REPUBLICA DOMINICANA

INSTITUTO TECNOLÓGICO LAS AMÉRICAS

Auditoría Informática

Entregable II
César Ramos. 2022-0022, Leslie Tapia. 2021-2203, Carlos Frías. 2021-0417,
Alexander Rodríguez. 2022-0005, Diohani Herbert. 2022-0032, Emmanuel
Espinal. 2022-0038, Ismael Martínez. 2022-0057, Jesús Rodríguez. 2022-0067,
Josué Navarro. 2022-0077, Omar Lora. 2022-0119
Sección #1
Lunes Y viernes
Prof. Carlos Daniel Fernández Rodríguez
Santo Domingo, República Dominicana, Santo Domingo Norte
Julio De 2023
 Matriz de Riesgos y Controles

Departamento Auditoría de Sistemas Automatizados

Matriz de riesgos sobre los objetivos de auditoría (Grupo
II)

Análisis de riesgo Documentación de los controles

Tipo de Procedimientos de Referencia programa
Vulnerabilidad Efectos Impacto Probabilidad Controles
Control control existentes de pruebas

1. Verificar que la información sensitiva de la empresa no se encuentre expuesta.

1.1 Identificar los datos

críticos.
1.1 Definición 1.2 Seleccionar el método
Acceso a información Política de acceso a la
inadecuada de perfiles Alto Baja de copia de seguridad P OBJ1-R1
confidencial. información.
de acceso. 1.3 Establecer una
programación regular

1.2 Ausencia política de Acceso a información P

1.4 Procedimientos de Procedimientos de
contraseñas para los confidencial por personal Alto Media OBJ1-R2
contraseñas. contraseñas.
usuarios de los sistemas. no autorizado.
1.3 Ausencia de acuerdo 1.5 Procedimientos de P Procedimientos de
Divulgación de
de confidencialidad de Alto Baja acuerdo de confidencia- acuerdo de confidencia- OBJ1-R3
información confidencial.
la información. lidad lidad

2. CONFIRMAR QUE EXISTE UNA CLASIFICACIÓN DE LA INFORMACIÓN ACORDE A LA IMPORTANCIA DE ESTA Y SU VALOR PARA LA INSTITUCIÓN.

2.1 Control de acceso y

Daños a la integridad de autenticación.
2.1 Exfiltración de datos la empresa. Problemas 2.2 Monitorización y
confidenciales a manos legales por filtración de detección de anomalías. Política de acceso a la
Alto Media P OBJ2-R1
de personas no datos persona- 2.3 Protección contra información.
autorizadas. les. programas malignos.
Suplantación de identidad. 2.4 Capacitación del
personal.

1 de 7
 Matriz de Riesgos y Controles

Análisis de riesgo Documentación de los controles

Tipo de Procedimientos de Referencia programa
Vulnerabilidad Efectos Impacto Probabilidad Controles
Control control existentes de pruebas
Atrasos en procesos
2.5 Copias de seguridad
importantes de la
y recuperación de datos. Política de uso de
organización.
2.2 Perdida de datos 2.6 Controles de acceso internet.
Costes de recuperación. Alto Baja P OBJ2-R2
sensibles. y segregación de datos. Política de copias de
Inconvenientes con el
2.7 Monitorización de seguridad.
personal y carencia de
eventos.
procesos.
2.8 Cifrado y firma
Chantaje por un tercero
digital de datos.
malicioso.
2.9 Monitorización
2.3 Filtro o manipulación Difusión maliciosa de Política de seguridad en
continua.
de datos por manos de datos alterados. Alto Baja P TI. OBJ2-R3
2.10 Protección contra
un tercero. Daños a la integridad de Política de contraseñas.
programas malignos.
la empresa y de sus
2.11 Control de acceso a
participantes.
la red local.

3. COMPROBAR QUE LA PROTECCIÓN DE LA INFORMACIÓN ESTÁ ACORDE A SU IMPORTANCIA PARA LA INSTITUCIÓN.

3.1 Utilizar algoritmos

de cifrado para proteger
información confiden-
cial.
3.1 Seguridad El robo de datos sensibles Política para la
3.2 Requerimientos para
insuficiente de datos se facilita por la falta de Alto Baja P administración del OBJ3-R1
la revisión periódica de
confidenciales. cifrado adecuado. control de acceso.
los controles de acceso.
3.3 Uso de un formato
específico para las
contraseñas.
1.4 Antes de enviar
3.2 Confidencialidad de
Riesgo a la divulgación de información se verifica P Política de envío de
la información Medio Media OBJ3-R2
información. información a terceros.

2 de 7
 Matriz de Riesgos y Controles

que el receptor este

autorizado.

3.3 Carecimiento de un 1.5 Uso de sistema de

Personal no autorizado P Política para la
procedimiento de seguridad biométrica.
puede acceder a la infor- Alto Baja administración del OBJ3-R3
autenticación de 1.6 seguridad de
mación control de acceso.
identidad. dispositivos.

Análisis de riesgo Documentación de los controles

Tipo de Procedimientos de Referencia programa
Vulnerabilidad Efectos Impacto Probabilidad Controles
Control control existentes de pruebas

4. CONFIRMAR LA EXISTENCIA DE UNA ADECUADA ESTRUCTURA DE SEGURIDAD ENTORNO DEL AMBIENTE DE PRODUCCIÓN.

4.1 Implementar
sistemas de detección de
4.1 Insuficiente Acceso al ambiente de in- Plan de seguridad de la
monitorización de producción por personal Alto Baja trusos y análisis de P información y activos OBJ4 -R1
actividades anómalas no autorizado. comportamiento para tecnológicos
identificar patrones
sospechosos.
4.2 Implementar un
programa de gestión de
parches y actualizaciones
regulares.
4.3 Establecer pruebas de
4.2 Desactualización de Ataques malintencionados Política de gestión de
compatibilidad antes de P
parches en el ambiente realizados de manera exi- Alto Baja parches y actualizacio- OBJ4 -R2
aplicar parches críticos.
de producción tosa nes
4.4 Monitorizar fuentes
de información sobre
vulnerabilidades y
amenazas.

3 de 7

4.3 Fallos en la gestión
de acceso a nivel de
usuarios en el ambiente
de producción
Vulnerabilidad
5.1 Verificar que se
cuenten con políticas y
procedimientos para
Definición inadecuada de
confirmar la identidad
de los usuarios del do-
minio para darles
servicio de soporte.
5.2 Ausencia de política
de contraseñas para los confidencial por personal
usuarios de los sistemas.
Matriz de Riesgos y Controles
4.5 Implementar
autenticaciones
biométricas
para acceder al ambiente
de producción de
manera efectiva.
Posible acceso no
4.6 Definir y aplicar P
autorizado a datos Política de control de
Alto Baja políticas de permisos y OBJ4 -R3
sensibles o sistemas acceso y autorización.
privilegios basadas en
críticos. roles para garantizar la
seguridad y la integridad
de los datos.
4.7 Realizar revisiones
periódicas de los
permisos de los usuarios.
Análisis de riesgo Documentación de los controles
Tipo de Procedimientos de Referencia programa
Efectos Impacto Probabilidad Controles
Control control existentes de pruebas
5. Verificar que se cuenten con políticas y procedimiento para confirmar la identidad de los usuarios del dominio para darle servicio de soporte.
5.1 Se documentan y
Procedimiento de
establecen políticas para
Alto Media P verificación de identidad OBJ5 -R1
perfiles de acceso confirmar la identidad
al brindar soporte
de los usuarios.
Acceso a información
5.2 Procedimiento de Procedimiento de
Medio Media P OBJ5 -R2
no contraseña contraseña
autorizado
4 de 7
 Matriz de Riesgos y Controles

5.3 Ausencia de acuerdo 5.3 procedimientos de Procedimiento de

Divulgación de P
de confidencialidad de Medio Baja acuerdo de confidencia- Acuerdo de OBJ5 -R3
información confidencial.
la información. lidad Confidencialidad

6. Confirmar la existencia de un documento de confidencialidad del personal que administra los usuarios del dominio.

6.1 Políticas de
protección de datos
confiden- Políticas de
6.1 Ausencia de política Divulgación de
Alto Baja ciales y las P confidencialidad y OBJ6 -R1
de confidencialidad. información confidencial.
responsabilidades del seguridad
personal en términos de
seguridad.
6.2 Las políticas de
6.2 Documento de confidencialidad se Actualización periódica
Brechas en la protección
confidencialidad Medio Media revisan cada 4 años, C de las políticas de OBJ6 -R2
de los datos.
desactualizado. actualizándose de ser confidencialidad.
necesario.
6.3 Controles de acceso
basados en roles para
garantizar que los em-
6.3 Acceso no controlado
Exposición innecesaria. Medio Baja pleados solo tengan ac- P Controles de acceso. OBJ6 -R3
a la información.
ceso a la información
necesaria para realizar
sus funciones.

Análisis de riesgo Documentación de los controles

Tipo de Procedimientos de Referencia programa

Vulnerabilidad Efectos Impacto Probabilidad Controles
Control control existentes de pruebas

7. Verificar que el personal de mesa de servicio ha recibido pautas e información que les permita evitar ser víctima de ingeniería social.

5 de 7
 Matriz de Riesgos y Controles

7.1 Proporcionar
7.1 Inexistencia de
capacitación continua al
capacitación sobre Divulgación involuntaria Procedimiento de
personal de mesa de
ingeniería social al de información confiden- Alto Baja P capacitación en OBJ7-R1
servicio sobre las tácticas
personal de mesa de cial Ingeniería Social.
utilizadas en la
servicio.
ingeniería social.
7.2 Proporcionar al
personal de mesa de
7.2 Ausencia de
servi-
materiales informativos P Procedimiento de
Posibilidad de revelar cio acceso a recursos que
sobre la ingeniería social Alto Baja capacitación en OBJ7-R2
datos sensibles. detallen las tácticas de
al personal de mesa de ingeniería social Ingeniería Social.
servicio. utilizadas por los
atacantes.
7.3 Establecer un proceso
7.3 Ausencia de estándar para verificar la
procedimientos para identidad de las
verificar la identidad de personas que se P Procedimiento de
Facilitación de ataques de
las personas que se Alto Baja comunican con el verificación de identidad OBJ7-R3
suplantación.
comunican personal de al brindar soporte.
con el personal de mesa mesa de servicio antes
de servicio. de divulgar información
sensible.

8. Confirmar la existencia de políticas para la destrucción de los reportes, equipos tecnológicos, etc.

8.1 Escáneres de
identificación en cada Procedimiento de
8.1 Definición
Robar información puerta de las oficinas Gestión de Acceso y
inadecuada de acceso no Alto Baja P OBJ8-R1
confidencial. 8.2 Guardias de Seguridad en las
autorizado.
seguridad que verifiquen Instalaciones.
el carné de la empresa.

6 de 7
 Matriz de Riesgos y Controles

8.3 Autentificación de 2
pasos. Procedimiento de
8.4 Cada mes se tiene Gestión de Acceso y
8.2 Falta de encriptación. Manipulación de perfiles. Alto Media P OBJ8-R2
que cambiar la Seguridad de Cuentas de
contraseña de cada Usuario
usuario.

7 de 7
Matriz de Riesgos y Controles

8 de 7
 Programa de Pruebas

Departamento Auditoría Sistemas Automatizados

Programa de Pruebas (Entregable II)
[07/08/2023]
Propósito:

El propósito de este papel de trabajo es presentar el plan detallado de los trabajos a realizar durante la fase de ejecución de la auditoría los cuales deben estar
agrupados por objetivos de control e identificar las pruebas a realizar para cada uno de ellos.

Cada paso del programa debe tener la fecha y la firma de quien los realizó y hacer referencia a los papeles de trabajo relacionados.

Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
Objetivo 1: Verificar que la información sensitiva de la empresa no se encuentre expuesta.

Se realizará una revisión de los perfiles de acceso Al revisar los perfiles de acceso se encontró
05/08/2023
actuales para identificar cualquier definición Departamento todo en orden. Todos los perfiles tenían la
OBJ1-R1 A Leslie Isabel
inadecuada. Se verificó si los perfiles tienen acceso a de Seguridad información necesaria para cumplir sus
Tapia
información confidencial que no deberían tener. funciones.
Se realizará una evaluación de las contraseñas 05/08/2023
utilizadas en los sistemas. Se verificará si hay Departamento Se observó que las políticas de las contraseñas Leslie Isabel
OBJ1-R2 A
políticas de contraseñas establecidas y si se están de Seguridad se seguían adecuadamente. Tapia
siguiendo adecuadamente.
05/08/2023
Se revisarán los registros de acuerdos de
Departamento Al revisar los acuerdos, se confirmó que todos Leslie Isabel
OBJ1-R3 confidencialidad existentes para confirmar si los A
de Seguridad los empleados firmaron dichos documentos. Tapia
empleados han firmado los documentos requeridos.

Objetivo 2: Confirmar que existe una clasificación de la información acorde a la importancia de esta y su valor para la institución.

1 de 8
 Programa de Pruebas

Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
Se visitaron las instalaciones en fecha de 05 de
agosto de 2023.
Se realizo la visita a los departamentos y se nos
asignó un empleado para el apoyo y las
Se revisaron las instalaciones en busca de controles respuestas de las preguntas.
de Acceso. Dentro de las instalaciones se vieron
Se pregunto a los empleados sobre el monitoreo de Dirección de mecanismos de seguridad biométricos para el
05/08/2023
las áreas para la detección de anomalías. TIC/ acceso a las salas con información, los equipos
OBJ2-R1 tenían contraseñas para proteger la A Carlos A. La
Se pregunto al personal si fueron capacitados sobre Departamento
información, se observan cámaras para el Hoz
las diversas situaciones que puedan ocurrir. de Seguridad
Se pregunto al personal sobre los programas de monitoreo de las áreas y del personal, dentro de
seguridad que utilizan para evitar malwares y virus los equipos se observan antivirus y programas
antimalware para proteger los equipos, el
personal está capacitado tanto en las TIC como
en las informaciones para evitar filtro de datos
y problemas con los equipos.
Se visitaron las instalaciones en fecha de 05 de
agosto de 2023.
Se realizo la visita a los departamentos y se nos
Se pregunto al personal sobre el proceso de Dirección de asignó un empleado para el apoyo y las
05/08/2023
protección de datos y copias de seguridad. TIC/ respuestas de las preguntas.
OBJ2-R2 A Carlos A. La
Se pregunto al personal sobre el acceso a los datos y Departamento Nos comentaron que realizan copias de
Hoz
los roles de usuarios para estos. de Seguridad seguridad frecuente de los datos y que llevan
un sistema de roles para que no todos tengan
acceso a estos.

2 de 8
 Programa de Pruebas

Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
Se visitaron las instalaciones en fecha de 05 de
agosto de 2023.
Se realizo la visita a los departamentos y se nos
asignó un empleado para el apoyo y las
Dirección de
Se reviso el control del acceso del área. respuestas de las preguntas. 05/08/2023
TIC/
OBJ2-R3 Se pregunto al personal sobre los programas de los equipos tenían usuarios con diferentes roles A Carlos A. La
Departamento y contraseñas para proteger la información,
seguridad que utilizan para evitar malwares y virus Hoz
de Seguridad dentro de los equipos se observan antivirus y
programas antimalware para proteger los
equipos, el acceso a la red privada está
restringido.
Objetivo 3: Comprobar que la protección de la información está acorde a su importancia para la institución.

Luego de las revisiones realizadas al Manual de

Políticas de Seguridad de la Información que
Se revisará el Manual de Políticas de Seguridad de 05/08/2023
Plataforma ofrece la institución, y revisar su plataforma se
la Información que ofrece la institución, CÓDIGO: Alexander
OBJ3-R1 online de la puede llegar a la conclusión de que la A
MC-TI-01. Además de verificar el acceso a la De Jesús
institución. seguridad de los datos está siendo aplicada en
plataforma. R.P.
la institución, basado en la política para la
administración del control de acceso.
Luego de las revisiones realizadas al Manual de
Se revisará el Manual de Políticas de Seguridad de Políticas de Seguridad de la Información que
05/08/2023
la Información que ofrece la institución, CÓDIGO: ofrece la institución, y realizar preguntas en el
Alexander
OBJ3-R2 MC-TI-01. También se realizaron unas preguntas al Institución departamento de la institución se llega a la A
De Jesús
personal de seguridad para confirmar la conclusión de que la información de la
R.P.
información sobre la seguridad. institución está protegida, todo en base a la
política de envío de información a terceros.

3 de 8
 Programa de Pruebas

Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
Luego de las revisiones realizadas al Manual de
Se revisará el Manual de Políticas de Seguridad de 05/08/2023
Políticas de Seguridad de la Información que
la Información que ofrece la institución, CÓDIGO: Alexander
ofrece la institución, y verificar que cuenten con
OBJ3-R3 MC-TI-01. Además de verificar el acceso a la Institución A De Jesús
sistema para la verificación y protección de la
plataforma, y visualizar la seguridad física de las R.P.
información, en base a la política de
instalaciones.
administración de control de acceso.
Objetivo 4: Confirmar la existencia de una adecuada estructura de seguridad entorno del ambiente de producción.

Se verificará la existencia de un sistema de detección Se visitaron las instalaciones en fecha de 05 de

de intrusos y análisis de comportamiento. agosto de 2023. 05/08/2023
Se realizaron entrevistas con el personal para Departamento Se confirmó la existencia de un sistema de César Omar
OBJ4-R1 A
confirmar el conocimiento y la utilización de los de TIC detección de intrusos. Ramos
sistemas de detección de intrusos. El personal está capacitado para identificar Nolasco.
patrones sospechosos y tomar medidas.
Se visitaron las instalaciones en fecha de 05 de
Validar la existencia de un programa de gestión de
agosto de 2023. 05/08/2023
parches y actualizaciones regulares.
Departamento Se encontró evidencia de un programa de César Omar
OBJ4-R2 Revisar registros de actualizaciones para asegurar A
de TIC gestión de parches y actualizaciones. Ramos
que se realicen pruebas de compatibilidad antes de
Se confirmó la realización de pruebas de Nolasco.
aplicar parches críticos.
compatibilidad antes de aplicar parches críticos.
Se visitaron las instalaciones en fecha de 05 de
agosto de 2023.
Verificar la implementación de autenticaciones
Se confirmo la existencia de autenticaciones
biométricas para acceder al ambiente de producción. 05/08/2023
biométricas para evitar el acceso indebido al
Validar que existan políticas de permisos y Departamento César Omar
OBJ4-R3 ambiente de producción. A
privilegios basadas en roles. de TIC Ramos
Se revisaron las políticas de permisos basadas
Verificar que se realizan revisiones periódicas de los Nolasco.
en roles.
permisos de usuarios.
Se confirmó la realización de revisiones
periódicas a los permisos de usuarios.

4 de 8
 Programa de Pruebas

Objetivo 5: Verificar que se cuenten con políticas y procedimiento para confirmar la identidad de los usuarios del dominio para darle servicio de soporte.

Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
05/08/2023
Revisar el acceso a la plataforma online de la Plataforma Se encontraron controles de acceso adecuados Diohani J.
OBJ5-R1 A
institución. online basados en políticas. Calvo
Herbert
05/08/2023
Revisar el acceso a la plataforma y realizar preguntas La información de la institución está protegida Diohani J.
OBJ5-R2 Institución A
al personal. según políticas establecidas. Calvo
Herbert
05/08/2023
Verificar el acceso a la plataforma y la seguridad Se cuenta con sistema para verificación y Diohani J.
OBJ5-R3 Institución A
física. protección de la información. Calvo
Herbert
Objetivo 6: Confirmar la existencia de un documento de confidencialidad del personal que administra los usuarios del dominio.

Tras una entrevista al personal pertinente y una

extensa revisión de documentos, se confirmó la
Verificar si existe una política de confidencialidad 05/08/2023
Departamento existencia de unas Políticas de protección de
OBJ6-R1 documentada y comunicada a los empleados que A Emmanuel
de TI datos confidenciales y el conocimiento y
administran datos sensibles. Espinal
constancia del personal sobre sus
responsabilidades en términos de seguridad.
Tras confirmar la fecha de la última
actualización y entrevistar al personal
Verificar si el documento de confidencialidad 05/08/2023
Departamento administrativo y al personal del departamento
OBJ6-R2 existente está actualizado y refleja las últimas A Emmanuel
de TI de TI, se concluyó que las políticas de
políticas y regulaciones de seguridad. Espinal
confidencialidad son revisadas y actualizadas
cada 4 años.

5 de 8
 Programa de Pruebas

Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
Tras entrevistar al personal, analizar los
privilegios de acceso, y revisar los registros de
Verificar si el acceso a la información confidencial acceso proporcionado por el departamento de 05/08/2023
Departamento
OBJ6-R3 está adecuadamente controlado y restringido a las TI; se confirmó la existencia de controles de A Emmanuel
de TI
personas autorizadas. acceso basados en roles, garantizando que los Espinal
empleados solo tengan acceso a la información
necesaria para realizar sus funciones.
Objetivo 7: [Objetivo No. 1 Matriz Riesgos y Controles]

Se revisaron los registros de capacitación y

Verificar la existencia de un programa de
OBJ7-R1 capacitación sobre ingeniería social dirigido al
personal de mesa de servicio.
Verificar la disponibilidad de materiales
OBJ7-R2 informativos o guías sobre ingeniería social para el
personal de mesa de servicio.
entrevistó al personal de mesa de servicio para
confirmar si han recibido formación específica 05/08/2023
Departamento
sobre ingeniería social. Se encontró evidencia Ismael
de Seguridad A
de que el personal ha participado en un Martinez
programa de capacitación regular que incluye Pérez
información sobre cómo reconocer y prevenir
ataques de ingeniería social.
Se verificó la existencia de materiales
educativos y guías sobre ingeniería social 05/08/2023
Departamento destinados al personal de mesa de servicio. Ismael
de Seguridad Estos materiales contienen información sobre A Martinez
las tácticas comunes utilizadas en ataques de Pérez
ingeniería social y consejos para evitar caer en
trampas o revelar información confidencial.

6 de 8
 Programa de Pruebas

Se llevaron a cabo pruebas de simulación de

ataques de ingeniería social para evaluar la
05/08/2023
Validar la efectividad de las medidas Departamento efectividad de las medidas de seguridad
Ismael
OBJ7-R3 implementadas mediante pruebas de simulación de de Seguridad implementadas. El personal de mesa de servicio A
Martinez
ataques de ingeniería social. respondió adecuadamente a las pruebas,
Pérez
demostrando una mejora en la identificación y
prevención de intentos de ingeniería social.
Objetivo 8: [Objetivo No. 1 Matriz Riesgos y Controles]

Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
05/08/2023
Se están registrando todas las entradas de
Implementar un sistema que se encargue de Josué
usuario y administrando todo tipo de
OBJ8-R1 verificar los que están autorizados para trabajar con ITLA A Alejandro
manipulación de datos tanto el que los
los datos de la empresa. Navarro
manipula como el que lo solicito.
Peralta
Resulto ser que con el tiempo se encontró una 05/08/2023
Tener más seguridad con las bases de datos de la vulnerabilidad con los id en las bases de datos Josué
empresa en si para poder tener más seguridad con el y esto nos impulsó a convertir los id y las Alejandro
OBJ8-R2 ITLA A
tema de los id y las contraseñas que ocultan grandes contraseñas que se encuentras guardadas y Navarro
capas de datos. ocultan datos en auto generables y de una Peralta
manera peculiarmente aleatoria.
05/08/2023
Proporcionar más información social a la hora de que
Se llevo a cabo esta prueba y está verificando y Josué
alguien haga entrada a la empresa, Validar
anotando en una base de datos todo lo que se Alejandro
OBJ8-R3 identificación con seguridad privada en las puertas ITLA A
mueve en la empresa, a la hora que se mueve y Navarro
principales y las puertas a oficinas se implementen
como se mueve. Peralta
escáneres.

7 de 8
 Programa de Pruebas

Al implementar soluciones de seguridad 05/08/2023

A menudo las empresas sufren ataques cibernéticos
cibernética adecuadas, la empresa puede Josué
y es el deber de los encargados y trabajadores del
Departamento proteger sus activos digitales, datos Alejandro
OBJ8-R4 departamento de seguridad luchar con estos ataques A
de Seguridad confidenciales, propiedad intelectual y sistemas Navarro
ya que además de dañar la maquinaria del trabajo
críticos. Esto reducirá el riesgo de sufrir un Peralta
puede haber robo de información importante.
ataque cibernético exitoso.
Objetivo 9: Determinar si el personal de seguridad cuenta con el entrenamiento suficiente que les permita impedir los ataques de ciberseguridad.

Al mejorar la autenticación de los datos de los

Hemos mejorado como en la base de datos se usuarios al sistema, hemos implementado más
06/08/2023
ingresan los datos de los datos de los usuarios y una validaciones de los datos para que estos no se
Departamento Omar Abel
OBJ9-R1 mejora en la autenticación, así como hemos estado corrompieran o perdieran cuando se registran A
de TI Lora
en comunicación con ellos para detectar las causar en la base de datos, logrando que los usuarios
Rodríguez
posibles de este. tengan muchos menos problemas al entrar al
sistema.
Fecha /
Lugar de Valoración
No. Pruebas Resultado Realizado
Prueba (A/NA)
por
En cada reinicio de cuatrimestre se restablecen las Con este programa ahora lo usuarios reciben
contraseñas de los usuarios, la cual es su matrícula, una contraseña única con la cual ingresar al
06/08/2023
la cual es visible, ocasionando que personas sistema en vez de una contraseña genérica que
Departamento Omar Abel
OBJ9-R2 maliciosas se aprovechen de esto: cualquiera podría saber, evitando así problemas A
Preparar un programa que se encargue de enviar a TI Lora
como personas aprovechando de esto para
Rodríguez
cada usuario una contraseña única para poder ser ingresar de manera maliciosa a las cuentas de
modificada más adelante. otros usuarios.

8 de 8