OBJETIVO DE LA AUDITORIA

Verificar que los sistemas de Información y la Tecnología en general de CS Software SAS estén
orientadas al cumplimiento de los objetivos estratégicos, las políticas y procedimientos establecidos
y que se lleven a cabo de manera oportuna y eficiente.

Evaluar la eficaz gestión de los recursos informáticos tales como seguridad informática,
funcionamiento y efectividad de las aplicaciones e infraestructura tecnológica, garantizando un
ambiente de seguridad y control que genere confiabilidad, integridad y exactitud en los datos.

EQUIPO DE TRABAJO

Gerente: Ruby Esmeralda Alvarez

Líder: Yuleima Lemus León

Supervisor: Fanny Casadiego Chiquillo

Asistentes: Pedro José Jaimes Beltrán

Edison Arturo Ortiz Vesga

Willington Ortiz Vesga

RECOMENDACIONES

Deshabilitar el acceso genérico a los servidores y equipos en modo administrador. Esto es:
deshabilitar usuarios como "administrator" o "root", sustituyéndolos por usuarios individuales con
los permisos adecuados.

 Establecer acceso web para aplicaciones con puertos más seguros, como 443. Además, no usar
estos puertos genéricos como el 80 o 443, sino que utilicemos otros, ej. 9443 o 9080.

 Registrar logs de acceso a todos los sistemas, con el fin de saber todas las modificaciones que
hacen los técnicos.

 Habilitar acceso SSH en la medida de lo posible en vez de telnet, que no cifra, y deshabilitarlo para
el usuario administrador o root.

 No se realiza un control de los soportes ópticos o memorias USB sobre la posibilidad de extraer
información de la compañía. Se debería de bloquear la escritura en estos dispositivos mediante
políticas GPO.

 En las conexiones de proveedores o clientes a nuestro sistema para tareas de mantenimiento o

control, se deberá restringir la comunicación a “IP” de origen y usaremos NAT, para restringir el
acceso.

 Se deberían de activar los firewall de Windows de todos los equipos, analizando previamente las
conexiones que deban permitirse.

 Además de como se realiza con WSUS, se debería de encontrar una forma de mantener los
servidores de otras plataformas diferentes a Windows correctamente actualizados.

 Revisar los circuitos conectados a la corriente protegida de la UPS, ya que en caso de caída de
fluido eléctrico, se penalizará el tiempo de fluido eléctrico en función de los aparatos conectados.

 Revisar el acceso de cada usuario a través de proxy, no existe caducidad de la contraseña. Sería
deseable la integración con el Active Directory.

 Es necesario un cambio periódico de las contraseñas de acceso Wifi, ya que podrían ser vulneradas
con facilidad, así como un control de qué dispositivos se conectan. En algunos accesos se usa
encriptación WEP siendo recomendable WPA2 o similar. También es aconsejable implementar el
filtrado por MAC para el acceso de dispositivos.

 Sería deseable un proceso automatizado de chequeo de antivirus en todos los equipos cada cierto
tiempo.

 Integrar todos los equipos y servidores dentro del mismo dominio, así nos podremos autenticar
con el mismo usuario en todos los sistemas.

CONCLUSIONES
La realización de un proyecto de auditoría informática supone un gran reto, ya que hay que realizar
un estudio previo sobre cómo queremos enfocarlo y definir bien el alcance sobre el contenido de
qué queremos auditar. Para ello, necesitaremos tener un amplio conocimiento sobre los marcos
legales que se exigen, así como los métodos y metodologías que existen para llevarlos a cabo.

El amplio conocimiento que tenemos de la empresa en parte nos ayuda, ya que no tendremos que
realizar múltiples cuestionarios ni entrevistas al personal de la empresa, y podremos enfocarlo así
más rápidamente. Por el contrario, al estar dentro de un departamento de IT, nos es difícil
abstraernos y ver en una perspectiva global la evaluación sobre la seguridad que debemos de
afrontar.

El proceso de realización ha sido extenso en el tiempo, ya que siempre aparecen nuevas normas o
sistemas que auditar, y es difícil establecer un punto de corte del que no deberemos pasar. El gran
conocimiento técnico sobre el funcionamiento de la organización, hace que sea complejo elaborar
un documento válido que presente las deficiencias más importantes y que sean entendibles por las
personas encargadas de la toma de decisiones.

En general, como la empresa periódicamente es sometida a auditorías tanto internas como

externas, cumple con casi la totalidad de las normas de seguridad sobre la LOPD e ISO 27001. Si
bien, existen algunos otros aspectos que deberían ser revisados o actualizados, según se publiquen
nuevas normas o se desplieguen nuevas funcionalidades dentro de la empresa.

Lo más importante para no cometer errores en el futuro es establecer las funciones de las que se
encargará cada miembro de la organización en general. Es fundamental que cada miembro que
tenga algún tipo de responsabilidad en alguna materia sea consciente de las normas que debe
cumplir. Sobre los sistemas y su control, siempre deberemos de estar alerta sobre cualquier cambio
que se produzca, así como posibles actualizaciones sobre software o hardware. Será necesario tener
un conocimiento sobre todo tipo de noticias relativas a seguridad, bien a través, de consultorías,
foros, webs especializadas,…

A pesar de un aparente estado de normalidad, nunca deberemos de creernos que cumplimos todos
los requerimientos sobre seguridad, ya que esto es una apreciación un tanto peligrosa. Siempre
deberemos de estar alerta ante cualquier tipo de incidencia, ya sea en forma de seguridad física así
como de procedimientos y de sistemas.

Por último, se puede tomar como referencia este trabajo como una forma de cuantificar qué y cómo
debemos de evaluar las medidas de seguridad de una empresa, si bien, deberemos de actualizarla
regularmente. Cabe reseñar que esta auditoría ha ayudado a cumplir ciertos objetivos sobre
seguridad y a conseguir una labor formativa en mi caso.

En cuanto a nuestra aportación en esta auditoría podemos destacar que gracias a esto hemos
conseguido tener una visión más global sobre los problemas de la seguridad en la organización. En
el aspecto profesional esto me ha aportado el poder realizar un control y detección de las
vulnerabilidades existentes en la empresa y trabajar en la seguridad proactiva. Gracias a esto, puedo
llevar un control estructurado sobre las diferentes materias que puedan ser sensibles a problemas.
Capítulo 12 Auditoría informática y aplicación a un caso en una empresa real 87 En el aspecto futuro
sobre lo que nos puede ayudar esta auditoría tenemos que comentar que puede funcionar como
una guía a seguir para realizar controles periódicos. Podríamos ampliarla renovándola con posibles
revisiones de las normas de seguridad que surjan, así como usando aplicaciones especializadas en
la gestión y el cumplimiento de las normas ISO 27001 y LOPD. En caso de los escáneres de
vulnerabilidades podríamos usar algún referente como Nessus.