Asignatura Datos del alumno Fecha

Apellidos: Ramírez Bustos

Auditoría de seguridad 09/07/2021
Nombre: Carlos Fabián

El Proceso y las Fases de la Auditoría de Sistemas de

Información

I. Antecedentes
Viento en Popa es una empresa que se dedica a planificar actividades acuáticas,
además de contar con cursos de navegación. En general la empresa se divide en tres
secciones, una de ellas es el área administrativa, donde se gestiona la información
relacionada a los cursos, alumnos, profesores, y clientes. La siguiente área que
maneja es la Escolar, aquí se da acceso a la parte personal del alumno para la consulta
de calificaciones, inscripciones, realización de test y todo lo relacionado a la escuela.
La siguiente área es la de Ventas, aquí se promueven los catálogos de todas las
actividades de la empresa, promociones y ventas. Para que la empresa pueda cumplir
sus objetivos manejan una página Web como herramienta para promover sus
servicios, iniciar los procesos de los cursos que imparten, los alumnos pueden
verificar calificaciones y otros puntos relacionados con los mismos. Está diseñada con
un inicio (Home) y posteriormente un login para los usuarios que toman un curso y
puedan visualizar detalles como su grupo, materias, calificaciones y profesores.
Cuenta con diferentes “pestañas” donde muestra un resumen de quienes somos, el
catálogo de servicios con los que cuenta la empresa, un blog donde muestran
imágenes y videos donde suben a las redes sociales más usadas, además de un
apartado de contacto donde los clientes pueden dejar sus datos para que el equipo
de ventas pueda contactarse con ellos.
Los controles que manejan de manera básica es el control de accesos a la información
de la página Web, se tiene en cuenta que ha contratado un hosting para los servicios
ofrecidos, la empresa cuenta con el servidor web dentro de una oficina sin ninguna
© Universidad Internacional de La Rioja (UNIR)

protección, por lo tanto cualquier persona con la mayor cautela pueda acceder sin
problema al sistema, además de no contar con un cifrado de información y además
en cuanto a sus políticas de seguridad no se encuentran actualizadas para el manejo
de la información correctamente.

Estructuración funcional de un centro de proceso de datos e implantación de controles generales 1

 Asignatura Datos del alumno Fecha
Apellidos: Ramírez Bustos
Auditoría de seguridad 09/07/2021
Nombre: Carlos Fabián

II. Presentación de los riesgos inherentes al portal Web

Al trabajar con aplicaciones web, debemos de estar al tanto de los riesgos y las
vulnerabilidades que existen hoy en días. El organismo OWASP se encarga de
comunicar a desarrolladores sobre las vulnerabilidades y riesgos que existen. Los
riesgos que encontramos en el portal Web son las siguientes:
*Pérdida de autenticación: Esta función fue implementada incorrectamente, lo cual
permite a los atacantes comprometer usuarios y contraseñas, sesiones y explotar
otras fallas de implementación que permiten al atacante asumir la identidad de los
usuarios. El sitio permite contraseñas comunes o muy débiles que es muy fácil de
cifrar con ayuda de software especializado. [Hackwise,2020]
*Exposición de Datos Sensibles: al obtener la autenticación de un usuario, su
información como nombre, dirección, teléfono, etc., queda expuesta, dando lugar a
que los atacantes realicen fraudes con estos datos. A la hora de programar no se
establecen los certificados de seguridad o en su caso, se dejan los certificados por
defecto, por ejemplo, MD5, 3DES, RSA y SHA-1 y 2. (Álvarez, 2019)
*Pérdidas en el control de acceso: Al perder los accesos, los atacantes pueden ir
directamente a la parte de administración para poder modificar o robar información
ya no solo de los usuarios sino de la empresa, datos sensibles que pueden llegar a
venderse en la web profunda. El manejo de los niveles de privilegios no es correcto o
se encuentra mal escalonado.
*Mala configuración de Seguridad: La falta de una implementación en la metodología
para el desarrollo del sitio, lleva a no sellar vulnerabilidades. A pesar de que se sabe
de esta falla, es un problema muy común en el sitio Web. El sistema no está
actualizado por lo tanto las bibliotecas y Dlls no se encuentran especificados con
valores seguros
© Universidad Internacional de La Rioja (UNIR)

Estructuración funcional de un centro de proceso de datos e implantación de controles generales 2

 Asignatura Datos del alumno Fecha
Apellidos: Ramírez Bustos
Auditoría de seguridad 09/07/2021
Nombre: Carlos Fabián

III. Planificar y desarrollar una auditoria de seguridad de la información

Plan de auditoría
Objetivo: Determinar y evaluar riesgos para el sitio web de viento en Popa y poder
ampliar la seguridad del mismo.
Alcances y limitaciones: la auditoría abarcará solamente al área correspondiente
(sistemas, tecnología o informática), Se examinarán y detallarán los registros
ingresados al sistema, dando más soporte, integridad, confiabilidad al sistema;
algunas limitantes que podemos encontrar es la negativa de la empresa a la hora de
entregar determinada información, destrucción de documentación accidental a la
hora de aplicar métodos para el proceso de auditoria.
Calendario de Actividades: el plazo máximo que tendrán los auditores para
implementar la auditoría será de 2 meses, comenzando el 1 de Julio del 2021 y
culminando el 1 de septiembre del 2021
Recursos: como recurso o herramienta de buena práctica utilizaremos COSO, ya que
sus componentes nos ayudaran a desarrollar mejor el proyecto.
Metodología a implementar: La Metodología a implementar es la llamada Magerit.
Nos ayudará a dividir los activos de la empresa para determinar más riesgos y poder
tomar medidas necesarias para evitarlo.

Plan de Comunicación
Cuando se tenga el informe de la auditoria, el personal encargado del mismo
procederán a enviarlo por correo electrónico, posteriormente se realizará una
presentación con el o los directores de la empresa.
© Universidad Internacional de La Rioja (UNIR)

Estructuración funcional de un centro de proceso de datos e implantación de controles generales 3

 Asignatura Datos del alumno Fecha
Apellidos: Ramírez Bustos
Auditoría de seguridad 09/07/2021
Nombre: Carlos Fabián

Desarrollo
Para la realización de la auditoria se requieren 2 auditores. En un principio se
utilizarán herramientas de recopilación de información donde se observan las
políticas de seguridad, los activos que tengan relación con la página web, el Hardware
y Software del servidor. Los informes de los auditores identifican riesgos, controles
fuertes y débiles. Se encontraron un total de 8 hallazgo, los cuales dos se encuentran
en cumplimiento los cuales son, *El servidor Web cuenta con un antivirus hasta la
última actualización, protección contra el Ransomware y protección para VPN. *La
conexión con la base de datos (backend) es correcta, inicia las sesiones y las cierra
para que no haya accesos corruptos [A6:2017, OWASP]. Tres se encuentran en no
conformidad menor, los cuales son: *Las licencias del Software del sistema operativo
vencieron hace 2 meses, esto genera un riesgo en cuanto a la seguridad [A6:2017,
OWASP]. *Además en la red del servidor se encuentra un firewall, pero la
configuración se encuentra por defecto [A3:2017, OWASP]. *El lugar donde se
encuentra el servidor éste no cuenta con un sistema de respaldo de energía (UPS),
esto genera un riesgo en cuanto al control de accesos [A5:2014, OWASP]. Tres se
encuentran en conformidad mayor donde encontramos: *algunas políticas que no
encajan con las nuevas tecnologías, en cuanto a los accesos, el nivel de seguridad en
las contraseñas, respaldos, etc. [A6:2017, OWASP]. *No existe una calendarización
de respaldos de los alumnos y clientes, lo que provoca que pueda suceder pérdida de
información [A3:2017, OWASP]. *Los procesos de validación de cifrado no existen en
el sistema, además de que las contraseñas no son del todo seguras ya que se manejan
contraseñas por defecto y además el nivel de seguridad de las mismas son muy
débiles, esto presenta un riesgo critico ya que es fácil descifrar las contraseñas con
herramientas de hackeo por lo que el sistema se encuentra en riesgo [A5:2017,
© Universidad Internacional de La Rioja (UNIR)

OWASP]. Se deduce también que pudo tener ataque de inyecciones de SQL a la

página web [A1:2017, OWASP].

Estructuración funcional de un centro de proceso de datos e implantación de controles generales 4

 Asignatura Datos del alumno Fecha
Apellidos: Ramírez Bustos
Auditoría de seguridad 09/07/2021
Nombre: Carlos Fabián

Se observa que el servidor se encuentra en una oficina donde personas no

autorizadas pueden acceder sin ninguna restricción lo que ocasiona un riesgo
[A5:2017, OWASP],

IV. Informe Ejecutivo de la Auditoria

La unidad de Auditoria, procedió a ejecutar auditoría al sistema Web de la Empresa
“Viento en Popa”. Se encontraron las siguientes singularidades en las cuales se
mencionan los cambios que hay que realizar para que el sistema y el personal, así
como los datos se encuentren más protegidos:
Por parte del Hardware, colocar un sistema de respaldo de energía (UPS), así como
también colocar el servidor en un rack en un site o reacondicionar el sitio donde se
encuentra el servidor, con accesos solo para el personal autorizado y evitar
intrusiones de personal que no tenga nada que ver al sistema o a la empresa.
Por parte del Software, se pretende actualizar el sistema Operativo que maneja el
Servidor, comprando una licencia que nos permita actualizar y colocar los parches de
seguridad.
Por parte de la administración se sugiere que realicen cambios a sus políticas en
cuanto al manejo del sistema y del control de acceso, aportando cambios en la
seguridad del portal, pidiendo a los usuarios incrementar el nivel de sus contraseñas,
desarrollando un sistema de accesos donde el usuario corrobore su identidad y no
sea un bot que los ciberdelincuentes hayan implementado. Aunado a eso, ya con
políticas mas definidas se pide que se cambie la configuración del Firewall por defecto
a las nuevas bases de seguridad que se implementarán. Otras cuestiones que se
pueden tomar a favor es el uso del antivirus y se recomienda que se siga actualizando
para prevenir las nuevas amenazas, además de que en los equipos de los trabajadores
© Universidad Internacional de La Rioja (UNIR)

se instale antivirus y se actualice con el que ya cuentan. Por último, se requiere que
se realice una calendarización de respaldo de información. Se sugiere a los directivos
de la empresa que se mantengan constantes en temas de seguridad informática para
mantener protegida la información importante.

Estructuración funcional de un centro de proceso de datos e implantación de controles generales 5

 Asignatura Datos del alumno Fecha
Apellidos: Ramírez Bustos
Auditoría de seguridad 09/07/2021
Nombre: Carlos Fabián

Referencias

-Álvarez Marañon, G. (2019). Telefónica Tech. La criptografía insegura que deberías dejar
de usar. https://empresas.blogthinkbig.com/. Recuperado el 24 de junio de 2021 de
https://empresas.blogthinkbig.com/la-criptografia-insegura-que-deberias-dejar-de-
usar/
Díaz M, J. (2014). Seguridad de la Información y Metodologías de Análisis de Riesgo.
Metodologías de Riesgo. http://metodologiasderiesgo.blogspot.com/. Recuperado el
24 de junio de 2021 de http://metodologiasderiesgo.blogspot.com/2014/12/analisis-
de-riesgos.html
- Sin Autor (2019). Omantech. Los 10 Principales Riesgos de Seguridad para las aplicaciones
WEB según OWASP. https:// https://www.omatech.com/. Recuperado el 18 de junio
de 2021 de https://www.omatech.com/blog/2019/04/01/riesgos-de-seguridad-
owasp/
-Sin Autor (2017). Owasp. owasp top 10 2017. https://wiki.owasp.org/. Recuperado el 21 de
junio de 2021 de https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es
-Sin Autor (2020). Hackwise. Las 10 principales vulnerabilidades OWASP 2020.
https://hackwise.mx/. Recuperado el 23 de junio de 2021 de
https://hackwise.mx/las-10-principales-vulnerabilidades-owasp-2020/
-Sin Autor (2018). Auditoría de Sistemas. Auditoria Sistemas.
https://auditoriasistema12.wordpress.com/ . Recuperado el 22 de junio de 2021 de
https://auditoriasistema12.wordpress.com/2016/05/04/fases-de-la-auditoria-de-
sistema/
-Sin Autor (2020). AEC. COBIT. https://www.aec.es. Recuperado el 22 de junio de 2021 de -
https://www.aec.es/web/guest/centro-conocimiento/cobit
© Universidad Internacional de La Rioja (UNIR)

Estructuración funcional de un centro de proceso de datos e implantación de controles generales 6