You are on page 1of 29

Maestría en Seguridad de Tecnología de Información

Materia: Políticas y Auditoría de Seguridad

Entregable Final
Propuesta de Auditoría a la Seguridad Informática en
DomyLab

Autor: César Alejandro Juárez Vega


Cuenta: 12533174

Profesor: Mtra. Jessica Hernández Romero

Universidad Tecnológica de México (Marina), 24 de junio de 2018

1
Índice

1. Resumen de la Propuesta .............................................................................................................. 3


2. Descripción General de la Empresa ............................................................................................ 5
Tabla 1. Información del Negocio .................................................................................................. 5
Figura 1. Organigrama de la empresa.......................................................................................... 6
3. Descripción de la Propuesta de Auditoria ................................................................................. 7
3.1 Objetivos ................................................................................................................ 7
Figura 2. Propuesta de integración de seguridad. ...................................................................... 7
3.2 Alcance .................................................................................................................. 8
3.3 Identificación del proceso a auditar. ................................................................... 8
Tabla 2. Tabla de Procesos en DomyLab .................................................................................... 9
3.4 Identificación del dueño del proceso. ............................................................... 10
Tabla 3. Dueños del proceso ....................................................................................................... 10
3.5 Identificación de los controles a auditar. .......................................................... 11
3.6 Elaboración del Plan de Trabajo. ....................................................................... 12
4. La empresa y sus situaciones problemáticas ........................................................................ 14
5. Lo que se revisará al Gobierno de TI ........................................................................................ 16
6. Lo que se revisará del cumplimiento de un estándar .......................................................... 17
7. La revisión de una norma en uno de sus procesos .............................................................. 19
Figura 3. Fases para implantar la norma PCI DSS .................................................................. 20
8. La aplicación de test de intrusión.............................................................................................. 21
9. La revisión a código de las aplicaciones ................................................................................. 22
Figura 4. Prueba de caja Blanca. ................................................................................................ 23
Figura 5. Prueba de caja Negra. ................................................................................................. 23
10. La revisión a los manuales de los procesos de empresa ................................................... 24
11. Revisión de Hacking Ético ........................................................................................................... 24
12. Mejoras a los procesos de TI ...................................................................................................... 26
13. Programa de prevención de fraudes ......................................................................................... 26
Figura 6. Medios de Detección .................................................................................................... 27
14. Programa de capacitación anual sobre manejo de información ....................................... 27
Conclusiones .......................................................................................................................................... 28
Bibliografía............................................................................................................................................... 29

2
1. Resumen de la Propuesta

La seguridad de la información en una organización es una variante realmente


nueva que con el pasar del tiempo se ha hecho presente e imprescindible su
implementación, ya que cada día son más las empresas que necesitan saber cómo
mejorar la calidad en cada uno de sus procesos referentes a la informática y con esto
dar valor a lo que ofrecen. El implementar la seguridad de informática no solo
representa el hecho de llevar un control del inventario físico de toda la tecnología
existente o de saber cuántos sistemas informáticos posee la organización, sino de
saber implementar herramientas, técnicas y métodos especializados que reúnen ciertas
características para medir, probar y garantizar que cada uno de los procesos que se
encuentran involucrados directamente con la producción y operación de los bienes que
tiene una organización, para ser puestos a prueba con metodologías acorde al giro de
la empresa.

Un experto en informática con habilidades en el campo de la seguridad, dispone de


metodologías que se rigen por estándares internacionales con el fin de encontrar las
mejores técnicas y herramientas que serán necesarias para explotar las amenazas y
vulnerabilidades que pueda presentar dicha organización. Por lo tanto, para la presente
propuesta de auditoría y con base en los conocimientos adquiridos, se seleccionaran
dichas herramientas para poder trazar un flujo de trabajo que permita encontrar
agujeros de seguridad o procesos mal diseñados y por ende dar una solución
específica a cualquier riesgo de seguridad que pueda atentar contra la integridad de la
información e incluso que pueda perjudicar a los activos de la empresa.

Por lo tanto, en el siguiente proyecto de maestría se realizará una propuesta de


auditoría ligada a los procesos informáticos de una empresa dedicada al desarrollo web
y de aplicaciones, con el fin de implementar una metodología acorde con el giro de la
organización y utilizándola como guía para facilitar el entendimiento y para saber
realizar correctamente las actividades diarias en la empresa y por ende encontrar el
mejor camino para realizar mejor las actividades diarias del trabajo apegado a las

3
normas y estándares de seguridad vigentes, además de seguir las mejores prácticas
del Gobierno de TI.

Además, en esta propuesta se pretende realizar un test de intrusión a los sistemas


informáticos para evaluar el estado actual y la fortaleza de los sistemas ante un ataque,
con la finalidad de prevenir una situación de fraude, robo de información o pérdida de
datos, todo esto desde un esquema ético siguiendo lineamientos permitidos y
controlados donde la integridad de la empresa no se vea afectada por pruebas mal
elaboradas y sin las mínimas precauciones de seguridad en el equipo auditor.

Palabras Clave: Seguridad de la información, metodología de seguridad, riesgos de


seguridad, integridad de la información, auditoría de seguridad, estándares de
seguridad, test de intrusión, hacking ético.

4
2. Descripción General de la Empresa

La presente propuesta de auditoría está basada en una empresa denominada


DomyLab servicios informáticos s. a. de c. v., en lo sucesivo DomyLab con giro en
servicio y desarrollo de sistemas informáticos. Los datos principales de la empresa son
los que a continuación se presentan:

Tabla 1. Información del Negocio


Concepto Datos
Empresa DomyLab Servicios informáticos s. a. de c. v.
Domicilio Av. Nezahualcóyotl No. 288 col. Las fuentes
Teléfono: (55) 3073 - 5877
E – mail servicio.tecnico@domylab.com
Funciones Desarrollo de páginas web responsivas, CMS, desarrollo
de aplicaciones, servicio técnico preventivo y correctivo.

DomyLab es una empresa que nació en el año 2007 como un servicio de


mantenimiento preventivo y correctivo de equipo de cómputo que daba soporte al
público en general. Cinco años después comenzó a tener presencia en el mercado con
los servicios web y desarrollo de aplicaciones de escritorio a la medida. Con el aumento
en el mercado de servicios de tecnología DomyLab comenzó a desarrollar software
CMS para pequeñas empresas, duplicando sus ingresos para el año 2015. No se
presenta un reporte de ganancias o diagrama de crecimiento ya que la empresa no
facilito algún documento para sustentar los argumentos.

De ser una empresa unipersonal pasó a contar con departamentos de contabilidad,


jurídico, mercadotecnia, diseño, logística y recursos humanos. De realizar trabajos en
una habitación paso a ocupar todo el predio para uso específico de la empresa.

La visión de DomyLab es ser la mejor empresa de diseño y desarrollo de México


dando calidad y precio, innovando en todo momento con productos y servicios que
satisfagan las necesidades de los clientes.

La misión de DomyLab es otorgar servicios y productos de calidad desarrollos


específicamente para la empresa que solicita los servicios.

5
El objetivo principal de DomyLab es incrementar la cartera de clientes por medio de
calidad en el servicio y mejora en los tiempos de entrega contando con los mejores
desarrolladores capacitados y tecnología de punta que respalde un excelente servicio.
En el siguiente diagrama se presenta la situación actual por departamentos de
DomyLab.

Figura 1. Organigrama de la empresa.

CEO

Gerente General

Departamento
Administración y Marketing y Departamento Departamento
de Informática
Contabilidad Ventas Jurídico de R. H.
CIO

Redes e Desarrollo de Desarrollo y


Soporte Técnico
Infraestructura sistemas Operaciones

Desarrollo de Administrador de
Gestion de Redes Mesa Técnica
aplicaciones BD

Gestion de los Desarrollo de


Soporte
Servidores Base de Datos

Mantenimiento
Mantenimiento
Testing Preventivo y
de redes
Correctivo

Al revisar la situación actual de la empresa y como está esta segmentada por


departamentos, se puede observar que no cuenta con un departamento de seguridad
de la información y por lo tanto, podría representar un problema al no contar con un
área especializada. Más adelante se planteara en la propuesta de auditoría una
solución para poder mejorar esta debilidad aparente.

6
3. Descripción de la Propuesta de Auditoria

3.1 Objetivos

 Conocer la situación de la empresa para garantizar que los sistemas se


encuentren funcionando de acuerdo con los parámetros requeridos.
 Evaluar los recursos del departamento de sistemas (equipos de cómputo,
servidores, switch, routers y periféricos) para determinar que estos estén
cumpliendo con la función para lo que fueron adquiridos y de forma correcta.
 Verificar los procesos existentes para evitar desastres.
 Comprobar que existe un nivel de seguridad óptimo para garantizar la integridad
de cada proceso de la empresa.
 Evaluar los procesos, riesgos y controles verificando si existen vulnerabilidades
de seguridad o procesos mal elaborados, buscando una solución con base en
las normas ISO/IEC en su serie 20000 más específicamente la ISO/IEC 27001 y
27002.
 Sugerir un cambio en la actual estructura organizacional de DomyLab agregando
el área de seguridad de TI encargada de mantener la integridad y
confidencialidad de la información de la siguiente forma:

Figura 2. Propuesta de integración de seguridad.

Junta Directiva

CEO

Comité de gestión de
Departamento de Departamento de Administracion y
Gestion de Riesgos seguridad de la Marketing y Ventas Jurídico
Seguridad Informatica Contabilidad
información

Informacion de
Personal de Seguridad Desarrollo de Sistemas Redes e Infraestructura Soporte Técnico
Seguridad

Consultoría de desarrollo Departamento de


Seguiridad Física Gestion de Redes Mesa Técnica
de sistemas en seguridad Desarrollo

Planificación de Departamento de
Gestion de Servidores Soporte
contingencia del sistema Administracion de BD

Respuesta de Mantenimiento de Mantenimiento


emergencia de la Testing
Redes Preventivo y Correctivo
computadora

7
3.2 Alcance

Para llevar a cabo la siguiente auditoría es importante expresar el alcance que va a


tomar, para esto se presenta a continuación lo siguiente:

 En primera instancia se revisará el área de informática, la estructura


organizacional que posee, las normas, políticas y estándares que utilizan para
realizar sus actividades diariamente.

 Se revisará el hardware de que cada equipo o dispositivo para ver la capacidad,


la seguridad física o lógica, si tiene fallos y sus medidas de seguridad.

 Se verificará que los sistemas se encuentren operado correctamente, para que


el flujo de información sea el correcto con respecto al desempeño que este
teniendo.

 Además el alcance se encuentra definido bajo protesta de las políticas de la


empresa y demanda de los directivos de la misma, siempre y cuando el trabajo
realizado por el equipo auditor no se afecte.

3.3 Identificación del proceso a auditar.

DomyLab cuenta con procesos que van de la mano con el departamento de


producción, por lo tanto, es importante desglosar cada uno de estos procesos para
verificar si existe algún riesgo que atente contra los objetivos de la empresa. Cada
proceso tiene una tarea importante en la empresa y si existen riesgos en la seguridad
de alguno de los procesos puede provocar pérdidas económicas para la empresa
además de bajar los niveles de eficiencia y eficacia.

A continuación se presenta en la siguiente tabla una lista de procesos con los


posibles riesgos de seguridad:

8
Tabla 2. Tabla de Procesos en DomyLab
Núm. Proceso Riesgo
1 Revisión del control del Que no coordinen los datos del inventario físico con el
inventario Físico. número real de inventario hecho por la auditoría.
2 Revisión de los equipos. Tiempo de vida útil de los equipos puedan
comprometer la información almacenada en ellos.
3 Base de datos sin Que no exista un cifrado que pueda provocar que la
cifrado información se vea comprometida.
4 Revisión de ataque de Existencia de indicios de intrusión y que existan
intrusión en los equipos. puertos abiertos.
5 Credenciales de acceso El activo Usuario o Contraseña se ven vulnerable por la
correctos. falta de protección llevando al robo de credenciales.
6 Verificar que exista un Perdida de datos si no existe respaldo alguno de la
back up de la BD base de datos principal.
7 Revisar los equipos en La amenaza de malware produce una vulnerabilidad de
busca de Malware protección en las BD.
8 Daño físico a los Que no existan reguladores de voltaje provoca riesgo
dispositivos. irreparable de los equipos.
9 Sesiones de trabajo Que no se den de baja al personal de la base de datos
activas y abiertas. y que este siga entrando al sistema.
10 Perdida de datos e Perdida de información se traduce en cantidades
información. elevadas de ingresos para DomyLab.
11 Perdida por incendios La naturaleza provoca pérdidas por incendios y que se
pierdan los activos.
12 Código malicioso en los Infección de los sistemas internos a consecuencia de
desarrollos de un cortafuego deficiente o inactivo.
DomyLab.
13 Búsqueda de Bugs en el Verificar que el código que está en proceso se
código de venta. encuentre tenga errores de programación.
14 Seguridad nula o Infiltración por agentes externos provocaría que se
deficiente. comprometa la información en los sistemas.
15 Instalación incorrecta de El mantenimiento de la infraestructura se puede ver
la infraestructura. comprometida con el medio.
16 Actualización de Amenazas, vulnerabilidades por puertos abiertos
Sistemas Operativos. provoca ataques a la red completa de la empresa.
17 Cracking Puertos abiertos puede provocar existencia de
vulnerabilidades en la empresa.

9
3.4 Identificación del dueño del proceso.

Tabla 3. Dueños del proceso


Núm. Proceso Dueño del Proceso
1 Revisión del control del El contador de la empresa se encarga de llevar el
inventario Físico. control del inventario y de cada registro de la empresa.
2 Revisión de los equipos. Equipo de mantenimiento preventivo y correctivo se
hace cargo de revisar los dispositivos de la empresa.
3 Base de datos sin La base de datos no tiene a personal encargado del
cifrado mantenimiento y pruebas para el soporte de las BD.
4 Revisión de ataque de No existe un equipo especializado que se encargue de
intrusión en los equipos. bloquear intrusiones o ataques.
5 Credenciales de acceso El departamento de recursos humanos manda un oficio
correctos. de levantamiento para nuevo empleado al área de
sistemas para que este lo suba al sistema.
6 Verificar que exista un Microsoft es el dueño del proceso que se encarga de
back up de la BD administrar los servidores con tecnología de nube.
7 Revisar los equipos en Departamento de soporte en la empresa es el
busca de Malware encargado de búsqueda de código malicioso.
8 Daño físico a los El departamento de soporte, levanta un ticket de
dispositivos. servicio para sustituir las piezas en mal estado.
9 Sesiones de trabajo El departamento de mantenimiento se encarga de crear
activas y abiertas. políticas de seguridad y acceso para que las sesiones
caduquen por inactividad o después de la jornada.
10 Perdida de datos e No existe un departamento encargado para desastres
información. ante la pérdida de datos en la empresa.
11 Perdida por incendios Al ser un agente externo, existe una aseguradora que
cubre los costos por accidentes externos.
12 Código malicioso en los El equipo de desarrollo cuenta con probadores de
desarrollos de software que se encargan de buscar código implantado
DomyLab. por programadores o agentes externos.
13 Búsqueda de Bugs en el Equipo de desarrollo en coordinación con los
código de venta. probadores de software buscan errores de sistema.
14 Seguridad nula o No existe departamento de seguridad y la que se
deficiente. implementa no se apega a las normas actuales.
15 Instalación incorrecta de El departamento de redes se encarga de administrar
la infraestructura. las redes de la empresa.
16 Actualización de El departamento de sistemas da soporte a todo lo
Sistemas Operativos. referente a los sistemas operativos.
17 Cracking No existe departamento alguno en DomyLab que se
encargue del soporte anti cracking.

10
3.5 Identificación de los controles a auditar.

 Asignación de ID de usuario. Es necesario asignar un ID a cada uno de los


trabajadores que utilizan los ordenadores para llevar un mejor control de las
personas que entran o salen de los sistemas internos de la empresa.

 Acceso controlado a telnet. Proporcionar accesos a los trabajadores para


registrar en la base de datos cuantas personas entran al sistema, tiempos,
permisos o actividades.

 Cifrado de base de datos. Verificar que la base de datos se encuentra


desprotegida y cualquier persona puede modificarla sin autorización y si es el
caso implementar soluciones.

 Proteger los dispositivos con firewall y antivirus. Es importante implementar


políticas de seguridad para evitar intrusiones no deseadas y asegurar la
integridad de la información.

 Servicio de Nube. Actualmente la empresa cuenta con un servicio de nube de


Microsoft el cual administra toda la información, se recomienda verificar la
disponibilidad de la información y la velocidad para tener acceso a ella.

 Alta de usuarios. Verificar que los empleados que ya no laboran en la empresa


se den de baja del sistema y que la sesión utilizada por cada uno, sea revisada
por el personal de sistema para evitar perder información importante.

 Código malicioso. Tener un mejor control del dispositivo infectado, aislándolo de


la red y buscando evidencia que demuestren como se infectó el ordenador.

 Errores constantes en los sistemas. Verificar que al ejecutar archivos,


aplicaciones o documentos de alguno de los clientes mande una excepción y no
deje abrir el documento y al reiniciar el sistema ya deja abrir de nuevo los
documentos.

 Desconfianza en los sistemas por parte del personal administrativo. Se debe


corroborar si existen problemas en el sistema provocado por la red interna,
verificar que se encuentre segmentada en redes virtuales y que no provoque
colisiones en el sistema.

11
3.6 Elaboración del Plan de Trabajo.

Carta de inicio de auditoria para el director de TI

César Alejandro Juárez Vega México CDMX, 23 de Junio de 2018


Director de Auditoria
UNITEC, Campus Marina

Ref.: Inicio de Auditoría

A DIRECTOR DE TI

Con base a la documentación proporcionada por DomyLab servicios de informática


s. a. de c. v., me complace informar que de acuerdo con las normas y políticas internas
de nuestra casa auditora y con la autorización previa de su director general, se procede
a llevar a cabo una auditoría que a solicitud de su compañía se dará inicio a las
operaciones de la siguiente forma:

Los auditores encargados de realizar la visita, está conformado de la siguiente


manera:

NOMBRE PUESTO
César Alejandro Juárez Vega Director de Auditoria
Emmanuel Simón Marcus Gerente de Auditoria
Daniel Quintero Garay Supervisor de Auditoria
Francisco Roque Cruz Junior de Auditoria
Daniel Rivero Montes Trainee de Auditoria

DomyLab y el equipo auditor trabajaran en conjunto para determinar las actividades


a realizar por cada una de las partes involucradas. Además, se asignara a un

12
encargado responsable para dar apoyo a las tareas de auditoría. El horario de trabajo
se encontrara a la par con el horario de oficina de la empresa auditada, contando con
toda libertad para extenderlo fuera del tiempo de trabajo para realizar las actividades y
estas no se sujetaran a horarios fijos.

Este equipo de trabajo se encontrará realizando la auditoría en DomyLab a partir


del día 25 de Junio de 2018 hasta el 28 de Septiembre de 2018 con el propósito de
evaluar al departamento de sistemas, los procesos y controles más importantes y los
dispositivos que ingresan a la red interna para buscar vulnerabilidades o amenazas a la
seguridad de la información.

La presente auditoría se dará por terminada formalmente con el informe final


avalado por el director de la auditoría y donde se exponen los puntos críticos, las
recomendaciones, los riesgos y los hallazgos encontrados. Los honorarios para el
personal de auditoría se fijan a la hora del pacto por escrito y estos amparan los
sueldos para el equipo auditor, si existieran incrementos en los honorarios por retrasos,
demoras o cancelación de reuniones por parte de DomyLab, este se incrementara
proporcionalmente con respecto a la pérdida del tiempo.

La fecha estimada para la entrega de los resultados es el día 29 de septiembre de


2018 y será acompañada con una junta donde se expondrán los puntos más
importantes sobre los hallazgos encontrados.

Esperando contar con su apoyo, agradecemos la aceptación de esta carta.

______________________________ ______________________________

César Alejandro Juárez Vega Ing. Raymundo Fabián Hernández


Director de Auditoria Director General de DomyLab

13
4. La empresa y sus situaciones problemáticas

Los avances en las tecnologías de la información y la creciente demanda de las


empresas por adquirir las mejores herramientas ya sea para logística, minería de datos,
pronósticos financieros, etc., hacen que la implementación de estas tecnologías sean
más rentables y generen eficiencia en cada uno de los procesos de la organización.

No importa si son pequeñas, medianas o grandes empresas, el implementar


herramientas que faciliten las tareas de los empleados y eficiencia en los procesos de
la empresa siempre mejora la calidad de la producción. Pero, ¿Qué representa la
adquisición de esta tecnología? A criterio personal, generan riesgos que si no son
atendidos por expertos, esta tecnología puede convertirse en un arma de dos filos y en
vez de beneficiar a la organización puede perjudicarla.

DomyLab al ser una empresa que ofrece servicios de desarrollo web y de sistemas,
el uso de estas tecnologías va de la mano con la organización. Al indagar un poco en
su estructura y sistemas, se nota la presencia de ciertos problemas que si bien son
muy comunes en cualquier empresa, pueden provocar en cualquier momento un
problema mayor si no se les da la importancia que debería.

Las principales situaciones de problema en DomyLab con relación a informática son


los siguientes:

 No se observaron copias de seguridad de ciertos procesos básicos como en el


área de análisis de datos para desarrollo web. Los documentadores y analistas
mandan su información al servidor principal de la empresa, pero estos
documentos no se almacenan en la nube de Microsoft, y aunque no es
información aparentemente vital para la empresa si se puede representar en
pérdida económica a causa de demora si la información se pierde.

 Se observó que los antivirus y firewall de muchos ordenadores están


desactivados, esto se debe a que los programadores al depurar su código es
bloqueado por el corta fuegos y existe la necesidad de desactivarlo para ejecutar
el desarrollo. Esto causa un gran problema de seguridad ya que al desactivar la

14
única herramienta en contra de software malintencionado se corre un gran
riesgo en la seguridad.

 Se encontró que en algunos ordenadores de la empresa no existen las


actualizaciones de seguridad de los dispositivos, al no tener los parches de
seguridad existen puertas traseras que son utilizadas para comprometer la
información.

 En cuestión de los controles físicos, existen problemas de mantenimiento en los


ordenadores, el mantenimiento realizado se hace cada trimestre y es posible
que esto provoque que el dispositivo se caliente e incluso se queme.

 En los dispositivos inspeccionados se pudo observar que no cuentan con


sesiones de usuario con contraseña, cada usuario ingresa al sistema sin la
necesidad de credenciales especiales.

 Otro problema encontrado en DomyLab es el correo electrónico, el servicio de


correo electrónico no filtra correos del tipo phishing para enviarlos a una carpeta
de correo no deseado, esto puede provocar que los empleados abran algún
correo que se encuentre infectado con malware y por ende infectar su máquina o
en el peor de los casos que este malware se propague por la red corporativa.

 Licencia de antivirus obsoleta. En algunos equipos el antivirus no tienen la


licencia activa, otros no cuentan con las actualizaciones que exige el antivirus y
en otros caso el antivirus se encuentra desactivado debido a que ya causaba
conflictos en el sistema y en vez de llamar a sistemas para solucionar el caso,
los empleados prefieren inhabilitarlo.

Hasta el momento estos fueron los problemas encontrados, que si bien son
comunes y fáciles de resolver se pueden volver un dolor de cabeza para la empresa si
estos no se resuelven a tiempo.

15
5. Lo que se revisará al Gobierno de TI

Hablar de implementar Gobierno de TI en DomyLab es de suma importancia para


obtener valor en lo que respecta a tecnologías de información como parte de las
estrategias de negocio. En DomyLab aún no se encuentran familiarizados con el
concepto de Gobierno de TI y los grandes beneficios que trae para cubrir sus
necesidades actuales y futuras. A pesar de ser una empresa que suministra servicios
de tecnología, es una empresa joven que necesita familiarizarse con estos términos.

Aunque no existe conocimiento alguno de la forma de implementar el Gobierno de


TI, en muchas ocasiones lo llevan a cabo en varios de sus procesos donde analizan la
forma de reducir riesgos, minimizar los costos de desarrollo y gestionar todos los
recursos tecnológicos adecuadamente pero sin seguir una guía, estándar o norma para
las buenas prácticas de TI.

En México existen muchas empresas que se dedican a desarrollar sistemas web,


empresas que prestan servicios de soporte y tecnologías de la información, muchas
otras que desarrollan aplicaciones a la medida y cada día se integran al mercado
muchas otras con las mismas pretensiones. Por tal motivo, es importante revisar,
analizar e implementar un buen gobierno de TI en DomyLab para crear una brecha de
ventaja entre los cientos de competidores que entran al mercado informático cada año.

A consideración para esta propuesta de auditoria, DomyLab necesita crear un


comité especializado para crear estrategias de negocio ligadas al trabajo diario de la
empresa para poder cumplir de una forma óptima los objetivos principales esta.
Además es recomendable que existan líderes de TI que se encarguen de la seguridad
de la información, de realizar auditorías internas a menudo y que planeen auditorías
externas como la que se está realizando en este proyecto, todo esto con base en
normas estandarizadas que vigilen las buenas prácticas de TI en la empresa.

Para llevar un buen gobierno de TI se pueden implementar diferentes estándares


como COBIT, CMMI, ITIL, ISO/IEC 38500 e incluso metodologías que son importantes
implementar como RUP o SCRUM para cuando desarrollo de software se trate. Por tal

16
motivo, en el siguiente capítulo se revisara el cumplimiento de un estándar en los
procesos de DomyLab.

6. Lo que se revisará del cumplimiento de un estándar

Existen muchos estándares para el manejo de buenas prácticas de TI, como se vio
en capítulos anteriores un buen Gobierno de TI se rige por normas estandarizadas que
garantizan las buenas prácticas y la excelente coordinación entre el modelo de negocio
y el uso de las tecnologías de la información.

Para la propuesta de auditoria y con respecto a las necesidades encontradas en la


empresa se puede sugerir la implementación del estándar ISO/IEC 38500 para mejorar
los procesos del departamento de TI, en sus tres tareas principales:

Evaluar

Antes de iniciar con la propuesta de Gobierno de TI existen los siguientes


inconvenientes que deben ser evaluados.

 No se observaron copias de seguridad de ciertos procesos básicos como en el


área de análisis de datos para desarrollo web.

 Se observó que los antivirus y firewall de muchos ordenadores están


desactivados a causa de que interfieren con la depuración de los programas.

 No existen las actualizaciones de seguridad de los dispositivos, abriendo puertas


que favorecen a intrusiones.

 Existen problemas de mantenimiento en los ordenadores, que provoca que el


dispositivo se caliente e incluso se queme.

 Dispositivos que no cuentan con sesiones de usuario con contraseña, y que


cada usuario ingresa al sistema sin la necesidad de credenciales especiales.

 Correo electrónico no filtra email esto puede provocar que los empleados abran
algún correo que se encuentre infectado con malware e infectar su máquina o en
el peor de los casos que este malware se propague por la red corporativa.

17
 No hay protección de la información en la base de datos de la empresa. El
ingreso de los datos no cuenta con políticas de seguridad para la protección de
la información.

Después de evaluar los problemas en DomyLab se puede proponer lo siguiente:

 Implementar back up del área de análisis y documentación ya que la información


y los datos representan uno de los activos más importantes con los que cuenta
la empresa y la perdida de uno de estos activos representa perdida de dinero
por eso es importante invertir en la seguridad e integridad de toda la información.

 Para resolver el problema de las firewall se propone depurar los desarrollos en


máquinas virtuales que no afecten los procesos normales de seguridad de los
sistemas operativos, con esto no hay necesidad de deshabilitar los firewall o
antivirus ya que estos se ejecutan en entornos virtuales sin afectar el estado
físico del ordenador.

 Es necesario mantener todos los parches de seguridad instalados en cada uno


de los ordenadores de la empresa y hacer todo lo posible para que las
actualizaciones críticas de sistema se hagan periódicamente.

 Es importante dar mantenimiento físico a todo el inventario de informática de la


empresa ya que prolonga la vida útil de estos y reduce gastos innecesarios.

 Se sugiere el uso de credenciales para cada uno de los empleados de DomyLab


ya que esto disminuye el riesgo de robo de información.

 Con respecto al filtro de correo electrónico, es importante desarrollar políticas de


seguridad en el sistema para separar el correo que tenga malware que pueda
afectar los dispositivos.

 El cifrado de la base de datos es vital para preservar la integridad de los datos y


la confidencialidad de los clientes que tiene la empresa, por eso es importante
implementar un cifrado acorde con las necesidades de la empresa e incrementar
la confianza del cliente al saber que su privacidad esta resguardada.

18
Dirigir

Garantizar que los objetivos de la empresa se cumplan es prioridad para esta


propuesta de auditoria, por lo tanto se puede implementar la norma ISO/IEC 27002
como guía para mejorar la seguridad y por ende reducir los riesgos descritos
anteriormente. También se pudo apreciar que existen procesos que la empresa pone
en marcha con varios puntos de la norma, pero estos se siguen por mera intuición y
conocimientos profesionales de los directores o encargados del área y no por la base
de buenas prácticas que proporcionan estas normas.

 Por tal motivo se elaborará documentación que se utilizará como guía para
mantener y mejorar los sistemas a los que se tiene acceso.

 Es importante hacer una lista de todos los activos que maneja DomyLab y
buscar soluciones para garantizar que estos guarden integridad y mantengan
seguridad.
 Como se mencionó anteriormente para poder tener un buen Gobierno de TI es
importante dividir al personal y formar líderes de informática que guíen por un
buen camino, que implementen políticas de seguridad y que salvaguarden la
integridad de la información.

 Es importante la capacitación constante en las buenas prácticas de TI ya que


estas se traducen en factores económicos positivos para DomyLab.

Monitorizar

Si estas propuestas se siguen y supervisan constantemente se puede mejorar los


procesos de la empresa, cada uno de los controles, reducir los riesgos de producción y
mejorar los recursos de TI dando resultados de competencia en el mercado.

7. La revisión de una norma en uno de sus procesos

Uno de los procesos que desarrolla muy seguido DomyLab es el referente a los
pagos vía internet, el envío de datos personales y el cobro con tarjeta de crédito estos

19
se realizan con implementación de plugins personalizados e incrustados en las páginas
web que son proporcionados por los bancos.

El marco de referencia COBIT es ideal para este proceso financiero que está
sumamente relacionado con los procesos bancarios. Además de que es uno de los
marcos de referencia más completos que integra principios, dominios y áreas de otros
estándares como ISO/IEC 27001, COSO, ITIL, ISO/IEC 38500 entre otros y por tal
motivo es un marco muy completo que se puede integrar al plan de trabajo de
DomyLab.

Siguiendo con el plan de propuesta también se puede implementar la norma PCI


DSS que reúne los requerimientos necesarios y prioritarios para realizar cobros por vía
electrónica, evita el fraude con las tarjetas bancarias, reduce los escenarios de riesgo y
se acopla a COBIT ya que está respaldado por ISACA.
Para implantar la norma debe seguir varias fases:

Figura 3. Fases para implantar la norma PCI DSS

Fase III. Fase IV.


Fase I. analisis Fase II. analisis Fase V.
Programa de Implantacion de
preliminar del riesgo auditoria
Cumplimiento REquerimientos

DomyLab al trabajar con la nube de Microsoft debe implementar con exactitud y


apegado a los lineamientos que propone el estándar, cada uno de los requerimientos
solicitados a continuación:
 Configurar claves criptográficas de los módulos de la nube. Esto para proteger
los datos de cada uno de los titulares de la tarjeta de crédito.
 Una vez configuradas las claves es necesario desplegar azure, en primera
instancia en un entorno virtual para no comprometer la maquina física y después
de que la operación tenga éxito, realizarlo en un entorno real. Configurando
scripts para el manejo de los servicios y realizando la validación de los datos
cifrados o la firma electrónica.
 Para incrementar la seguridad se pueden integrar con herramientas como Latch
desarrollada por el equipo de trabajo del reconocido hacker Chema Alonso

20
donde el control de acceso es validado por un token o con un código de
validación enviado al teléfono celular.

8. La aplicación de test de intrusión

Una vez analizado todas las vulnerabilidades y amenazas encontradas en los


sistemas informáticos de DomyLab se realizara un test de intrusión o penetración para
intentar explotar esas vulnerabilidades y verificar el grado de seguridad con el que se
encuentran trabajando los empleados de la empresa.
Al realizar la auditoria a la estructura de las redes corporativas, se procederá a
verificar la seguridad lógica y física de la empresa. Esta prueba se podrá llevar a cabo
en las instalaciones de DomyLab y de forma remota con ataques controlados para
simular un intento de acceso a los sistemas de información y corroborar si se necesita
implementar un plan de seguridad.

Conseguido el acceso a los sistemas, se documentaran los resultados de la prueba


exponiendo los riesgos encontrados y las soluciones pertinentes. Para realizar los
ataques se utilizaran las mismas herramientas que usan los delincuentes informáticos.
Se intentaran vulnerar la web de la empresa, metadatos de archivos provenientes de la
empresa, mapa de red, servicios de sistemas operativos, vulnerabilidades en los
sistemas a nivel de actualización del sistema, gestión de sesiones, firewall, IDS, IPS.

En cumplimiento con la norma de seguridad ISO/IEC 27001 se llevara a cabo para la


propuesta de auditoria los siguientes puntos:

Objetivo y alcance

Analizar, evaluar y monitorizar los procesos y controles de la empresa en busca de


vulnerabilidades que puedan representar un riesgo a la seguridad de la información y a
la integridad de los datos para encontrar una solución que se fundamente en el
estándar de seguridad ISO/IEC 27001 y con base a las técnicas de seguridad para los
diferentes controles encontrados en el ISO/IEC 27002.

El alcance que maneja esta propuesta de auditoria se encuentra en armonía con


las políticas de la empresa y siempre respetando la privacidad de la información

21
siempre y cuando no atente contra la integridad de la empresa y a los intereses y
objetivos que persigue.

9. La revisión a código de las aplicaciones

DomyLab procesa información de clientes por medio de las páginas web que
desarrolla, al realizar esta propuesta de auditoria es importante dejar en claro que las
pruebas de penetración y las pruebas al código fuente son dos variantes distintas y
muy importante que se lleven a cabo si se cuenta con el capital suficiente para
ejecutarlas y tener defensa completa de varias capas.

Si se trata de elegir alguna, en mi opinión prefiero las pruebas de penetración ya


que no solo se basa en revisar las vulnerabilidades de la aplicación sino también del
medio en el que se ejecuta como la red, los puertos, los medio físicos, periféricos que
la aplicación utilice, el internet, máquinas virtuales, etc.

Al analizar el código de una aplicación se puede ver como fluye la información por
cada nodo del programa, encontrando alguna falla en la lógica de la programación
además de analizar si los datos ingresados por los formularios se encuentran cifrados o
pueden ser vulnerados con facilidad.

Viendo esta breve reseña y con base a la autorización por parte de la dirección
general de DomyLab y la siguiente propuesta se realizará la revisión al código a las
aplicaciones de la siguiente forma:

 Auditoria de caja blanca. El equipo de auditoria necesitara la colaboración del


personal de desarrollo para poder buscar problemas en la lógica de
programación. Es importante que la auditoria se familiarice con varios puntos
necesarios para comprender el funcionamiento de la aplicación, como el código
de las aplicaciones, el contexto que pretende marcar la aplicación y si está
cumpliendo con los objetivos de negocio, usuarios que utilizan la aplicación a
auditar, entre otros puntos muy importantes. Una vez conociendo estos puntos
se podrá realizar la auditoria de una forma más rápida sobre el código.

22
Figura 4. Prueba de caja Blanca.

 Auditoria de Caja negra. En esta prueba el equipo de auditoria realizara


pruebas funcionales a los sistemas con casos de prueba ya que no tiene
conocimiento del funcionamiento de programa además de no contar con
documentación sobre el código o de apoyo por parte del personal que desarrollo
la aplicación. Estas pruebas no utilizan información interna de los componentes
sino se basan en el comportamiento que este tenga a la hora de la ejecución,

Figura 5. Prueba de caja Negra.

23
Las técnicas que se podrán usar en la auditoria pueden ser:

 Partición de Equivalencias.
 Análisis de Valores Borde.
 Tablas de decisión.
 Pruebas de caso de uso.
 Historia de usuarios.

Cuando se inicie la auditoria, se determinara el tipo de técnica a utilizar.

10. La revisión a los manuales de los procesos de empresa

Al realizar la auditoría se hará revisión a los manuales de procesos que acompañan


las actividades diarias de la organización para analizar de forma detallada las
operaciones directas con el departamento de TI, evaluar el control de cada proceso,
conocer bajo que estándar de calidad está el proceso y definir las políticas generales
que deberían de tener esos procesos para sugerir la capacitación del personal y con
esto mejorar algunos procesos que tengan deficiencia en su desarrollo.

11. Revisión de Hacking Ético

El hacking ético se vuelve cada vez más popular, existen empresas que pagan por
que se intente vulnerar a sus sistemas como Facebook, Instagram y WhatsApp ya que
entienden la importancia de mantener a salvo miles de datos que poseen de millones
de personas en el mundo y que la perdida de esos datos representa pérdidas
económicas, pérdida de credibilidad por parte de cada uno de los clientes e incluso la
quiebra de su negocio. Por eso paga por revisar sus sistemas de información para
evitar que otras personas utilicen las mismas técnicas e intenten borrar o utilizar esa
información para fines personales o con fines de lucro.

DomyLab al resguardar información de clientes a una escala menor (pero no menos


importante) ya que es igual de importante la integridad de la información de diez
personas que de un millón de ellas, es por eso que se realizara una solicitud en esta

24
propuesta de auditoria para realizar pruebas de hacking ético y comprobar que los
sistemas se encuentran en condiciones favorables para el resguardo de la información.

Para iniciar con el análisis, se debe responder ¿Qué se debe revisar? Y para esto
se consideran tres puntos importantes de una lista que se desglosa en otros capítulos.

 La base de datos.
 La infraestructura de red.
 Los puertos abiertos.

Después de analizar que se va a revisar es importante ahora hacer mención de las


vulnerabilidades que serán explotadas:

 Los puertos abiertos que se encuentren por uso de aplicaciones expuestos a


ataques.
 Inyección de SQL a la base de datos de la empresa por medio de inserción de
código en los formularios de la página principal de la empresa o por medio de los
desarrollos a los clientes
 Equipos que tengan privilegios de súper usuario y que tengan los permisos para
poder modificar archivos, base de datos o código sensible.

Las herramientas que serán de ayuda para llevar a cabo la intrusión a los sistemas,
realizar las pruebas y evaluar las vulnerabilidades de las redes internas de la empresa,
escaneo de puertos, o auditar los controles de acceso son los siguientes:

 BACKTRACK, KALI o Linux en cualquier distribución.


 NMAP. Escanea redes y rastreo de puertos.
 NESSUS. Analiza vulnerabilidades en los servicios.
 WIRESHARK. Revisa los protocolos para el análisis de tráfico.
 METASPLOIT. Para realizar penetración y explotar vulnerabilidades.
 NIKTO. Se utiliza para auditar un servidor web.
 THC HYNDRA. Prueba la fuerza de una clave mediante ataques de diccionario o
de fuerza bruta, especialmente de cara a páginas web.
 OPENVAS. Audita controles de acceso físico y lógico.

25
12. Mejoras a los procesos de TI

Para ayudar a los departamentos de TI a mejorar sus procesos, es importante


implementar estrategias especiales que ayuden a generar valor al negocio. Estos
procesos marcan un estándar para las empresas dando un plus de calidad en sus
procesos.

Lo más importante para DomyLab es implementar algún estándar para mejorar


cada proceso que posee, una recomendación para la mejorar es ITIL ya que esta
estandarizar procesos para llevar a cabo mejoras en el proceso de TI y DomyLab al
ser una empresa que suministra servicios de desarrollo de aplicaciones es ideal ya
que entre sus beneficios esta:

 Organización. Evita tareas múltiples en la empresa, con mejores tiempos de


entrega en el negocio y mejora los procesos operativos.
 Costo. Es muy económico implementar ITIL en la empresa, y los costos –
beneficios valen la pena.
 Eficiencia. Mejora el trabajo, mejora el desempeño y la confiabilidad en la
empresa.
 Flexibilidad. Es bastante flexible para cuando de cambios se trata.
 Integración. Utiliza tecnología, aplicaciones o plataformas que ya se tienen en
la empresa para mejorar los tiempos de entrega y mejorar la experiencia tanto
del cliente como del personal.

13. Programa de prevención de fraudes

Los fraudes son un tema que toma más fuerza con el paso del tiempo, cada día
crecen más las formas para cometer un fraude a una persona u organización. Por lo
tanto, es importante tener las medidas necesarias para mitigar los riesgos para evitarlo
y sancionarlo. Si se logra implantar un programa de prevención de fraudes este debe
de ir más allá de los controles internos de la empresa para que el impacto en las
finanzas sea nulo o imperceptible.

26
Para prevenir fraudes en DomyLab se elaborara un programa de prevención donde
sus principales principios de encuentren en seguir:

1. Cultura de ética profesional, honestidad y excelente comportamiento


ético. Se debe incentivar a los empleados para que tengan un sentimiento
de solidaridad y amor a la organización.
2. Elaborar controles y procesos para eliminar el fraude. (Ambiente de
trabajo positivo, Disciplina, Contratación de empleados apropiados,
capacitación al personal, denuncias.
3. Elaborar procesos internos para vigilar conductas que propicien un
fraude. Es importante medir el riesgo que contrae un fraude, implementar
medidas que propician el fraude y mitigar los riesgos que pueda producir
el fraude si se ejecuta.

Figura 6. Medios de Detección

Medios de Detección

13%

52%
35%

Auditoria Interna Denuncias Otras

14. Programa de capacitación anual sobre manejo de información

Por último, es de suma importancia capacitar al personal sobre las tecnologías de


información y los cambios que estas sufren con el paso del tiempo, es importante
garantizar que cada trabajador tenga los conocimientos necesarios para poder manejar
la tecnología que tiene a su alcance para realizar sus actividades laborales en la
empresa, con esto se pueden corregir errores, mejorar la eficiencia y eficacia en los
procedimientos de la empresa y por ende mejorar el crecimiento de la empresa.

27
Conclusiones

Todas las empresas, instituciones, corporaciones con o sin fines de lucro, públicas
o privadas, poseen recursos informáticos que son difíciles de utilizar por un usuario
común, para poderle sacar provecho a esos recursos se necesita que el usuario tenga
noción de cómo utilizar esos recursos para poderlo traducir a la empresa como éxito y
ese éxito se traduce en dinero.

En el trabajo de investigación analizamos una propuesta de implementación de TI a


una empresa que como muchas depende de la tecnología para poder realizar sus
actividades diariamente, se vio la importancia de tener buenas prácticas de TI y como
estas pueden presentar riesgos en la seguridad a causa de vulnerabilidades causadas
en ocasiones por el mal manejo de los recursos de TI, la falta de capacitación o por no
implementar una metodología que dar paso a la evolución de sus procesos.

Se logró entender como una organización depende de la tecnología hasta para


revisar un cliente existente o un número de teléfono y como esta tecnología puede
beneficiar o perjudicar a quien la utiliza si no se hace de la forma correcta. Es por eso
que una auditoría de TI es de suma importancia para poder analizar los sistemas que
tienen riesgos de seguridad y que no se rigen por normas o estándares adecuados.

Por eso concluyo que una auditoría de informática es vital para que una
organización tenga un buen desempeño gracias a la implementación de controles para
que los sistemas sean estables, confiables y con una excelente seguridad, brindando
siempre integridad, confiabilidad y confidencialidad en los procesos que maneja.

Este proyecto de investigación fue de gran aporte para mi formación academice ya


que no conocía muchos de los términos manejados y los diferentes estándares de
seguridad que las empresas tienen que implementar para poder ganar presencia en un
mercado que ya se encuentra muy saturado y que la implementación de una norma,
estándar o metodología de buenas prácticas, de Gobierno de TI pueden hacer la
diferencia a la hora de buscar alguna empresa que nos garantice que nuestra
información va a estar a salvo.

28
Bibliografía

Hernández-Romero, J. (2017). Presentación para ilustrar el tema, Auditoría de


seguridad. Clase de Maestría, UNITEC, CDMX

Local Billing Solutions Limited. (2009). implantación y certificación del estándar PCI
DSS. 23/Junio/2018, de Local Billing Solutions Limited Sitio web:
https://www.isecauditors.com/sites/default/files//files/SIC84_Local_Billing_implantacion_
PCI-DSS.pdf

Israel Pérez Gómez. (2016). Implementación de la norma de seguridad PCI-DSS


versión 3.0 sobre aplicación web ASP.NET desplegada en Azure. 23/Junio/2018, de
Universidad Politécnica Sitio web:
https://riunet.upv.es/bitstream/handle/10251/71379/P%C3%89REZ%20-
%20Implementaci%C3%B3n%20de%20la%20norma%20de%20seguridad%20PCI-
DSS%20versi%C3%B3n%203.0%20sobre%20aplicaci%C3%B3n%20web%20ASP.NE
T%20....pdf?sequence=2

PMOinformatica. (2017). Pruebas de caja negra y blanca ISTQB. 23/Junio/2018, de


PMOinformatica Sitio web: http://www.pmoinformatica.com/2016/04/pruebas-caja-
negra-istqb.html

29