Asignatura Datos del alumno Fecha

Apellidos: Tovar Valencia

Auditoría de la Seguridad 25-04-2020
Nombre: Orlando

Actividades

Actividad: Realización de un EDR o ROA

Objetivos

El objetivo principal de esta actividad es poner en práctica las actividades que

constituyen todo el proceso de auditoría de una organización, haciendo foco en la
realización de un EDR o ROA. Esto es fundamental porque como auditores de la
seguridad de una organización tenemos que transmitir a la organización en un
formato correcto los hallazgos encontrados en el transcurso de la auditoría.

Descripción del trabajo

Viento en Popa es una empresa dedicada a la planificación de actividades náuticas, así

como a impartir clases teóricas y prácticas de navegación. Ofrece la posibilidad de
obtener la certificación de Patrón de Embarcaciones de Recreo (PER).

Dentro de la estrategia empresarial, se desarrolló como canal de información y venta

un portal web el cual, y de forma somera, consta de dos partes claramente
diferenciadas:

» La zona de Administración desde la cual se gestiona la información relativa a

cursos y alumnos.
» La zona de clientes y alumnos donde el usuario tiene acceso a la información de
Viento En Popa referente a actividades y cursos, y acceso a la parte privada de cada
uno, con la posibilidad de realizar exámenes, descargar temarios y documentación,
etc.
© Universidad Internacional de La Rioja (UNIR)

Con esta información, se trata de que desarrolles los siguientes puntos, sabiendo que
la empresa para dar los servicios ofrecidos en la web puede tener subcontratado un
hosting o disponer en sus instalaciones de esos servidores:

Actividad 1 1
 Asignatura Datos del alumno Fecha
Apellidos: Tovar Valencia
Auditoría de la Seguridad 25-04-2020
Nombre: Orlando

» Planificar y realizar una auditoría basada en riesgos (EDR) del portal web Viento
en Popa. Para ello se debe comenzar con la identificación de riesgos a partir de los
cuales se establezcan objetivos de control, controles, pruebas de cumplimiento y,
si es necesario, pruebas sustantivas.
» Proponer la estructura de un informe dirigido a la Dirección de Viento en Popa,
con los resultados de la Auditoría siguiendo las fases explicadas.

Datos útiles

» Equipo de dos auditores.

» Tiempo estimado del proceso completo 2 meses/hombre.
» La tecnología en la que está desarrollado el portal es Java.

Resumen Ejecutivo

Una de las razones por las cuales se realiza este informe para la empresa VIENTO EN
POPA S.A.S es el garantizar un estricto cumplimiento de lo contemplado en la gestión
de riesgos y en especial mediante la herramienta de Estructura de Desglose de
Riesgos (EDR), que permite identificar los riesgos de todas las áreas de la empresa
objeto de estudio y en especial orientar a la dirección para que los resultados finales,
sean analizados y de estos se generen estrategias para el mejoramiento de los procesos
dentro de la organización, con el fin de reducir los costos de operación, que han
aumentado por la falta de entendimiento en la ejecución en las etapas de los procesos.

Marco Institucional.

Ubicación:

Empresa VIENTO EN POPA S.A.S., Calle muelle (del), S/N - 28902 - Getafe
© Universidad Internacional de La Rioja (UNIR)

(Madrid) – España.

Razón social:

VIENTO EN POPA S.A.S.

Actividad 1 2
 Asignatura Datos del alumno Fecha
Apellidos: Tovar Valencia
Auditoría de la Seguridad 25-04-2020
Nombre: Orlando

NIT 123.456.789-7 (VIENTO EN POPA, 2015)

Actividad económica:

Viento en Popa es una empresa dedicada a la planificación de actividades náuticas, así

como a impartir clases teóricas y prácticas de navegación.

Proceso de gestión de los riesgos del proyecto de

implementación del portal web.

En la tabla 1 “Proceso de gestión de los riesgos de un proyecto”, se observa la

descripción general de los procesos de gestión de los riesgos del proyecto, con su
respectiva descripción y la fuente correspondiente.

Tabla 1. Proceso de gestión de los riesgos de un proyecto.

Después de lo anterior expuesto, es conveniente profundizar un poco por cada

proceso de gestión de los riesgos de un proyecto para este caso la implementación
del portal web, para ello se aborda cada tema de una forma general pero precisa y
© Universidad Internacional de La Rioja (UNIR)

al mismo tiempo concreta. En primera instancia se inicia con planificar la gestión

de los riesgos como se observa en la tabla 1, la cual cuenta con entradas como: plan
para dirección del proyecto, acta de constitución del proyecto, registro de
interesados, factores ambientales de la empresa activos de los procesos de la
organización, Así mismo se encuentran las herramientas y técnicas como: técnicas

Actividad 1 3
 Asignatura Datos del alumno Fecha
Apellidos: Tovar Valencia
Auditoría de la Seguridad 25-04-2020
Nombre: Orlando

analíticas, juicio de expertos y reuniones, y por último en las salidas se evidencia

el plan de gestión de los riesgos.

En esa misma dirección, cabe agregar que existen diversos enfoques para
establecer la categoría de cada riesgo, sin embargo, la Estructura de Desglose de
Riesgos (EDR), según la Guía del PMBOK® quinta edición, afirma lo siguiente:
“Ayuda al equipo del proyecto a tener en cuenta las numerosas fuentes que pueden
dar lugar a riesgos del proyecto en un ejercicio de identificación de riesgos” (PMI,
2013). Además, la estructura de desglose de riesgos (EDR), es una representación
de forma jerárquica de los riesgos mediante la categorización, en la Figura 1 se
observa un ejemplo contemplado en la guía PMBOK®.

Figura 1. Ejemplo de una Estructura de Desglose de Riesgos (EDR).

Fuente: (PMI, 2013)

Estructura de Desglose de Riesgos (EDR).

© Universidad Internacional de La Rioja (UNIR)

A la organización VIENTO EN POPA S.A.S, se le realizó una estructura de desglose

de riesgos detallada con base al diagnóstico de los factores de riesgo que se
encontró mediante una revisión a la documentación de esta empresa, para ello se
utilizó la Estructura de Desglose de Riesgos (EDR), contemplada en los

Actividad 1 4
 Asignatura Datos del alumno Fecha
Apellidos: Tovar Valencia
Auditoría de la Seguridad 25-04-2020
Nombre: Orlando

lineamientos de la Guía del PMBOK® quinta edición, establecidos en el capítulo

en mención, en dicha estructura se plasmaron todos los riesgos categorizando por
departamentos y estableciendo de esta forma responsabilidades por cada
departamento.

Por medio de la descomposición de riesgos EDR, se tiene un mejor y mayor control

de los riesgos que puedan existir en las actividades que se realizan; Por lo tanto, si se
tiene más al detalle las tareas o actividades del proyecto se podrá hacer una estimación
más exacta de los riesgos existentes en las distintas áreas (financieros, tecnológicos y
humanos, etc), siendo fundamental detallar una estructura de desglose tal como se
indica en la Figura 2.

Figura 2. Estructura de Desglose de Riesgos (EDR).

© Universidad Internacional de La Rioja (UNIR)

Fuente: Propia

Actividad 1 5
 Asignatura Datos del alumno Fecha
Apellidos: Tovar Valencia
Auditoría de la Seguridad 25-04-2020
Nombre: Orlando

EDR Genérico: Evaluación de Riesgos (ROA)

Nota: Aunque el EDR expuesto en la figura 2 se basa en toda la empresa para la

actividad solo se tomó el aspecto técnico de la implantación del proyecto del portal
web.

Control 1: Procedimiento copias de seguridad portal web.

Prueba de Cumplimiento:

• Comprobar que existe una tarea para realizar copias de seguridad periódicas
de todos los elementos que conforman el portal web (documentos, imágenes,
etc)
• Verificar si se tiene que realizar copias periódicas de la web, incluida la base
de datos.
• Confirmar si se cuenta con alguna herramienta automatizada para la
generación de copias de seguridad de los archivos y base de datos del
portal.

Prueba Sustantiva:

• Ampliar muestra de backups realizados

Control 2: Protocolo utilizado para proporcionar seguridad (HTTPS y certificado

SSL)

Prueba de Cumplimiento:
© Universidad Internacional de La Rioja (UNIR)

• Comprobar que los canales por los que se transmite información sensible
del portal web. Este cifrando las comunicaciones, adquiriendo un
certificado web de confianza.

Actividad 1 6
 Asignatura Datos del alumno Fecha
Apellidos: Tovar Valencia
Auditoría de la Seguridad 25-04-2020
Nombre: Orlando

• Verificar que al navegar por el portal web se muestra el símbolo del

candado que aparece en el navegador y en el protocolo de transferencia
HTTPS.
• Confirmar que el cifrado SSL para las sesiones de login se encuentra activo.
Es importante que el cifrado se realice durante toda la sesión de login, en
particular durante la autenticación, es decir, cuando se piden las
credenciales y cuando se van a realizar transacciones.

Prueba Sustantiva:

• Ampliar muestra de autenticación y cifrado de las comunicaciones de los

datos sensibles de los usuarios.

Control 3: Procedimiento para mantener el software actualizado

Prueba de Cumplimiento:

• Comprobar si se actualiza periódicamente el gestor de contenidos, sus

complementos.
• Verificar si el software del servidor donde se aloja el portal web es actualizado
constantemente, (parches, antivirus, actualizaciones del sistema operativo,
etc).
• Confirmar si se esta suscrito a un servicio de avisos de seguridad del fabricante
del CMS así como de cualquier otro software que utilices.

Prueba Sustantiva:

• Ampliar la muestra de las actualizaciones del gestor de contenidos y sus

© Universidad Internacional de La Rioja (UNIR)

complementos, además de la actualización del software del servidor deben ser

algunas de las tareas periódicas o puntuales a realizar tanto si la gestión del
portal web.

Actividad 1 7
 Asignatura Datos del alumno Fecha
Apellidos: Tovar Valencia
Auditoría de la Seguridad 25-04-2020
Nombre: Orlando

Control 4: Procedimiento para verificar la actualidad de la técnica del portal

web

Prueba de Cumplimiento:

• Comprobar si existe algún procedimiento para identificar bugs y fallos de

seguridad en el CMS que soporta el portal web.
• Verificar si se pueden automatizar las actualizaciones ya sean con ciertos
plugins y se puede tener el sistema al día y contribuir a la seguridad del
sitio web.
• Confirmar si se cuenta con los ultimas versiones de PHP y MySQL, los
cuales siempre deberían estar al día para no ofrecer ninguna puerta abierta
a los intrusos.

Prueba Sustantiva:

• Ampliar la muestra de las revisiones de la actualización de los

componentes de CMS como de su plataforma que lo soporta (PHP y
MySQL, Apache, etc.)

Control 5: Procedimiento para el alojamiento en servidor externo

Prueba de Cumplimiento:

• Comprobar que el alojamiento contratado con el proveedor disponga de

las medidas de seguridad adecuadas y pactadas.
• Verificar: las cláusulas de confidencialidad:
o Se estipula quién es el encargado del tratamiento de datos si fuera
necesario;
o Incluye acuerdos de nivel de servicio con responsabilidades de
© Universidad Internacional de La Rioja (UNIR)

seguridad
o (copias de respaldo, actualizaciones, auditorías, etc.);
o Establece la propiedad del código fuente.

Actividad 1 8
 Asignatura Datos del alumno Fecha
Apellidos: Tovar Valencia
Auditoría de la Seguridad 25-04-2020
Nombre: Orlando

Prueba Sustantiva:

• Ampliar la muestra de los diferentes tipos de alojamientos (Hosting) que

se ofrecen actualmente.

Control 6: Procedimiento para el control de usuarios por defecto

Prueba de Cumplimiento:

• Comprobar que se han eliminado los usuarios por defecto de las herramientas
y software que soporta el portal web (servidores web, gestores de contenidos,
base de datos, etc).
• Verificar el procedimiento para dar de alta a los usuarios que tienen acceso
al portal web.

Prueba Sustantiva:

• Ampliar la muestra y revisar los usuarios con sus perfiles.

Control 7: Procedimiento para información del usuario.

Prueba de Cumplimiento:

• Comprobar que se aplican las normas de seguridad exigidas por el

gobierno “Colombiano” para el tratamiento de los datos personales de los
clientes.
• Verificar que se obliga a tomar estas medidas de seguridad:
o No recabar más datos de los necesarios;
© Universidad Internacional de La Rioja (UNIR)

o Tomar las medidas de seguridad adecuadas a los datos

(autenticación, control de accesos, control de incidencias,
gestión de soportes, copias de seguridad, etc.);
o Solicitar el consentimiento explícito del usuario, en un lenguaje
claro y conciso, para tratar sus datos personales.

Actividad 1 9
 Asignatura Datos del alumno Fecha
Apellidos: Tovar Valencia
Auditoría de la Seguridad 25-04-2020
Nombre: Orlando

o Contar con una política de cookies.

o Garantizar, indicando cómo ejecutarlos en el aviso legal, los
derechos y otros derechos: limitación del tratamiento,
portabilidad de los datos y a no ser objeto de decisiones
individualizadas automatizadas, incluida la elaboración de
perfiles.

Prueba Sustantiva:

• Ampliar la muestra y revisar los aspectos legales que conllevan a la creación y

puesta en marcha del portal web.

Control 8: Procedimiento para la configuración del CMS.

Prueba de Cumplimiento:

• Comprobar si deben aplicar y verificar las siguientes medidas de seguridad:

o Deshabilitar los módulos que no se utilicen;
o Eliminar el directorio de instalación;
o Cambiar el nombre del usuario «admin» y el prefijo de la base de datos.
o Utilizar CAPTCHA en los formularios (evitar spam);
o Eliminar metadatos de los documentos e imágenes;
o Vigilar los cambios en los contenidos y los accesos al panel de control;
• Verificar si independientemente del gestor de contenidos utilizado, se debe
asegurar que las claves de acceso al panel de control se generan cumpliendo
los criterios de seguridad. Se recomendable:
o Cambiar los nombres y las contraseñas de todos los usuarios por
defecto y deshabilitarlos si no se van a utilizar;
o proteger al administrador (contraseñas fuertes y cambios
© Universidad Internacional de La Rioja (UNIR)

frecuentes de contraseña, doble factor de autenticación, etc.);

o utilizar comunicaciones seguras para administradores y
usuarios.

Actividad 1 10
 Asignatura Datos del alumno Fecha
Apellidos: Tovar Valencia
Auditoría de la Seguridad 25-04-2020
Nombre: Orlando

Prueba Sustantiva:

• Ampliar la muestra de la confuiguracion de los modulos que tiene instalado

el CMS del portal web.

Control 9: Procedimiento de gestión de contraseñas

Prueba de Cumplimiento:

• Comprobar que existe un procedimiento que defina la longitud y robustez de

las password de usuario.
• Verificar en base de datos, cuales usuarios cumplen con la definición de
password robusto.
• Confirmar si se cuenta con una política de contraseñas fuertes y
obligaremos a que se cambien regularmente.

Prueba Sustantiva:

• Ampliar muestra de usuarios que tengan el acceso correctamente definido.

© Universidad Internacional de La Rioja (UNIR)

Actividad 1 11