Asignatura Datos del alumno Fecha

Apellidos:
Auditoría de la
Seguridad Nombre:

Actividades

Trabajo: Realización de un EDR o ROA

Objetivos

Mediante esta actividad se pretende que pongas en práctica las actividades

que constituyen todo el proceso de auditoría de una organización, haciendo
foco en la realización de un EDR o ROA.

Descripción del trabajo

Viento en Popa es una empresa dedicada a la planificación de actividades

náuticas así como a impartir clases teóricas y prácticas de navegación.
Ofrece la posibilidad de obtener la certificación de Patrón de
Embarcaciones de Recreo (PER).

Dentro de la estrategia empresarial, se desarrolló como canal de

información y venta un portal web el cual, y de forma somera, consta de
dos partes claramente diferenciadas:

» La zona de Administración desde la cual se gestiona la información

relativa a cursos y alumnos.
» La zona de clientes y alumnos donde el usuario tiene acceso a la
información de Viento En Popa referente a actividades y cursos, y acceso
a la parte privada de cada uno, con la posibilidad de realizar exámenes,
descargar temarios y documentación, etc.

Con esta información, se trata de que desarrolles los siguientes puntos:

» Planificar y realizar una auditoría basada en riesgos (EDR) del portal

web Viento en Popa.

TEMA 3 – Actividades © Universidad Internacional de La Rioja

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la
Seguridad Nombre:

Para ello se debe comenzar con la identificación de riesgos a partir de

los cuales se establezcan objetivos de control, controles, pruebas de
cumplimiento y, si es necesario, Pruebas Sustantivas.

» Propones la estructura de un informe dirigido a la Dirección de Viento en

Popa, con los resultados de la Auditoría siguiendo las fases explicadas.

Datos útiles

» Equipo de dos auditores.

» Tiempo estimado del proceso completo 2 meses/hombre.
» La tecnología en la que está desarrollado el portal es Java.

Nota importante

La solución se puede presentar considerando una de las siguientes dos

opciones:

» Viento en Popa tiene subcontratado un hosting de los servicios ofrecidos

en la web.
» Viento en Popa tiene en sus instalaciones los servidores que dan el
servicio ofrecido en la web.

Se considerarán ejercicios válidos si contestas a todos los apartados

razonando debidamente cada decisión tomada.

Entrega del trabajo

Un documento en formato word con una extensión máxima de 7-8 páginas,

fuente Georgia 11 e interlineado 1,5.

TEMA 3 – Actividades © Universidad Internacional de La Rioja

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la
Seguridad Nombre:

Auditoría Basada en Riesgos

Empresa: Viento en Popa

Objetivo General:

Diseñar un plan de auditoria para el portal Web de Viento en Popa (PWeb),

que opera dentro de servidores dedicados de la empresa.

Objetivos Específicos:

 Recopilar la información asociada al PWeb para generar un diagnóstico

del sistema acertado.
 2) Analizar la información recolectada del PWeb, haciendo uso de
normas y estándares internacionales.

 3) Diseñar y evaluar el plan de auditoria para el PWeb, de acuerdo a la

información recolectada.

TEMA 3 – Actividades © Universidad Internacional de La Rioja

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la
Seguridad Nombre:

Infraestructura PWeb:

Cuestionario de la Auditoría:

TEMA 3 – Actividades © Universidad Internacional de La Rioja

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la
Seguridad Nombre:

Empresa: Viento en Popa R/PT

Cuestionario de Control 001
Dominio Infraestructura
Seguridad de
Proceso
la Información
Seguridad de
Objetivo de Control
la Información
Cuestionario
Pregunta SI NO N/E
¿Existe algún archivo de tipo Log
donde guarde información referida a
las operaciones que realiza la Base
de datos?
¿Se realiza copias de seguridad
(diariamente, semanalmente,
mensualmente, etc.)?
¿Existe algún usuario que no sea el
DBA pero que tenga asignado el rol
DBA del servidor?
¿Se encuentra un administrador de
sistemas en la empresa que lleve un
control de los usuarios?
¿Son gestionados los perfiles de
estos usuarios por el administrador?
¿Son gestionados los accesos a las
instancias de la Base de Datos?
¿Las instancias que contienen el
repositorio, tienen acceso
restringido?
¿Se renuevan las claves de los
usuarios de la Base de Datos?
¿Se obliga el cambio de la
contraseña de forma automática?
¿Se encuentran listados de todos
aquellos intentos de accesos no
satisfactorios o denegados a
estructuras, tablas físicas y lógicas
del
repositorio?
¿Posee la base de datos un diseño
físico y lógico?
¿Posee el diccionario de datos un
diseño físico y lógico?
¿Existe una instancia con copia del
Repositorio para el entorno de
desarrollo?

TEMA 3 – Actividades © Universidad Internacional de La Rioja

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la
Seguridad Nombre:

¿Los datos utilizados en el entorno

de desarrollo, son reales?
¿Las copias de seguridad se efectúan
diariamente?
¿Las copias de seguridad son
encriptados?
¿Se ha probado restaurar alguna vez
una copia de seguridad, para probar
que las mismas se encuentren bien
hechas?
¿Los dispositivos que tienen las
copias de seguridad, son
almacenados
fuera del edificio de la empresa?

Conocimiento del Entorno:

Todos los equipos se encuentran conectados al router principal y en el

momento no se hace gestión alguna sobre la red inalámbrica.
Si se evidencia algún ataque a la red, se procede a hacer las validaciones y
a hacer pruebas sobre esta cuando se considera necesario. La longitud del
cableado de la red no excede los 90 metros y hace falta tener un estándar
de colores con el cableado. El mapa de la estructura de los nodos de la red
se tiene de manera informal, aunque es fácil de identificar debido a que la
oficina actual es más pequeña.
El firewall está a cargo del proveedor para el acceso a los servidores.
Para poder conectarse a los servidores el router principal cuenta con una
IP fija la cual tiene la autorización de acceso a estos y los equipos de
cómputo tienen configuradas las direcciones IP por medio de DHCP.
Se cuenta con UPS, para regular el voltaje, al igual que el sistema eléctrico
cuenta con polo a tierra, con el fin de disminuir la posibilidad de daños en
los equipos.
No se cuenta con un sistema de control de acceso al centro de cómputo, no
se tiene
implementado un modelo de QoS. A nivel de la red local de la oficina, no se
tiene implementado más allá de los antivirus y de los sistemas operativos
(Linux y Mac) para evitar ataques externos.

TEMA 3 – Actividades © Universidad Internacional de La Rioja

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la
Seguridad Nombre:

En caso de presentarse fallas con el proveedor principal de internet, se

cuenta con un
proveedor de Backup.

Definición del riesgo:

Identificación de Riesgos:

R RIESGO
Perdida de información de la base de datos, causada por
R-01
robo desde la parte externa de la empresa.
Perdida de información de la base de datos, causada por
R-02
robo desde la parte interna de la empresa.
Perdida de información de la base de datos, causada por
R-03
personal con mala intención.
Perdida de información de la base de datos, causada por
R-04
desconocimiento del personal.
Modificación y perdida de la integridad de la información,
R-05
causada por personal con mala intención.
Perdida de la información, causada por daño en
R-06
instalaciones del proveedor.
Eliminación de información, causada por el personal sin
R-07
intención o por accidente.
Eliminación o daño de la información, causada por la
R-08
ejecución de un proceso inadecuado.

TEMA 3 – Actividades © Universidad Internacional de La Rioja

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la
Seguridad Nombre:

Daño en la estructura de la base de datos, causada por

R-09
administración inadecuada de la base de datos.
Daño de la estructura de la base de base de datos, causada
R-10
por falta de documentación de su estructura.
Retrasos en la implementación de cambios en la base de
R-11
datos, causada por administración inadecuada.
Daño en la base de datos, causada por falta de conocimiento
R-12 del personal en la estructura de la base de
datos.
Robo de información a causa de intrusión a la red por
R-13
personas ajenas a la empresa.
Daños en la estructura de la red, causados por ingreso a las
R-14
oficinas de personas ajenas a la empresa.
Perdida en la conexión de red a causa de la demora en la
R-15
detección del cableado interno oportuno.
Infección de la red por causa de la permisividad al acceso a
R-16 cualquier página de internet por parte de
los empleados.
Fallos en la conexión de red, causado por perdida del
R-17
servicio del proveedor de Internet.
Ataques a la red a causa de malas configuraciones en el
R-18
firewall por parte del proveedor.
Interrupción del servicio, causado por perdida del fluido
R-19
eléctrico.
Perdida de información, causada por la no ejecución del
R-20
proceso de Backup diario.
Daño del código del PWeb, causado por hacer cambios
R-21 directamente en producción y no en el sistema
de versiones.
Pérdida de ingresos para la empresa, causado por cambios
R-22
inadecuados sobre el sistema PWeb.

Matriz de riesgos:

TEMA 3 – Actividades © Universidad Internacional de La Rioja

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la
Seguridad Nombre:

Programación de las Pruebas de Auditoría:

REF. DESCRIPCIÓN DE LA PRUEBA RIESGOS

Verificar si existe fuga de información, por falta
P001 de políticas de R-01
control de acceso.
Verificar si existe fuga de información, por falta
P002 de políticas de R-02
creación de usuarios y contraseñas.
Validar el proceso de selección de personal y
R-03, R-
P003 ver si cumple con
05
los objetivos del negocio.
Validar si la documentación entregada al
personal está
P004 R-04
actualizada y si este cumple con el
procedimiento estipulado.
Revisar el contrato con el proveedor que presta
el servicio de alojamiento de servidores
confirmar si se tienen cláusulas que permitan
P005 R-06
asegurar el buen estado de los servidores,
recuperación de la información ante un daño en
las instalaciones del proveedor.
Verificar el proceso de recuperación de
R-07, R-
P006 información de la base de datos, cuando es
08
eliminada accidentalmente.

Diseño de las pruebas de Auditoría

PRUEBA No: P001

PROCESO: Políticas de control de acceso a base de datos.

OBJETIVO DE LA PRUEBA: Verificar si existe fuga de información, por falta de

políticas de control de acceso.

TIPO: Mixta

CONTROLES A PROBAR: Proceso de autenticación inicial, para el ingreso al

pgadmin

desde la Web y la segunda clave de acceso

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

TEMA 3 – Actividades © Universidad Internacional de La Rioja

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la
Seguridad Nombre:

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome,

Opera,

Firefox, Safari, Internet Explorer.

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, Ram de 4

GB y

Disco Duro de 250 GB)

PROCEDIMIENTO A EMPLEAR

 Ingresar con el usuario entregado por el área IT y confirmar si se tienen

validaciones de

ingreso erróneo.

 Digitar erróneamente el usuario 3 veces y ver si hay validación de ingreso

erróneo desde

la web.

 Digitar erróneamente la contraseña 5 veces.

 Realizar pruebas de captura de la contraseña desde una red ajena a la empresa.

 Se trabaja con el programa Asterisk key 10.0

 Se ingresa a la página de acceso al pgadmin donde se encuentra alojada la base

Del PWeb.

 Se ingresa el usuario y la contraseña entregadas y se ejecuta el programa

Asterisk

Key.

 Capturar el resultado de la prueba.

PRUEBA No: P002

PROCESO: Políticas de creación de usuarios y contraseñas.

OBJETIVO DE LA PRUEBA: Verificar si existe fuga de información, por falta de

políticas de

creación de usuarios y contraseñas.

TIPO: Mixta

TEMA 3 – Actividades © Universidad Internacional de La Rioja

(UNIR)
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la
Seguridad Nombre:

CONTROLES A PROBAR: N/E

RECURSOS NECESARIOS PARA APLICARLA

INFORMACIÓN

SOFTWARE: S.O. con Windows 7, Linux o Macintosh. - Navegador: Google Chrome,

Opera,

Firefox, Safari, Internet Explorer.58

HARDWARE: Computador con recursos mínimos (Procesador Dual Core, Ram de 4

GB y

Disco Duro de 250 GB)

DOCUMENTACIÓN: Listado de usuarios activos.

PROCEDIMIENTO A EMPLEAR

 Solicitar la lista de usuarios asociados en la base de datos.

 Validar con recursos humanos que personas se encuentran aún en la empresa y

compararlos contra la lista de usuarios entregada.

 Validar el ingreso a la base con usuarios que se encuentren activos y confirmar si

el

sistema tiene restricción para los usuarios que se encuentran inactivos.

 Validar si el ingreso a la base de datos es único por sección y usuario.

 Ingresar al mismo tiempo desde dos navegadores diferentes con el usuario

entregado.

TEMA 3 – Actividades © Universidad Internacional de La Rioja

(UNIR)