Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIVERSIDAD PRIVADA
“LOS ANGELES DE CHIMBOTE”
CICLO : IX
ALUMNO :
CHIMBOTE, 2011
CONTROL Y AUDITORIA DE TICS
1. ¿Cuáles son los riesgos de seguridad principales en el entorno de ecommerce de LIB?
2. Siempre que sea posible, haga corresponder los hechos expuestos en el caso con los
objetivos de control detallado del proceso COBIT DS5 garantizar la seguridad de los
sistemas. Identifique las debilidades de control evidentes.
CASO
Los jefes de operaciones, desarrollo y operaciones de red comparten la
responsabilidad de la seguridad en LIB. Cada grupo mantiene un plan de seguridad
formal. Los tres jefes junto con el director de TI y el director de auditoría interna,
forman una fuerza de tareas de seguridad que se reúne dos veces al año como
comité de dirección de seguridad para coordinar desarrollos y planes de seguridad. El
grupo de operaciones de red incluye un administrador de seguridad de red
responsable de la seguridad interna y externa de la red Tanto el jefe de operaciones
como el jefe de desarrollo consideran que su grupo no es lo Suficientemente grande
para requerir de una persona de seguridad a tiempo completo. La responsabilidad
por la seguridad es el 40 por ciento de las responsabilidades del puesto del subjefe de
operaciones en el grupo de operaciones y 30 por ciento de las responsabilidades del
puesto del administrador de calidad en el grupo de desarrollo. A pesar de que no se
prepara un plan de seguridad, cada uno de los tres grupos debe preparar un informe
para la reunión semestral del comité de dirección de seguridad.
OBJETIVO DE CONTROL
ENTREGA DE SERVICIO Y SOPORTE
COMENTARIO:
Creo que la planificación de la seguridad está mal organizada ya que está repartida en
diferentes departamentos. No existe coordinación en la seguridad ya que dichos
grupos se reúnen dos veces al año formando el COMITÉ DE DIRECCIÓN DE
SEGURIDAD, Hay deficiencias importantes en el diseño y la aplicación de la
planificación de la seguridad. No hay plan de seguridad global, ya que cada
departamento presenta un plan de seguridad diferente.
CASO:
OBJETIVO DE CONTROL
ENTREGA DE SERVICIO Y SOPORTE
COMENTARIO
La administración del código de JS por parte del promotor local es claramente débil,
ya que los manuales del software están integrados, no hay ninguna mención del
mantenimiento del código, o de las pruebas posteriores, tengamos el cuenta que
cada usuario puede adaptar el código según las necesidades de la empresa, esto
puede generar la introducción de código malicioso por parte de los programadores o
personas desconocidas.
CASO
El informe de cada grupo debe incluir una lista de brechas y vulnerabilidades de
seguridad identificadas, pero los informes no incluyen dicho detalle y a veces son algo
vagos.
OBJETIVO DE CONTROL
ENTREGA DE SERVICIO Y SOPORTE
COMENTARIO
El manejo de incidentes y la información sobre el patrón de los
acontecimientos no son oportunas (las reuniones del comité de gestión de la
MEMORANDO
El presente memorando plasma las vulnerabilidades a los ataques de LIB cross-site scrpting y el
entorno del sistema general de Seguridad en LIB.
JEFE DE OPERACIONES
Gerente de seguridad de la red
LA AUDITORÍA INTERNA
Director de la auditoría interna
3) CONCLUSION:
Se concluye que:
Que la LIB está claramente en riesgo de XSS, definitivamente se han encontrado puntos
flojos que ponen en riesgo la seguridad de los sistemas y de la posterior información.
Dichos errores pueden originar que un hacker mediante XSS puede acceder fácilmente a
los datos de los clientes. El resultado de la XSS podría resultar en la pérdida de
información crítica del cliente o el secuestro de personal o corporativa de la información.
4) RECOMENDACIONES