Si desea una diferencia estricta entre una Auditoría y una Evaluación, diré que cuando se realiza una Auditoría, se compara lo que se tiene con ciertos «estándares» y políticas. Por otro lado, una Evaluación es más investigativa – tal vez usted quiere encontrar un problema o simplemente conocer el estado de su red, no necesariamente de acuerdo con ninguna norma escrita.
Alcance de la auditoría de red
Una cosa que siempre hay que preguntarse antes de empezar cualquier proyecto es «¿Cuál es el alcance de este proyecto?» Esto ayuda a establecer tanto tus expectativas como las del cliente.
Dicho esto, en la mayoría de las auditorías de red que he realizado, mi ámbito de trabajo suele limitarse a los dispositivos de red como routers, conmutadores, cortafuegos, etc. Mi auditoría no se extiende a dispositivos finales como Servidores y PCs de usuario, ni tampoco audito Aplicaciones. En la misma línea, restringiremos nuestra discusión a la auditoría de los Dispositivos de Red.
¿Por qué y cuándo se necesita una auditoría de red?
Las organizaciones no se levantan un día y deciden hacer una auditoría de redes; normalmente hay una necesidad que impulsa tal decisión, algunas de las cuales son:
- Inventario: A medida que las organizaciones y sus demandas crecen, se producen fusiones o los dispositivos pasan de un equipo operativo a otro, también lo hace la Red. Los dispositivos pueden añadirse sobre la marcha a la red y, en algún momento, los administradores pueden estar a oscuras en cuanto a lo que se está ejecutando en su red – introduzca la auditoría de la red.
- Actualización/recuperación de la red: Como cualquier otra cosa, hay una tendencia a que las redes caigan en un estado operativo en el que los administradores se preocupan por el funcionamiento diario de dichas redes. Para mantenerse al día con las demandas, tales Redes necesitarán ser actualizadas de vez en cuando. Antes de actualizarla, querrá realizar una Auditoría de Red para saber qué es lo que realmente ocurre en su Red, qué dispositivos siguen siendo soportados por el proveedor (tanto de software como de hardware), qué dispositivos hay que sustituir, cuáles hay que actualizar, etc.
- Resolución de problemas: En una ocasión, un cliente me llamó a su oficina para que le ayudara a resolver un problema de acceso a
- Internet. Este cliente no tenía conocimientos técnicos: había venido alguien para ayudar a configurar la red y esta persona ya no estaba accesible. Antes de que pudiera resolver el problema, necesitaba saber primero qué componía su red y realizar una evaluación de la red era el camino a seguir.
- Cumplimiento: Dependiendo del tipo de negocio al que se dedique una organización, es posible que se le exija el cumplimiento de ciertas normas (por ejemplo, PCI DSS). Una Auditoría de Red será utilizada tanto por la empresa (para preparar la auditoría) como por los auditores externos (para evaluar el cumplimiento de la organización).