Asignatura Datos del alumno Fecha

Auditoría de Apellidos: Luna Flores

seguridad
9/01/22
Nombre: Omar

El proceso y las fases de la auditoría de sistemas

de información
INTRODUCCIÓN
Se desarrollará una auditoría a la empresa Viento en Popa la cual es una
empresa dedicada a la planificación de actividades náuticas, así como a
impartir clases teóricas y prácticas de navegación. Ofrece la posibilidad
de obtener la certificación de Patrón de Embarcaciones de Recreo (PER).
Dentro de la estrategia empresarial, se desarrolló como canal de
información y venta un portal Web el cual y de forma somera consta de
dos partes claramente diferenciadas: La zona de Administración, desde
la cual se gestiona la información relativa a cursos y alumnos. La zona
de clientes y alumnos, donde el usuario tiene acceso a la información de
Viento en Popa referente a actividades y cursos, y acceso a la parte
privada de cada uno, con la posibilidad de realizar exámenes, descargar
temarios y documentación, etc. Dicha plataforma se encuentra alojada
en los servidores de la misma compañía.

ALCANCE
El documento aborda resultados obtenidos del estudio de la
Ciberseguridad en el área de TI, siendo aplicado en los servicios del
portal Web y cuya disponibilidad del informe se limita a los
colaboradores de la Gerencia de Sistemas, Telecomunicaciones.

BASE NORMATIVA Y LEGAL

 Guía de buenas prácticas de Ciberseguridad. “CIS Controls v7.0“.
 Método de Evaluación de Riesgos del Centro de Seguridad de Internet.
CIS RAM v1.0
© Universidad Internacional de La Rioja
 ISO/IEC(UNIR)27001:2013 Tecnología de la Información. Técnicas de
Seguridad. Sistemas de Gestión de Seguridad de la Información.
Requisitos
 ISO/IEC 27005:2011 Tecnología de la Información. Técnicas de
Seguridad. Gestión de Riesgos de Seguridad de la Información

1
Actividades
 Asignatura Datos del alumno Fecha
Auditoría de Apellidos: Luna Flores
seguridad
9/01/22
Nombre: Omar

 NIST SP 800-30 Rev.1 Guía de Gestión de Riesgos para los Sistemas de

Información  ISACA Marco de Riesgos. Risk IT

INFORME DE EVALUACIÓN DE RIESGOS

En la evaluación de los riesgos (aplicado a la empresa Viento en Popa) se
identificaron brechas de seguridad que podrían tener un impacto
negativo dentro de la estrategia empresarial, por lo que cuantificar su
gravedad (puntaje de riesgo) y probabilidad fue determinante al
momento de plantear estrategias de tratamiento (salvaguardas y
actividades de cumplimiento). Estas estrategias permitirán un mejor
entendimiento de las ventajas y retribuciones que involucra cerrar las
brechas de seguridad e implícitamente mejorar los niveles de
cumplimiento en seguridad y auditoria para el portal web el cual es
utilizado como un canal de información y venta. El estudio aborda los
controles en base a la integridad, disponibilidad y confidencialidad de la
información la cual es manejada a través del portal Web.

NIVEL DE RIESGO
Nive Descripción Descripción
l Criterio (NEGATIVO) (POSITIVO)
Genera un alto impacto
(legal, imagen, económico,
operativo) a la
organización y es muy
Es aquel riesgo que al
probable que ocurran.
presentarse puede
Aquel riesgo que al
generar grandes
presentarse puede causar
5 EXTREMA beneficios para la
una afectación directa a la
compañía y el
estrategia empresarial, no
cumplimiento de los
se debe continuar con las
objetivos empresariales.
actividades hasta que se
© Universidad Internacional de La Rioja realicen acciones que
(UNIR) aporten a la mitigación del
mismo.
Genera un impacto (legal, Es aquel riesgo que al
imagen, económico, presentarse potenciaría
operativo) a la los procesos de negocio,
4 ALTA
organización, y es más se debe analizar el costo
probable que ocurran. del aprovechamiento y el
Aquel riesgo que al beneficio que daría a la

2
Actividades
 Asignatura Datos del alumno Fecha
Auditoría de Apellidos: Luna Flores
seguridad
9/01/22
Nombre: Omar

presentarse puede
originar una afectación a
los procesos de negocio,
se debe realizar acciones
correctivas a corto o
institución aprovecharlo.
mediano plazo a fin de
mitigar el nivel de riesgo e
iniciar acciones
preventivas con el fin que
el riesgo no se manifieste.
Genera un impacto (legal,
imagen, económico,
operativo) a la
organización, y es Es aquel riesgo que al
probable que ocurran presentarse potenciaría
ocasionalmente. Aquel los procesos de soporte,
MODERAD
3 riesgo que al presentarse se debe analizar el costo
O
puede originar una del aprovechamiento y el
afectación a los procesos beneficio que daría a la
de soporte, se debe tomar institución aprovecharlo.
acciones a mediano o
largo plazo a fin de que el
riesgo no se manifieste.
Genera bajo impacto a la
Es aquel riesgo que al
organización y es poco
presentarse genera
probable que ocurran.
oportunidades en la
Aquel riesgo que al
prestación del servicio de
presentarse no genera
2 BAJO la organización, las
afectación en prestación
cuales no impacta
de servicio de la
sustancialmente en los
organización. Se
requisitos de las partes
recomienda actividades de
interesadas.
retención del riesgo.
No generan impacto a la
organización y es
improbable que ocurra.
Es aquel riesgo que al
Aquel riesgo que al
presentarse, su
presentarse no afecta el
aprovechamiento no
1 MUY BAJO funcionar de la
afecta sustancialmente
organización. Se pueden
los objetivos
continuar con las
institucionales.
© Universidad Internacional de La Rioja actividades sin llevar a
(UNIR) cabo controles
adicionales.

3
Actividades
 Asignatura Datos del alumno Fecha
Auditoría de Apellidos: Luna Flores
seguridad
9/01/22
Nombre: Omar

ESTRATEGIAS PARA EL TRATAMIENTO (RIESGOS NEGATIVOS)

Estrategi
Descripción
a
El nivel del riesgo se debería reducir mediante la
Reducir selección de controles, de manera tal que el riesgo
residual se pueda revaluar como aceptable.
La decisión sobre aceptar el riesgo sin acción
Aceptar posterior se debería tomar dependiendo de la
expectativa de riesgo de la organización.

Evitar Se debería evitar la actividad o la acción que da origen

al riesgo particular.
Transfer El riesgo se debería transferir o compartir a otra de
ir o las partes que pueda manejar de manera más eficaz el
Comparti riesgo particular dependiendo de la evaluación del
r riesgo.

MAPA DE RIESGO

IMPACTO
PROBABILIDAD Insignificant Menor Moderad Catastrófico
Mayor (4)
e (1) (2) o (3) (5)
Raro (1) 1 2 3 4 5
Improbable (2) 2 4 6 8 10
© Universidad Internacional
Posible (3) de La Rioja 3 6 9 12 15
(UNIR)
Probable (4) 4 8 12 16 20

Casi Seguro (5) 5 10 15 20 25

NIVELES DE RIESGO

4
Actividades
 Asignatura Datos del alumno Fecha
Auditoría de Apellidos: Luna Flores
seguridad
9/01/22
Nombre: Omar

NIVEL DE
NIVEL DE EXPOSICIÓN AL
TOLERANCI ESTRATÉGIA
RIESGO
A

Extrema 20, 25 Mitigar el riesgo

Alta 15, 16 Mitigar el riesgo
Decidir entre Aceptar o mitigar el
Moderado 4, 5, 6, 8, 9, 10, 12
riesgo.
Bajo 3, 4 Aceptar el riesgo
Muy Bajo 1, 2 Aceptar el riesgo

AMENAZAS
Fallo de servicios de
comunicaciones
Errores de los usuarios
Errores del
administrador
Difusión de software
dañino
Alteración accidental de
la información
Destrucción de
información
Caída del sistema por
agotamiento de recursos
Denegación de servicio
Ataque destructivo
Exposición de datos
sensibles
COMPONENTES
Personal
Infraestructura
(Edificios)
Recursos de trabajo
Registros vitales
Equipos de TI
© Universidad Internacional(Servidores)
de La Rioja
(UNIR)
Proveedores
Software de Desarrollo
(Java)
Hosting

5
Actividades
 Asignatura Datos del alumno Fecha
Auditoría de Apellidos: Luna Flores
seguridad
9/01/22
Nombre: Omar

© Universidad Internacional de La Rioja

(UNIR)

6
Actividades
 MATRIZ DE RIESGO
IDENTIFIC ANÁL EVALUAC TRATAMIENTO DE RIESGO
ACIÓN ISIS IÓN

Descripci Opcio Control a Fecha

CALIFICACION Valo Responsa
ón del nes Implement de
ble
It Escenario/Ri Riesgo r de Nivel de CONTRO Riesgo Tratam ar Implement
e esgo Ries Riesgo LES Residual iento ación
m go
Amenaza/Ca Concecuenci Probabi Impacto inhe
usas a lidad rent
e
-
Remunerac
- Retir
iones por
o - Paralización Supervis
encima del - Atenciòn
Indisponibilid intemp de las or de
3 5 1 Alto mercado Mode Reducir de las 31.03.20
ad del estivo actividades 5 rado Operaci 21
- operacione
personal - Muerte críticas ones /
Examenes s en
- Enfermedad - Posibles Jefe de
medicos oficinas
- Ause multas y/o Operaci
anuales cercanas
ncia sanciones ones
-
temp
Concientiz
oral
acion t
reemplazo
- Sismos
- Con
-
flictos Seguros Supervis
Indisponibili - Paralización - Atenciòn
Social 2 5 1 - Agent Bajo Reducir or de 30.06.20
dad de la de las Moderado de las
es 0 Operaci 21
Infraestructu actividades es de operacione
- Incendios seguri ones /
ra (Edificios) críticas s en
- Inundacione Jefe de
- Pérdida de dad oficinas
s reputación Operaci
- Brigad cercanas
- as ones
Amenaz - Seguro
a de s
Bomba
-Robo/Asalto

-
- Ausenc
Abastecimi
ia de - Retraso en
ento
Indisponibilid recursos las
2 4 8 Moderado peródico Bajo Aceptar -
ad de los para operaciones
de los
Registros generaci -
recursos
vitales ón de Pérdid
necesarios
registros a de
-
- Ausenc reputa
Capacitaci
ia de ción
ón al
capacita
personal
ción

- Establecer
- Posi
SLAs de
Indisponibili bles
- acuerdo con
dad de desas -no apertura de
2 5 1 Mode Formalizac B Reducir los niveles Área 30.06.20
Proveedores tres tienda
0 rado ión de a de Usuaria 21
Servic natur j
contratos recuperació
io de ales o
con SLA's n exigidos
Vigila - Renuncia
por las
ncia de su
entidades de
personal
regulación
Indisponibi
lidad
Proveedor indisponibilida
indisponibili Data Center
d de la - Datacenter -Jefe de
dad de los Indisponibil 3 5 1 Alto -Niveles de Mode Reducir 31.03.20
informacion Alterno Soporte
sistemas idad 5 Servic rado 21
- - Atencion Supervisor
informáticos proveedor Manual
Pérdid de
soporte Operacione
a de
aplicativo reputa s / Je
Problemas
ción
en la red

- Ausencia
de planes -
- Retraso en las
de Establece
operaciones - Capacit
Indisponibili mantenimi r
- ación al
dad de los ento para 2 5 1 Mode B Reducir mantenimi TI 30.06.20
Pérdid person
Equipos de TI los 0 rado a entos 21
a de al j
(Servidores) equipos perió
reputa - Mecani o
- Uso dicos
ción smos
inadecuado preve
- Posible de
de los ntivos
pérdida de Backup
equipos de - Realizar
información
TI pruebas de
- Fallas recuperación
externas del servicio
(caídas de
energía)

Actividades 7
© Universidad Internacional de La Rioja
(UNIR)
 Indisponibilid
ad del
servicio de
Hosting

Indisponibili
dad de
Equipo de
software de
Desarrollo(Ja
va)

Actividades 8
© Universidad Internacional de La Rioja
(UNIR)
 Conclusiones
Como resultado de la Auditoria podemos manifestar que hemos cumplido
con evaluar cada uno de los objetivos contenidos en el programa de
auditoria.
El Departamento de centro de cómputo presenta deficiencias sobre el
debido cumplimiento de Normas de seguridad.
La escasez de personal debidamente capacitado.
Cabe destacar que el sistema basada en riesgos del portal web pudiera
servir de gran apoyo a la organización, el cual no es explotado en su
totalidad por falta de personal capacitado.

BIBLIOGRAFÍA
[1] CIS, «AuditScripts,» [En línea]. Available:
https://www.auditscripts.com/free-resources/critical-security-controls/.
[Último acceso: 12 Diciembre 2018].
[2] NIST, «Instituto Nacional de Estándares y Tecnología,» [En línea].
Available: https://csrc.nist.gov/publications/detail/nistir/7298/rev-2/final.
[Último acceso: 12 Diciembre 2018].
[3] C. J. Dale Janssen, «Techopedia,» [En línea]. Available:
https://www.techopedia.com/definition/29060/security-breach. [Último
acceso: 12 Diciembre 2018].
[4] CIS, «Centro de Seguridad de Internet,» [En línea]. Available:
https://learn.cisecurity.org/cis-ram. [Último acceso: 12 Diciembre 2018].
[5] SIS, «Instituto de Estándares Sueco,» [En línea]. Available:
https://www.sis.se/api/document/preview/909004/. [Último acceso: 19
Diciembre 2018].
[6] NIST, «Instituto Nacional de Estándares y Tecnología,» [En línea].
Available:
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf.
[Último acceso: 12 Diciembre 2018].
[7] CCN-CERT, «Centro Criptológico Nacional,» [En línea]. Available:
© Universidad Internacional de La Rioja
https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-
(UNIR)

de-seguridad/988-ccn-stic-817-gestion-

9
Actividades
© Universidad Internacional de La Rioja
(UNIR)

10
Actividades