El Proceso y Las Fases de La Auditoría de Sistemas de Información

UNIVERSIDAD INTERNACIONAL DE LA RIOJA MAESTRÍA EN SEGURIDAD INFORMÁTICA

Alumno: José Adrián Alexander Albán Merino Docente: Sergio Sentecal Guerrero Curso: Auditoria de seguridad Actividad: El proceso y las fases de la auditoría de sistemas de información Semestre: 2

Trujillo -2021

Índice I.

Antecedentes....................................................................................................................................................3

II.

Presentación de riesgos inherentes al portal web .......................................................................5

III.

Planificar y desarrollar una auditoría de seguridad de la información .............................6

IV.

Informe ejecutivo de la auditoría .......................................................................................................8

1)

Antecedentes ..................................................................................................................................................8 a)

Estado actual del sitio web .......................................................................................................................8

2)

Presentación de riesgos inherentes del portal web ...................................................................................8

3)

Auditoría de seguridad de la información ..................................................................................................8

4)

Informe ejecutivo de la auditoría .................................................................................................................8

V.

Referencias ..................................................................................................................................................9

I.

Antecedentes Definición: La auditoría se va a realizar al portal web de la empresa: “Viento en Popa”, se identifican dos partes, por un lado la parte administrativa, donde se ofrece a todos los visitantes del sitio web que puedan obtener información sobre los cursos que se ofrecen, así como algunos excelentes estudiantes. La otra parte es para los estudiantes debidamente matriculados y allí podrán conocer en detalle las actividades y cursos de la empresa también pueden acceder a cursos en línea, documentación, planes de estudio, verificar el estado de los pagos, realizar exámenes, chatear con los instructores, etc. Recursos y tiempo: Hay 2 auditores (A y B) para realizar la auditoría, siendo el auditor A el Líder. Se acordó mutuamente entre las dos partes que el examen debería tener lugar en un momento de 2 meses. A partir del 12 de enero de 2022. Ambos auditores tienen conocimiento y experiencia en el desarrollo en Angular (tecnología en la cual la empresa ha desarrollado la web). La empresa cuenta en sus propias instalaciones con el servidor desde el que ejecuta el sitio web. Recopilación de información básica: Se debe tener como mínimo la siguiente información: • • •

• • • • •

Organigrama funcional de la empresa (detalle específico de la Dirección de Informática) Objetivo, misión y visión Directorio del personal administrativo que tenga interacción directa e indirecta con la operación de la página Web (nombre, número de celular, área de adscripción, funciones específicas y generales, y correo electrónico) Planos con la distribución de las áreas administrativas (incluyendo la ubicación de todos los equipos de cómputo). Inventario de activos informáticos (Hardware y Software) que tengan relación con la página Web Documentación técnica del desarrollo de la página web (requerimiento inicial, desarrollo, pruebas, mejoras – versiones, bitácora de mantenimiento, reportes defallas) Política de seguridad de la empresa Documentación adicional: o Informes de auditorías anteriores (internas y/o externas) o Procedimientos para desarrollos informáticos internos.

Programa de trabajo De acuerdo al tiempo y expertis de cada uno de los auditores, se procederá con la auditoría de la siguiente manera: Auditor A. • •

Recopilar, analizar y evaluar la información administrativa recabada. Realizar entrevistas con los responsables administrativos de la página web: • Administrador general de la página • Encargado de desarrollo y actualizaciones • Responsable del contenido • Usuarios administrativos de la página (al menos 5)

Elaboración y aplicación de encuestas para poder medir el grado de satisfacción de la aplicación hacia el interior de la empresa (al menos 5 mandos administrativos superiores con poder de decisión) Elaboración de un informe previo administrativo

•

•

Tiempo estimado de realización: 5 a 7 semanas Auditor B. Recopilar, analizar y evaluar la información técnica recabada. Realizar entrevistas con los responsables técnicos de la página web: • Administrador general de la página • Encargado de mantenimiento – soporte de sistemas (software y hardware) • Programador Selección de pruebas para detección de riesgos potenciales Aplicar las pruebas correspondientes y registrar los resultados Elaboración de un informe previo técnico

• •

• • •

Tiempo estimado de realización: 7 semanas. El auditor A será el responsable de unir los dos informes y en conjunto con el auditor B, hará una revisión final antes de presentarlo a la empresa. (tiempo estimado 1 semana) Plan de comunicación: Una vez que el informe final de auditoría esté listo, el Auditor A procederá a enviarlo, a través de correo electrónico un borrador del informe al director de información para que lo revise y envíe sus observaciones/comentarios en un plazo de 3 días. Luego, el auditor A se reúne con el apoyo del gerente de TI, en reunión de presentación del informe de auditoría, con solicitud de la presencia de: • • • • • •

Director del Consejo de Administración de la empresa Director de Administración y Finanzas Director de Actividades Recreativas Director de Educación en Línea Director de Informática Abogado de la empresa

II.

Presentación de riesgos inherentes al portal web Identificar riesgos potenciales Se han detectado los siguientes puntos como riesgos potenciales: • •

• •

• • •

•

La empresa carece de una política de seguridad general. RIESGO: integridad, disponibilidad y confidencialidad de la información. El servidor donde reside la página Web no cuenta con software firewall actualizado (más de 3 meses de que se venció la licencia correspondiente y no se ha renovado). RIESGO: disponibilidad e integridad de la información. No se realiza oportunamente el respaldo de la información de los servidores, se hace un único respaldo cada 15 días. RIESGO: disponibilidad de la información. El acceso físico al área de los servidores se encuentra muy cerca de la puerta principal de la empresa y no cuenta con medidas de acceso. RIESGO: integridad, disponibilidad y confidencialidad de la información. El área de los servidores no cuenta con respaldo de energía eléctrica (UPS). RIESGO: disponibilidad e integración de la información. El personal que se encuentra a cargo del área de los servidores no se encuentra correctamente capacitado. RIESGO: integridad y confidencialidad de la información. Para actividades de carácter sensible la información en la pagina web no tiene contemplado procesos de validación, encriptación y almacenamiento seguro de la información. RIESGO: disponibilidad e integración de la información. Existe demasiado personal asignado al área de los servidores. RIESGO: confidencialidad e integridad de la información.

Identificación de controles fuertes y débiles Controles fuertes: •

• • •

El acceso físico a las instalaciones de la empresa sólo está permitido previa autorización de. otorgado la persona a ser vista y se debe dejar una identificación oficial vigente, así como portar el correspondiente DNI de visitante. Los visitantes no están autorizados a utilizar dispositivos informáticos electrónicos en dentro de las instalaciones hasta el registro y análisis el área de informática. El servicio de correo electrónico interno es monitoreado permanentemente. La página Web exhibe de una manera clara el Aviso de Privacidad de la empresa, mismo que cumple con todas las disposiciones legales correspondientes.

Controles débiles • •

•

•

•

Para los trabajadores de la empresa, no se tiene control o registro de sus equipos electrónicos de cómputo personales ni de comunicación (telefonía celular) Se carece de una bitácora (física o digital) del uso de los servidores en cuanto a actualizaciones, modificaciones en sus configuraciones, instalación de aplicaciones, remoción de aplicaciones, etc. Cuando una persona deja de laborar en la empresa, no se actualiza la parte correspondiente a sus cuentas de acceso a los sistemas informáticos a los que haya tenido acceso (incluyendo la administración u operación de la página Web) Se carece de una bitácora (física o digital) del uso de los servidores en cuanto a actualizaciones, modificaciones en sus configuraciones, instalación de aplicaciones, remoción de aplicaciones, etc. Los equipos electrónicos de cómputo de las personas que ingresan con cierta frecuencia, en ocasiones ya no son revisados.

III.

Planificar y desarrollar una auditoría de seguridad de la información Selección de controles a utilizar De acuerdo a todo lo encontrado se propone la implementación de por lo menos los siguientes puntos basándonos en el estándar ISO/IEC 27002 (OSTEC, 2022) •

•

•

•

•

•

•

•

•

Políticas de seguridad: o Establecer, desde la Dirección de la empresa, las directrices de seguridad de la información aplicables (incluye una revisión y actualización permanente de la misma) Aspectos organizativos de la seguridad de la información: o Definir una segregación de tareas operativas y técnicas. o Establecer políticas de uso de equipos móviles (tanto personales como los de propiedad de la empresa) Seguridad ligada a los recursos humanos: o Definir de manera clara y precisa los términos y condiciones de la contratación de personal o Definir de manera clara y precisa las responsabilidades de cada trabajador o Establecer procesos disciplinarios o Definir de manera clara y precisa las acciones (administrativas y técnicas) a tomar en caso de cese o cambio de puesto de trabajo. Gestión de activos: o Contar con un inventario de los activos de informática actualizado o Precisar el uso que se le dará a los equipos, en específico a los que sean propiedad de la empresa. o Establecer directrices para una adecuada clasificación de la información que se maneja. Control de accesos: o Implementar un control de acceso (lógico, de preferencia) para los servidores y las aplicaciones que ahí se tengan) o Definir y establecer accesos seguros de inicio de sesión o Establecer políticas para el manejo y actualización de contraseñas de usuario Cifrado: o Definir y establecer políticas de uso de controles criptográficos (en especial en aplicaciones con uso de información personal de alumnos) Seguridad física y ambiental: o Fortalecer el control de acceso a las instalaciones de la empresa o Implementar un control de acceso (físico y lógico) al área de informática Seguridad en la operativa: o Establecer una adecuada gestión de cambios o Procurar tener una separación de entornos de desarrollo, prueba y producción. o Establecer una política de copias de seguridad de la información más estricta y que se cumpla. o Implementar log´s (a nivel administración de aplicaciones y de usuario) Seguridad en las telecomunicaciones: o Definir y establece políticas y procedimientos cuando se realicen intercambios de información con otras empresas o instituciones (gobierno, bancos, etc.) o Definir y establecer acuerdos de confidencialidad (con proveedores, usuarios internos, etc.)

Adquisición, desarrollo y mantenimiento de los sistemas de información: o Contar con licencias actualizadas de todo el software o Establecer mecanismos de control para la protección de las transacciones por redes. o Establecer políticas de desarrollo de software seguro • Gestión de incidentes en la seguridad de la información: o Implementar el análisis estadístico de uso de aplicaciones o Definir y establecer mecanismos para la notificación oportuna de eventos de • seguridad de la información para la toma de decisiones. o Recopilar información de incidentes para aprendizaje • Cumplimiento: o Identificación de la legislación aplicable o Protección de datos y privacidad de la información personal •

Resultados esperados Con la implementación de medidas se espera: • • •

Asegurar un nivel adecuado de disponibilidad de la página web Tener una integridad de datos mínima del 85% en la página web. Aumentar la confianza de los usuarios de la página al implementar los controles de manejo de confidencialidad de datos.

Conclusiones y comentarios En un inicio la página web se ideo para que sea solo informativa pero el crecimiento hizo que se perdiera el control de esta y las medidas para su mejor uso. Se dejo de lado la documentación por ser un desarrollo realizado por la misma empresa esperando el momento idóneo para realizarlo, siendo que solo se ha postergado muchas veces. La falta de medidas de control en esta etapa se debe principalmente a que la estructura organizativa actual del departamento de TI no es eficiente y efectiva surgen todas las necesidades, como la falta de recursos suficientes (humanos y técnicos). Es necesario fortalecer esta área de trabajo, considerando brindar soporte y soporte para todas las funciones principales del mismo. Revisiones y cierres de papeles en el trabajo Los auditores participantes organizaran la información confidencial de tal manera que solo podrán conservar una copia de los resultados y el resto será devuelta o destruida de acuerdo al caso que esta amerite.

IV.

Informe ejecutivo de la auditoría 1) Antecedentes a) Estado actual del sitio web El estado actual del sitio web solo nos demuestra que le faltan muchas cosas por mejorar y que debe ser optimizado de acuerdo a los parámetros minimos de calidad que exigen las métricas internacionales.

2) Presentación de riesgos inherentes del portal web Los riesgos más destacables al portal web son: - El fácil acceso a los entornos del servidor - La poca seguridad del sitio web ante ataques informáticos - La poca integridad de datos al no crear los respaldos de información necesarios.

3) Auditoría de seguridad de la información La auditoría se llevó a cabo solamente en la parte correspondiente a la aplicación de la página Web. (Hardware y Software)

4) Informe ejecutivo de la auditoría Se recomienda la realización inmediata de un análisis detallado de la aplicación de la página Web para una depuración y actualización de la misma, así como la elaboración de la documentación (técnica y operativa) correspondiente. Se considera necesario realizar una evaluación del avance de la implementación de los controles propuestos dentro de 6 meses (considerados a partir de la presentación del presente Informe de Auditoría) Se recomienda la realización de una nueva auditoría a la página Web dentro de 18 meses (contados a partir de la presentación del presente Informe de Auditoría), en la cual se tomen como base las recomendaciones del presente y el resultado de la evaluación del avance de implementación de controles.

V.

Referencias

OSTEC. (05 de 01 de 2022). Obtenido de https://ostec.blog/es/generico/iso-27002-buenas-practicas-gsi/