Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Muciber06 Estandar Act3

    Cargado por

    MarioFlores
    26 vistas5 páginas

    Título original

    muciber06_estandar_act3

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    26 vistas5 páginas

    Muciber06 Estandar Act3

    Cargado por

    MarioFlores

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    Asignatura Datos del alumno Fecha

    Nombre de la asignatura Apellidos:


    Desarrollo Seguro de
    Software y Auditoría Nombre:

    Plan de una auditoría técnica de seguridad de una


    empresa

    Objetivos

    Una amenaza para cualquier sistema es cualquier actor, agente, circunstancia o


    evento que tiene el potencial de causar daño, tanto al propio sistema como a sus
    datos y recursos. Con la presente actividad se pretende conseguir los siguientes
    objetivos:

     Aprender a realizar un plan de una auditoría técnica de seguridad de los sistemas


    TI de una organización.
     Comprender y estudiar las diferentes metodologías de evaluación de la
    seguridad de los sistemas TI de una organización.
     Realizar una matriz de auditoria conforme a la metodología ERD.

    Pautas de elaboración

    Con el objetivo de afianzar los conocimientos adquiridos sobre la realización de


    auditorías técnicas de seguridad, se pide realizar un plan de una auditoría de
    seguridad de una tienda de libros online llamada Librería On-Line S. A.

    La librería ha sufrido un ciberataque que ha comprometido las credenciales de sus


    © Universidad Internacional de La Rioja (UNIR)
    clientes. El incidente ha trascendido a los medios de comunicación, lo que ha
    producido una pérdida de cuota de mercado importante frente a sus competidores.

    Con el objetivo de mantener su actual posición en el mercado de venta electrónica


    de libros y volver a recuperar e incluso superar la que tenía, ha contratado a la

    1
    Actividades
    Asignatura Datos del alumno Fecha
    Nombre de la asignatura Apellidos:
    Desarrollo Seguro de
    Software y Auditoría Nombre:

    empresa InfoSecurity para llevar a cabo una auditoría técnica de seguridad a todos
    sus sistemas TI e implementar las salvaguardas que se deriven del mismo en función
    del nivel de riesgo y la disponibilidad económica.

    La librería dispone de una tienda web en la que el cliente necesitará autenticarse


    con las credenciales de la cuenta de usuario, que a su vez se comprobarán con la
    base de datos implementada en el backend de la compañía a través de una interfaz
    de servicios web.

    Se dispone de un procesamiento de tarjetas de crédito subcontratado a un


    procesador de terceros. El sitio web se desplegará en Internet protegido por una
    DMZ de dos capas con acceso tanto para usuarios internos como externos.

    Se tendrá que elaborar un plan de auditoría para la realización de la citada


    auditoría técnica de seguridad de la siguiente infraestructura TIC de la organización
    compuesta de los siguientes elementos:

     Accesos externos VPN.


     Zona DMZ: FW y IDS.
     Publicación sitio web de la empresa.
     Correo externo e interno.
     Servicio públicos DNS y FTP.
     Infraestructura de red: router y switch.
     Aplicaciones internas Intranet y aplicaciones corporativas.
     Zona
    © Universidad Internacional wifi.
    de La Rioja (UNIR)

     Segmentación en VLAN de la red interna: servidores y usuarios.


     Sistema AAA (autenticación, autorización y trazabilidad).
     Sistema de antimalware.
     Aplicación web de la empresa expuesta al exterior.

    2
    Actividades
    Asignatura Datos del alumno Fecha
    Nombre de la asignatura Apellidos:
    Desarrollo Seguro de
    Software y Auditoría Nombre:

    La organización trata datos personales de clientes, por lo que tiene que cumplir con
    lo dispuesto en el Reglamento Europeo de Protección de Datos (RGPD).

    En la siguiente figura se muestra el esquema lógico de dicha infraestructura:

    Figura 1. Diagrama lógico infraestructura TIC organización.

    El plan de pruebas deberá contener, al menos, los siguientes apartados (si el


    alumno lo considera, puede incluir más):

    1. Introducción.
    2. Propósito de la auditoría.
    3. Objetivos de la auditoría.
    © Universidad Internacional de La Rioja (UNIR)
    4. Alcance de la auditoría técnica de seguridad.
    • Detalle de las tareas y trabajos a realizar.
    • Tipos de pruebas a realizar.
    • Identificar las limitaciones aplicables.
    5. Metodologías.

    3
    Actividades
    Asignatura Datos del alumno Fecha
    Nombre de la asignatura Apellidos:
    Desarrollo Seguro de
    Software y Auditoría Nombre:

    6. Programa de trabajos (planificación)


    • Trabajos que realizar y su planificación.
    • Fases de la actuación de la auditoría.
    • Plazos de ejecución de las tareas (diagrama).
    7. Organización y recursos necesarios.
    • Descripción del equipo técnico y cualificaciones profesionales requeridas.
    • Detalle de los medios técnicos.
    • Incluir las herramientas a utilizar en cada una de las fases de la metodología o
    metodologías elegidas.
    8. Entregables (tipos de informes a entregar y apartados).
    9. Procedimientos de comunicación con los responsables de proyecto.
    10. Presupuesto e hitos de facturación.
    11. Evaluación de riesgos del proyecto.
    12. Anexo I: Acuerdo de autorización.
    13. Anexo II: Acuerdo de confidencialidad (opcional).

    Extensión y formato

    En la entrega solo se deberán incluir las tablas que se piden rellenar a lo largo del
    enunciado de la actividad. La extensión máxima de la actividad será de 20 páginas.

    © Universidad Internacional de La Rioja (UNIR)

    4
    Actividades
    Asignatura Datos del alumno Fecha
    Nombre de la asignatura Apellidos:
    Desarrollo Seguro de
    Software y Auditoría Nombre:

    Rúbrica

    Plan de una auditoría Puntuación


    Peso
    técnica de seguridad de Descripción máxima
    %
    una empresa (puntos)
    Realización correcta de los apartados
    Criterio 1 1x5=5 50 %
    3, 4, 5, 6 y 7.
    Realización correcta de los apartados
    Criterio 2 0,5 x 7 = 3,5 35 %
    1, 2, 8, 9, 10, 11 y 12.
    Criterio 3 Calidad de la memoria. 1,5 15 %
    10 100 %

    © Universidad Internacional de La Rioja (UNIR)

    5
    Actividades

    También podría gustarte