Professional Documents
Culture Documents
Entregable Final
Propuesta de Auditoría a la Seguridad Informática en
DomyLab
1
Índice
2
1. Resumen de la Propuesta
3
normas y estándares de seguridad vigentes, además de seguir las mejores prácticas
del Gobierno de TI.
4
2. Descripción General de la Empresa
5
El objetivo principal de DomyLab es incrementar la cartera de clientes por medio de
calidad en el servicio y mejora en los tiempos de entrega contando con los mejores
desarrolladores capacitados y tecnología de punta que respalde un excelente servicio.
En el siguiente diagrama se presenta la situación actual por departamentos de
DomyLab.
CEO
Gerente General
Departamento
Administración y Marketing y Departamento Departamento
de Informática
Contabilidad Ventas Jurídico de R. H.
CIO
Desarrollo de Administrador de
Gestion de Redes Mesa Técnica
aplicaciones BD
Mantenimiento
Mantenimiento
Testing Preventivo y
de redes
Correctivo
6
3. Descripción de la Propuesta de Auditoria
3.1 Objetivos
Junta Directiva
CEO
Comité de gestión de
Departamento de Departamento de Administracion y
Gestion de Riesgos seguridad de la Marketing y Ventas Jurídico
Seguridad Informatica Contabilidad
información
Informacion de
Personal de Seguridad Desarrollo de Sistemas Redes e Infraestructura Soporte Técnico
Seguridad
Planificación de Departamento de
Gestion de Servidores Soporte
contingencia del sistema Administracion de BD
7
3.2 Alcance
8
Tabla 2. Tabla de Procesos en DomyLab
Núm. Proceso Riesgo
1 Revisión del control del Que no coordinen los datos del inventario físico con el
inventario Físico. número real de inventario hecho por la auditoría.
2 Revisión de los equipos. Tiempo de vida útil de los equipos puedan
comprometer la información almacenada en ellos.
3 Base de datos sin Que no exista un cifrado que pueda provocar que la
cifrado información se vea comprometida.
4 Revisión de ataque de Existencia de indicios de intrusión y que existan
intrusión en los equipos. puertos abiertos.
5 Credenciales de acceso El activo Usuario o Contraseña se ven vulnerable por la
correctos. falta de protección llevando al robo de credenciales.
6 Verificar que exista un Perdida de datos si no existe respaldo alguno de la
back up de la BD base de datos principal.
7 Revisar los equipos en La amenaza de malware produce una vulnerabilidad de
busca de Malware protección en las BD.
8 Daño físico a los Que no existan reguladores de voltaje provoca riesgo
dispositivos. irreparable de los equipos.
9 Sesiones de trabajo Que no se den de baja al personal de la base de datos
activas y abiertas. y que este siga entrando al sistema.
10 Perdida de datos e Perdida de información se traduce en cantidades
información. elevadas de ingresos para DomyLab.
11 Perdida por incendios La naturaleza provoca pérdidas por incendios y que se
pierdan los activos.
12 Código malicioso en los Infección de los sistemas internos a consecuencia de
desarrollos de un cortafuego deficiente o inactivo.
DomyLab.
13 Búsqueda de Bugs en el Verificar que el código que está en proceso se
código de venta. encuentre tenga errores de programación.
14 Seguridad nula o Infiltración por agentes externos provocaría que se
deficiente. comprometa la información en los sistemas.
15 Instalación incorrecta de El mantenimiento de la infraestructura se puede ver
la infraestructura. comprometida con el medio.
16 Actualización de Amenazas, vulnerabilidades por puertos abiertos
Sistemas Operativos. provoca ataques a la red completa de la empresa.
17 Cracking Puertos abiertos puede provocar existencia de
vulnerabilidades en la empresa.
9
3.4 Identificación del dueño del proceso.
10
3.5 Identificación de los controles a auditar.
11
3.6 Elaboración del Plan de Trabajo.
A DIRECTOR DE TI
NOMBRE PUESTO
César Alejandro Juárez Vega Director de Auditoria
Emmanuel Simón Marcus Gerente de Auditoria
Daniel Quintero Garay Supervisor de Auditoria
Francisco Roque Cruz Junior de Auditoria
Daniel Rivero Montes Trainee de Auditoria
12
encargado responsable para dar apoyo a las tareas de auditoría. El horario de trabajo
se encontrara a la par con el horario de oficina de la empresa auditada, contando con
toda libertad para extenderlo fuera del tiempo de trabajo para realizar las actividades y
estas no se sujetaran a horarios fijos.
______________________________ ______________________________
13
4. La empresa y sus situaciones problemáticas
DomyLab al ser una empresa que ofrece servicios de desarrollo web y de sistemas,
el uso de estas tecnologías va de la mano con la organización. Al indagar un poco en
su estructura y sistemas, se nota la presencia de ciertos problemas que si bien son
muy comunes en cualquier empresa, pueden provocar en cualquier momento un
problema mayor si no se les da la importancia que debería.
14
única herramienta en contra de software malintencionado se corre un gran
riesgo en la seguridad.
Hasta el momento estos fueron los problemas encontrados, que si bien son
comunes y fáciles de resolver se pueden volver un dolor de cabeza para la empresa si
estos no se resuelven a tiempo.
15
5. Lo que se revisará al Gobierno de TI
16
motivo, en el siguiente capítulo se revisara el cumplimiento de un estándar en los
procesos de DomyLab.
Existen muchos estándares para el manejo de buenas prácticas de TI, como se vio
en capítulos anteriores un buen Gobierno de TI se rige por normas estandarizadas que
garantizan las buenas prácticas y la excelente coordinación entre el modelo de negocio
y el uso de las tecnologías de la información.
Evaluar
Correo electrónico no filtra email esto puede provocar que los empleados abran
algún correo que se encuentre infectado con malware e infectar su máquina o en
el peor de los casos que este malware se propague por la red corporativa.
17
No hay protección de la información en la base de datos de la empresa. El
ingreso de los datos no cuenta con políticas de seguridad para la protección de
la información.
18
Dirigir
Por tal motivo se elaborará documentación que se utilizará como guía para
mantener y mejorar los sistemas a los que se tiene acceso.
Es importante hacer una lista de todos los activos que maneja DomyLab y
buscar soluciones para garantizar que estos guarden integridad y mantengan
seguridad.
Como se mencionó anteriormente para poder tener un buen Gobierno de TI es
importante dividir al personal y formar líderes de informática que guíen por un
buen camino, que implementen políticas de seguridad y que salvaguarden la
integridad de la información.
Monitorizar
Uno de los procesos que desarrolla muy seguido DomyLab es el referente a los
pagos vía internet, el envío de datos personales y el cobro con tarjeta de crédito estos
19
se realizan con implementación de plugins personalizados e incrustados en las páginas
web que son proporcionados por los bancos.
El marco de referencia COBIT es ideal para este proceso financiero que está
sumamente relacionado con los procesos bancarios. Además de que es uno de los
marcos de referencia más completos que integra principios, dominios y áreas de otros
estándares como ISO/IEC 27001, COSO, ITIL, ISO/IEC 38500 entre otros y por tal
motivo es un marco muy completo que se puede integrar al plan de trabajo de
DomyLab.
20
donde el control de acceso es validado por un token o con un código de
validación enviado al teléfono celular.
Objetivo y alcance
21
siempre y cuando no atente contra la integridad de la empresa y a los intereses y
objetivos que persigue.
DomyLab procesa información de clientes por medio de las páginas web que
desarrolla, al realizar esta propuesta de auditoria es importante dejar en claro que las
pruebas de penetración y las pruebas al código fuente son dos variantes distintas y
muy importante que se lleven a cabo si se cuenta con el capital suficiente para
ejecutarlas y tener defensa completa de varias capas.
Al analizar el código de una aplicación se puede ver como fluye la información por
cada nodo del programa, encontrando alguna falla en la lógica de la programación
además de analizar si los datos ingresados por los formularios se encuentran cifrados o
pueden ser vulnerados con facilidad.
Viendo esta breve reseña y con base a la autorización por parte de la dirección
general de DomyLab y la siguiente propuesta se realizará la revisión al código a las
aplicaciones de la siguiente forma:
22
Figura 4. Prueba de caja Blanca.
23
Las técnicas que se podrán usar en la auditoria pueden ser:
Partición de Equivalencias.
Análisis de Valores Borde.
Tablas de decisión.
Pruebas de caso de uso.
Historia de usuarios.
El hacking ético se vuelve cada vez más popular, existen empresas que pagan por
que se intente vulnerar a sus sistemas como Facebook, Instagram y WhatsApp ya que
entienden la importancia de mantener a salvo miles de datos que poseen de millones
de personas en el mundo y que la perdida de esos datos representa pérdidas
económicas, pérdida de credibilidad por parte de cada uno de los clientes e incluso la
quiebra de su negocio. Por eso paga por revisar sus sistemas de información para
evitar que otras personas utilicen las mismas técnicas e intenten borrar o utilizar esa
información para fines personales o con fines de lucro.
24
propuesta de auditoria para realizar pruebas de hacking ético y comprobar que los
sistemas se encuentran en condiciones favorables para el resguardo de la información.
Para iniciar con el análisis, se debe responder ¿Qué se debe revisar? Y para esto
se consideran tres puntos importantes de una lista que se desglosa en otros capítulos.
La base de datos.
La infraestructura de red.
Los puertos abiertos.
Las herramientas que serán de ayuda para llevar a cabo la intrusión a los sistemas,
realizar las pruebas y evaluar las vulnerabilidades de las redes internas de la empresa,
escaneo de puertos, o auditar los controles de acceso son los siguientes:
25
12. Mejoras a los procesos de TI
Los fraudes son un tema que toma más fuerza con el paso del tiempo, cada día
crecen más las formas para cometer un fraude a una persona u organización. Por lo
tanto, es importante tener las medidas necesarias para mitigar los riesgos para evitarlo
y sancionarlo. Si se logra implantar un programa de prevención de fraudes este debe
de ir más allá de los controles internos de la empresa para que el impacto en las
finanzas sea nulo o imperceptible.
26
Para prevenir fraudes en DomyLab se elaborara un programa de prevención donde
sus principales principios de encuentren en seguir:
Medios de Detección
13%
52%
35%
27
Conclusiones
Todas las empresas, instituciones, corporaciones con o sin fines de lucro, públicas
o privadas, poseen recursos informáticos que son difíciles de utilizar por un usuario
común, para poderle sacar provecho a esos recursos se necesita que el usuario tenga
noción de cómo utilizar esos recursos para poderlo traducir a la empresa como éxito y
ese éxito se traduce en dinero.
Por eso concluyo que una auditoría de informática es vital para que una
organización tenga un buen desempeño gracias a la implementación de controles para
que los sistemas sean estables, confiables y con una excelente seguridad, brindando
siempre integridad, confiabilidad y confidencialidad en los procesos que maneja.
28
Bibliografía
Local Billing Solutions Limited. (2009). implantación y certificación del estándar PCI
DSS. 23/Junio/2018, de Local Billing Solutions Limited Sitio web:
https://www.isecauditors.com/sites/default/files//files/SIC84_Local_Billing_implantacion_
PCI-DSS.pdf
29