La necesidad de una auditoría de red

El objetivo

La gran mayoría de las empresas, y los centros educativos no son una excepción, están convencidos de que sus redes de datos son seguras y se muestran satisfechos con el rendimiento y velocidad de la red. Este artículo, tiene como objetivo mostrar la verdadera realidad a la luz de nuestra experiencia en la realización de auditorías de red.

El punto de partida

Como consecuencia de la escasa percepción de lo vulnerables que son las redes, cuando éstas no están bien configuradas, la atención de las inversiones TIC están más enfocadas a la adquisición del material informático que a una implantación robusta y segura de la red. La consciencia de riesgo está cada vez más difuminada conforme se asciende desde el responsable TIC a las más altas esferas de decisión.

La dirección confía en que el responsable TIC tenga en todo momento el control de la red, pero al mismo tiempo le exige que realice esta labor sin contar con las herramientas adecuadas que le permitirían conocer el uso real de la red por parte de los usuarios y controlar lo que puede y lo que no puede hacer cada usuario de la red.

El resultado inevitable, es la progresiva pérdida de control. Conforme aumenta la complejidad de la red y el número de ordenadores y usuarios crece, incorporándose nuevas herramientas de gestión, y permitiendo el uso generalizado de Internet, van aumentando también las vulnerabilidades y las incidencias. El responsable TIC se ve sometido a una creciente demanda de atención a los usuarios finales para tareas urgentes, como problemas con impresoras, nuevos drivers, actualizaciones, instalación de aplicativos, etc, que le obligan a actuar descuidando los aspectos de diseño y seguridad de la red.

La auditoria

Superado el primer escollo que representa la idea de una red invulnerable, la necesidad de la auditoría se hace más evidente. Los aspectos principales que se abordan son:

Control del tráfico de la red: ¿Qué es lo que está pasando?
Análisis de las infraestructuras: ¿Cómo está configurada la red y si ¿responde a las necesidades del cliente?
Riesgos técnicos-jurídicos: ¿Se han implantado adecuadamente las medidas de seguridad conforme a la LOPD? o ¿su cumplimiento es meramente formal?

1. Control del tráfico de la red

Como hemos advertido al inicio de este artículo, uno de los aspectos más desconocidos por la gran mayoría de los responsables TIC encargados del mantenimiento de la red, es conocer cuál es el uso real que los usuarios hacen de la red. Es sabido que la falta de control conlleva a que los recursos de comunicaciones y enlaces, se encuentren sometidos a un uso que excede, con mucho, a los usos que el cliente ha definido para su red. El uso de aplicaciones de descarga y compartición masiva de películas, programas o ficheros, el acceso a sitios no recomendados, prohibidos o peligrosos, el uso indiscriminado de las redes sociales, el acceso a sitios web que
contienen archivos infectados con virus o con malware, el acceso desde internet hacia la red interna exponiendo los datos del centro a cualquier fallo de seguridad y otros muchos usos de riesgo, ocasionan dos efectos inmediatos: por una parte el consumo innecesario de los recursos de las comunicaciones, aumentando el coste y disminuyendo la velocidad y efectividad de la red y, por otra parte, lo que es más importante, haciendo muy insegura la red. La pérdida de datos no solo puede conllevar importantes multas y responsabilidades jurídicas, sino que en muchas ocasiones pueden poner en peligro la continuidad del negocio.

Las herramientas de control de red, permiten monitorizar y además establecer reglas de uso, limitando a los usuarios que se determine, el uso de aplicaciones, el acceso a determinados contenidos de páginas web y a neutralizar, en mismo punto de entrada de la red, las amenazas que suponen los virus, el spam y el malware entre otros. También es posible establecer cuotas, horarios o uso según perfiles de usuario o por máquina. Además es posible balancear los distintos enlaces de comunicaciones, haciendo más eficiente el sistema.

2. Análisis de las Infraestructuras

Se revisa, de manera detallada, la idoneidad del cableado, switches, estructura de la red, permisos de acceso, recursos compartidos, sistemas de backup y recuperación, políticas de seguridad, perfiles y usuarios, sistemas de contingencia, parches de seguridad, etc. A este nivel suelen encontrarse los mayores agujeros de seguridad, encontrándonos en muchos casos, recursos compartidos sin ningún control de acceso, redes que pueden acceder a otras, backups no operativos, accesos de comunicaciones no utilizados, bucles y cables sin marcar, redes WiFi con contraseñas débiles y fácilmente “hackeables” así como otras prácticas que ponen en peligro la seguridad de la red.

3. Riesgos técnico-jurídicos

En este apartado nos concentraremos en que los procesos y procedimientos establecidos en el Documento de Seguridad de la LOPD estén efectivamente implantados. Es muy común encontrar que existe un cumplimiento “formal” de la ley, que se hayan registrado los ficheros y que exista un documento de seguridad, pero no existe una verdadera interiorización de las obligaciones más relevantes de la ley. Es muy frecuente encontrar que no se están aplicando las medidas de seguridad descritas. En la gran mayoría de los casos no hay formularios de ejercicio de los derechos ARCO, ni cláusulas informativas de la creación del fichero, ni registro de incidencias, ni registro de salida de soportes, ni contratos de comunicación de datos a terceros, ni tampoco aparecen detalladas las responsabilidades y obligaciones específicas del personal, etc.

Conclusiones

En general, como hemos visto, hay muy poca conciencia de los riesgos crecientes que supone el uso de las tecnologías en todos los ámbitos y en especial en el ámbito educativo, en donde, por tratarse de menores de edad, se multiplica exponencialmente los efectos que puede producir la exposición a información inadecuada, la publicación de datos confidenciales o la comisión de delitos o agresiones por parte de otras personas de la comunidad educativa. Integra desea contribuir de manera efectiva a la correcta implantación de las nuevas tecnologías en los centros educativos proveyendo las herramientas y el conocimiento necesario para un uso racional y óptimo de los recursos de red, por lo que recomienda la contratación de este tipo de servicios.

Diego echeverri Uribe
Director Tecnologico
Integra Información y Comunicación S.L

Madrid, 25 de Julio de 2013

Cookie	Duración	Descripción
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Duración	Descripción
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
wp_api	past	No description
wp_api_sec	past	No description

La necesidad de una auditoría de red

Artículos relacionados

eCiber PicoEmpresa Filter: Monitorización de la red y filtrado de contenidos para colegios con pocos recursos

Balance 2023 y Plan para 2024

eCanal: La gestión de tu Canal de Denuncias en tu bolsillo

La influencia de las Redes Sociales en la Educación y las Empresas

Dónde estamos

Contacta