UNIVERSIDAD INTERNACIONAL DE LA RIOJA

MAESTRIA EN SEGURIDAD INFORMATICA

CURSO: AUDITORIA DE SEGURIDAD

ACTIVIDAD 2

EL PROCESO Y LAS FASES DE LA AUDITORIA DE

SISTEMA DE INFORMACION

PROFESOR DE LA ASI GNATURA

MARIA TERESA PEREZ MORALES

PRESENTA:

SERGIO MARTÍNEZ AGUILAR

© Universidad Internacional de La Rioja (UNIR)

19 de diciembre de 2022
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

ÍNDICE

1. ANTECEDEN TES. ................................................................................................................................................... 1

1.1. ESTADO ACTUAL DEL SITIO WEB ........................................................................................................................ 2

1.2. ESTRUCTURA ORGANIZACIONAL ASOCIADA AL SITIO WEB.................................................................................... 3
2. PRESENTACIÓN DE RIESGOS INHERENTES AL PORTAL WEB ...................................................................... 4

3. PLANIFICAR Y DESARROLLAR UNA AUDITORÍA DE SEGURIDAD DE LA INFORMACIÓN ....................... 6

3.1. O BJETIVO ........................................................................................................................................................ 6
3.2. ALCANCE ......................................................................................................................................................... 6
3.3. CALENDARIO DE ACTIVIDADES........................................................................................................................... 6
3.4. RECURSOS ....................................................................................................................................................... 7
3.5. DESARROLLO ................................................................................................................................................... 7
4. INFORME EJECUTIVO DE LA AUDITORIA ...................................................................................................... 10

4.1. ACTIVIDADES REALIZADAS............................................................................................................................... 10

4.2. HALLAZGOS ................................................................................................................................................... 10

5. REFERENCIAS ...................................................................................................................................................... 10
© Universidad Internacional de La Rioja (UNIR)

Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

1. Antecedentes.

Viento en Popa es una empresa que se dedica a planificar actividades

náuticas, a impartir clases de navegación y también ofrece la posibilidad de
obtener la certificación de Patrón de Embarcaciones de Recreo (PER). Como parte
de su estrategia empresarial Viento en Popa desarrolló un portal web como canal
de información y venta.
El portal Web brinda atención a dos partes claramente diferenciadas de la
organización:
 La zona de administración: es la parte de la plataforma donde se
gestiona la información relativa a los clientes y a los alumnos.
 La zona de clientes y alumnos: es la parte de la plataforma donde los
clientes y alumnos registrados tienen acceso como usuarios.

Actualmente la plataforma web se encuentra alojada en un servidor local

de la misma empresa, con un sistema operativo Windows Server 2012, y
desarrollado en tecnología java, la interfaz de usuarios hecha en front – end y la
gestión de solicitudes en back – end.
Dicho lo anterior para realizar una valoración de la madurez del Sistema
de Seguridad de la Información de la empresa me voy a basar en un estándar para
determinar el nivel de madurez de la seguridad informática, y utilizare el Gartner’s
Security Model, el cual se basa en cinco niveles, para determinar el nivel de
madurez; Nivel 1: Blind trusting, Nivel 2: Repeatable, Nivel 3: Defined, Nivel 4:
Managed y Nivel 5: Maintance, utilizándolos como una guía rápida para
determinar la madurez de seguridad.
© Universidad Internacional de La Rioja (UNIR)

Para fines de la actividad colocare la empresa Vientos de Popa en el nivel

uno, esto quiere decir que la empresa tiene un 25% de madurez total o integral,
por lo cual se sugiere de varios documentos que van a establecer pautas y dirección
para que los empleados aseguren la seguridad de la información.

1
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

1.1. Estado actual del sitio web

El sitio web d la empresa Vientos en popa es https://vientospopa.com.mx

el cual se compone de los siguientes elementos:

Estructura de la página Activos relacionados

Frontend alojado en servidor de Información de clientes y alumnos
aplicaciones Glassfish
Backend de java IBM Websphere Información de ventas e información
de alumnos y cursos.
Base datos en MySQL Bases de datos de clientes, alumnos,
pagos, certificaciones.
Paginas almacenadas en windows
server 2012 R2

En la empresa Vientos en popa, a pesar de estar en nivel uno de madurez,

cuenta con algunos controles, pero también le faltan por implementar otros, en la
siguiente tabla muestro los controles con los que cuenta y con lo que aún no cuenta
según la norma ISO 27001, ISO/IEC 27002:2022 identificación de controles.
Controles con lo que cumple de Controles de no conformidad
conformidad
A.5.1.1 Políticas de seguridad de la A.5.1.2, Revisión de las políticas de
información. seguridad de la información.
A.9.2.1 Gestión de altas/bajas en el A.6.1.1 Asignación de
registro de usuarios. responsabilidades para la seguridad de
© Universidad Internacional de La Rioja (UNIR)

la información.
A.11.2.4 Mantenimiento de los A.7.2.2 Concienciación, educación y
equipos. capacitación en seguridad de la
información.

2
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

A 12.3.1 Copias de seguridad de la A.9.4.1 Restricción de acceso a la

información. información.
A.13.1.1 Controles de red A.9.4.3 Gestión de contraseñas de
usuario.

1.2. Estructura organizacional asociada al sitio web

La empresa vientos en popa tiene la siguiente estructura organizacional la

cual está vinculada a su sitio web.

Gerencia de TI

Administración
Administración
TI

Clientes Alumnos

Figura. 1: Estructura Organizacional del departamento de TI

© Universidad Internacional de La Rioja (UNIR)

De los cuales tiene los siguientes roles:

Gerencia de TI: encargada de todo el departamento de TI.
Administración TI: encargada de las publicaciones del sitio Web, así
como el acceso a usuarios.

3
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

Administración: encargados de dar seguimiento a los pagos, historial de

clientes, así como de alumnos, seguimiento a certificaciones PER.
Clientes, alumnos: consulta de pagos, consulta de cursos.

2. Presentación de riesgos inherentes al portal web

La gerencia de TI preocupada de los riesgos inherentes en el portal WEB, y

tratando de evitar ciberataques al portal, ya que el portal está basado en JAVA
existen riesgos en la aplicación por tal motivo revisaremos los siguientes:

Impacto al
Riesgo Descripción
negocio
Fallos de control de Debilidades detectadas en la Bajo
acceso implementación de controles de
autenticación y autorización.
Fallos criptográficos La ausencia de protocolos de Medio
comunicaciones seguros, esquemas
se cifrado obsoletos o inseguros,
claves de cifrados débiles.
Inyección Los datos que introduce un usuario Alto
no son validados, filtrados o
saneados, las consultas dinámicas
son utilizadas directamente en el
intérprete, los datos hostiles se
procesan o concatenan
© Universidad Internacional de La Rioja (UNIR)

directamente.
Diseño inseguro Son asociados a los defectos de Bajo
diseño y de arquitectura, estas son

4
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

difíciles de subsanar una vez que se

haya realizado el desarrollo.
Componentes No se conocen todos componentes Bajo
vulnerables y obsoletos que se están utilizando, el software
es vulnerable, no tiene soporte o
está desactualizado, los
desarrolladores de software no
comprueban la compatibilidad entre
las bibliotecas actualizadas o
parcheadas.
Fallos de identificación y La ausencia o incorrecta Medio
autenticación implementación de múltiples
factores de autenticación, procesos
inseguros de recuperación de
credenciales, escasas medidas
contra ataques de fuerza bruta.
Fallos en el software y en La falta de protección del código y la Alto
la integridad de los datos infraestructura frente a las
violaciones de la integridad.
Fallos en el registro y la Los eventos auditables, como los Medio
supervisión de la inicios de sesión o las transacciones
seguridad de alto valor no se registran, los
registros de las aplicaciones y las
API no se supervisan, la aplicación
© Universidad Internacional de La Rioja (UNIR)

web es incapaz de detectar, escalar y

alertar ataques en tiempo real.
Falsificación de Forzar al servidor a realizar Alto
solicitudes del lado del conexiones hacia objetivos que no
servidor estaban previstos inicialmente.

5
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

3. Planificar y desarrollar una auditoría de seguridad de la

información

3.1. Objetivo

El objetivo de esta auditoria es conseguir información veraz y fiable del

estado de seguridad de la aplicación web, poniendo aprueba el estado de las
barreras de seguridad que ofrecen sus servicios, evaluando así su integridad. Con
esto, se pretende descubrir el mayor número de vulnerabilidades y fallos de
seguridad que pueden ser el resultado de una mala gestión y configuración
existente en esta.

3.2. Alcance

El alcance de esta auditoria se limitará, al sitio web, o la plataforma web de

la organización, así como al servidor de alojamiento que en este caso es un
servidor local.

3.3. Calendario de actividades

En el siguiente diagrama de GANNT se presentan las actividades a realizar

y se determinan las fechas para la realización de las mismas, de la siguiente
manera:

A udi toria del Portal W EB de Vientos en Popa

N o. A c tividad Día 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
1 Equi po de A uditoria
2 Pl an de A uditoria
3 Ob jetivo y alcances
4 Rec opilación y
© Universidad Internacional de La Rioja (UNIR)

anál isis de
r esultados
5 Desar r ollo de la
audi toria
6 Repor te de
r esultados

6
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

3.4. Recursos

Para la realización de la auditoria su cuenta con un equipo de dos auditores,

(A1 y A2) siendo el A1 el auditor líder, la duración de la auditoria se limita a un
mes y medio, los auditores poseen los conocimientos necesarios para poder
ejecutar esta auditoría.

3.5. Desarrollo

Para iniciar la auditoria de la plataforma de vientos en popa los auditores

obtuvieron la siguiente información:

Política de seguridad de la información

Arquitectura del portal web

Competencias de los operadores

Teniendo en cuenta lo anterior el tema de seguridad será el portal web y se

enfocará en un aspecto lógico, tomado en cuenta el top de las 10 vulnerabilidades
en aplicaciones WEB.

A continuación, se mencionan algunas pruebas realizadas según la guía de

seguridad en aplicaciones web:

 Craqueo de contraseñas: para iniciar sesión en las áreas

privadas del portal, si no se impone una contraseña compleja en el
portal es posible que nos tarden en descifrar el nombre de usuario y
© Universidad Internacional de La Rioja (UNIR)

contraseña.

 Manipulación de URL a través de métodos HTTP GET : la

información del usuario se transmite al servidor para la
autenticación o la obtención de los datos.

7
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

 Inyección SQL: estos son muy críticos ya que el atacante puede

obtener información vital de la base de datos del servidor.

 Secuencias de comandos entre sitios XSS: el atacante puede

utilizar este método para ejecutar un script o URL malicioso en el
navegador de la víctima.

En la siguiente tabla se enlistan los hallazgos encontrados en la seguridad

del portal web:

Hallazgo Conformidad Recomendaciones

Se encuentra Se debe definir en conjunto de las políticas de
docum entada una seguridad de la información de acuerdo a las
política de seguridad en necesidades identificadas en el análisis de
No conformidad menor
general. riesgos, aprobada por la dirección, publicada
y com unicada a los em pleados y partes
externas pertinentes.
Actualmente se realiza
la gestión de altas y
bajas de usuarios con la
política existente es de Conform e
v ital importancia seguir
m anteniendo este
control.
Asignación de Se debe m antener una organización de
responsabilidades para seguridad, donde los roles y
la seguridad de la No conformidad menor responsabilidades estén definidas y asignadas
información. a los participantes en el m odelo de seguridad
establecido por la Empresa.
Actualmente no se Es de v ital importancia mantener las m edidas
encuentra un plan de de protección físicas y lógicas que permitan el
© Universidad Internacional de La Rioja (UNIR)

m antenimiento m onitoreo y el correcto funcionamiento por

´prev entivo y correctivo No conformidad mayor ello es im portancia realizar los
de equipos de cóm puto. m antenimientos periódicamente los
prev entivos por lo menos cada seis meses y los
correctivos cuando se requieran.

8
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

Aunque los em pleados Se debe establecer un programa permanente

conocen sus deberes, es de creación de cultura en seguridad de la
im portante reforzar a información para los em pleados y terceros,
No conformidad menor
través de capacitación capacitándolos constantemente en
estos tem as de forma actualizaciones regulares sobre las políticas y
continua. procedimientos pertinentes para su cargo.
Las copias de seguridad
siem pre se realizan por
el área de IT, tanto en
Conform e
serv idores com o en
cada uno de los equipos
de la com pañía.
Controles de red Se
realiza m onitoreo de los
ev entos realizados en el
sistem a, con el fin de
ev itar fugas de
Conform e
información, es
im portante reforzar
tem as de seguridad de
la información en los
equipos de trabajo.
No se tiene establecida Se debe establecer una política de contraseñas
un política con los que establezca el grado de com plejidad y no
lineamientos a tener en deben ser palabras com unes que se puedan
cuenta en la definición encontrar en diccionarios, ni tener
de contraseñas. información personal, por ejemplo: fechas de
No conformidad menor
cum pleaños, nom bre de los hijos, placas de
automóvil, etc.
Establecer que de cambiarse
obligatoriamente la prim era v ez que el
usuario ingrese al sistema.
© Universidad Internacional de La Rioja (UNIR)

9
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

4. Informe ejecutivo de la auditoria

En el tiempo en que se realizó la auditoria, el equipo de auditores realizo

una serie de pruebas al portal web de la empresa Vientos en Popa, donde los
principales recursos son la interacción entre alumnos – administrativo, clientes –
administrativo – recursos humanos – personal técnico.

A continuación, enlisto las principales pruebas y hallazgos obtenidos, al

igual se hace la recomendación de que todas las áreas de Vientos en Popa, estén
involucradas para la resolución de las mismas.

4.1. Actividades realizadas

 Realización de una investigación con anterioridad.

 Identificación de los principales activos de la empresa.

 Realización de pruebas seguridad al portal web.

 Identificación de roles organizativos.

4.2. Hallazgos

 Se encontró que se cuenta con una política de seguridad en general,

se recomienda realizar varias políticas de seguridad donde dividan
por procesos por ejemplo política de contraseñas, política de gestión
de usuarios.

 Existe robo de identidad en el apartado de acceso a usuarios.

 Existe vulnerabilidad de inyección de SQL en el apartado de ventas.

© Universidad Internacional de La Rioja (UNIR)

5. Referencias

[1] gbadvisors. (2018, January 4). Madurez de la seguridad informática: 5 pasos

a la excelencia. GB Advisors. https://www.gb-advisors.com/es/madurez-de-la-
seguridad-informatica/

10
Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Martínez Aguilar
Auditoria de Seguridad 19/12/2022
Nombre: Sergio

[2] iso 27000.es. (2005). Dominios de seguridad y controles.

https://www.iso27000.es/iso27002.html
[3] Introducción - OWASP Top 10:2021. (2021). Owasp.org.
https://owasp.org/Top10/es/A00_2021_Introduction/
[4] All. (2022, May 3). OWASP: Top 10 de vulnerabilidades en aplicaciones web.
Tarlogic Security; Tarlogic. https://www.tarlogic.com/es/blog/owasp-top-10-
vulnerabilidades-web/
[5] Guía de pruebas de seguridad de aplicaciones web. (2021).
https://spa.myservername.com/web-application-security-testing-
guide#1_Password_Cracking
[6] Auditoría de Seguridad Web. (2022). Ciberseguridad Con Hack by Security.
https://www.hackbysecurity.com/servicios-empresas/auditoria-
informatica/auditoria-web
[7] Inicio - OWASP Top 10:2021. (2021). Owasp.org.
https://owasp.org/Top10/es/
© Universidad Internacional de La Rioja (UNIR)

11
Actividades