UNIDAD III : AUDITORIA DEL HARDWARE FINALIDAD Y EVALUACIÓN  DEL HARDWARE Se encarga de verificar la seguridad no solamente e...
  • UNIDAD IV
    UNIDAD IV : AUDITORIA DE REDES  ¿QUE ES AUDITORIA DE REDES? Una auditoria en redes es un mecanismo de prueba de una red informática, c...