UNIVERSIDAD INTERNACIONAL DE LA RIOJA

MAESTRIA EN SEGURIDAD INFORMATICA

CURSO: AUDITORIA DE SEGURIDAD

ACTIVIDAD 2

EL PROCESO Y LAS FASES DE LA AUDITORIA DE

SISTEMA DE INFORMACION

PROFESOR DE LA ASIGNATURA

MARIA TERESA PEREZ MORALES

PRESENTA:

SERGIO MARTÍNEZ AGUILAR

© Universidad Internacional de La Rioja (UNIR)

19 de diciembre de 2022
© Universidad Internacional de La Rioja (UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

Índice

1. ESTRUCTURACION FUNCIONAL DE UN CENTRO DE PROCESO DE DATOS E IMPLANTACION

DE CONTROLES GENERALES......................................................................................................1
1.1. Antecedentes................................................................................................................1
1.2. Organigrama funcional en cumplimiento......................................................................3
1.3. Ubicación funcional de las áreas técnicas.....................................................................4
2. Bibliografía.......................................................................................................................5

Actividades
© Universidad Internacional de La Rioja (UNIR)
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

1. Antecedentes.

Viento en Popa es una empresa que se dedica a planificar actividades

náuticas, a impartir clases de navegación y también ofrece la posibilidad de
obtener la certificación de Patrón de Embarcaciones de Recreo (PER). Como
parte de su estrategia empresarial Viento en Popa desarrolló un portal web como
canal de información y venta.
El portal Web brinda atención a dos partes claramente diferenciadas de la
organización:
 La zona de administración: es la parte de la plataforma donde se
gestiona la información relativa a los clientes y a los alumnos.
 La zona de clientes y alumnos: es la parte de la plataforma donde
los clientes y alumnos registrados tienen acceso como usuarios.

Actualmente la plataforma web se encuentra alojada en un servidor local

de la misma empresa, con un sistema operativo Windows Server 2012, y
desarrollado en tecnología java, la interfaz de usuarios hecha en front – end y la
gestión de solicitudes en back – end.
Dicho lo anterior para realizar una valoración de la madurez del Sistema
de Seguridad de la Información de la empresa me voy a basar en un estándar
para determinar el nivel de madurez de la seguridad informática, y utilizare el
Gartner’s Security Model, el cual se basa en cinco niveles, para determinar el
nivel de madurez; Nivel 1: Blind trusting, Nivel 2: Repeatable, Nivel 3: Defined,
Nivel 4: Managed y Nivel 5: Maintance, utilizándolos como una guía rápida para
determinar la madurez de seguridad.
© Universidad Internacional de La Rioja (UNIR)
Para fines de la actividad colocare la empresa Vientos de Popa en el nivel
uno, esto quiere decir que la empresa tiene un 25% de madurez total o integral,
por lo cual se sugiere de varios documentos que van a establecer pautas y
dirección para que los empleados aseguren la seguridad de la información.

1
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

1.1 Estado actual del sitio web

El sitio web d la empresa Vientos en popa es https://vientospopa.com.mx

el cual se compone de los siguientes elementos:

Estructura de la página Activos relacionados

Frontend alojado en servidor de Información de clientes y alumnos
aplicaciones Glassfish
Backend de java IBM Websphere Información de ventas e información
de alumnos y cursos.
Base datos en MySQL Bases de datos de clientes, alumnos,
pagos, certificaciones.
Paginas almacenadas en windows
server 2012 R2

En la empresa Vientos en popa, a pesar de estar en nivel uno de madurez,

cuenta con algunos controles, pero también le faltan por implementar otros, en
la siguiente tabla muestro los controles con los que cuenta y con lo que aún no
cuenta según la norma ISO 27001, ISO/IEC 27002:2022 identificación de
controles.
Controles con lo que cumple de Controles de no conformidad
conformidad
A.5.1.1 Políticas de seguridad de la A.5.1.2, Revisión de las políticas de
información. seguridad de la información.
A.9.2.1 Gestión de altas/bajas en el A.6.1.1 Asignación de
© Universidad Internacional
registrodede
La Rioja (UNIR)
usuarios. responsabilidades para la seguridad
de la información.
A.11.2.4 Mantenimiento de los A.7.2.2 Concienciación, educación y
equipos. capacitación en seguridad de la

2
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

información.
A 12.3.1 Copias de seguridad de la A.9.4.1 Restricción de acceso a la
información. información.
A.13.1.1 Controles de red A.9.4.3 Gestión de contraseñas de
usuario.

1.2Estructura organizacional asociada al sitio web

La empresa vientos en popa tiene la siguiente estructura organizacional la

cual está vinculada a su sitio web.

Gerencia de TI

Administración
Administración
TI

Clientes Alumnos

Figura. 1: Estructura Organizacional del departamento de TI

© Universidad Internacional de La Rioja (UNIR)

De los cuales tiene los siguientes roles:
Gerencia de TI: encargada de todo el departamento de TI.
Administración TI: encargada de las publicaciones del sitio Web, así
como el acceso a usuarios.

3
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

Administración: encargados de dar seguimiento a los pagos, historial

de clientes, así como de alumnos, seguimiento a certificaciones PER.
Clientes, alumnos: consulta de pagos, consulta de cursos.

Nivel de
Referencia Control Madurez
Cumplimiento
Política de seguridad de la Completo
5.1.1 100 %
información.
8.1.1 Inventario activo 60 % En proceso
9.1.1 Política de control de accesos 100 % Completo
Control de acceso a las redes y En proceso
9.1.2 70 %
servicios adicionales
Gestión de altas/bajas en el Completo
9.2.1 100 %
registro de usuarios
Gestión de contraseñas de Completo
9.4.3 100 %
usuario
11.2.3 Seguridad del cableado 50 % En proceso
11.2.4 Mantenimiento de los equipos 80 % En proceso
13.2.3 Mensajería Electrónica No esta implementado
14.2.9 Pruebas de aceptación No esta implementado
Implantación de la
17.1.2 continuidad de la seguridad de No esta implementado
la información
© Universidad Internacional de La Rioja (UNIR)

Actualmente CityCorp tiene un TIER en nivel I, ya que el corporativo está

certificado en la operación de servidores cumpliendo los criterios básicos, y no
presentan componentes redundantes, cuenta con un sistema de climatización y
subsistemas de distribución eléctrica.

4
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

Tiene una infraestructura que puede procesar alrededor del 99.671 % de las
aplicaciones, en el año; alcanzando un tiempo de inactividad de 28.8 horas y
tiene que apagarse por completo anualmente para poder realizar
mantenimiento preventivo y correctivo.

Director
General

Director de Director Director de Director de

Director de Director de
Control Banca Seguridad y Mercadotec
RRHH TI
Interno Comercial Mantto. nia

Capacitació Mantenimie Promocione Soporte Bases de

Nóminas Auditorias Cajeros Inversiones Créditos Seguridad Redes
n nto s Tecnico Datos

© Universidad Internacional de La Rioja (UNIR)

5
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

1.1. Organigrama funcional en cumplimiento

Utilizaremos como referencia el organigrama que actualmente tiene CityCorp,

que es el siguiente:
Nos podemos dar cuente que todas áreas, responden al Director General de la
empresa bancaria, incluyendo la Dirección de TI, por tal motivo se propone un
organigrama funcional para la Dirección de TI, para incluir el CPD y que este
dependa directamente de la Dirección de TI, siendo esta la única que pueda
asignar los permisos necesarios para las personas de soporte técnico, así como
el acceso a las redes y el acceso al BD.

Director de TI

Gerente de Auditoria TI

Figura 1: Organigrama Actual de CityCorp

Jefe de Desarrollo y
Jefe de Servicios Jefe de Mantenimiento
Programación

Web Redes Soporte Tecnico

Móvil Base de Datos Electrico
Base de Datos Banca Móvil Redes
Tester Banca WEB Vigilancia

Figura 2: Organigrama Funcional

Así nuestro
© Universidad Internacional centro
de La Rioja de
(UNIR) proceso de datos responderá a la Dirección de TI, quien
será la responsable de dar los permisos necesarios para realizar las actividades
que se tengan que realizar.
En nuestro organigrama de la dirección de TI la separamos del organigrama
general, debido a que surgen nuevos puestos, para el control de nuestro centro

6
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

de proceso de datos, ya que nos damos cuenta que en el organigrama general

solo contamos con el personal limitado para que pueda ser funcional.
Jefe de Desarrollo y programación: encargado del diseño, programación y
pruebas de las aplicaciones que se requieran, para ello tendrá a cargo personal
especializado en desarrollo web, en aplicaciones móviles, en diseño y desarrollo
de bases de datos, así como los tester, que serán los encargados de realizar las
pruebas de software en los ordenadores para comprobar si funcionan
correctamente.
Jefe de servicios: encargado de proporcionar los servicios de redes, bases de
datos, la banca web y la banca móvil.
Jefe de mantenimiento: será el encargado junto con su personal de dar verificar
que todo funcione correctamente dando soporte técnico equipos de cómputo,
móvil, redes, y el personal el eléctrico dar mantenimiento para nunca nos falte
la energía eléctrica.

1.2. Ubicación funcional de las áreas técnicas

Desarrollo y Programación: toda empresa debería tener un área de

desarrollo ya que en ella se obtienen los conocimientos técnicos y científicos
para desarrollar nuevas tecnologías o productos, esta área aportara para el
crecimiento de la empresa en un avance tecnológico inclusive puede reducir
costos si realiza algún descubrimiento que pueda simplificar procesos.

Servicios: ellos serán los encargados de dar los servicios en nuestro CPD, como
banca en línea, banca móvil, que los sistemas de cajeros automáticos se
© Universidad Internacional de La Rioja (UNIR)
encuentren funcionando, transferencias bancarias, consultas de saldos, pagos
de tarjetas, en la banca móvil deben estar pendiente de que los clientes tengan
fácil acceso, que tengan seguridad, reciban notificaciones y que reciban alertas y
notificaciones.

7
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

Mantenimiento: ellos solo podrán tener acceso con permisos temporales,

única y exclusivamente con la previa autorización de la Dirección de TI,
encargados de tener limpio y ordenado asegurándose de que todo esté
funcionando correctamente.

1.3. Controles Generales

Primeramente, anexaremos dos tablas donde analizaremos los activos más

críticos de nuestra empresa CityCorp, quedando de la siguiente manera:

Activo Descripción
Clientes Todas las personas que tengan relación con CityCorp
Datos Toda la información física o digital recabada para cumplir con
los objetivos del negocio.
Aplicaciones Todas las tecnologías que nos ayuden en los procesos para
satisfacer las necesidades de la organización o de los clientes
finales.
Base de Estructura donde se resguarda la información confidencial de
datos los clientes.

Activo Riesgo
Clientes Incumplimientos, en contratos
Ataques phishing en banca móvil o web
Clonaciones
© Universidad Internacional de La Rioja (UNIR) de tarjetas
Datos Destrucción de datos
Modificación accidental de datos
Aplicaciones Vulnerabilidades de sistemas
Base de Inyección de códigos maliciosos

8
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

datos

En relación a la ISO 27002:2013, se estarán modificando los controles 9.1.2 y el

control 11.2.3, así mismo se estarán implementando los controles que en la tabla
no tenemos implementados.

Revisados los activos de la empresa procederemos a modificar e implementar

los controles que nos ayudaran a reducir o mitigar los riesgos mas críticos antes
mencionados:

9.1.2, Este control se realiza en la actualidad con las políticas existentes, es de

vital importancia que se mantenga este control ya que permitirá hacer
seguimiento de las políticas instauradas. Y se recomienda establecer por entidad
los procedimientos para cubrir todas las etapas del ciclo de vida del acceso de
los usuarios, desde del registro inicial de los nuevos usuarios hasta su baja
cuando ya no sea necesario su acceso a los sistemas y servicios de información.
11.2.3, el área de mantenimiento, debe certificar que el centro proceso de datos
y los centros de cableado que están bajo su custodia, se encuentren separados de
áreas que tengan líquidos inflamables o que corran riesgo de inundaciones e
incendios, así mismo debe certificar que solo personal autorizado tenga acceso a
esta área.
13.2.3, la importancia del correo electrónico como herramienta para facilitar la
comunicación entre funcionarios y terceras partes, proporcionará un servicio
idóneo y seguro para la ejecución de las actividades que requieran el uso del
correo electrónico, respetando siempre los principios de confidencialidad,
© Universidad Internacional de La Rioja (UNIR)
integridad, disponibilidad y autenticidad de quienes realizan las
comunicaciones a través de este medio de esta manera estaremos evitando que
los clientes y personal de CityCoprt pueda sufrir de cualquier tipo de ataque.

9
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

14.2.9, el área de desarrollo y programación debe generar metodologías para la

realización de pruebas al software desarrollado, que contengan pautas para la
selección de escenarios, niveles, tipos, datos de pruebas y sugerencias de
documentación, para que después de realizadas las pruebas se verifique el
correcto funcionamiento del desarrollo, y se firmaran todas las pruebas de
aceptación garantizando la entrega del desarrollo.
17.1.2, se deberá proporcionar los recursos suficientes para proporcionar una
respuesta efectiva de funcionarios y procesos en caso de contingencia o eventos
catastróficos que se presenten en la organización y que afecten la continuidad
de su operación.

1.4. Conclusiones del estudio y personal a cargo

Los controles identificados y evaluados por el consultor deberán funcionar

eficientemente derivado de la modificación realizada en el organigrama, así
mismo se realizó la segregación de las funciones obtenido tres áreas que
reportaran únicamente a la Dirección de TI, y colocando un área de Auditoria de
TI que con ayuda del consultor, se lograron identificar y evaluar los activos de la
organización, al analizar los activos críticos se pudo realizar la modificación de
los controles, para reducir y mitigar los riesgos hacia los activos de la
organización, también se lograra implementar otros controles para evitar estos
riesgos y así tener una correcta continuidad de la seguridad de la información.

2. Bibliografía
[1] gbadvisors. (2018, January 4). Madurez de la seguridad informática: 5 pasos
© Universidad Internacional de La Rioja (UNIR)
a la excelencia. GB Advisors. https://www.gb-advisors.com/es/madurez-de-la-
seguridad-informatica/
[2] iso 27000.es. (2005). Dominios de seguridad y controles.
https://www.iso27000.es/iso27002.html

10
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

[3] Novelec. ¿Qué es un centro de procesamiento de datos (CPD) y cómo

funciona?. https://blog.gruponovelec.com/redes-vdi/que-es-un-centro-de-
procesamiento-de-datos-cpd-y-como-funciona/

[4] cesarcpd(Junio de 2022), Centro de Procesamiento de Datos.

http://cesarcpd.blogspot.com/

© Universidad Internacional de La Rioja (UNIR)

11
Actividades