“ Año del Centenario de Machu Picchu para el Mundo”

UNIVERSIDAD PRIVADA
“LOS ANGELES DE CHIMBOTE”

FACULTAD DE INGENIERIA DE SISTEMAS

ESCUELA : INGENIERIA DE SISTEMAS

CURSO : CONTROL Y AUDITORIA DE TICS

TEMA : CASO: LUX INSURANCE BROKERS

DOCENTE : ING. RAMOS MOSCOL MARIO FERNANDO

CICLO : IX

ALUMNO :

 CABOS OLIVARES MICHAEL

CHIMBOTE, 2011
 CONTROL Y AUDITORIA DE TICS
1. ¿Cuáles son los riesgos de seguridad principales en el entorno de ecommerce de LIB?

Pérdida de datos de los clientes, mediante uso de scripts maliciosos.

La pérdida o corrupción de datos de los clientes cuando realizan transacciones con las
diferentes páginas del Sistema Web.
Posibles intentos de hacking.
Al desconocer el diseño de los scripts utilizados para el proceso del negocio se puede
tener problemas por un posible mal diseño.

2. Siempre que sea posible, haga corresponder los hechos expuestos en el caso con los
objetivos de control detallado del proceso COBIT DS5 garantizar la seguridad de los
sistemas. Identifique las debilidades de control evidentes.

CASO
Los jefes de operaciones, desarrollo y operaciones de red comparten la
responsabilidad de la seguridad en LIB. Cada grupo mantiene un plan de seguridad
formal. Los tres jefes junto con el director de TI y el director de auditoría interna,
forman una fuerza de tareas de seguridad que se reúne dos veces al año como
comité de dirección de seguridad para coordinar desarrollos y planes de seguridad. El
grupo de operaciones de red incluye un administrador de seguridad de red
responsable de la seguridad interna y externa de la red Tanto el jefe de operaciones
como el jefe de desarrollo consideran que su grupo no es lo Suficientemente grande
para requerir de una persona de seguridad a tiempo completo. La responsabilidad
por la seguridad es el 40 por ciento de las responsabilidades del puesto del subjefe de
operaciones en el grupo de operaciones y 30 por ciento de las responsabilidades del
puesto del administrador de calidad en el grupo de desarrollo. A pesar de que no se
prepara un plan de seguridad, cada uno de los tres grupos debe preparar un informe
para la reunión semestral del comité de dirección de seguridad.

OBJETIVO DE CONTROL
ENTREGA DE SERVICIO Y SOPORTE

DS5: GARANTIZAR LA SEGURIDAD DE SISTEMAS

DS 5.1. ADMINISTRAR MEDIDAS DE SEGURIDAD

COMENTARIO:
Creo que la planificación de la seguridad está mal organizada ya que está repartida en
diferentes departamentos. No existe coordinación en la seguridad ya que dichos
grupos se reúnen dos veces al año formando el COMITÉ DE DIRECCIÓN DE
SEGURIDAD, Hay deficiencias importantes en el diseño y la aplicación de la
planificación de la seguridad. No hay plan de seguridad global, ya que cada
departamento presenta un plan de seguridad diferente.

CASO:

CABOS OLIVARES MICHAEL INGENIERIA DE SISTEMAS

 CONTROL Y AUDITORIA DE TICS
El código JavaScript utilizado por LIB para su interacción web con los clientes, ha sido
derivado del stock de una suite de código de ecommerce vendida por una firma local
australiana de desarrollo de software de ecommerce. El código de ecommerce es
autodocumentando. Esto significa que el cuerpo del código incorpora toda la ayuda y
guiapara el integrador. El desarrollador de software encuentra esto más eficaz que
proporcionaran una serie de manuales. La mayoría de los clientes no usan todo el
código disponible en la suite y modifican el código para responder a su ambiente de
desarrollo particular. De hecho, el equipo de desarrollo en el grupo de desarrollo del
programa de TI de LIB ha hecho una serie de cambios al código JavaScript para
mejorar el desempeño y cumplir con necesidades particulares de negocio. Estos
cambios también son autodocumentados.

OBJETIVO DE CONTROL
ENTREGA DE SERVICIO Y SOPORTE

DS5: GARANTIZAR LA SEGURIDAD DE SISTEMAS

DS 5.19. PREVENCION, DETECCIÓN Y CORRECIÓN DE SOFTWARE MALICIOSO

COMENTARIO

La administración del código de JS por parte del promotor local es claramente débil,
ya que los manuales del software están integrados, no hay ninguna mención del
mantenimiento del código, o de las pruebas posteriores, tengamos el cuenta que
cada usuario puede adaptar el código según las necesidades de la empresa, esto
puede generar la introducción de código malicioso por parte de los programadores o
personas desconocidas.

CASO
El informe de cada grupo debe incluir una lista de brechas y vulnerabilidades de
seguridad identificadas, pero los informes no incluyen dicho detalle y a veces son algo
vagos.

OBJETIVO DE CONTROL
ENTREGA DE SERVICIO Y SOPORTE

DS5: GARANTIZAR LA SEGURIDAD DE SISTEMAS

DS 5.10. Reportes de Violación y de Actividades de Seguridad
DS 5.11. Manejo de Incidentes

COMENTARIO
El manejo de incidentes y la información sobre el patrón de los
acontecimientos no son oportunas (las reuniones del comité de gestión de la

CABOS OLIVARES MICHAEL INGENIERIA DE SISTEMAS

 CONTROL Y AUDITORIA DE TICS
seguridad son sólo dos veces al año) y el método de presentación de informes
es inconsistente. No parece haber ningún sistema de elevación adecuado de
los incidentes

3. Póngase en el papel de un consultor externo de TI especializado en sistemas de

control y auditoría. El comité de auditoría de LIB se ha dado cuenta de la debilidad
potencial de LIB a XSS. El comité lo contrató el 1º de agosto para que elabore un
análisis preliminar de la vulnerabilidad de LIB a XSS y sobre el estado actual del plan
de seguridad y la preparación de seguridad de LIB. Escriba un memo de una página al
comité de auditoría (fechado 10 agosto). Haga recomendaciones sobre:

 El manejo inmediato de la amenaza de XSS en LIB

 Mejoras en la administración de seguridad de LIB
 Utilice las directrices gerenciales y de implementación de DS5 garantizar la seguridad
de sistemas en sus recomendaciones. En la redacción de su memo, considere los
tipos de procedimientos de auditoría y recopilación de información que podría
utilizar en su investigación.

CABOS OLIVARES MICHAEL INGENIERIA DE SISTEMAS

 CONTROL Y AUDITORIA DE TICS

MEMORANDO

Para: Presidente del Comité de Auditoría, LIB

De: CABOS OLIVARES MICHAEL
Fecha: 10 de agosto
Referencia: Exposición de LIB de Cross-site Scripting (XSS)

El presente memorando plasma las vulnerabilidades a los ataques de LIB cross-site scrpting y el
entorno del sistema general de Seguridad en LIB.

Entrevistó al personal de LIB siguiente:

1) Se entrevistó al personal de LIB: GRUPO DE OPERACIONES

 JEFE DE OPERACIONES
 Gerente de seguridad de la red
 LA AUDITORÍA INTERNA
 Director de la auditoría interna

2) 2. Se procedió a la revisión del código:

Programa emprendido el desarrollo y la revisión de código, incluyendo:

 Se revisó los diferentes planes para el desarrollo de programas para la integración

entre los sistemas de ColdFuion y de los sistemas de bak-end.
 Revisiones de los códigos JavaScript

3) CONCLUSION:

Se concluye que:

Que la LIB está claramente en riesgo de XSS, definitivamente se han encontrado puntos
flojos que ponen en riesgo la seguridad de los sistemas y de la posterior información.
Dichos errores pueden originar que un hacker mediante XSS puede acceder fácilmente a
los datos de los clientes. El resultado de la XSS podría resultar en la pérdida de
información crítica del cliente o el secuestro de personal o corporativa de la información.

4) RECOMENDACIONES

 Exigir que el director de TI desarrolle un nuevo modelo de organización que el

problema de las responsabilidades (Al existir tres diferentes departamentos no se sabe
exactamente donde radica el control) para gestión de la seguridad en LIB
 Exigir que el director de TI prepare un informe para el comité de auditoría en la
brevedad posible donde se detallen los procesos que se realizan actualmente para la
protección de los datos contra posibles ataques.

CABOS OLIVARES MICHAEL INGENIERIA DE SISTEMAS