Asignatura Datos del alumno Fecha

Apellidos:
Auditoría de la Seguridad
Nombre:

Caso grupal: Plan de una auditoría técnica de

seguridad de una empresa

Objetivos de la actividad

Una amenaza para cualquier sistema es cualquier actor, agente, circunstancia o

evento que tiene el potencial de causar daño tanto al propio sistema como a sus
datos y recursos. Con la presente actividad se pretende conseguir los siguientes
objetivos:

 Aprender a realizar un plan de una auditoría técnica de seguridad de los sistemas

TI de una organización.
 Comprender y estudiar las diferentes metodologías de evaluación de la seguridad
de los sistemas TI de una organización.

Descripción de la actividad y pautas de elaboración

Con el objetivo de afianzar los conocimientos adquiridos sobre la realización de

auditorías técnicas de seguridad, se pide realizar un plan de una auditoría de
seguridad de una tienda de libros online llamada Librería On-Line S.A.

La librería ha sufrido un ciberataque que ha comprometido las credenciales de sus

clientes. El incidente ha trascendido a los medios de comunicación, lo que ha
© Universidad Internacional de La Rioja (UNIR)

producido una pérdida de cuota de mercado importante frente a sus competidores.

Con el objetivo de mantener su actual posición en el mercado de venta electrónica

de libros y volver a recuperar e incluso superar la que tenía, ha contratado a la

Actividades 1
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la Seguridad
Nombre:

empresa InfoSecurity para llevar a cabo una auditoría técnica de seguridad a todos
sus sistemas TI e implementar las salvaguardas que se deriven del mismo en función
del nivel de riesgo y la disponibilidad económica.

La librería dispone de tienda web en la que el cliente necesitará autenticarse con las
credenciales de la cuenta de usuario, que a su vez se comprobarán con la base de
datos implementada en el backend de la compañía a través de una interfaz de
servicios web.

Se dispone de un procesamiento de tarjetas de crédito subcontratado a un

procesador de terceros. El sitio web se desplegará en Internet protegido por una DMZ
de dos capas con acceso tanto para usuarios internos como externos.

Se tendrá que elaborar un «Plan de Auditoría» para la realización de la citada

auditoría técnica de seguridad de la siguiente infraestructura TIC de la organización
compuesta de los siguientes elementos:

 Accesos externos VPN.

 Zona DMZ: FW y IDS.
 Publicación sitio web de la empresa.
 Correo externo e interno.
 Servicio públicos DNS y FTP.
 Infraestructura de red: router y switch.
 Aplicaciones internas Intranet y aplicaciones corporativas.
 Zona wifi.
© Universidad Internacional de La Rioja (UNIR)

 Segmentación en VLAN de la red interna: servidores y usuarios.

 Sistema AAA (autenticación, autorización y trazabilidad).
 Sistema de antimalware.
 Aplicación web de la empresa expuesta al exterior.

Actividades 2
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la Seguridad
Nombre:

La organización trata datos personales de clientes, por lo que tiene que cumplir con
lo dispuesto en el Reglamento Europeo de Protección de Datos (RGPD).

En la siguiente figura se muestra el esquema lógico de dicha infraestructura:

Figura 1. Diagrama lógico infraestructura TIC organización.

El plan de pruebas deberá contener, al menos, los siguientes apartados (si el alumno
lo considera, puede incluir más):

1. Introducción.
2. Propósito de la auditoría.
3. Objetivos de la auditoría.
© Universidad Internacional de La Rioja (UNIR)

4. Alcance de la auditoría técnica de seguridad.

• Detalle de las tareas a realizar.
• Tipos de pruebas a realizar.
• Identificar las limitaciones aplicables.

Actividades 3
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la Seguridad
Nombre:

5. Metodologías.
6. Organización y recursos necesarios.
• Descripción del equipo técnico y cualificaciones profesionales requeridas.
• Detalle de los medios técnicos.
• Incluir las herramientas a utilizar en cada una de las fases de la metodología o
metodologías elegidas.
7. Procedimientos de comunicación con los responsables de proyecto.
8. Planificación.
• Contenido del plan.
• Fases de la actuación de la auditoría.
• Plazos de ejecución de las tareas (diagrama).
9. Presupuesto.
10. Evaluación de riesgos del proyecto.
11. Anexo I: Acuerdo de autorización.
12. Anexo II: Acuerdo de confidencialidad (opcional).

Extensión

En la entrega solo se deberán incluir las tablas que se piden rellenar a lo largo del
enunciado de la actividad. La extensión máxima de la actividad será de 20 páginas.

Rúbrica

Plan de una auditoría Puntuación

Peso
técnica de seguridad de Descripción máxima
%
una empresa (puntos)
© Universidad Internacional de La Rioja (UNIR)

Realización correcta de los apartados

Criterio 1 1x5=5 50 %
3, 4, 5, 6 y 7.
Realización correcta de los apartados
Criterio 2 0,5 x 7 = 3,5 35 %
1, 2, 8, 9, 10, 11 y 12.
Criterio 3 Calidad de la memoria. 1,5 15 %
10 100 %

Actividades 4
 Asignatura Datos del alumno Fecha
Apellidos:
Auditoría de la Seguridad
Nombre:
© Universidad Internacional de La Rioja (UNIR)

Actividades 5