Asignatura Datos del alumno Fecha

Apellidos: Teran Fernández

Auditoría de seguridad 26/06/2023
Nombre: José luis

El proceso y las fases de la auditoría de sistemas

de información
Objetivo
Después de la investigación necesaria para el desarrollo de la actividad, el alumno
será capaz de:
 Identificar y clasificar los activos de información y los riesgos inherentes de
un portal web en el que se usan aplicaciones en línea para la gestión de
procesos internos y externos.
 Planear y describir el desarrollo de una auditoría de seguridad de los
sistemas de información, basada en los riesgos inherentes de un portal web.
 Integrar un cuadro de hallazgos y clasificar su contenido de forma adecuada.
 Redactar el reporte ejecutivo de una auditoría de seguridad de los sistemas
de información.
 Redactar un documento para la atención de un problema específico, en el
que se destaca la capacidad de análisis y se evalúa su habilidad para
sustentar sus propuestas y afirmaciones a partir del uso de referencias.
Desarrollo
Instrucciones generales
Viento en Popa es una empresa que se dedica a planificar actividades náuticas, a
impartir clases de navegación y también ofrece la posibilidad de obtener la
certificación de Patrón de Embarcaciones de Recreo (PER). Como parte de su
estrategia empresarial se desarrolló un portal web como canal de información y
venta. El portal web es un sistema de dos capas, desarrollado en tecnología Java: la
interfaz de usuarios (front end) y el gestor de solicitudes (back end), este último
© Universidad Internacional de La Rioja (UNIR)
conectado a una base de datos. Este portal brinda atención a dos partes claramente
diferenciadas de la organización: la zona de administración y la de clientes.

El organigrama funcional simplificado de Viento en Popa se muestra en la figura 1.

El portal y sus aplicaciones web en ambas zonas atienden las necesidades de las

Actividades 1
 Asignatura Datos del alumno Fecha
Apellidos: Teran Fernández
Auditoría de seguridad 26/06/2023
Nombre: José luis

direcciones administrativa y técnica. Se deja al alumno la libertad para definir con

mayor profundidad el escenario inicial tanto de la organización como del portal
web, así como la definición del grado de madurez en términos de seguridad con los
que se cuenta (controles, segregación de funciones y descripción de procesos).

Alta dirección

Dirección administrativa Dirección técnica

Rec. hum. Informática Negocio Academia Logística

Figura 1. Organigrama funcional simplificado de Viento en Popa.

I. Antecedentes

La empresa viento en popa es una empresa dedicada a la venta de producto de

tecnología por internet para clientes que compran productos por mayoreo o por
minoreo, la empresa necesita una aplicación para poder ofrecer sus productos por
internet en la cual se puedan realizar pagos e interactuar con la pagina para poder
agregar dentro de un carrito de compras los productos que se desee comprar asi
como eliminar, modificar o agregar productos. Es decir, altas, bajas y cambios.

Se necesita un sistema seguro ya que se manejará información importante de los

clientes. Como información personal, financiera, nombres de usuario y contraseñas.

Actualmente se cuenta con una página web la cual no cuenta ni quiera con
certificado ssl para encriptar la información, lo cual compromete la privacidad de la
información, dentro de la aplicación se cuenta con un login, aparatado de pagos
© Universidad Internacional de La Rioja (UNIR)
dentro del carrito de compras y una pestaña donde aparece un formulario de
registro donde se agregar la información personal de los clientes.

II. Presentación de riesgos inherentes al portal web

Actividades 2
 Asignatura Datos del alumno Fecha
Apellidos: Teran Fernández
Auditoría de seguridad 26/06/2023
Nombre: José luis

Fallos criptográficos:

Ausencia de protocolo de seguridad ssl el cual nos permite encriptar toda la

información que viaja en la red, actualmente no se cuanta con certificado ssl, lo cual
nos permite ver toda la información que viaja por la red con cualquier analizador de
trafico como Wireshark

Usar algoritmos de cifrado fuertes y plenamente actualizados:

La ciberseguridad es un área en la que es indispensable mantenerse

permanentemente actualizados, puesto que cada día surgen riesgos e innovaciones
nuevas.

No basta con encriptar la información, sino que también debes clasificar la

información según su importancia. Para asi poderle dar un nivel de encriptación
más alto a la información más sensible.

Ataque de inyección:

En este tipo de ataque, el hacker inserta comandos maliciosos en la aplicación para

ejecutar acciones no autorizadas en el sistema. Por ejemplo, puede borrar archivos
o instalar programas maliciosos.

Por eso es importante agregar las validaciones necesarias en todos los campos de
texto dentro de la aplicación web.

Evitar nombrar las variables que se les nombre con nombres comunes ya que asi
sería fácil encontrar en nombre de los campos de la tabla de la bd

© Universidad Internacional de La Rioja (UNIR)

Fallos de identificación y autentificación

Actividades 3
 Asignatura Datos del alumno Fecha
Apellidos: Teran Fernández
Auditoría de seguridad 26/06/2023
Nombre: José luis

los mecanismos de autenticación son un elemento vital para la seguridad de las

aplicaciones. Ya que garantizan la identidad de los usuarios.

Dentro del problema de suplantación de identidad es por la falta de mecanismos de

autenticación. Lo cuales son culpable las políticas de contraseña segura o la
implementación de contraseñas por default como pasa con las contraseñas de wifi
donde usan diccionarios de contraseñas de red para ataques de fuerza bruta.

III. Planificar y desarrollar una auditoría de seguridad de la información

Plan de auditoria:

Objetivo: determinar y evaluar los riesgos inminentes a los que se expone la

aplicación para asi poder mejorar la seguridad de la misma

Alcances y limitaciones: la auditoria solamente se realizará dentro de las áreas

especificadas por la misma empresa. Se examinarán a detalle todas las bases de
datos asi como el código fuente.

Calendario de Actividades: el plazo máximo será para los auditores poder

implementar la auditoría será de 1 meses, comenzando el 2 de agosto de 2023 al 2

de septiembre del 2023

Recursos: con la aplicación audit worbench encontraremos las vulnerabilidades

dentro del código fuente y con kali Linux para asi poder detectar las
vulnerabilidades de red dentro de la aplicación.

Plan de comunicación: En cuanto se tengan los resultados se enviarán vía correo

© Universidad Internacional de La Riojaal
electrónico (UNIR)
jefe del departamento de informática un día después de la fecha de
entrega acordada.

Actividades 4
 Asignatura Datos del alumno Fecha
Apellidos: Teran Fernández
Auditoría de seguridad 26/06/2023
Nombre: José luis

IV. Informe ejecutivo de la auditoría

Desarrollo: Se detectaron cuatro hallazgos en cuales se detectaron las siguientes

vulnerabilidades:

OWASP A02 Fallos criptográficos: Falta de encriptación de la información dentro de

la aplicación, no cuenta con ningún tipo de certificado ssl dentro del hosting de la
aplicación.

OWASP A03 inyección: No existen validaciones de campos dentro de la aplicación

lo cual lo hace vulnerable a ataques de inyección sql, en el cual se puede ingresar
código malicioso dentro de cualquier campo de texto dentro de la aplicación.

OWASP A07 Fallos de identificación y autentificación: detectamos contraseñas

débiles dentro del login de autenticación de usuario, lo cual nos indica la falta de
validaciones de contraseña y usuario dentro de los campos del login.

Adicionalmente también se detectó la falta de firewall dentro de la red, el cual es

necesario agregar dentro del servidor y si es posible implementar un ids para poder
detectar ataques de forma temprana

© Universidad Internacional de La Rioja (UNIR)

IV. Informe ejecutivo de la auditoría

Actividades 5
 Asignatura Datos del alumno Fecha
Apellidos: Teran Fernández
Auditoría de seguridad 26/06/2023
Nombre: José luis

OWASP A02 Fallos criptográficos:

Implementar certificado de seguridad ssl lets encrypt dentro de la aplicación para

asi poder encriptar la información que entra y sale de la aplicación web

OWASP A03 inyección:

validación de campos sobre caracteres inválidos posibles sospechoso, validación de

numero de caracteres ingresados al campo de texto y palabras clave sospechosas
dentro de los campos de texto

OWASP A07 Fallos de identificación y autentificación:

Implementación de políticas de contraseña segura, validación de campo de
contraseña segura con alertas de características que debe contener la contraseña

Implementación de firewall avast que contiene ids, creación de reglas de entrada y

salida para controlar el tráfico en la red

V. Referencias

OWASP foundation, the Open Source Foundation for Application Security. (s/f).
Owasp.org. Recuperado el 26 de junio de 2023, de https://owasp.org/

Ortega, B. M. C. (2012, noviembre 14). Auditoría de sistemas de información.

gestiopolis; gestiopolis.com. https://www.gestiopolis.com/auditoria-de-sistemas-
de-informacion/

© Universidad Internacional de La Rioja (UNIR)

Actividades 6
 Asignatura Datos del alumno Fecha
Apellidos: Teran Fernández
Auditoría de seguridad 26/06/2023
Nombre: José luis

© Universidad Internacional de La Rioja (UNIR)

Actividades 7
 Asignatura Datos del alumno Fecha
Apellidos: Teran Fernández
Auditoría de seguridad 26/06/2023
Nombre: José luis

Rúbrica de evaluación

Elementos a Puntos
Pond.
evaluar 9-10 puntos 6-8 puntos 0-5 puntos
Redacción y 15% La redacción es fluida. Los La redacción es fluida pero La redacción es deficiente.
ortografía párrafos se estructuran de los párrafos presentan Los párrafos tienen una
modo que cada uno demasiadas ideas estructura que no hace
contiene cuando mucho dos principales o su contenido posible comprender las
ideas fundamentales no es del todo relevante y ideas, éstas son
correctamente su omisión no afectaría el demasiadas y
estructuradas y desarrollo del tema en desarticuladas o el
argumentadas, y se ligan de cuestión. contenido es irrelevante y
forma lógica. Hay de 6 a 10 lapsogramas. ajeno al tema.
Hay de 0 a 5 lapsogramas Hay más de 11
(errores ortográficos). lapsogramas.
Referencias y 15% Se usan correctamente las Se usan citas o referencias, No se usan citas o
citas citas textuales o se pero se hace de forma referencias en el texto. Las
referencia cuando es incorrecta, es decir, no se ideas se plagian o se
necesario. La sección de cumple con la función de presentan sin sustento. No
referencias cumple con los las citas o su uso es hay sección de referencias
criterios del aparato crítico.
inadecuado. La sección de o ésta no cumple con los
referencias usa criterios del aparato
incorrectamente los crítico.
criterios del aparato
crítico.
Descripción 20% Se describe correctamente Se describe de forma No se describe el escenario
adecuada de lo el escenario inicial. La incompleta o insuficiente inicial o éste es ambiguo.
que se plantea y descripción de las fases del el escenario inicial. La No se describen todas las
cómo se análisis de riesgos descripción de las fases del fases del análisis de riesgos
resuelve inherentes, de la análisis de riesgos inherentes, de la
preparación para la inherentes, de la preparación para la
auditoría o de la auditoría preparación para la auditoría o de la auditoría
misma es adecuada. auditoría o de la auditoría misma. O si se hace, es
misma es deficiente, deficiente e inadecuado.
incompleta o carente de
sustento.
Argumentación 30% Los elementos que incluye la Los elementos de la Los elementos de la
y veracidad de respuesta son ad hoc a ésta respuesta no son del todo respuesta son equivocados
los postulados y se argumentan de forma acordes con lo que se y no corresponden a lo
clara y lógica. Cada solicita o bien los solicitado, carecen de
elemento se acompaña de argumentos no son sólidos argumentos o éstos son
argumentos adecuados y pueden estar abiertos a insuficientes o incorrectos.
cuando es necesario. Se interpretación. Las ideas Las ideas de los estándares
presentan ideas afines con derivadas de los se usan de forma
los estándares cuando se estándares se usan fuera incorrecta. Cuando se
requieren. O bien, se de contexto o las presentan ideas
presentan ideas innovadoras innovadoras no se innovadoras, éstas son
o que desafían las normas, acompañan de argumentos plagiadas o están fuera de
pero se hacen de forma tal válidos. contexto, y no se
que su argumentación acompañan de
© Universidad Internacional de La Rioja (UNIR) enriquece el contenido. argumentos.
Cumplimiento 20% Se atiende con precisión el Los objetivos son Los objetivos no se
de los objetivos objetivo de cada uno de los parcialmente cubiertos o cumplen y el contenido
de cada puntos marcados en la se excede su alcance resulta ajeno a lo
pregunta actividad. innecesariamente. solicitado.
csps 2020, v2.0, basado en la versión original de UNIR
Todos los derechos reservados para UNIR.

Actividades 8