12. Modelo OSI Aplicación Presentación Sesión Transporte Red Enlace Física Aplicación Presentación Sesión Transporte Red Enlace Física 1 2 3 4 5 6 7 1 2 3 4 5 6 7 Al enviar el mensaje “ baja” Al recibir el mensaje “ sube” RED Nodo A Nodo B
13. Ponente: Jonathan Muñoz Aleman Homepage: http://geekmelomano.iespana.es/ E-mail: [email_address] Vulnerabilidades y Ataques Informáticos
43. Hallazgo Ausencia de políticas y procedimientos para la administración de la seguridad de la red física. Actualmente no existen políticas ni procedimientos escritos para la gestión de la seguridad física de la red. Sino que, son los encargados de cada sala quienes llevan adelante estas tareas a criterio propio y por lo tanto de manera heterogénea. No existen políticas ni procedimientos para Mantenimiento Debido a la ausencia de estos, el mantenimiento, lo realiza el encargado de turno basándose en su experiencia. Además tampoco se cuenta con procedimientos para el monitoreo de las conexiones de la red por lo que es difícil determinar el estado de los equipos. No existen políticas ni procedimientos para Inventarios Por lo que no se conoce la disponibilidad de equipos, su ubicación, estado ni procedencia. No existen políticas ni procedimientos para registros de errores y soluciones No esta disponible información referente a errores comunes y sus soluciones encontradas. Por lo que cada encargado debe, a cada error, encontrarle una nueva solución aunque se trate de problemas recurrentes. Tampoco es posible realizar un seguimiento de las fallas y sus causas, con el objeto de implementar medidas correctivas. Esto genera la necesidad de la presencia permanente del encargado. No se cuenta con una metodología para el diagnóstico de fallas. No existen políticas ni procedimientos para la asignación de responsabilidades No están claramente definidas las responsabilidades del personal, lo que ocasiona confusión acerca de las tareas que debe realizar cada persona. Recomendaciones Recomendamos que, se escriban y difundan las políticas y los procedimientos necesarios para proteger los recursos informáticos de la red de área local de la universidad. Estos procedimientos deberían ser para mantenimiento, inventario, registros de errores y soluciones y responsabilidades. Los mismos deberán servir de guía para que los encargados realicen la correcta gestión del control físico sobre la red.