Estados Unidos Mexicanos

Universidad Internacional La Rioja

Programa de Maestría de Seguridad de la Información

Auditoria de Seguridad

Tarea 3
Proceso y las Fases de la Auditoria de Sistemas de la Información.

Edgar A. Mendieta

27 de junio de 2023
 Asignatura Datos del alumno Fecha
Apellidos: Mendieta
Auditoría de seguridad 2023-06-27
Nombre: Edgar Alfonso

I. Introducción.

La información hoy por hoy es el activo más valioso dentro de las empresas y
hasta para el individuo, pero dentro de todo esto, se debe garantizar que esta
sea integra, que este disponible para las personas y procesos que la requieren,
y que al utilizarse los datos presentados sean confiables. Para cumplir con estas
premisas, todo elemento en donde resida o transiten los datos que serán
utilizados para procesar la información deben contar con la seguridad
requerida.

La aplicación de auditorías a diferentes plataformas tecnológicas son una de

las tantas herramientas que nos permite identificar si se cumplen con procesos
que nos ayudan a brindar seguridad a la información y/o a cada uno de los
datos utilizados para su procesamiento. Adicional, nos ayuda a identificar
puntos débiles o vulnerables que pueden poner en riesgo toda la plataforma en
donde la información reside o transita; que de ser consumado sería perjudicial
a la empresa, institución, organización o persona que consuma de la misma.

El uso de aplicaciones orientadas a arquitecturas tecnológicas cliente-servidor,

tales como son aquellas que consumen servicios web; está muy de la mano con
la agilidad que se persigue a nivel de los procesos empresariales. Aquí, hay que
tener muy en cuenta que muchos de estos procesos pueden ser utilizados
dentro y fuera de la red de la empresa lo que implica riesgos; en donde la
información puede verse afectada por perdidas o modificaciones. Cosa que
haría que se pierda la integridad, su confianza y que la disponibilidad no se dé.
Dentro de este trabajo, se realizará una auditoria a un sitio web, que nos
permitirá analizar los activos en donde reside o transitan los datos que serán
procesados para brindar la información requerida. De esta forma veremos las
vulnerabilidades existentes y poder mitigar así los riesgos de pérdida o que la
información se comprometa.

Actividades 1
 Asignatura Datos del alumno Fecha
Apellidos: Mendieta
Auditoría de seguridad 2023-06-27
Nombre: Edgar Alfonso

II. Antecedentes.
Viento en Popa es una empresa que se dedica a planificar actividades náuticas,
a impartir clases de navegación y también ofrece la posibilidad de obtener la
certificación de Patrón de Embarcaciones de Recreo (PER). Como parte de su
estrategia empresarial se desarrolló un portal web como canal de información
y venta. El portal web es un sistema de dos capas, desarrollado en tecnología
Java: la interfaz de usuarios (front end) y el gestor de solicitudes (back end),
este último conectado a una base de datos. Este portal brinda atención a dos
partes claramente diferenciadas de la organización: la zona de administración
y la de clientes.

Las zonas funcionales de la empresa brindan las siguientes gestiones.

✓ Zona de administración. Se puede gestionar el recurso humano,
recursos informáticos o IT y se valida la información de los clientes o el
negocio.
✓ Zona de Dirección Técnica. En este modulo se encuentra la
información académica, así como la logística requerida para el
estudiante y personal administrativo.

La empresa, quiere estar a la vanguardia de la tecnología, pero a su vez no

quiere que sus datos se vean vulnerados. O más allá, que la información que se
utiliza para el negocio no sea integra. Por lo que ha tomado la decisión de
realizar una auditoria a su sitio Web. Para identificar así posibles
vulnerabilidades y corregir las mismas. Esto a su vez permitirá que sus
usuarios se sientan más en confianza que al momento de introducir datos en
la misma, será de forma segura.

Esto, se solicita, teniendo en cuenta que el portal Web es público; el personal

administrativo como sus estudiantes lo pueden acceder desde cualquiera parte
del mundo, por lo que ven necesaria la auditoria solicitada. Adicional a que la
empresa posee el sitio web bajo servicios adquiridos con AWS; pero se

Actividades 2
 Asignatura Datos del alumno Fecha
Apellidos: Mendieta
Auditoría de seguridad 2023-06-27
Nombre: Edgar Alfonso

mantienen algunos servidores y aplicativos desarrollados en las premisas de la

empresa que mantienen conectividad con dicha nube, pero de forma pública.

III. Presentación de Riesgos Inherente del Portal Web.

Las aplicaciones web, por su naturaleza, tendrán riesgos inherentes; y es tan
solo por estar expuestas a internet. Tomaremos en cuenta algunas enumeradas
ya por estudios previos como OWASP, de tal manera que se puedan validar si
existen o no.
➢ Inyección. Es una vulnerabilidad de las aplicaciones WEB, que afecta
directamente a las bases de datos de la aplicación. Una inyección SQL,
LDAP o CRLF consiste en insertar o en inyectar código SQL malicioso
dentro de código SQL para alterar el funcionamiento normal y hacer
que se ejecute el código “malicioso” dentro del sistema.
➢ Perdida de autenticación. Las vulnerabilidades relacionadas con la
pérdida de autenticación son críticas en la seguridad de las aplicaciones
y en especial de las aplicaciones WEB, ya que permiten a un usuario
suplantar la personalidad de otro.
➢ Exposición de datos sensibles. Las aplicaciones WEB que no protegen
adecuadamente los datos confidenciales, como datos financieros,
nombres de usuario y contraseñas, o información de salud, podrían
permitir a los atacantes acceder a dicha información para cometer
fraudes o robar identidades.
➢ Entradas XML. Este es un ataque contra una aplicación web que analiza
la entrada XML. Esta entrada puede hacer referencia a una entidad
externa, intentando explotar una vulnerabilidad en el analizador.
➢ Control de Acceso. El control de acceso se refiere a un sistema que
controla el acceso a la información o la funcionalidad. Los controles de
acceso defectuosos permiten a los atacantes eludir la autorización y
realizar tareas como si fueran usuarios privilegiados, como los
administradores.

Actividades 3
 Asignatura Datos del alumno Fecha
Apellidos: Mendieta
Auditoría de seguridad 2023-06-27
Nombre: Edgar Alfonso

➢ Mala Configuración de la seguridad. Este riesgo se refiere a la

implementación incorrecta de los controles destinados a mantener
seguros los datos de la aplicación, como la mala configuración de los
encabezados de seguridad, los mensajes de error que contienen
información confidencial (fuga de información) y no los parches o los
sistemas de actualización, los marcos y los componentes.
➢ Secuencia de Comandos en sitios cruzados (XSS). Los ataques XSS
tienen como objetivo el código (también llamado secuencia de
comandos) de una página web que se ejecuta en el navegador del
usuario, no en el servidor del sitio web. Cuando el usuario es atacado,
se introducen secuencias de comandos maliciosas en su navegador que
intentarán dañar su equipo.
➢ Deserialización insegura. Se trata de una vulnerabilidad que podría
permitir la ejecución remota de código en servicios web.
➢ Uso de componentes con vulnerabilidades conocidas. Con frecuencia,
los desarrolladores no saben qué componentes de código abierto y de
terceros están en sus aplicaciones, lo que dificulta la actualización de los
componentes cuando se descubren nuevas vulnerabilidades. Los
atacantes pueden explotar un componente inseguro para hacerse cargo
del servidor o robar datos confidenciales.
➢ Insuficientes registros y monitoreo. El tiempo para detectar una
violación se mide con frecuencia en semanas o meses. El registro
insuficiente y la integración ineficaz con los sistemas de respuesta a
incidentes de seguridad permiten a los atacantes girar a otros sistemas
y mantener amenazas persistentes.
➢ Uso de puertos no seguro. La utilización de puertos no seguro, como
HTTP es un riesgo para las aplicaciones web y los datos que en este se
manejan.

Actividades 4
 Asignatura Datos del alumno Fecha
Apellidos: Mendieta
Auditoría de seguridad 2023-06-27
Nombre: Edgar Alfonso

IV. Auditoria de Seguridad de la Información.

4.1. Preparación.
4.1.1. Alcance.
La auditoria tiene como objetivo el sitio web de la empres Viento en Popa; el
mismo está compuesto por dos módulos: uno para administración, en donde
hay información correspondiente a recursos humanos, informática e
información del negocio como facturación. El otro modulo, lo maneja la
dirección técnica para manejar información académica y logística. Este
módulo también será accedido por estudiantes inscritos en los cursos que dicta
la empresa; en donde podrán descargar tutoriales y otros documentos.

4.1.2. Recursos.
Para llevar a cabo las tareas de la auditoria, se utilizarán dos recursos (Auditor
1 y Auditor 2). El Auditor 1 es el jefe de dicho trabajo, y en conjunto con la
empresa han acordado que este evento debe dar por finalizado en dos (2)
meses. Dando inicio el 27 de junio de 2023 y se tomaran en cuenta solo los días
y horario laboral de la empresa. La misma labora de lunes a sábado, de 8:00
de la mañana ha 5:00 de la tarde.

El personal que realizará la auditoria cuenta con conocimientos de

programación CSS, JavaScript, XML y HTTP. Adicional, la empresa cuenta con
instalaciones físicas, pero su sitio web lo tiene contratado bajo la nube de AWS.

4.1.3. Recolección de Datos.

Para esta actividad, es necesario contar con los siguientes puntos.
✓ Organigrama funcional
✓ Visión y Misión
✓ Detalle de las personas que tienen interacción con el sitio web y sus
roles.
✓ Diagrama de Flujo del sitio web

Actividades 5
 Asignatura Datos del alumno Fecha
Apellidos: Mendieta
Auditoría de seguridad 2023-06-27
Nombre: Edgar Alfonso

✓ Topología de red. Y como se conectan los que tienen accesos

administradores al servidor en AWS.
✓ Inventario de activos informáticos en sitio y cuáles de estos interactúan
con los servidores en AWS.
✓ Módulos internos que interactúen con AWS y el sitio web.
✓ Políticas y procesos de seguridad.
✓ Si se han realizado auditorias anteriores, brindar informes.
✓ Si se cuenta con procedimientos para el desarrollo, brindarlos.
✓ Documentación de las pruebas realizadas y últimas modificaciones del
sitio.

Para esta actividad se requiere de dos (2) semanas.

4.1.4. Programa de Actividades.

Auditor 1.
✓ Entrevistas con el web master.
✓ Entrevistas con desarrolladores y probadores de calidad.
✓ Responsables de aprobar el contenido que ira en el sitio web.
✓ Elaborar las encuestas y papeles de trabajo.

Auditor 2.
✓ Entrevistas con gerente de IT
✓ Entrevistas con administradores de servidor en AWS
✓ Entrevistas con personal de redes y firewall.
✓ Elaboración de papeles de trabajo.

Esta actividad tomará un tiempo no mayor de seis (6) semanas.

4.1.5. Plan de Comunicación.

Al obtener los informes, el Auditor 1, se encargará de enviar mediante correo
electrónico un preliminar al director de Informática, el cual dará sus

Actividades 6
 Asignatura Datos del alumno Fecha
Apellidos: Mendieta
Auditoría de seguridad 2023-06-27
Nombre: Edgar Alfonso

comentarios en un tiempo de aproximadamente 3 días. Después se brindará el

informe final a los demás directivos de la empresa.

4.2. Desarrollo de la Auditoria.

4.2.1. Identificación de Riesgos.
Si bien es cierto, el sitio web se encuentra alojado en la nube de AWS, pero se
pueden ver lo siguiente:
• La empresa no posee una política de seguridad general. Las
configuraciones realizadas se basan en investigaciones realizadas por el
personal y la que la nube de AWS pueda brindar. Esto presenta un
riesgo de integridad, disponibilidad y confidencialidad a la información.
• No se realizan respaldos locales, se asume y se tiene confianza en la
disponibilidad de la nube de AWS. Lo que el riesgo de la disponibilidad
es inminente.
• Para las autenticaciones, en cualquiera de los módulos, se tiene la
validación mediante usuario y contraseña, pero no se posee una política
de password y mucho menos autenticación múltiple. Por lo que la
información puede verse comprometida en caso de que la información
para acceder también se comprometa.
• Los accesos administrativos hacia el servidor de AWS se observan que
no se da mediante VPN u otro servicio cifrado, los cuales son manejado
por la compañía. Esto crea un riesgo de disponibilidad e integridad.
• No se poseen políticas de revisión de software o actualizaciones al sitio
web. En donde el riesgo con respecto a la integridad y confiabilidad de
la información es alto.
• El desarrollo del sitio esta basado solo en funcionalidad, no así de su
usabilidad, que tan amigable es y que tanto puede escalar. Por lo que
tiene riesgo de queda obsoleta, o que pierda la confianza.
• Existen servidores en las premisas de la empresa que tienen
conectividad con el sitio en AWS, que no se conecta por vpn y que no
poseen antivirus vigente y actualizado. El riesgo de que la información

Actividades 7
 Asignatura Datos del alumno Fecha
Apellidos: Mendieta
Auditoría de seguridad 2023-06-27
Nombre: Edgar Alfonso

sea integra, confiable y disponible es alto, y puede afectar el servidor en

AWS.
• Se utiliza base de datos MS SQL, alojada en los servidores de AWS. Pero
no se cuenta con una política de respaldo a las mismas. Dejando todo
en manos del proveedor.

4.2.2. Identificación de Controles.

Dentro de las revisiones se han podido observar los siguientes controles.
✓ Controles fuertes para acceder físicamente a la empresa. Toda visita
debe registrarse y estar anunciada con antelación. Al entrar debe portar
un gafete o carnet que le identifique como visita y estar acompañada en
todo momento.
✓ Las visitas de requerir conectividad, se conectan a una red que funciona
solamente para navegar en internet sin conexión a la red local.
✓ El correo electrónico es manejado mediante MS 365, en donde tienen
antivirus, antispam y se cuenta con doble factor de autenticación.
✓ Internamente el login al pc es mediante usuario y contraseña del
directorio activo. Este se posee políticas de cambio de password y
política de password seguro.

Adicional a estas políticas se han visto puntos a mejorar, por controles con
debilidades.
✓ Aunque AWS haga respaldos, se debería contar con un respaldo local
del sitio web.
✓ No se ve una bitácora o registros de las personas que entran al IDC. Ya
que esta con llave, custodiada por Informática.
✓ Los logs del sitio web esta por seis (6) meses solamente.
✓ Aunque se utilice usuario y password para acceder a los módulos del
sitio web, no se posee factor de doble autenticación.

Actividades 8
 Asignatura Datos del alumno Fecha
Apellidos: Mendieta
Auditoría de seguridad 2023-06-27
Nombre: Edgar Alfonso

4.2.3. Controles a utilizar.

Muchas veces las empresas miran colocar sus sitios web en nubes como la de
AWS para tratar de establecer esto como control, puede que funcione, pero no
es lo máximo. Revisado ya algunos controles, visto la falta de algunos se hace
referencia a la norma ISO 27002:2013 para recomendar lo siguiente.
✓ Políticas de Seguridad: Establecer desde la Dirección General las
directrices de seguridad de la información; así como las normas,
procesos y que estas sean revisadas internas y externamente de forma
anual.
✓ Aspectos Organizativos. Se debe segregar las tareas operativas de las
administrativas. Así como establecer políticas como el uso de equipos
móviles.
✓ Recursos Humanos. Establecer políticas para la adquisición de
personal, de igual manera definir o detallar las responsabilidades. De
igual manera se debe establecer políticas para procesos disciplinarios.
✓ Gestión de Activos. Al no contar con inventarios, la empresa debe
implementar el mismo. Así como establecer las directrices para una
política de el uso correcto de los activos informáticos.
✓ Control de accesos. Implementar controles de accesos al área de
servidores, políticas de password seguro y del uso de factores de doble
autenticación.
✓ Cifrado. Al posee información de terceros, se debe implementar
políticas de cifrado y protección de datos.
✓ Seguridad Operativa. Gestión de cambio; tener plataformas separadas
para producción, pruebas y desarrollo. Políticas para respaldos más
estricta.
✓ Seguridad en las telecomunicaciones. Definir políticas rigurosas para
cuando se de conexiones en donde se de intercambio de información.
Establecer acuerdos de confidencialidad con proveedores o empresas
con las que se interconecten.

Actividades 9
 Asignatura Datos del alumno Fecha
Apellidos: Mendieta
Auditoría de seguridad 2023-06-27
Nombre: Edgar Alfonso

✓ Adquisición, desarrollo y mantenimiento de los sistemas de

información. Implementar métodos para el inventario de licencias,
versiones de desarrollo y su correcta auditoria para que este sea seguro.
✓ Gestión de incidentes de seguridad. Implementar el análisis de usos de
las aplicaciones, implementar mecanismos para la notificación de
eventos de seguridad de la información.
✓ Cumplimiento. Identificar las leyes aplicables, protección de datos de
terceros. Legislaciones para navieras y empresas relacionadas,
legislaciones para instituciones educativas.

V. Informe Ejecutivo.
Durante la auditoria se pudo realizar lo siguiente:
➢ Recopilación de información administrativa
➢ Recopilación de información técnica
➢ Entrevistas a personas relacionadas con el sitio web
➢ Observaciones de la operación sobre el sitio web.

Durante el tiempo de la actividad se realizaron una serie de pruebas,

observaciones y entrevistas en donde se detectaron una serie de riesgos, así
como se revisaron algunos controles los cuales eran fuertes, algunos débiles y
otros que no existían.

Al implementarse las recomendaciones, con respecto a los controles se podrá

incrementar a más de un 90% la disponibilidad, confiabilidad e integridad a la
información. Cosa que incrementaría a su vez la confianza a la empresa de los
estudiantes, clientes y accionistas.

Algo que también, con la auditoria y la implementación de los controles, la

empresa podrá estar a la vanguardia en cuanto a los servicios web y los
procesos agiles. Y estar de la mano con la seguridad de la información, y
protección a los datos de terceros adquiridos mediante la aplicación.

Actividades 10
 Asignatura Datos del alumno Fecha
Apellidos: Mendieta
Auditoría de seguridad 2023-06-27
Nombre: Edgar Alfonso

VI. Referencias.
Auditoria Web: una cuestión fundamental para sacarle el máximo rendimiento
a tu página. https://www.inboundcycle.com/diccionario-marketing-
online/auditoria-pagina-web

Los 10 principales riesgos de seguridad para las aplicaciones Web según

OWASP. https://www.omatech.com/blog/2019/04/01/riesgos-de-seguridad-
owasp/

ISO 27002. https://trofisecurity.com/assets/img/ISO-IEC_27002-.pdf

VII. Conclusión.
Cualquiera que sea el medio en donde se recopilen datos, que serán necesarios
para el procesamiento de información que es sumamente requerida para la
toma de decisiones; se requiere realizar auditorías. Esto nos permite revisar
aquellos puntos débiles que se tienen y así poder tomar una acción sobre los
mismos.

De igual manera, la auditoria y los controles recomendados a implementar,

deben ser íntegros dentro de la empresa. Esto es que desde la alta dirección, al
personal de menor jerarquía debe tener presente que los actos que realice
ayudaran o no a dar seguridad a la información.

Actividades 11