Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORIA DE SISTEMAS DE
INFORMACION
ANTECEDENTES
Viento en Popa es una empresa dedicada a la planificación de
actividades náuticas, así como a impartir clases teóricas y
prácticas de navegación que a su vez también Ofrece la posibilidad
de obtener la certificación de Patrón de E mb ar c a c io n e s d e R e c r eo
( P E R ) . L a p l a t a f o r m a e s t á d e s a rr o l l a da e n tecnología Java, la
infraestructura requerida para la publicación y mantenimiento de la
plataforma está ubicada en las instalaciones de la empresa , Dentro
de la estrategia empresarial, se desarrolló como canal de información y
venta un portal Web el cual consta de dos partes claramente diferenciadas:
Planificar y realizar una auditoría basada en riesgos del portal web Viento en
Popa. Para ello se debe comenzar con la identificación de «riesgos inherentes»
a partir de los cuales se establezcan objetivos de control, controles, etc.
ANALISIS DE LA EMPRESA
La empresa Viento en Popa requiere brindar confianza a los usuarios de sus
servicios a los usuarios de su plataforma Web, para lo cual requiere realizar una
auditoría de sistemas de información. El Sitio Web, reside en servidores locales,
ubicados en su centro de datos, el cual corre sobre plataforma Linux y ha sido
desarrollado en lenguaje Java. La administración de la plataforma es realizada
por las áreas de Desarrollo y Mantenimiento.
Las responsabilidades de las áreas respecto a la plataforma Web son:
Desarrollo
Mantenimiento
A nivel técnico los riesgos de programación web están descritos en el OWASP Top
10 – 2017 “Los diez riesgos más críticos en Aplicaciones Web Seguridad en
Aplicaciones Web (OWASP por sus siglas en inglés
RIESGOS DESCRIPCION
RECURSOS Y TIEMPO
PERFIL RESPONSABILIDADES
PLAN DE TRABAJO
La auditoría realizada tuvo como objetivo la evaluación de los riesgos inherentes al portal
Web, así como otros riesgos que pudieron identificarse, p a r a esto en cada
actividad se cubrieron diferentes puntos de cumplimiento de
acuerdo a los controles ISO 27001.Presentación con la Dirección General La Dirección
General estableció la importancia de fortalecer el canal de negocios y su impacto
económico en la empresa, los servicios ofrecidos a t r a v é s d e l P o r t a l W e b
r e p r e s e n t a n e l 4 0 % d e l i n g r e s o m e n s u a l d e l a empresa y se estima que
dentro del próximo año llegará al 60% de los m i s m o s , r a z ó n p o r l a c u a l
e s d e s u m a i m p o r t a n c i a q u e l o s r i e s g o s inh erentes sean identificado s,
evaluado s y, en caso de s er necesario, establecer controles para minimizarlos.
Manuales de operación
Entrevistas
Discusión de hallazgos
Retroalimentación con las áreas involucradas de los hallazgos para evaluar
si se cumple o no se cumple lo que se está auditando.
Informe preliminar
Se realizó un informe preliminar por parte de los auditores que fue
discutido con las áreas de desarrollo y mantenimiento, para dar la
oportunidad de aportar información adicional que permitiera modificar el
resultado.
Informe final
Las actividades anteriores dieron como resultado el descubrimiento de
deficiencias de seguridad las siguientes bases de seguridad:
4.Objetivos
Detectar puntos débiles para corregirlos.
Optimizar el sitio para poder ser indexado correctamente por los buscadores.
Presente
ALCANCE DE LA AUDITORIA
Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada
uno de los objetivos contenidos en el programa de auditoria. El Departamento de centro de
cómputo presenta deficiencias sobre el debido cumplimiento de Normas de seguridad. La
escasez de personal debidamente capacitado. Cabe destacar que el sistema basada en riesgos
del portal web pudiera servir de gran apoyo a la organización, el cual no es explotado en su
totalidad por falta de personal capacitado, Así mismo la inadecuada gestión de los activos de
información debida a la falta de prácticas para su uso adecuado, no tener definidas las
responsabilidades del personal sobre ellos, ni tener establecidos controles que garanticen su
devolución al finalizar el contrato laboral de los empleados. Igualmente, que la
infraestructura tecnológica de la empresa no sea administrada por personal idóneo, los
programas de detención de software malicioso sean desactivados en ciertas ocasiones y su
configuración esté expuesta a la modificación de personas no autorizadas.
REFERENCIAS
Referencias
Andrew van der Stock, N. S. (24 de SEPTIEMBRE de 2021). Bienvenido al OWASP Top 10
- 2021. Obtenido de https://owasp.org/Top10/es/