Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

Actividades

Trabajo: El proceso y las fases de la auditoria de Sistemas de

Información

Viento en Popa es una empresa dedicada a la planificación de actividades náuticas, así

como a impartir clases teóricas y prácticas de navegación. Ofrece la posibilidad de obtener
la certificación de Patrón de Embarcaciones de Recreo (PER).

Dentro de la estrategia empresarial, se desarrolló como canal de información y venta un

portal Web el cual y de forma somera consta de dos partes claramente diferenciadas:

La zona de Administración, desde la cual se gestiona la información relativa a cursos y

alumnos.

La zona de clientes y alumnos, donde el usuario tiene acceso a la información de Viento en

Popa referente a actividades y cursos, y acceso a la parte privada de cada uno, con la
posibilidad de realizar exámenes, descargar temarios y documentación, etc.

Desarrolla los siguientes puntos

Planificar y realizar una auditoría basada en riesgos del portal web Viento en Popa.
Para ello se debe comenzar con la identificación de «riesgos inherentes» a partir de los
cuales se establezcan objetivos de control, controles, etc.

Redactar un informe dirigido a la Dirección de Viento en Popa, con los resultados de la

auditoría siguiendo las fases explicadas.

Datos útiles

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

Equipo de dos auditores.

Tiempo estimado del proceso completo 2 meses/hombre.

La tecnología en la que está desarrollado el portal es Java.

Nota Importante

La solución se puede presentar considerando una de las siguientes dos opciones:

Viento en Popa tiene subcontratado un hosting de los servicios ofrecidos en la Web.

Viento en Popa tiene en sus instalaciones los servidores que dan el servicio ofrecido en
la web.

Se considerarán ejercicios válidos si contestas a todos los apartados razonando

debidamente cada decisión tomada.

Extensión máxima: 7-8 páginas, fuente Georgia 11 e interlineado 1,5.

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

AUDITORÍA BASADA EN RIESGOS

FASE I: PREPARACIÓN DE LA AUDITORÍA

1.- Definición del alcance
La auditoría se realizará sobre el portal Web de la empresa “Viento en Popa”. En éste portal
se identifican 2 partes, por un lado, la parte de administración en donde se ofrece a todos
los visitantes del sitio información relativa a los cursos que se ofrecen, así como de algunos
alumnos destacados. La otra parte es para aquellos alumnos debidamente registrados y
donde pueden obtener información detallada sobre las actividades y cursos que ofrece la
empresa, también pueden acceder a cursos on line, documentación, descarga de temarios,
checar el estatus de pagos, realizar exámenes, chat con instructores, etc.

2.- Recursos y tiempo

Para la realización de la auditoría se cuenta con 2 auditores (A y B), siendo el auditor A el
líder.
Se ha fijado, de común acuerdo entre ambas partes, el realizar la auditoría en un tiempo de
2 meses. Iniciando el día 06 de enero de 2020.
Ambos auditores tienen conocimiento y experiencia en desarrollos en Java (la página de la
empresa está desarrollada en Java).
La empresa cuenta en sus propias instalaciones con el servidor desde donde opera la
página Web.

3.- Recopilación de información básica

Se requiere contar con al menos, la siguiente información:
• Organigrama funcional de la empresa (detalle específico de la Dirección de
Informática)
• Objetivo, misión y visión
• Directorio del personal administrativo que tenga interacción directa e indirecta con
la operación de la página Web (nombre, número de celular, área de adscripción,
funciones específicas y generales, y correo electrónico)

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

• Planos con la distribución de las áreas administrativas (incluyendo la ubicación de

todos los equipos de cómputo).
• Inventario de activos informáticos (Hardware y Software) que tengan relación con la
página Web
• Documentación técnica del desarrollo de la página web (requerimiento inicial,
desarrollo, pruebas, mejoras – versiones, bitácora de mantenimiento, reportes de
fallas)
• Política de seguridad de la empresa
• Documentación adicional:
o Informes de auditorías anteriores (internas y/o externas)
o Procedimientos para desarrollos informáticos internos.

4.- Programa de trabajo

De acuerdo al tiempo y las capacidades de cada uno de los auditores, se procederá al
desarrollo de la auditoría de la siguiente manera:
Auditor A.
• Recopilar, analizar y evaluar la información administrativa recabada.
• Realizar entrevistas con los responsables administrativos de la página web:
o Administrador general de la página
o Encargado de desarrollo y actualizaciones
o Responsable del contenido
o Usuarios administrativos de la página (al menos 5)
• Elaboración y aplicación de encuestas para poder medir el grado de satisfacción de
la aplicación hacia el interior de la empresa (al menos 5 mandos administrativos
superiores con poder de decisión)
• Elaboración de un informe previo administrativo
Tiempo estimado de realización: 6 semanas
Auditor B.
• Recopilar, analizar y evaluar la información técnica recabada.
• Realizar entrevistas con los responsables técnicos de la página web:
o Administrador general de la página
o Encargado de mantenimiento – soporte de sistemas (software y hardware)

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

o Programador
• Selección de pruebas para detección de riesgos potenciales
• Aplicar las pruebas correspondientes y registrar los resultados
• Elaboración de un informe previo técnico
Tiempo estimado de realización: 6 semanas

El auditor A se encargará de juntar los dos informes previos y, una vez que, en conjunto
con el auditor B se ha revisado todo el informe final, se presentará a la empresa. (tiempo
estimado 1 semana)

5.- Plan de comunicación

Una vez que se tenga listo el informe final de auditoría, el auditor A procederá a enviar, vía
correo electrónico, un borrador de dicho informe al Director de Informática para que pueda
dar sus observaciones/comentarios en un lapso de 3 días.
Posterior a esto, el auditor A convocará, con apoyo del Director de Informática, a una
reunión de presentación del Informe de Auditoría, buscando contar con la presencia de:
• Director del Consejo de Administración de la empresa
• Director de Administración y Finanzas
• Director de Actividades Recreativas
• Director de Educación en Línea
• Director de Informática
• Abogado de la empresa

FASE II: REALIZACIÓN DE LA AUDITORÍA

1.- Identificar riesgos potenciales
Como resultado de las actividades tanto del auditor A como del auditor B se han identificado
como posibles riesgos los siguientes:
• La empresa carece de una política de seguridad general. RIESGO: integridad,
disponibilidad y confidencialidad de la información.

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

• No se realiza respaldo de la información de los alumnos de forma continua (se

realiza un respaldo de TODA la información que maneja la página cada 2 meses).
RIESGO: disponibilidad de la información
• Para actividades CRÍTICAS de la página (ingreso y actualización de datos
personales de los alumnos, procesos de pago por servicios, realización de
exámenes y el ingreso y actualización de datos personales de los instructores) no
se tienen contemplados procesos de validación, encriptación y almacenamiento
seguro de la información. RIESGO: integridad, disponibilidad y confidencialidad de
la información.
• El servidor donde reside la página Web no cuenta con software antivirus actualizado
(más de 6 meses de que se venció la licencia correspondiente y no se ha renovado).
RIESGO: disponibilidad e integridad de la información.
• El servidor donde reside la página Web tiene un firewall con la configuración por
default (desde su instalación hace más de 6 meses). Nadie del personal actual
conoce o sabe cómo configurarlo adecuadamente. RIESGO: disponibilidad e
integridad de la información.
• El acceso físico al área donde está ubicado el servidor donde reside la página Web
(así como otros 2 servidores de la empresa) es libre y se encuentra muy cercano a
la puerta principal de acceso a la empresa. RIESGO: integridad, disponibilidad y
confidencialidad de la información.
• Los servidores (3 en total) no cuentan con equipo de respaldo de energía eléctrica
(UPS). RIESGO: disponibilidad e integridad de la información
• El personal que opera los servidores en general, no cuenta con la capacitación
adecuada para su correcta administración y operación. RIESGO: integridad y
confidencialidad de la información.
• Las licencias del software de sistema operativo vencieron hace 1 mes y no se tiene
contemplada su renovación hasta el próximo mes de marzo de 2020. (disponibilidad
de recursos económicos). RIESGO: disponibilidad de la información.
• Se tiene mucho movimiento de personal que desarrolla aplicaciones, que opera y
da mantenimiento a los equipos de informática. (sueldos poco competitivos y pocas
prestaciones). RIESGO: confidencialidad e integridad de la información.

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

2.- Identificación de controles fuertes y débiles

Como controles fuertes se han podido constatar:
• El acceso físico a las instalaciones de la empresa sólo se da previa autorización de
la persona a quien se va a ver y es obligatorio dejar una identificación oficial vigente,
así como portar el gafete de visitante correspondiente.
• Para los visitantes, no permiten el uso de dispositivos electrónicos de cómputo en
el interior de las instalaciones sino hasta que han sido registrados y analizados por
el área de informática.
• El servicio de correo electrónico interno es monitoreado permanentemente.
• La página Web exhibe de una manera clara el Aviso de Privacidad de la empresa,
mismo que cumple con todas las disposiciones legales correspondientes.

Como controles débiles (y en algunos casos, ausentes) se han podido identificar:

• Cuando una misma persona ingresa con cierta frecuencia a las instalaciones, los
guardias de seguridad ya no son tan estrictos al momento del registro de entrada y
salida.
• Los equipos electrónicos de cómputo de las personas que ingresan con cierta
frecuencia, en ocasiones ya no son revisados. (pasan libremente)
• No se tienen en resguardo seguro los respaldos de información que se realizan de
forma bimestral (en un cajón del escritorio de la persona que los realiza).
• Se carece de una bitácora (física o digital) del uso de los servidores en cuanto a
actualizaciones, modificaciones en sus configuraciones, instalación de aplicaciones,
remoción de aplicaciones, etc.
• Se carece de una bitácora (física o digital) para el acceso al área de informática
• Cuando una persona deja de laborar en la empresa, no se actualiza la parte
correspondiente a sus cuentas de acceso a los sistemas informáticos a los que haya
tenido acceso (incluyendo la administración u operación de la página Web)
• El registro de usuarios válidos de la página Web de la empresa no se actualiza
(aparecen todavía alumnos que ya han concluido su formación desde hace más de
2 años)
• No se tiene implementada la política de cambio de contraseñas de forma periódica,
para el acceso a la página Web.

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

• No se ha implementado el manejo de log´s (registros de auditoría) para la página

Web (ya se tiene desarrollado desde hace 3 meses, falta la liberación por parte del
Director de Informática).
• No se ha implementado el análisis estadístico referente al uso de la página Web (ya
se tiene desarrollado desde hace 3 meses, falta la liberación por parte del usuario
solicitante).
• Para los trabajadores de la empresa, no se tiene control o registro de sus equipos
electrónicos de cómputo personales ni de comunicación (telefonía celular)

3.- Selección de controles a utilizar

Considerando los controles encontrados (fuertes, débiles y ausentes) se propone la
implementación de, por lo menos, los siguientes (basándonos en el estándar ISO/IEC
27002:2013):
• Políticas de seguridad:
o Establecer, desde la Dirección de la empresa, las directrices de seguridad
de la información aplicables (incluye una revisión y actualización permanente
de la misma)
• Aspectos organizativos de la seguridad de la información:
o Definir una segregación de tareas operativas y técnicas.
o Establecer políticas de uso de equipos móviles (tanto personales como los
de propiedad de la empresa)
• Seguridad ligada a los recursos humanos:
o Definir de manera clara y precisa los términos y condiciones de la
contratación de personal
o Definir de manera clara y precisa las responsabilidades de cada trabajador
o Establecer procesos disciplinarios
o Definir de manera clara y precisa las acciones (administrativas y técnicas) a
tomar en caso de cese o cambio de puesto de trabajo.
• Gestión de activos:
o Contar con un inventario de los activos de informática actualizado
o Precisar el uso que se le dará a los equipos, en específico a los que sean
propiedad de la empresa.

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

o Establecer directrices para una adecuada clasificación de la información que

se maneja.
• Control de accesos:
o Implementar un control de acceso (lógico, de preferencia) para los servidores
y las aplicaciones que ahí se tengan)
o Definir y establecer accesos seguros de inicio de sesión
o Establecer políticas para el manejo y actualización de contraseñas de
usuario
• Cifrado:
o Definir y establecer políticas de uso de controles criptográficos (en especial
en aplicaciones con uso de información personal de alumnos)
• Seguridad física y ambiental:
o Fortalecer el control de acceso a las instalaciones de la empresa
o Implementar un control de acceso (físico y lógico) al área de informática
• Seguridad en la operativa:
o Establecer una adecuada gestión de cambios
o Procurar tener una separación de entornos de desarrollo, prueba y
producción.
o Establecer una política de copias de seguridad de la información más estricta
y que se cumpla.
o Implementar log´s (a nivel administración de aplicaciones y de usuario)
• Seguridad en las telecomunicaciones:
o Definir y establece políticas y procedimientos cuando se realicen
intercambios de información con otras empresas o instituciones (gobierno,
bancos, etc.)
o Definir y establecer acuerdos de confidencialidad (con proveedores,
usuarios internos, etc.)
• Adquisición, desarrollo y mantenimiento de los sistemas de información:
o Contar con licencias actualizadas de todo el software
o Establecer mecanismos de control para la protección de las transacciones
por redes.
o Establecer políticas de desarrollo de software seguro

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

• Gestión de incidentes en la seguridad de la información:

o Implementar el análisis estadístico de uso de aplicaciones
o Definir y establecer mecanismos para la notificación oportuna de eventos de
seguridad de la información para la toma de decisiones.
o Recopilar información de incidentes para aprendizaje
• Cumplimiento:
o Identificación de la legislación aplicable
o Protección de datos y privacidad de la información personal

4.- Resultados esperados

Con la implementación de los controles anteriormente citados, podríamos obtener lo
siguiente:
• Asegurar un nivel adecuado en la disponibilidad (95%) de la página Web y de los
servicios que ésta ofrece.
• Incrementar, hasta en un 85%, la integridad de la información que maneja la página
Web.
• Aumentar la confianza (95%) de los usuarios de la página al implementar controles
que nos ayudan en el manejo de la confidencialidad de los datos que se ingresan
en ella y en las transacciones (administrativas y financieras) que se llevan a cabo.
• Estar a la vanguardia en cuanto seguridad de la información se tiene con lo que, el
posicionamiento general de la empresa se verá favorecido a nivel internacional.
(aumento en la confianza, imagen empresarial, etc.)

5.- Conclusiones y comentarios

• De origen, el desarrollo de la página Web se concibió como una aplicación sólo
informativa de los servicios que ofrecía la empresa, pero conforme fue pasando el
tiempo, se le fueron agregando más funciones, lo que la convirtió en un desarrollo
con muchos parches y difícil de monitorear.
• El desarrollo de las funciones adicionales se fue dando sin seguir una metodología
de desarrollo de software seguro, fueron, en la gran mayoría, desarrollos sobre la
marcha por lo que no pudieron ser probados de una manera independiente y luego
ya integrados a la página.

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

• Al ser un desarrollo interno de la empresa, se fue dejando para otro mejor momento
la elaboración de la documentación de soporte (manual técnico y de usuario). Y ese
mejor momento no se ha podido presentar por el constante movimiento de personal
de desarrollo y por la elaboración de otros desarrollos.
• La Dirección corporativa tiene el firme compromiso de apoyar para mejorar en todo
la operación y funcionamiento de la página, ya que están convencidos de los
múltiples beneficios que puede dar para la empresa.
• La ausencia de controles en este momento, obedece principalmente al hecho de
que la actual estructura orgánica de la Dirección de Informática no puede atender
de una manera eficiente ni eficaz todas las necesidades que se le presentan, así
como también, no cuenta con los recursos (humanos y técnicos) suficientes ni
adecuados. Sería recomendable el fortalecer ésta área de la empresa, considerando
que da apoyo y soporte a toda la función principal de la misma.

6.- Revisiones y cierre de papeles de trabajo

Los auditores participantes procederán a organizar toda la documentación considerada
como confidencial que se haya generado de la presente auditoría, pudiendo conservar una
copia en medio físico de dicha documentación. De igual manera se conservará una copia
de documentos “lógicos”. La parte auditada podrá tener una copia de dichos documentos.
Los borradores y documentos sin valor deberán de ser destruidos en su totalidad. Aquellos
documentos sin valor de tipo “lógico” deberán de ser eliminados de todos los dispositivos
en que se hayan usado.
Los documentos originales que hayan sido utilizados durante el desarrollo de la auditoría
deberán de ser devueltos a sus legítimos propietarios.
Toda la documentación confidencial generada por la auditoría deberá de ir rubricada por
ambos auditores, agregando una hoja al final con el resumen del total de hojas y la fecha
en que se cerró la auditoría; esta hoja también deberá de estar firmada por los auditores y
por el Director de Informática de la empresa (en su calidad de representante de la empresa
auditada)

FASE III: INFORME DE AUDITORÍA

1.- Antecedentes

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

La empresa “Viento en Popa” se dedica a la planificación de actividades acuáticas y a la

impartición de cursos de navegación. Para poder cumplir con lo anterior, una de sus
principales herramientas es una página Web en donde se ofrece, por una parte, información
general sobre las actividades de la empresa y por otra, una en donde los alumnos vigentes
debidamente registrados pueden realizar varias actividades (consulta de calificaciones,
realizar pagos de inscripciones y colegiaturas, realizar exámenes, consultar y descargar
información, etc.).
La empresa ha tenido una serie de inconvenientes en la operación de la página Web lo que
le ha repercutido en varios problemas: los alumnos no pueden accesar a su información
(personal, administrativa y académica), la información de los cursos no está actualizada, la
información de la plantilla de instructores no se puede accesar, se han perdido clientes
potenciales por no poder proporcionar la información de una manera oportuna, etc.
La aplicación de la página Web fue un desarrollo interno de la empresa, en lenguaje Java
y se encuentra operando desde uno de los servidores de la propia empresa.

2.- Alcance
La auditoría se llevó a cabo solamente en la parte correspondiente a la aplicación de la
página Web. (Hardware y Software)

3.- Resumen de la auditoría

Durante el desarrollo de la auditoría se realizaron una serie de actividades:
• Recopilación de información de tipo administrativa de la empresa.
• Recopilación de información técnica relacionada con la página Web.
• Entrevistas con personas relacionadas con la página Web:
o Administrador General de la Página
o Encargado de desarrollo de aplicaciones y actualizaciones
o Encargado de mantenimiento técnico
o Programadores
o Responsable de contenido
o Usuarios administrativos
• Análisis de la información obtenida en las entrevistas

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

• Se realizó una selección de pruebas para poder detectar riesgos potenciales en la

operación de la página Web.
• Se realizaron las pruebas adecuadas para la detección de riesgos potenciales, para
obtener evidencias y verificar cómo están operando los controles actuales, así como
para medir el riesgo por la deficiencia o ausencia de éstos.
• Las pruebas realizadas fueron básicamente del tipo de cumplimiento (probar y
verificar el cumplimiento de un control y para reunir evidencias sobre si un control
existe, si está funcionando de manera efectiva y si cumple con lo esperado)
• Los riesgos fueron cuantificados y valorados de tal forma que nos permitió
determinar un nivel de fiabilidad que brinda la página (principalmente sobre la
integridad y procesamiento de la información).
• Se evaluaron los controles ya existentes, tanto los considerados como fuertes como
los débiles y los ausentes.
• Se detectaron un total de 10 RIESGOS POTENCIALES a los que puede estar
expuesta la página Web (y por consecuencia, la empresa misma).
• Se propone la implementación de una serie de controles basados en el estándar
internacional ISO/IEC 27002:2013. (12 dominios con 30 controles.)

4.- Conclusiones y Recomendaciones

• Se recomienda la realización inmediata de un análisis detallado de la aplicación de
la página Web para una depuración y actualización de la misma, así como la
elaboración de la documentación (técnica y operativa) correspondiente.
• Se considera necesario realizar una evaluación del avance de la implementación de
los controles propuestos dentro de 6 meses (considerados a partir de la
presentación del presente Informe de Auditoría)
• Se recomienda la realización de una nueva auditoría a la página Web dentro de 18
meses (contados a partir de la presentación del presente Informe de Auditoría), en
la cual se tomen como base las recomendaciones del presente y el resultado de la
evaluación del avance de implementación de controles.
• Se invita a la Dirección corporativa de la empresa a mantener su apoyo y respaldo
incondicional a temas de seguridad de la información, ya que, en un mediano y largo

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

plazo, se podrán observar resultados positivos tanto en la operación como en la

imagen de la empresa.

5.- Anexo y comentarios

Como anexos se presentan:
• Guiones de las entrevistas realizadas
• Análisis de la información obtenida de las entrevistas realizadas
• Cuantificación y valoración de cada uno de los riesgos encontrados
• Evaluación detallada de los controles existentes
• Detalle de cada uno de los controles propuestos para su implementación

Como un comentario por parte de los auditores, se recomienda el que se desarrolle una
nueva aplicación de la página Web, pero que sea por parte de un externo al cual se le den
todas las consideraciones (o la mayoría) de las aquí planteadas, que, por un tiempo, este
externo sea el encargado de la administración de la página y que, al mismo tiempo, vaya
capacitando a por lo menos 3 personas de la empresa para ésta función.
Así mismo, se recomienda que la empresa no deje de invertir en la modernización y
actualización de su infraestructura tecnológica y en la mejora de las remuneraciones y
prestaciones económicas del personal de la Dirección de Informática.

FASE IV: EMISIÓN Y DISTRIBUCIÓN DEL INFORME DE AUDITORÍA

El presente Informe de Auditoría se imprime por triplicado, así como una versión digital con
3 copias.
Los documentos (físicos y digitales) serán distribuidos de la siguiente manera:
• 1 ejemplar para el Director Corporativo de la empresa “Viento en Popa”
• 1 ejemplar para el Director de Informática de la empresa “Viento en Popa”
• 1 ejemplar para los auditores (el auditor líder - A lo recibe)

Los ejemplares físicos deberán de estar firmados en la portada y en la última hoja tanto por
el Director Corporativo de la empresa, el Director de Informática y por el Auditor Líder.

Actividades 2 (ejemplo)
 Asignatura Datos del alumno Fecha

Auditoría de la Apellidos:
00/00/2020
Seguridad
Nombre:

Para la generación de otro ejemplar (físico o digital), se deberá de realizar una solicitud por
escrito señalando claramente los motivos por los cuales se requiere y deberá de ser
autorizada por escrito tanto por el Director de Informática de la empresa “Viento en Popa”
como por el Auditor Líder (A).

Actividades 2 (ejemplo)