FACULTAD DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES

LICENCIATURA EN SEGURIDAD INFORMÁTICA

LSI 07 AUDITORÍA DE LA SEGURIDAD INFORMÁTICA

PROYECTO FINAL DE CURSO

LUIS DIEGO ZÚÑIGA MARÍN

CRISTHIAN BERROCAL

FABIÁN SALAS

JAVIER CASTRO

HEREDIA

ABRIL DE 2020
 INTRODUCCIÓN

Los sistemas de información siempre han sido parte importante para los seres

humanos, ya que estos al procesar los datos suministrados, permiten tomar decisiones

importantes para el rumbo de cualquier organización.

Actualmente la gran mayoría de las empresas utilizan algún tipo de sistema de

información que les permita gestionar más eficazmente sus negocios, manejando la

información de forma adecuada. Sin embargo, estos sistemas poseen vulnerabilidades, las

cuales al no ser identificadas y controladas, corren el riesgo de ser aprovechadas generando

pérdidas importantes para las empresas. Para mitigar estas vulnerabilidades existen normas,

estándares y marcos de referencia que permiten minimizar el riesgo de que estas sean

explotadas y es tarea del auditor velar por que estas herramientas se estén utilizando de

forma adecuada. Por lo tanto, en este proyecto simularemos el proceso de auditoría a los

sistemas de información de una empresa dedicada a la venta de x producto, identificando

sus vulnerabilidades y riesgos asociados, realizando una prueba técnica mediante el uso de

una herramienta de software, para posteriormente utilizar la norma ISO/IEC 27001:2013,

para desarrollar un Sistema de Gestión de Seguridad de la Información adecuado.

2
 OBJETIVO GENERAL

Simular un proceso de auditoría mediante el uso de la norma ISO/IEC 27001:2013

para elaborar un diagnóstico sobre el estado de la seguridad de la información de la

empresa x en el mes de agosto del 2020.

OBJETIVOS ESPECÍFICOS

Elaborar el levantamiento de un inventario del equipo informático mediante la

creación de un listado para la identificación de sus vulnerabilidades y riesgos asociados.

Ejecutar un análisis de vulnerabilidades mediante el uso de la herramienta x para la

identificación de las debilidades del sistema informático.

Construir un Sistema de Gestión de Seguridad de la Información mediante el uso de

la norma ISO/IEC 27001:2013 para minimizar el riesgo de explotación de una

vulnerabilidad del sistema informático.

3
La Organización Internacional de Normalización (ISO) es la encargada de la creación de

normas o estándares que tienen el propósito de facilitar las herramientas para la gestión de

diferentes áreas de una organización indiferentemente de su tamaño. Es una organización

no gubernamental que se encuentra presente en 193 países. Fue fundada en 1946 como la

Federación Internacional de Asociaciones de Normalización Nacionales (ISA), que en ese

entonces estaba formada por 65 delegaciones de 25 países con el fin de dialogar sobre el

futuro de la estandarización internacional. Actualmente su sede se encuentra en Ginebra,

Suiza.

Al día de hoy existen alrededor de 22.000 normas ISO, en donde cada una de ellas tiene

como objetivo el normalizar o estandarizar un proceso.

ISO/IEC 27001

Esta norma contiene los requisitos para la implementación de un Sistema de Gestión

de Seguridad de la Información (SGSI), y es la utilizada por los auditores externos para

certificar a las organizaciones que la implementen. En su Anexo A se mencionan los

objetivos de los controles y los controles que son desarrollados profundamente en la norma

4
ISO 27002:2013. Está formada por 114controles distribuidos en 14 secciones las cuales

son:

 Políticas de la Seguridad de la Información.

 Organización de la Seguridad de la Información

 Seguridad de los Recursos Humanos.

 Gestión de los Recursos Humanos.

 Gestión de Activos.

 Gestión de Acceso.

 Criptografía.

 Seguridad Física y del Entono.

 Seguridad de las Operaciones.

 Seguridad de las Comunicaciones.

 Adquisición, desarrollo y mantenimiento de sistemas.

 Relaciones con los proveedores.

 Gestión de Incidentes de Seguridad de la Información.

 Aspectos de Seguridad de la Información de la Gestión de Continuidad de Negocio.

 Cumplimiento.

5
Modelo PHVA

El modelo PHVA (Planear, Hacer, Verificar, Actuar) consiste en un ciclo de mejora

continua, que permite actualizar y mantener un Sistema de Gestión de Seguridad de la

Información en el tiempo.

Está definido por 4 etapas que describimos a continuación:

 Etapa Planear

Esta etapa es el inicio del ciclo, esta consiste en la planeación de las políticas y controles a

utilizar en un Sistema de Gestión de Seguridad de la Información de una organización.

 Etapa Hacer

Después de establecer las políticas y controles a utilizar, lo siguiente es ejecutar las

convirtiéndolo en el objetivo de la etapa hacer.

 Etapa Verificar

Una vez puesto en marcha el Sistema de Gestión de Seguridad de la Información (SGSI) es

recomendable realizar un proceso de verificación, el cual permita verificar que el SGSI

cumple con los objetivos establecidos y si no es así, que facilite la identificación de sus

deficiencias con el objetivo de corregirla o disminuirla.

 Etapa Actuar

Por último en la etapa actuar se toman acciones para eliminar o disminuir las deficiencias

identificadas en la etapa de verificación permitiendo la mejora continua del Sistema de

Gestión de Seguridad de la Información.

6
ISO/IEC 27002

La norma ISO/IEC 27002 por su parte es una guía de buenas prácticas en donde se

describen los objetivos de los controles y controles recomendados para un Sistema de

Gestión de Seguridad de la Información (SGSI).

Según Areitio (2008) Esta norma de la organización ISO-IEC consiste en un

conjunto de recomendaciones que indican acerca de sobre qué medidas tomar en la

empresa para asegurar los Sistemas de Información, está compuesta por objetivos,

los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben

analizar para conseguir un sistema seguro en cada una de las áreas que los agrupa.

Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o

recomendaciones (controles) que son los que en definitiva se aplicarán para la

gestión del riesgo analizado.

Esta formada por 14 dominios, 35 objetivos de control y 114 controles.

7
8
 Sistema de Gestión de Seguridad de la información

En medio de la cuarta revolución industrial, la que han llamado, la era digital, el

orden en el valor de los activos parece ir cambiando drásticamente. Si bien los datos

siempre han sido el número uno de dicha lista, y esa posición sigue sin cambiar (aun

cuando muchos teóricos aseguran que el nuevo activo más importante es la reputación a

nivel empresarial); con la entrada en escena de los sistemas informáticos en el masivo

manejo de la información y las comunicaciones, estos se tornan en elementos intrínsecos

que brindan valor agregado a dicho activo. Se hace, por tanto, imperioso el buen

desempeño de los sistemas tecnológicos que brindan soporte al área de extracción, manejo

y resguardo de la información.

Comprendiendo esto, grupos de expertos reunidos en comités técnicos

internacionales se han encargado de desarrollar normas que estandarizan todos los niveles

de operación empresarial, aglomerando con ello todo lo referente a calidad de productos,

productividad, eficacia y eficiencia, y por supuesto, seguridad de la información, alineada a

las metas empresariales ya definidas y siempre en pro de servir a la continuidad del

negocio; ejemplos de ellas son COBIT, ITIL, ISO 27000, entre otras.

La seguridad de la información entendida como la base para sostener y garantizar la

confidencialidad, disponibilidad e integridad de los datos, lo que se conoce como la triada

de la seguridad, es la base sobre la que se asientan las políticas empleadas por los entes

certificadores. En casos concretos como la norma 27001, abarcan el completo de las

funciones y ciclo de vida de un Sistema de Gestión de Seguridad de la información, como

9
bien describen Estélia, Segadas de Araújo y Kowask (2014) “La norma ISO 27001 está

orientada a establecer, implementar, operar, monitorear, analizar, mantener y mejorar un

Sistema de Gestión de Seguridad de la Información.” (p. 21).

Un sistema de Gestión de Seguridad de la Información, es una metodología básica y

medular en el área de protección de los datos de cualquier organización, debido a que

actualmente las empresas de todo tipo, bancos, dependencias gubernamentales y otras

entidades, son víctimas de múltiples ataques de partes de cibercriminales, activistas,

hackers y hasta adolescentes curiosos. El desarrollo de un SGSI por parte de las

organizaciones se ha vuelto un tema prioritario en aras de la seguridad de la información.

Una definición muy acertada sobre la seguridad de la información, que puede

ayudar a esclarecer mejor la función de un SGSI es la de Pallas (2009) quien acota que:

La seguridad de la información, no es un activo a comprar, ni un fin en sí mismo,

tampoco un estado a alcanzar haciendo una determinada inversión; debe

gestionarse, debe existir una meta concreta, criterios generales de evaluación y de

decisión, y debe poder medirse. Es un sistema dinámico en constante evolución que

debe ser evaluado y monitoreado, con métricas establecidas que permitan comparar

conscientemente y lo más objetivamente posible, escenarios diferentes y tomar

decisiones con respecto a los riesgos que se afrontan y los recursos disponibles (p.

2).

Al tratarse la un SGSI y la seguridad de la información en sí, de un sistema

dinámico, no basta con su correcta implementación, o al menos el trabajo del equipo de

seguridad de la información no acaba ahí. Debe existir un plan de constante evaluación y

10
monitoreo del mismo (como bien indica Pallas), para la posible corrección de riesgos que

se vayan manifestando con el paso del tiempo. Esto se logra con base en métricas que ya

previamente se establecen en las metodologías utilizadas por las auditorías.

Auditoría informática

La auditoría es un examen detallado que se realiza a una entidad con el propósito de

evaluar el grado de eficiencia y eficacia con que se manejan los recursos disponibles y con

que se aplican las metodologías de los sistemas implementados, en el campo de la

seguridad, una auditoría evalúa el desempeño de un SGSI.

Para Acha (1994), podemos entonces definir auditoría informática como el conjunto

de procedimientos y técnicas para evaluar, controlar un sistema informático, con el

fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan

eficientemente y de acuerdo con la normativa informática y general existentes en

cada empresa y para conseguir la eficacia exigida en el marco de la organización

correspondiente.

Como bien describe el autor en el párrafo anterior, el fin de la auditoría informática

no es otro, que proteger los recursos y sobre todo los activos de una organización, para esto

usan como base una normativa estándar de la industria la cual debe estar debidamente

certificada, y sobre todo metódicamente alineada con los objetivos del negocio.

Por su parte el Autor Rivas, G (1989) menciona que: “la Auditoría Informática es el

conjunto de técnicas, actividades procedimientos, destinados a analizar, evaluar,

verificar y recomendar en asuntos relativos a la planificación, control, eficacia,

11
 seguridad y adecuación del servicio informático en la empresa, por lo que

comprende un examen metódico, puntual y discontinuo del servicio informático,

con vistas a mejorar en: rentabilidad, seguridad y eficacia” (p.19).

Como vemos y según el autor, la auditoría tiene como principal objetivo mejorar la

eficacia y seguridad de los activos de la organización, no obstante, también se busca con

ella, garantizar resultados fiables en tiempo, coste y utilidad de un SGSI; Así como mejorar

los procedimientos, planificación y estándares.

Existen varios tipos de auditorías, las cuales básicamente se pueden definir en

función de sus objetivos o en función del personal que la realice.

Auditorías en función de sus objetivos:

 Auditoría financiera.

 Auditoría organizativa.

 Auditoría de gestión.

 Auditoria de Sistemas de Información.

Auditorías en función del personal que le realiza:

 Auditoría interna: Realizada por personal interno.

 Auditoría externa: Esta tiene más credibilidad y funcionalidad.

12
 Un auditor de sistemas de información debe poseer un perfil bastante peculiar, el

cual va desde recursos como el conocimiento tecnológico, facilidad y comprensión para

redactar informes, esto dentro de sus capacidades de auditoría. También debe poseer

cualidades personales como, ser observador y meticuloso, tener equilibrio emocional, cierta

intuición profesional y sobre todo, ser una persona muy dinámica.

Una de las principales obligaciones de un auditor de sistemas de información,

consiste en ser totalmente independiente respecto de la auditoría, se entiende con esto que

debe tener un punto de vista imparcial, que le permita desenvolverse con total objetividad y

justicia, por lo que se aconseja que el mismo sea independiente del área auditada.

Dentro de las principales herramientas de apoyo con que cuenta el auditor para

realizar su trabajo, encontramos: Procesadores de texto, hojas de cálculo, Bases de Datos,

programas estadísticos, Softwares de auditoría. Estos últimos realizan procesos completos

de manera automática con solo un poco de datos y retroalimentación.

13