HydroGreen

Auditoría TI

Asignatura: Seguridad y Auditoría Informática

Sección: TIDC24

Nombre del docente: Claudio Andrés Muñoz Sepúlveda

Nombre de los integrantes del grupo:

 Camila Aedo Venegas

 Samuel Molina Arriagada

Contenido

I. Introducción.............................................................................................................................................
II. Objetivos.................................................................................................................................................
III. Alcance...................................................................................................................................................
IV. Definición de políticas.............................................................................................................................
V. Material de concientización.....................................................................................................................
VI. Programa auditoría.................................................................................................................................
VII. Registro de evidencia............................................................................................................................
VIII. Herramientas de verificación.................................................................................................................
IX. Conclusiones.........................................................................................................................................
X. Anexos..................................................................................................................................................
XI. Bibliografía............................................................................................................................................

Ilustración 1: Material de concientización.....................................................................................6

Ilustración 2: Material de concientización.....................................................................................7
Ilustración 3: Material de concientización.....................................................................................7
Ilustración 4: Material de concientización.....................................................................................8
Ilustración 5: Material de concientización.....................................................................................8

Tabla 1: Programa auditoría.......................................................................................................10

HydroGreen, Auditoría TI – TIDC24

2
I. Introducción

En el presente informe se desarrolla el plan de contingencia informático y recuperación de

servicios tecnológicos como un proceso continuo de planeación, desarrollo, implementación y
procedimientos de recuperación en caso de una posible contingencia que pueda paralizar
parcial o totalmente los procesos y servicios en la empresa HydroGreen. Se plantea que estas
acciones puedan asegurar la reanudación eficiente y efectiva de los servicios y operaciones de
las TI en el menor tiempo posible y obtener un impacto bajo y no perjudicial para la empresa.
En este plan de contingencia se cuentan con ciertos documentos que en conjunto logran
permitir la gestión, ejecución, pruebas y mantenimiento, así logrando una fácil y ágil operación
por los encargados autorizados y especialistas a solventar las situaciones de falla o desastres
dentro de la empresa HydroGreen.

Como cuerpo de este informe, se pueden observar las diferentes políticas de seguridad que
presenta la empresa HydroGreen, considerando un documento por cada área de la empresa
definida.
También se presenta un material de concientización con respecto a la elaboración de afiches
para hacer conciencia entre los empleados de la empresa HydroGreen acerca de las principales
vulnerabilidades y amenazas que puedan ocurrir en la seguridad de la información.
Se presenta el programa auditoría en donde se resumen los diferentes puntos que va a tomar el
plan de contingencia, en donde se expresan los objetivos, el alcance, la planificación previa y
los procedimientos de comunicación.
También se pueden observar los registros de evidencia, los cuales son nuestros instrumentos
de control, lo que considera las planillas que registran las acciones periódicas del área en
cuestión.
Así mismo, se pueden observar las herramientas de verificación con las cuales de realizara la
auditoria, considerando la aplicación de estos para constatar el estado del área auditada.
Ya finalizando se define una conclusión en donde se destaca lo desarrollado en el presente
informe, donde se resaltan y detallan los resultados más importantes analizados.

Para una mejor lectura de este informe, en el índice de contenido se pueden observar el orden
del cuerpo de este informe y los índices de cada ítem, todas las ilustraciones detalladas por

HydroGreen, Auditoría TI – TIDC24

3
 numeración de ilustración y al final también se pueden ver las bibliografías utilizadas para la
realización de este documento.

II. Objetivos

 Objetivo General
En el presente informe se pretende establecer los principios básicos y el marco
necesario para garantizar la operatividad de los servicios y/o procesos de tecnologías de
la información y comunicaciones de mayor urgencia para la empresa HydroGreen, ante
la eventual presencia de siniestros o fallas que los puedan paralizar parcial o totalmente
y así garantizar que se continúen prestando de una manera razonable.

 Objetivos específicos
Para lograr el objetivo general de este informe y este plan de contingencia serán
necesarios cuatro puntos importantes:
 Identificar y analizar los riesgos posibles los cuales puedan afectar a las
operaciones, procesos y servicios de tecnologías de la información y
comunicaciones de la empresa HydroGreen
 Se requieren definir las actividades de planeamiento, preparación, entrenamiento
y ejecución de tareas destinadas a proteger la información contra los daños y
perjuicios producidos por corte de servicios, fenómenos naturales o humanos.
 Organizar y disponer al personal técnico debidamente capacitado para afrontar
adecuadamente las contingencias las cuales puedan surgir
 Se necesitará establecer actividades que permitan evaluar los resultados y
retroalimentar el presente plan

III. Alcance

Con respecto a este plan de contingencia informático y de recuperación de servicios de la

tecnología, se incluyen elementos referidos a los sistemas de información, aplicativos
informáticos, bases de datos, equipos e instalaciones tecnológicas, personal, servicios y otros
administrados en cada área de la empresa HydroGreen, direccionado a minimizar eventuales

HydroGreen, Auditoría TI – TIDC24

4
 riesgos ante situaciones adversas que atentan contra el normal funcionamiento de los servicios
informáticos de la entidad.

IV. Definición de políticas

HydroGreen, Auditoría TI – TIDC24

5
V. Material de concientización

En este punto se puede observar el resultado de la elaboración de material en formato afiche el

cual es necesario para hacer conciencia entre los empleados de la empresa HydroGreen
acerca de las principales vulnerabilidades y amenazas que puedan surgir con respecto a la
seguridad informática.

Ilustración 1: Material de concientización

HydroGreen, Auditoría TI – TIDC24

6
Ilustración 2: Material de concientización

HydroGreen, Auditoría TI – TIDC24

7
Ilustración 3: Material de concientización

Ilustración 4: Material de concientización

HydroGreen, Auditoría TI – TIDC24

8
 Ilustración 5: Material de concientización

VI. Programa auditoría

Para este punto se presenta un resumen del plan de contingencia para la restauración de los
servicios, se considera y detalla el objetivo, alcance, planificación previa y el procedimiento de
comunicación.

Plan de contingencia informático y restauración de servicios

Objetivo
Asegurar la continuidad de las operaciones, con los medios de respaldo adecuados, entregar
una propuesta metodológica para desarrollar la etapa de planificación en el trabajo de
auditoria interna, el cual incluye consideraciones especiales para la realización de trabajos de
auditoría.

Los objetivos del trabajo de auditoria reflejan los resultados de la evaluación preliminar de
riesgos y se usan criterios adecuados para evaluar las gestiones y controles.

Alcance
Casa matriz de la empresa HydroGreen y sus sucursales dentro de la región de ñuble.

El alcance del trabajo de auditoria tiene en cuenta los sistemas relevantes, registros, personal
y propiedades físicas y es consistente con los objetivos del trabajo.

Planificación previa
El personal y la actividad de auditoria interna cuentan con los conocimientos, habilidades y
otras competencias necesarias para completar cada trabajo individual.

Equipo de prevención de TIC

Condiciones de prevención de riesgo
 Revisión periódica de los registros de los servicios, para prevenir mal funcionamiento
de estos
 Contar con los respaldos diarios con respecto a la información en los servicios y
producción de cada área.
 Disponer de herramientas, servidores, equipos de respaldo para diferentes
contingencias.
 Realización de pruebas periódicas de los equipos y servicios para asegurar su
correcto funcionamiento.
 Contar con servicios de soporte y mantenimiento que contemple actividades de
prevención, revisión del sistema y mantenimiento general.

Acciones del equipo de prevención de TIC

HydroGreen, Auditoría TI – TIDC24

9
  Establecer, organizar, ejecutar y supervisar procedimientos de respaldo y restauración
de la información.
 Supervisar el mantenimiento preventivo de los equipos componentes de las áreas
 Mantener inventarios relacionados con cada área de la empresa
 Realizar monitoreo del funcionamiento de los servicios y procesos en cada área de la
empresa
 Realizar revisiones de obsolescencia tecnológica de los servicios y componentes
internos de la empresa.

Duración
El tiempo máximo de duración de la contingencia, dependerá de los especialistas encargados
para realizar las reparaciones y/o restauraciones de los sistemas para volver a la normalidad

Procedimiento de comunicación
En función de este plan, el encargado del área (en este caso el encargado de TI o seguridad
de la información) tomará las medidas preventivas del caso comunicándose por diferentes
canales y medios de la empresa para alertas y avisar al personal de la activación o
desactivación de los planes de contingencia en proceso.

Mecanismos de comprobación
Los especialistas a cargo presentaran un informe por un medio oficial de la empresa a el
director y los jefes de área explicando que parte del servicio, equipos u operaciones en la
seguridad de la información han fallado y cuáles son las acciones correctivas para realizar

Tabla 1: Programa auditoría

HydroGreen, Auditoría TI – TIDC24

10
VII. Registro de evidencia

HydroGreen, Auditoría TI – TIDC24

11
VIII. Herramientas de verificación

Según el vector de ataque y el plan de recuperación propuestos en el anterior informe, se

presentan las contingencias que se van a verificar con sus respectivos formularios para cada
estrategia y tácticas presentadas.

Archivos de registro: Base de datos (departamento. de TI)

Contingencia
Introducción de virus al sistema de archivos, borrando los registros en la base de datos.

Estrategia (Qué) Táctica (Cómo) Periodicidad

(Cuándo)

Establecer un ● Respaldar y realizar copias de seguridad de la ● Semanal

sistema de base de datos, según área de la empresa.
respaldo que ● Mantener la base de datos de respaldo para ● Mensual
permita realizar la restauración desde la copia de seguridad.
restablecer lo ● Preparar a los empleados para reaccionar frente a
antes posible la fallas en los registros de la base de datos ● Mensual
base de datos en
caso de fallas.

Realizar ● Dictar taller de capacitación sobre softwares ● Semestral

capacitaciones al maliciosos.
personal acerca ● Envió de instructivos informativos acerca la ● Mensual
del correcto uso conservación y utilización de la información.
de los equipos
institucionales. ● Manual de mantención ● Anual

● Informar y capacitar al personal sobre el correcto ● Mensual

uso del software de antivirus en los equipos e
implementar un manual de mantención y
actualización de este.

HydroGreen, Auditoría TI – TIDC24

12
 Formularios
CHK-01 CHECKLIST
Factor: Establecer un sistema de respaldo que permita restablecer lo antes
posible la base de datos en caso de fallas.
Empresa: HydroGreen
Funcionario: Samuel Molina Arriagada
Cargo: Encargado de TI
Fecha: 04 de enero de 2022
Departamento: Dpto. de TI
N° Acciones Si No N/A Observacione
s
Se respalda la información de la base de datos en los periodos
1 propuestos
Se capacita al personal para dar a conocer los procedimientos a
2
realizar
Se poseen manuales e información técnica acerca del correcto
3 uso de la base de datos
Conoce todo el equipo de base de datos en su área
4
Se realiza el mantenimiento requerido durante los periodos
5 establecidos
Existe una documentación que describe todos los registros
6
anteriormente realizados
Se monitorean constantemente el rendimiento de la base de datos
7
Las aplicaciones instaladas en el servidor de la base de datos está
8 debidamente actualizadas
Los equipos cuentan con todas las aplicaciones necesarias para la
9 seguridad
Se poseen capacidades técnicas para mantener la base de datos de
10 respaldo
Los empleados de TI son los suficientes para controlar los
11 diferentes procesos
Los procesos de mantención y respaldo de la base de datos se
12 realizan según los establecidos
Los empleados de TI son los suficientes para controlar las
13 diferentes fallas y problemas en los procesos
Los empleados tienen conocimiento acerca de las políticas de
14 seguridad del área en que se encuentran
Se tienen conocimientos para enfrentar situaciones de errores y
15 posibles fallas
Se poseen los manuales suficientes e información técnica para
16 controlar los diferentes procesos
Existen las autorizaciones correspondientes para aplicar
17 capacitaciones a los empleados

HydroGreen, Auditoría TI – TIDC24

13
 CHK-02 CHECKLIST
Factor: Realizar capacitaciones al personal acerca del correcto uso de los
equipos institucionales
Empresa: HydroGreen
Funcionario: Camila Aedo Venegas
Cargo: Capacitadora
Fecha: 04 de enero de 2022
Departamento: Recursos Humanos
N° Acciones Si No N/A Observacione
s
Se enviaron folletos informativos sobre la seguridad informática
1 del área
Realizar seminarios sobre la seguridad informática
2
Se realizaron talleres prácticos sobre el uso correcto de los
3 equipos informáticos
Se realizaron talleres informativos sobre malwares que afectarían a
4
los equipos informáticos
Creación de manuales actualizados sobre prevención ante virus y
5 ciberataques en el área
Manuales y políticas de seguridad actualizados y en formato
6
físico como en digital
Se informa y capacita al personal sobre el correcto uso del
7 software de antivirus en los equipos
Se implementan manuales de mantención y de actualizaciones de
8 los servicios
Se envían instructivos informativos acerca de la conservación y
9 utilización de la información
Los equipos se mantienen para situaciones en donde se necesiten
10 realizar reemplazos en corto tiempo
Existe material de concientización con respecto a las seguridades
11 en cada área

HydroGreen, Auditoría TI – TIDC24

14
 Sistema de monitoreo

Contingencia
Acceso no autorizado y/o delito informático

Estrategia (Qué) Táctica (Cómo) Periodicidad

(Cuándo)

Mantención y correcto ● Restringir el acceso a internet en las estaciones de ● Semestral

funcionamiento de los trabajo que por su uso no lo requieran
servicios en las ● Deshabilitación de los puertos de comunicación USB en ● Semestral
diferentes áreas de las estaciones de trabajo que no lo requieran.
trabajo  ● Aplicación de filtros para restricción de nuevos correos
● Mensual
entrantes y revisión de archivos adjuntos en estos para
prevenir nuevas infecciones
● Instalación de nuevos parches de seguridad en los ● Semanal
equipos antes de restaurar la operatividad de estos

Restaurar la ● Establecer, organizar, ejecutar y supervisar ● Trimestral

operatividad de los procedimientos de respaldos de la información en el
equipos y servicios sistema de monitoreo.  ● Mensual
después de eliminar ● Llevar un control de versiones de las fuentes de los
los malware o sistemas de información y portales de la empresa. 
reinstalar las ● Realizar pruebas de restauración de la información ● Trimestral
aplicaciones dañadas  guardada en los repositorios y bases de datos. 
● Validar los manuales de restauración de los sistemas ● Semestral
de información en producción. 

HydroGreen, Auditoría TI – TIDC24

15
 CHK-03 CHECKLIST
Factor: Mantención y correcto funcionamiento de los servicios en las
diferentes áreas de trabajo 

Empresa: HydroGreen

Funcionario: Samuel Molina Arriagada

Cargo: Encargado de Seguridad

Fecha: 16 de enero de 2022
Departamento: Dpto. de Seguridad

N° Acciones Si No N/A Observaciones

Se realiza la instalación de parches de seguridad en los

1 diferentes equipos del área de trabajo

Se establecen políticas de seguridad para prevenir el uso de

2
aplicaciones no autorizadas en las estaciones de
trabajo de la empresa
Se aplican filtros para restricción de correos entrantes y
3 revisión de los archivos adjuntos a estos
Se cuenta con antivirus instalados en cada estación de trabajo
4
Se cuentan con equipos de respaldo ante posibles fallas de
5 las estaciones y servidores

Se restringe el acceso a internet en las estaciones de trabajo

6
que por su uso no lo requieran
Se deshabilita los puertos de comunicación USB en las
7 estaciones de trabajo que no los requieran
habilitados
Se eliminan o restringen los lectores y/o quemadores de cd
8 en estaciones de trabajo que no las requieran
Se capacita al personal acerca de Ethical Hacking en los
9 sistemas relacionados con la empresa
Se ejecutan ataques de hacking ético por terceros
10 especializados

CHK-04 CHECKLIST

HydroGreen, Auditoría TI – TIDC24

16
Factor: Restaurar la operatividad de los equipos y servicios después de
eliminar los malware o reinstalar las aplicaciones dañadas 

Empresa: HydroGreen

Funcionario: Samuel Molina

Cargo: Encargado de Seguridad

Fecha: 16 de enero de 2022
Departamento: Dpto. de Seguridad

N° Acciones Si No N/A Observaciones

Se establecen procedimientos de respaldo de la información

1 en el área de monitoreo

Se llevan un control de versiones de las fuentes de los

2
sistemas de información
Se realizan pruebas de restauración de la información
3 almacenada en los repositorios y las bases de datos
Se documentan y validan los manuales de restauración de los
4
sistemas de información
Se verifican si los equipos se encuentras infectados
5 utilizando un detector de malware

Se rastrea el origen de la infección u ataque

6

Se elimina el agente causante de la infección removiéndolo

7 completamente del sistema
Se realizan diversas pruebas del sistema para asegurar la
8 restauración del respaldo
Se formatean los equipos los cuales persisten los problemas
9 de infección del virus
Se instala y configura el sistema operativo, drivers y servicios
10 necesarios para el funcionamiento del sistema
Se realiza la restauración de los sistemas con la ultima copia
11 de seguridad disponible
Se solicita conformidad de la restauración realizada del equipo
12

HydroGreen, Auditoría TI – TIDC24

17
IX. Conclusiones

HydroGreen, Auditoría TI – TIDC24

18
X. Anexos

Informe 1, vector de ataque y plan de recuperación

Informe - Invernadero San Agustín vFinal.docx

Material de concientización
Material de concientización - HydroGreen.pdf

XI. Bibliografía

John Edison Martínez, Carlos Andrés Giraldo, Auditoria de seguridad informática. Recuperado de:
http://artemisa.unicauca.edu.co/~ecaldon/docs/audit/ponencia_PASSWORD_siti2004.pdf

Norma Chilena NCh.ISO 27001, Segunda edición, (2013) Recuperado de:

https://www.trusttech.cl/docs/nch.27001.pdf

HydroGreen, Auditoría TI – TIDC24

19