Documentos de Académico
Documentos de Profesional
Documentos de Cultura
I. Antecedentes
Viento en Popa es una empresa que se dedica a planificar actividades acuáticas,
además de contar con cursos de navegación. En general la empresa se divide en tres
secciones, una de ellas es el área administrativa, donde se gestiona la información
relacionada a los cursos, alumnos, profesores, y clientes. La siguiente área que
maneja es la Escolar, aquí se da acceso a la parte personal del alumno para la consulta
de calificaciones, inscripciones, realización de test y todo lo relacionado a la escuela.
La siguiente área es la de Ventas, aquí se promueven los catálogos de todas las
actividades de la empresa, promociones y ventas. Para que la empresa pueda cumplir
sus objetivos manejan una página Web como herramienta para promover sus
servicios, iniciar los procesos de los cursos que imparten, los alumnos pueden
verificar calificaciones y otros puntos relacionados con los mismos. Está diseñada con
un inicio (Home) y posteriormente un login para los usuarios que toman un curso y
puedan visualizar detalles como su grupo, materias, calificaciones y profesores.
Cuenta con diferentes “pestañas” donde muestra un resumen de quienes somos, el
catálogo de servicios con los que cuenta la empresa, un blog donde muestran
imágenes y videos donde suben a las redes sociales más usadas, además de un
apartado de contacto donde los clientes pueden dejar sus datos para que el equipo
de ventas pueda contactarse con ellos.
Los controles que manejan de manera básica es el control de accesos a la información
de la página Web, se tiene en cuenta que ha contratado un hosting para los servicios
ofrecidos, la empresa cuenta con el servidor web dentro de una oficina sin ninguna
© Universidad Internacional de La Rioja (UNIR)
protección, por lo tanto cualquier persona con la mayor cautela pueda acceder sin
problema al sistema, además de no contar con un cifrado de información y además
en cuanto a sus políticas de seguridad no se encuentran actualizadas para el manejo
de la información correctamente.
Plan de auditoría
Objetivo: Determinar y evaluar riesgos para el sitio web de viento en Popa y poder
ampliar la seguridad del mismo.
Alcances y limitaciones: la auditoría abarcará solamente al área correspondiente
(sistemas, tecnología o informática), Se examinarán y detallarán los registros
ingresados al sistema, dando más soporte, integridad, confiabilidad al sistema;
algunas limitantes que podemos encontrar es la negativa de la empresa a la hora de
entregar determinada información, destrucción de documentación accidental a la
hora de aplicar métodos para el proceso de auditoria.
Calendario de Actividades: el plazo máximo que tendrán los auditores para
implementar la auditoría será de 2 meses, comenzando el 1 de Julio del 2021 y
culminando el 1 de septiembre del 2021
Recursos: como recurso o herramienta de buena práctica utilizaremos COSO, ya que
sus componentes nos ayudaran a desarrollar mejor el proyecto.
Metodología a implementar: La Metodología a implementar es la llamada Magerit.
Nos ayudará a dividir los activos de la empresa para determinar más riesgos y poder
tomar medidas necesarias para evitarlo.
Plan de Comunicación
Cuando se tenga el informe de la auditoria, el personal encargado del mismo
procederán a enviarlo por correo electrónico, posteriormente se realizará una
presentación con el o los directores de la empresa.
© Universidad Internacional de La Rioja (UNIR)
Desarrollo
Para la realización de la auditoria se requieren 2 auditores. En un principio se
utilizarán herramientas de recopilación de información donde se observan las
políticas de seguridad, los activos que tengan relación con la página web, el Hardware
y Software del servidor. Los informes de los auditores identifican riesgos, controles
fuertes y débiles. Se encontraron un total de 8 hallazgo, los cuales dos se encuentran
en cumplimiento los cuales son, *El servidor Web cuenta con un antivirus hasta la
última actualización, protección contra el Ransomware y protección para VPN. *La
conexión con la base de datos (backend) es correcta, inicia las sesiones y las cierra
para que no haya accesos corruptos [A6:2017, OWASP]. Tres se encuentran en no
conformidad menor, los cuales son: *Las licencias del Software del sistema operativo
vencieron hace 2 meses, esto genera un riesgo en cuanto a la seguridad [A6:2017,
OWASP]. *Además en la red del servidor se encuentra un firewall, pero la
configuración se encuentra por defecto [A3:2017, OWASP]. *El lugar donde se
encuentra el servidor éste no cuenta con un sistema de respaldo de energía (UPS),
esto genera un riesgo en cuanto al control de accesos [A5:2014, OWASP]. Tres se
encuentran en conformidad mayor donde encontramos: *algunas políticas que no
encajan con las nuevas tecnologías, en cuanto a los accesos, el nivel de seguridad en
las contraseñas, respaldos, etc. [A6:2017, OWASP]. *No existe una calendarización
de respaldos de los alumnos y clientes, lo que provoca que pueda suceder pérdida de
información [A3:2017, OWASP]. *Los procesos de validación de cifrado no existen en
el sistema, además de que las contraseñas no son del todo seguras ya que se manejan
contraseñas por defecto y además el nivel de seguridad de las mismas son muy
débiles, esto presenta un riesgo critico ya que es fácil descifrar las contraseñas con
herramientas de hackeo por lo que el sistema se encuentra en riesgo [A5:2017,
© Universidad Internacional de La Rioja (UNIR)
se instale antivirus y se actualice con el que ya cuentan. Por último, se requiere que
se realice una calendarización de respaldo de información. Se sugiere a los directivos
de la empresa que se mantengan constantes en temas de seguridad informática para
mantener protegida la información importante.
Referencias
-Álvarez Marañon, G. (2019). Telefónica Tech. La criptografía insegura que deberías dejar
de usar. https://empresas.blogthinkbig.com/. Recuperado el 24 de junio de 2021 de
https://empresas.blogthinkbig.com/la-criptografia-insegura-que-deberias-dejar-de-
usar/
Díaz M, J. (2014). Seguridad de la Información y Metodologías de Análisis de Riesgo.
Metodologías de Riesgo. http://metodologiasderiesgo.blogspot.com/. Recuperado el
24 de junio de 2021 de http://metodologiasderiesgo.blogspot.com/2014/12/analisis-
de-riesgos.html
- Sin Autor (2019). Omantech. Los 10 Principales Riesgos de Seguridad para las aplicaciones
WEB según OWASP. https:// https://www.omatech.com/. Recuperado el 18 de junio
de 2021 de https://www.omatech.com/blog/2019/04/01/riesgos-de-seguridad-
owasp/
-Sin Autor (2017). Owasp. owasp top 10 2017. https://wiki.owasp.org/. Recuperado el 21 de
junio de 2021 de https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es
-Sin Autor (2020). Hackwise. Las 10 principales vulnerabilidades OWASP 2020.
https://hackwise.mx/. Recuperado el 23 de junio de 2021 de
https://hackwise.mx/las-10-principales-vulnerabilidades-owasp-2020/
-Sin Autor (2018). Auditoría de Sistemas. Auditoria Sistemas.
https://auditoriasistema12.wordpress.com/ . Recuperado el 22 de junio de 2021 de
https://auditoriasistema12.wordpress.com/2016/05/04/fases-de-la-auditoria-de-
sistema/
-Sin Autor (2020). AEC. COBIT. https://www.aec.es. Recuperado el 22 de junio de 2021 de -
https://www.aec.es/web/guest/centro-conocimiento/cobit
© Universidad Internacional de La Rioja (UNIR)