Asignatura Datos del alumno Fecha

Nombre de la asignatura Apellidos: Flores Solís

Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

Plan de una auditoría técnica de seguridad de una

empresa

Objetivos

Una amenaza para cualquier sistema es cualquier actor, agente, circunstancia o

evento que tiene el potencial de causar daño, tanto al propio sistema como a sus
datos y recursos. Con la presente actividad se pretende conseguir los siguientes
objetivos:

 Aprender a realizar un plan de una auditoría técnica de seguridad de los sistemas

TI de una organización.
 Comprender y estudiar las diferentes metodologías de evaluación de la seguridad
de los sistemas TI de una organización.
 Realizar una matriz de auditoria conforme a la metodología ERD.

Pautas de elaboración

Con el objetivo de afianzar los conocimientos adquiridos sobre la realización de

auditorías técnicas de seguridad, se pide realizar un plan de una auditoría de
seguridad de una tienda de libros online llamada Librería On-Line S. A.

La librería ha sufrido un ciberataque que ha comprometido las credenciales de sus

© Universidad Internacional de La Rioja (UNIR)

clientes. El incidente ha trascendido a los medios de comunicación, lo que ha

producido una pérdida de cuota de mercado importante frente a sus competidores.

Con el objetivo de mantener su actual posición en el mercado de venta electrónica

de libros y volver a recuperar e incluso superar la que tenía, ha contratado a la

1
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

empresa InfoSecurity para llevar a cabo una auditoría técnica de seguridad a todos
sus sistemas TI e implementar las salvaguardas que se deriven del mismo en función
del nivel de riesgo y la disponibilidad económica.

La librería dispone de una tienda web en la que el cliente necesitará autenticarse con
las credenciales de la cuenta de usuario, que a su vez se comprobarán con la base de
datos implementada en el backend de la compañía a través de una interfaz de
servicios web.

Se dispone de un procesamiento de tarjetas de crédito subcontratado a un

procesador de terceros. El sitio web se desplegará en Internet protegido por una DMZ
de dos capas con acceso tanto para usuarios internos como externos.

Se tendrá que elaborar un plan de auditoría para la realización de la citada auditoría

técnica de seguridad de la siguiente infraestructura TIC de la organización compuesta
de los siguientes elementos:

 Accesos externos VPN.

 Zona DMZ: FW y IDS.
 Publicación sitio web de la empresa.
 Correo externo e interno.
 Servicio públicos DNS y FTP.
 Infraestructura de red: router y switch.
 Aplicaciones internas Intranet y aplicaciones corporativas.
© Universidad Internacional de La Rioja (UNIR)

 Zona wifi.
 Segmentación en VLAN de la red interna: servidores y usuarios.
 Sistema AAA (autenticación, autorización y trazabilidad).
 Sistema de antimalware.
 Aplicación web de la empresa expuesta al exterior.

2
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

La organización trata datos personales de clientes, por lo que tiene que cumplir con
lo dispuesto en el Reglamento Europeo de Protección de Datos (RGPD).

En la siguiente figura se muestra el esquema lógico de dicha infraestructura:

Figura 1. Diagrama lógico infraestructura TIC organización.

El plan de pruebas deberá contener, al menos, los siguientes apartados (si el alumno
lo considera, puede incluir más):

1. Introducción.
2. Propósito de la auditoría.
3. Objetivos de la auditoría.
© Universidad Internacional de La Rioja (UNIR)

4. Alcance de la auditoría técnica de seguridad.

• Detalle de las tareas y trabajos a realizar.
• Tipos de pruebas a realizar.
• Identificar las limitaciones aplicables.

3
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

5. Metodologías.
6. Programa de trabajos (planificación)
• Trabajos que realizar y su planificación.
• Fases de la actuación de la auditoría.
• Plazos de ejecución de las tareas (diagrama).

7. Organización y recursos necesarios.

• Descripción del equipo técnico y cualificaciones profesionales requeridas.
• Detalle de los medios técnicos.
• Incluir las herramientas a utilizar en cada una de las fases de la metodología o
metodologías elegidas.
8. Entregables (tipos de informes a entregar y apartados).
9. Procedimientos de comunicación con los responsables de proyecto.
10. Presupuesto e hitos de facturación.
11. Evaluación de riesgos del proyecto.
12. Anexo I: Acuerdo de autorización.
13. Anexo II: Acuerdo de confidencialidad (opcional).

Extensión y formato

En la entrega solo se deberán incluir las tablas que se piden rellenar a lo largo del
enunciado de la actividad. La extensión máxima de la actividad será de 20 páginas.
© Universidad Internacional de La Rioja (UNIR)

4
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

Rúbrica

Plan de una auditoría Puntuación

Peso
técnica de seguridad de Descripción máxima
%
una empresa (puntos)
Realización correcta de los apartados
Criterio 1 1x5=5 50 %
3, 4, 5, 6 y 7.
Realización correcta de los apartados
Criterio 2 0,5 x 7 = 3,5 35 %
1, 2, 8, 9, 10, 11 y 12.
Criterio 3 Calidad de la memoria. 1,5 15 %
10 100 %
© Universidad Internacional de La Rioja (UNIR)

5
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

PLAN DE AUDITORIA TECNICA DE SEGURIDAD

INTRODUCCION
Evaluación de Seguridad Informática
La evaluación de seguridad informática es un proceso fundamental para analizar y
valorar el nivel de protección en una empresa o entidad. Su propósito principal radica
en verificar si las políticas de seguridad establecidas se están aplicando efectivamente
y detectar posibles vulnerabilidades que podrían ser aprovechadas por individuos
malintencionados para acceder a información sensible, interrumpir operaciones o
causar perjuicios a la organización.

Beneficios de la Evaluación de Seguridad

Esta evaluación no solo concierne a grandes corporaciones; hoy en día, cualquier
empresa que utilice tecnología en sus procesos de negocio debe realizarla
periódicamente. Algunos de sus beneficios clave son:

Mejora los mecanismos internos de seguridad

Identifica fallos, omisiones o errores en los sistemas de seguridad.
Detecta posibles actividades fraudulentas o accesos no autorizados.
Fortalece la seguridad en áreas específicas como sitios web, correo electrónico y
accesos remotos.
Permite supervisar y controlar tanto los accesos físicos como los virtuales.
Facilita la actualización continua de herramientas y sistemas.

Tipos de Evaluaciones de Seguridad

© Universidad Internacional de La Rioja (UNIR)

Existen diversos tipos de evaluaciones según sus objetivos, como las forenses,
técnicas, de cumplimiento de normativas y de pruebas de intrusión, entre otras.

6
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

Estas evaluaciones pueden clasificarse en:

Evaluaciones internas y externas, realizadas por personal de la empresa o por
entidades independientes.
Evaluaciones técnicas, que se enfocan en aspectos específicos de sistemas
informáticos, incluyendo el cumplimiento de estándares de seguridad.
Evaluaciones basadas en objetivos como sitios web, forenses, redes, control de
acceso y pruebas de hacking ético.
Fases de la Evaluación de Seguridad

Una evaluación efectiva sigue ciertas etapas:

Establecimiento de Objetivos y Planificación: Definición de objetivos específicos y
elaboración de un plan detallado de actuación, herramientas a emplear y áreas a
analizar.
Recopilación de Información: Obtención de datos mediante entrevistas, revisión de
documentación, análisis de hardware y software, y pruebas de seguridad.
Análisis de Datos: Evaluación exhaustiva de la información recopilada para identificar
debilidades y vulnerabilidades en los sistemas.
Informe de la Evaluación: Presentación detallada de los resultados obtenidos,
problemas detectados y recomendaciones para corregir las deficiencias en seguridad.

Conclusiones de la Evaluación
Realizar evaluaciones de seguridad informática de forma regular permite a las
empresas conocer su estado actual en cuanto a seguridad cibernética. Los informes
resultantes ofrecen recomendaciones claras y soluciones para eliminar riesgos y
© Universidad Internacional de La Rioja (UNIR)

fortalecer la seguridad. Esto proporciona a las organizaciones una mayor capacidad

para enfrentar amenazas externas y manejar incidentes internos de seguridad de
manera más efectiva.

7
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

PROPOSITO DE LA AUDITORIA
El propósito de la auditoría para la tienda de libros en línea "Librería On-Line S.A." es
establecer y aplicar un sistema de auditoría técnica de seguridad destinado a
proteger el sitio web y los servicios de tecnología de la información contra posibles
intrusiones cibernéticas.
Esta auditoría tiene como objetivo principal proporcionar un análisis exhaustivo del
estado actual de los sistemas, permitiendo así la creación de medidas de control
efectivas. El propósito es mejorar la eficiencia del sistema y reducir los tiempos de
respuesta a las solicitudes.
En la actualidad, la empresa carece de un plan de auditoría y políticas de seguridad
de la información en sus operaciones, lo que hace posible identificar las necesidades
y requisitos específicos de la empresa.
Esta auditoría busca proponer un modelo adaptado a dichas necesidades,
garantizando su cumplimiento y fortaleciendo la seguridad de la empresa en sus
procesos y áreas de gestión.

OBJETIVOS DE LA AUDITORIA
Objetivo General de la Auditoría
Diseñar e implementar un plan integral de auditoría para identificar y abordar los
posibles riesgos presentes en cada una de las áreas involucradas en la empresa
"Librería On-Line S.A.". La meta es mitigar las amenazas y riesgos detectados,
fortaleciendo así la seguridad general.

Objetivos Específicos
© Universidad Internacional de La Rioja (UNIR)

• Recopilar información detallada del sistema informático de la empresa para

realizar un diagnóstico exhaustivo en el proceso de auditoría.
• Ejecutar acciones correctivas para resolver los riesgos y amenazas
identificados, aplicando un tratamiento de riesgo definido para cada falla
detectada.

8
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

• Elaborar y presentar un informe detallado de la Auditoría Informática,

ofreciendo recomendaciones y sugerencias con el objetivo de mitigar los
riesgos identificados.
• Aplicar el estándar CobIT en el diseño y la estructura de la Auditoría
Informática para "Librería On-Line S.A." Esto implica la aplicación de los
dominios y procesos definidos por este estándar para garantizar una
evaluación exhaustiva y eficiente de los sistemas de la empresa.

ALCANCE DE LA AUDITORIA TECNICA DE SEGURIDAD

FASE I: PLANIFICACIÓN DE LA AUDITORÍA
Definición del Alcance
La auditoría se dirigirá a todos los sistemas de tecnología de la información de
"Librería On-Line S.A.", accesibles a través del portal web: https://www.libreria.com/.
Este portal consta de dos secciones principales: una de administración (front end)
que proporciona información a los visitantes sobre catálogos de libros y revistas, y
otra para usuarios registrados (back end) que acceden a detalles sobre ventas
electrónicas.
La autenticación de clientes en la tienda web se realiza mediante credenciales de
cuenta de usuario, verificadas a través de una interfaz de servicios web y una base de
datos. El procesamiento de tarjetas de crédito se subcontrata a un tercero. El sitio
web está protegido por una zona desmilitarizada (DMZ) de dos capas, permitiendo el
acceso a usuarios internos y externos. Además, la empresa maneja datos personales
de clientes y debe cumplir con la Ley Federal de Protección de Datos Personales en
© Universidad Internacional de La Rioja (UNIR)

Posesión de Particulares (LFPDPPP) de México.

Tiempo y Recursos
La auditoría será realizada por el auditor: Mario Alberto Flores Solís, certificado en
Seguridad Informática y Auditoría en Sistemas por la Universidad UNIR.

9
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

El tiempo acordado con "Librería On-Line S.A." para esta auditoría es de 30 días
hábiles, programados del lunes 11 de diciembre al lunes 08 de enero del año
siguiente.
La empresa cuenta con un área técnica donde se encuentra el Data Center que
alberga los recursos informáticos, incluyendo el servidor para el funcionamiento del
sitio web.
Recopilación de Información Indispensable
Se requiere la siguiente información para llevar a cabo la auditoría:
• Organigrama funcional, incluyendo la estructura de la Dirección de
Informática.
• Documentación estratégica y administrativa como misión, visión, objetivos,
planificación estratégica, FODA y balance scorecard.
• Directorio del personal administrativo involucrado directa e indirectamente
con la operación del sitio web.
• Planos que muestren la distribución de áreas administrativas, incluyendo el
área técnica, el Data Center y equipos informáticos.
• Inventario de activos informáticos (hardware y software) relacionados con el
sitio web.
• Documentación técnica del desarrollo del sitio web, incluyendo
requerimientos, implementación, pruebas, mejoras, versiones, bitácoras de
mantenimiento y reportes de fallos.
• Política de seguridad de la empresa, informes de auditorías anteriores y
reglamentos para desarrollos informáticos internos.
Programa de Trabajo
© Universidad Internacional de La Rioja (UNIR)

El auditor atenderá las tareas de la siguiente manera:

Auditor Principal:
• Recopilar, analizar, informar y evaluar la información recolectada.
• Realizar entrevistas personales con los responsables del sitio web.
• Crear y administrar encuestas para medir la satisfacción de los empleados.

10
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

• Elaborar informes preliminares por cada área auditada.

• Recopilar, analizar y evaluar la información técnica obtenida.
• Entrevistar a los responsables técnicos del sitio web.
• Seleccionar y aplicar pruebas para detectar riesgos potenciales.
• Elaborar un informe técnico preliminar.
Se revisarán y evaluarán los informes preliminares para luego elaborar un informe
final conjunto que se presentará a "Librería On-Line S.A.".

FASE II: EJECUCIÓN DE LA AUDITORÍA

1. Identificación de Riesgos Potenciales
Tras la auditoría, se han detectado potenciales riesgos en la empresa:
• Ausencia de una política de seguridad de la información, lo que puede afectar
la integridad, disponibilidad y confidencialidad de los datos.
• Falta de respaldo continuo de información sensible, provocando riesgos de
pérdida y disponibilidad.
• Procesos críticos en la página sin medidas de validación, encriptación y
almacenamiento seguro, generando vulnerabilidades.
• Uso no regular de software antivirus y carencia de equipos de seguridad
informática, impactando la disponibilidad e integridad de la información.
• Condiciones inadecuadas en el área del Data Center, generando riesgos en la
integridad y disponibilidad de los equipos.
• Falta de capacitación para el personal operativo de servidores, exponiendo la
integridad y confidencialidad de la información.
• Uso de software pirata y rotación constante de personal, creando
© Universidad Internacional de La Rioja (UNIR)

vulnerabilidades en la disponibilidad y confidencialidad de los datos.

2. Identificación de Controles (Fuertes y Débiles)
Controles Fuertes:
• Restricción de acceso físico y electrónico a las instalaciones.
• Normativas estrictas para dispositivos electrónicos y uso del correo interno.

11
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

• Exhibición clara del Aviso de Privacidad en la página Web.

Controles Débiles:
• Procedimientos poco estrictos en registro y seguridad de visitantes.
• Respaldo inseguro de información crítica.
• Falta de registros de uso y mantenimiento de servidores.
• Deficiencias en la actualización de accesos al cese de empleados.
• Falta de actualización de registros de usuarios y contraseñas.
• Débil soporte técnico para incidencias en la página Web.
• Falta de bitácora del uso de servidores y políticas de cambio de contraseñas.
• Escaso manejo de logs y demoras en la solución de incidencias técnicas.
3. Selección de Controles a Implementar
Considerando los controles encontrados, se proponen medidas basadas en ISO/IEC
27002:2013:
• Políticas de seguridad: Establecer directrices desde la Dirección.
• Aspectos organizativos de seguridad: Definir segregación de tareas.
• Seguridad en recursos humanos: Clarificar condiciones de contratación y
responsabilidades.
• Gestión de activos: Mantener inventario actualizado.
• Control de accesos: Implementar y gestionar accesos seguros.
• Cifrado: Establecer políticas para información sensible.
• Seguridad física y ambiental: Reforzar control de acceso y seguridad en áreas
críticas.
• Seguridad operativa: Gestionar cambios y realizar respaldos periódicos.
• Seguridad en telecomunicaciones: Definir políticas para intercambio de
© Universidad Internacional de La Rioja (UNIR)

información.
• Adquisición y mantenimiento de sistemas: Mantener licencias actualizadas y
proteger transacciones.
• Gestión de incidentes en seguridad de información: Establecer mecanismos
de notificación y aprendizaje.

12
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

• Cumplimiento: Identificar legislación aplicable y proteger datos personales.

4. Resultados Esperados
Con la implementación de estos controles se espera:
• Garantizar la disponibilidad continua de la página Web y sus servicios.
• Mejorar la integridad y confianza en la información manejada.
• Incrementar la confidencialidad y la imagen institucional de la empresa.
5. Conclusiones y Comentarios
La falta de una política de seguridad expone a la empresa a riesgos graves. La carencia
de conocimientos en seguridad informática ha resultado en un desarrollo deficiente
y una documentación inadecuada. Fortalecer el área de Dirección de Informática
resulta crucial para el buen funcionamiento y seguridad de la empresa.
6. Revisiones y Cierre de Trabajo
Los auditores procederán a organizar y resguardar la documentación generada. Se
preservarán copias físicas y lógicas según protocolos de seguridad establecidos. La
documentación confidencial será rubricada por los auditores y el director de
Informática como cierre oficial de la auditoría.

FASE III: INFORME DE AUDITORÍA

1. Antecedentes
La empresa "Librería On-Line S.A.", dedicada a la venta y distribución de libros y
revistas, experimentó un ciberataque que comprometió las credenciales y datos de
sus clientes. Este incidente llevó a una pérdida significativa de cuota de mercado y a
la filtración de información confidencial, afectando la confianza de los usuarios y su
capacidad para acceder a sus cuentas.
© Universidad Internacional de La Rioja (UNIR)

2. Alcance
La auditoría se extendió a todas las áreas de sistemas de información relacionadas
con la aplicación de la página Web y la base de datos (Hardware y Software).

13
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

3. Resumen de la auditoría
Actividades realizadas:
• Recopilación de información administrativa y técnica.
• Entrevistas con personal vinculado a la página Web.
• Análisis exhaustivo de la información obtenida.
• Pruebas para detectar riesgos en la operación de la página Web y base de
datos.
• Evaluación de controles existentes y propuesta de implementación basada en
estándares internacionales (ISO/IEC 27002:2013).
4. Conclusiones y Recomendaciones
• Se insta a realizar un análisis profundo y una actualización inmediata de la
aplicación de la página Web, además de generar la documentación
correspondiente.
• Se sugiere evaluar trimestralmente el progreso en la implementación de los
controles propuestos.
• Se recomienda llevar a cabo una nueva auditoría a la página Web después de
12 meses, tomando en cuenta las recomendaciones y el avance en la
implementación de controles.
5. Anexos y Comentarios
Anexos:
• Guiones de entrevistas.
• Análisis detallado de la información obtenida.
• Valoración de riesgos.
• Evaluación minuciosa de controles existentes y propuestos.
© Universidad Internacional de La Rioja (UNIR)

Se enfatiza la importancia de invertir en la modernización tecnológica y la

capacitación continua del personal como pilares fundamentales para el crecimiento
y la seguridad de la empresa.

14
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

Metodologías Utilizadas
Durante la auditoría en curso, se emplearán las siguientes metodologías:
• COBIT (Objetivos de Control de la Tecnología de la Información): Este
estándar establece objetivos definidos para "Garantizar la Seguridad de los
Sistemas".
• ISO 17799: Norma internacional que proporciona recomendaciones para la
gestión de la seguridad de la información.
• Norma ISO 27001: Define los requisitos para la auditoría y los sistemas de
gestión de seguridad.
• Norma ISO 27002 (Código de Buenas Prácticas): Ofrece pautas
internacionales de buenas prácticas en seguridad de la información y puede
servir como una guía para la auditoría, respaldada por otros estándares de
seguridad.
• ISO 27007: Guía para auditar un Sistema de Gestión de Seguridad Informática.
• ISACA (Asociación de Auditoría y Control de Sistemas de Información).
• ITIL 4 (Biblioteca/Guía de Infraestructura de Tecnologías de la Información):
Un estándar global para la Gestión de Servicios Informáticos.

Plan de Recolección y Análisis de Datos

Durante este proceso, se llevarán a cabo las siguientes acciones:
• Inventario y Control de Dispositivos Físicos
• Inventario y Control de Software (Autorizado y No Autorizado)
• Proceso Continuo de Identificación y Remediación de Vulnerabilidades
• Uso Controlado de Privilegios Administrativos
© Universidad Internacional de La Rioja (UNIR)

• Configuraciones Seguras de Software y Hardware en Dispositivos Móviles,

Portátiles, Equipos de Sobremesa y Servidores
• Registro de Actividad de Usuarios
• Copias de Seguridad de Datos y Sistemas
• Cumplimiento Normativo

15
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

Organización y Recursos Necesarios

En este apartado se considerará la organización y los recursos necesarios basados en
los dominios de la norma ISO 27002 y en la metodología de análisis de gestión y
riesgos de los sistemas de información - Magerit.

PLAN DE COMUNICACIÓN
Una vez que se tenga listo el informe final de auditoría, el auditor Mario Alberto
Flores Solís procederá a enviar, personalmente o vía correo electrónico, el informe
con los resultados obtenidos al director de Informática para que pueda dar sus
observaciones y comentarios correspondientes.
Posterior a esto, con apoyo del director de Informática, el convocará a una reunión
de presentación del Informe de Auditoría, con los responsables de cada área:
• Director del Consejo de Administración de la empresa
• Director de Administración y Finanzas
• Director del área técnica
• Director de Educación en Línea
© Universidad Internacional de La Rioja (UNIR)

• Director de Informática

16
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

PLANIFICACIÓN
Tomaremos como referencia las 5 fases del Análisis Forense Digital, ya que la Librería
On-Line S.A. ha experimentado un incidente de seguridad.
Es crucial identificar las causas y motivos que lo originaron para poder mitigar
rápidamente el incidente e implementar nuevos controles y herramientas de
seguridad. Esto garantizará la salvaguarda, integridad, confidencialidad y
disponibilidad de la información, conforme a lo establecido en la Ley Federal de
Protección de Datos Personales en Posesión de Particulares (LFPDPPP).
A través de esta estrategia, la organización podrá recuperar parte de la imagen y los
activos que se vieron afectados durante este incidente de seguridad.

ENTREGABLES DE LA AUDITORÍA
Como resultado del análisis y estudio exhaustivo de cada una de las evidencias
recolectadas durante esta auditoría, se entregará un informe detallado que abarque
los componentes de infraestructura física, lógica y humana. Este informe detallará
cada una de las vulnerabilidades identificadas a lo largo del estudio.
La evaluación se basará en los controles y dominios establecidos en la norma ISO
27002, asegurando un análisis integral de las posibles debilidades en la seguridad de
la información. Además, se considerará el Top 10 de vulnerabilidades OWASP 2017,
un estándar reconocido para identificar y priorizar riesgos de seguridad en
aplicaciones web.
El informe final proporcionará un panorama completo de las vulnerabilidades
detectadas, priorizándolas y ofreciendo recomendaciones específicas para fortalecer
la seguridad de la empresa, salvaguardar la integridad de los datos y mitigar los
© Universidad Internacional de La Rioja (UNIR)

riesgos identificados.
Presupuesto e Hitos de Facturación
1. Descripción del Presupuesto:
• Costos totales de la auditoría: $7500
• Desglose de los costos por servicios de auditoría:

17
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

• Auditoría técnica informática: $2500

• Análisis forense digital: $2500
• Informe detallado de vulnerabilidades: $2500
2. Estructura de Facturación:
• Se factura por etapas cumplidas de acuerdo con los hitos establecidos.
3. Hitos de Facturación:
• Hito 1: Inicio de la auditoría técnica informática - 30% del total
• Hito 2: Entrega del análisis forense digital - 50% del total
• Hito 3: Presentación del informe detallado de vulnerabilidades - 20%
restante
4. Condiciones de Pago:
• Los pagos se realizarán dentro de los 15 días posteriores a la
finalización de cada hito.
• Todos los montos se expresan en USD y se realizarán por transferencia
bancaria.
5. Observaciones Adicionales:
• Los costos presentados son estimaciones y podrían variar sujeto a la
complejidad o extensión de la auditoría.
• Los plazos de entrega de los hitos están sujetos a la colaboración y
disponibilidad de la información por parte de Librería On-Line S.A.

EVALUACIÓN DE RIESGOS DEL PROYECTO

Las vulnerabilidades identificadas durante la auditoría han resaltado áreas críticas en
© Universidad Internacional de La Rioja (UNIR)

la infraestructura lógica asociada al sitio de la librería en línea. Estas vulnerabilidades

representan un riesgo significativo para la seguridad y la integridad de los datos de
los clientes de la organización.
Entre las vulnerabilidades más relevantes detectadas se incluyen:

18
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

1. Fallos en la gestión de contraseñas: La implementación deficiente de políticas

para el manejo de contraseñas expone la información sensible de los usuarios,
comprometiendo la confidencialidad y la integridad de los datos.
2. Falta de actualizaciones de software: La ausencia de actualizaciones
periódicas de software y parches de seguridad expone el sistema a riesgos de
explotación y ataques cibernéticos.
3. Inadecuado control de acceso: La falta de controles sólidos de acceso y
privilegios administrativos puede resultar en vulnerabilidades de seguridad,
permitiendo el acceso no autorizado a información confidencial.
4. Procesos inseguros de almacenamiento de datos: La inexistencia de medidas
de cifrado y almacenamiento seguro de datos sensibles expone la información
a posibles accesos no autorizados.
5. Falta de monitoreo y registros de actividades: La carencia de un sistema
efectivo de registros de actividades y monitoreo dificulta la detección
temprana de posibles ataques o anomalías en la plataforma.
Se sugieren una serie de contramedidas para mitigar estas vulnerabilidades y
garantizar una mayor protección de la información sensible de la organización.

ACUERDO DE CONFIDENCIALIDAD Y NO DIVULGACIÓN DE INFORMACIÓN

ACUERDO DE CONFIDENCIALIDAD Y NO DIVULGACIÓN DE INFORMACIÓN, QUE
CELEBRAN POR UNA PARTE INFOSECURITY A QUIEN EN LO SUCESIVO SE
DENOMINARÁ “EL RECEPTOR” REPRESENTADO EN ESTE ACTO POR MARIO ALBERTO
FLORES SOLIS Y POR LA OTRA, LA EMPRESA Librería Online S.A, A QUIEN EN LO
SUCESIVO SE LE DENOMINARÁ “EL DIVULGANTE” REPRESENTADA EN ESTE ACTO POR
© Universidad Internacional de La Rioja (UNIR)

BENITO PEREZ, EN SU CARÁCTER DE REPRESENTANTE LEGAL, AL TENOR DE LAS

DECLARACIONES Y CLÁUSULAS SIGUIENTES:
PRIMERA: Objeto: El presente Acuerdo se refiere a la información que EL
DIVULGANTE proporciona al RECEPTOR para la realización de una auditoría técnica
informática, ya sea de forma oral, gráfica o escrita.

19
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

SEGUNDA: Confidencialidad:
1. El RECEPTOR únicamente utilizará la información facilitada por EL
DIVULGANTE para el fin mencionado, comprometiéndose a mantener la más
estricta confidencialidad respecto de dicha información.
2. El RECEPTOR o las personas mencionadas no podrán reproducir, modificar,
hacer pública o divulgar a terceros la información sin previa autorización
escrita y expresa del DIVULGANTE.
3. El RECEPTOR adoptará respecto de la información objeto de este Acuerdo las
mismas medidas de seguridad que adoptaría normalmente respecto a la
información confidencial de su propia Empresa, evitando su pérdida, robo o
sustracción.
TERCERA: Excepciones a la Confidencialidad: Sin perjuicio de lo estipulado en el
presente Acuerdo, la obligación de confidencialidad no se aplicará en los siguientes
casos: a) Cuando la información se encuentre en el dominio público. b) Si la
información ya estaba en conocimiento del RECEPTOR antes de la firma del presente
Acuerdo y sin obligación de guardar confidencialidad. c) Cuando la legislación vigente
o un mandato judicial exija su divulgación.
CUARTA: Propiedad Intelectual: Los derechos de propiedad intelectual de la
información objeto de este Acuerdo pertenecen al DIVULGANTE.
QUINTA: Incumplimiento y Responsabilidad: En caso de revelar, divulgar o utilizar la
información distinta al objeto de este Acuerdo, el RECEPTOR indemnizará al
DIVULGANTE por los daños ocasionados.
SEXTA: Devolución de Documentación: Ambas partes se comprometen a devolver la
documentación amparada por el deber de confidencialidad al cesar la relación entre
© Universidad Internacional de La Rioja (UNIR)

ellas por cualquier motivo.

SÉPTIMA: Vigencia: El presente Acuerdo entrará en vigor al ser firmado por ambas
partes y se extiende hasta 5 años después de finalizada la relación entre ellas o la
prestación del servicio.

20
Actividades
 Asignatura Datos del alumno Fecha
Nombre de la asignatura Apellidos: Flores Solís
Desarrollo Seguro de 10/12/2023
Software y Auditoría Nombre: Mario Alberto

OCTAVA: Resolución de Conflictos: En caso de disputa, las partes se someten a los

Juzgados y Tribunales correspondientes.
En señal de conformidad, firman las partes por duplicado y a un solo efecto en el lugar
y fecha indicados.

POR EL RECEPTOR POR EL DIVULGANTE

Mario Alberto Flores Solís - InfoSecurity
Benito Pérez – Librería Online S.A
LAS PRESENTES FIRMAS CORRESPONDEN AL ACUERDO DE CONFIDENCIALIDAD Y NO
DIVULGACIÓN DE INFORMACIÓN EN TRES FOJAS ÚTILES QUE CELEBRAN,
InfoSecurity Y Librería Online S.A -Conste.

ACUERDO DE CONFIDENCIALIDAD
Mediante este documento, la oficina auditora acepta las condiciones para
resguardar, reservar, custodiar y proteger la seguridad y confidencialidad de la
información, datos personales y cualquier tipo de documentos pertenecientes a la
empresa "Librería On-Line S.A.", en el contexto de la auditoría realizada aquí. Este
acuerdo implica que toda la información proporcionada por Librería On-Line S.A., ya
sea de forma oral, impresa, visual, electrónica o informática, que comprenda
reportes, actas, acuerdos, directivas, estadísticas u otros similares, será considerada
como confidencial y resguardada como tal por la oficina auditora. En consecuencia,
la empresa auditora se compromete a no reproducir ni divulgar la información
presente en esta auditoría, utilizando dicha información únicamente para la
ejecución de esta y para cumplir con las actividades y obligaciones asociadas a este
© Universidad Internacional de La Rioja (UNIR)

análisis.
Esta obligación de confidencialidad mantendrá su vigencia hasta transcurridos 10
años después de finalizada la relación entre las partes.

21
Actividades