Fecha 18/04/2023

Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

Auditoria de Sistemas – Controles Internos - Estándares

Nombre y Apellido: Johana Gonzalez

Documento: 43551376

1)Definir Control Interno

El control interno se encarga de controlar diariamente que todas las actividades de sistemas de información sean realizadas
cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección de
Informática, así como los requerimientos legales.

2)Cuáles son los objetivos del Control Interno. Explicar brevemente cada uno

Los objetivos del control interno están directamente relacionados con los objetivos de la organización. Fundamentalmente son
tres tipos:

Objetivos operacionales: Referidos a la eficacia y a la eficiencia de las operaciones de la organización. Incluyen objetivos
relacionados con el rendimiento y la rentabilidad. Se debe buscar que las actividades se desarrollen con el menor esfuerzo y
recursos.

Objetivos financieros: Se refieren a la preparación de los estados financieros y demás información de gestión, así como a la
prevención de la falsificación y a la publicación de la información. La información captada y producida por la contabilidad será
útil si su contenido es confiable y si es presentada oportunamente a los usuarios.

De cumplimiento: Son los referidos al acatamiento de las leyes, la aplicación de instrumentos legales y otras disposiciones
pertinentes. Toda acción emprendida por la organización debe enmarcarse dentro las disposiciones legales del país y debe
cumplir con la normatividad aplicable a la compañía.

Si se logra identificar perfectamente cada uno de los objetivos, se puede decir que una organización conoce el significado de
control interno.

3)Explique brevemente los Controles Internos aplicables a la informática

Los controles internos aplicables a la informática son:

 Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no
autorizados al sistema.
 Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el
registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.
 Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la
recuperación de un archivo dañado a partir de las copias de seguridad.

1 de 2
 Fecha 18/04/2023
Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

COSO (Committee of Sponsoring Organizations of Treadway Commission)

4.1 ¿Qué es el Marco/Informe COSO?

El Informe COSO es un documento que contiene las principales directrices para la implementación y gestión de un sistema de
control interno.

4.2 Explique sus 5 cinco componentes

Sus 5 componentes son:
Ambiente de control: Es el conjunto de normas, procesos y estructuras que proveen las bases para llevar a cabo el Control
Interno a través de la organización.
Evaluación de riesgos: La evaluación de riesgos involucra un proceso dinámico e interactivo para identificar y analizar riesgos
que afectan el logro de objetivos de la entidad, dando la base para determinar cómo los riesgos deben ser administrados.
Actividades de control: Son las acciones establecidas por políticas y procedimientos para ayudar asegurar que las directivas de
la administración para mitigar riesgos al logro de objetivos son llevadas a cabo.
Información y comunicación: La Información es necesaria en la entidad para ejercer las responsabilidades de Control Interno
en soporte del logro de objetivos. La Comunicación ocurre tanto interna como externamente y provee a la organización con la
información necesaria para la realización de los controles diariamente.
Monitoreo: Evaluaciones concurrentes o separadas son utilizada para determinar si cada uno de los componentes del Control
Interno está presente y funcionando. Los hallazgos son evaluados y las deficiencias son comunicadas oportunamente, las
significativas son comunicadas a la alta gerencia y al directorio.

4.3 ¿Cuáles son los 17 Principios con sus Puntos de Enfoque - Atributos?

Los 17 principios son:

 Principio 1: La organización demuestra compromiso con la integridad y valores éticos. Puntos de enfoque:
 Se da el ejemplo.
 Se establecen estándar de conducta.
 Se evalúa la adhesión al estándar de conducta.
 Se tratan los desvíos al standard en forma oportuna.
 Principio 2: El directorio demuestra independencia de la gerencia y vigila el desarrollo y funcionamiento del Control
Interno. Puntos de enfoque:
 El directorio establece sus responsabilidades de supervisión.
 Aplica los conocimientos especializados pertinentes.
 Opera independientemente.
 Supervisa el funcionamiento del sistema de Control Interno.
 Principio 3: La gerencia establece, con la vigilancia del directorio, estructuras, líneas de reporte y una apropiada
asignación de autoridad y responsabilidad para la consecución de los objetivos. Puntos de enfoque:
 Considera todas las estructuras de la entidad.
 Establece líneas de reporte.
 Define, asigna y fija los límites de las autoridades y responsabilidades.
 Principio 4: La organización demuestra compromiso para reclutar, desarrollar y retener individuos competentes en
2 de 2
 Fecha 18/04/2023
Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

función de los objetivos. Puntos de enfoque:

 Establece políticas y prácticas.
 Evalúa competencias y encara las deficiencias detectadas.
 Recluta, desarrolla y retiene capacidades suficientes y competentes.
 Planifica y prepara la sucesión.
 Principio 5: La organización tiene personas responsables por las responsabilidades de Control Interno en función de los
objetivos. Puntos de enfoque:
 Exige el cumplimiento de la rendición de cuentas a través de las estructuras, autoridades y responsabilidades.
 Establece medidas de rendimiento, incentivos y recompensas.
 Evalúa la las medidas del rendimiento, los incentivos y recompensas de acuerdo a la pertinencia de las mismas.
 Considera la presión sobre el logro de objetivos.
 Evalúa el rendimiento y recompensas o la aplicación de medidas disciplinarias.
 Principio 6: La organización define objetivos con la suficiente claridad para permitir la identificación y evaluación de
riesgos relacionados con estos objetivos. Puntos de enfoque:
 Objetivos Operacionales.
 Objetivos de Reporte Financiero externo.
 Objetivos de Reporte no Financiero externo
 Objetivos de Reporte Interno
 Objetivos de Cumplimiento
 Principio 7: La organización identifica riesgos para el logro de sus objetivos a través de la entidad y los analiza como
base para determinar cómo deben ser administrados. Puntos de enfoque:
 Incluye entidad, subsidiaria, división, unidad operativa y funcional.
 Analiza factores internos y externos.
 Involucra a los niveles adecuados de gestión.
 Estima la importancia de los riesgos identificados.
 Determina cómo responder a los riesgos.
 Principio 8: La organización considera la posibilidad de fraude en la evaluación de riesgos para el logro de objetivos
 Considera distintos tipos de fraude. Puntos de enfoque:
 Evalúa incentivos y presiones para cometer fraude.
 Evalúa oportunidades para cometer fraude.
 Evalúa actitudes y racionalizaciones.
 Principio 9: La organización identifica y evalúa cambios que pueden impactar significativamente el sistema de Control
Interno. Puntos de enfoque:
 Evalúa cambios en el contexto.
 Evalúa cambios en el modelo de negocio.
 Evalúa cambios en el liderazgo.
 Principio 10: La organización selecciona y desarrolla actividades de control que contribuyen en la mitigación de riesgos
al logro de objetivos, a un nivel aceptable. Puntos de enfoque:
 Integradas con la Evaluación de Riesgos.
 Consideran factores específicos de la entidad.
 Determinadas por los procesos de negocio relevantes.
 Considera una combinación de distintos tipos de actividades de control. (preventivos y/o detectivos)
 Considera a que nivel aplicar las actividades de control.
 Aborda la separación de funciones. (Registro, autorización, aprobación)

3 de 2
 Fecha 18/04/2023
Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

 Principio 11: La organización selecciona y desarrolla actividades generales de control sobre la tecnología para soportar
el logro de objetivos. Puntos de enfoque:
 Determina la vinculación entre el uso de la tecnología en los procesos de negocio y los controles generales de
tecnología.
 Establece las actividades de control de infraestructura de tecnología pertinentes.
 Establece actividades de control pertinentes sobre los procesos de administración de seguridad.
 Establece actividades de control pertinentes sobre la adquisición, desarrollo y mantenimiento de tecnología.
 Principio 12: La organización implementa actividades de control a través de políticas que establezcan que es esperado y
procedimientos que pongan estas políticas en acción. Puntos de enfoque:
 Establece políticas y procedimientos para soportar la implementación de las directivas de la gerencia.
 Establece responsabilidad y rendición de cuentas por la ejecución de las políticas y procedimientos.
 Desarrolla – las actividades de control – en forma oportuna.
 Toma acciones correctivas.
 Desarrolla - las actividades de control – utilizando personal competente.
 Reevalúa las políticas y los procedimientos.
 Principio 13: La organización obtiene o genera y utiliza información relevante y de calidad para soportar el
funcionamiento del Control Interno. Puntos de enfoque:
 Identifica los requerimientos de información.
 Captura fuentes internas y externas de datos.
 Transforma datos relevantes en información.
 Mantiene la calidad en todo el procesamiento.
 Considera la relación costo beneficio.
 Principio 14: La organización comunica internamente información, incluido objetivos y responsabilidades sobre el
Control Interno, necesaria para soportar el funcionamiento del Control Interno. Puntos de enfoque:
 Comunica la información de Control Interno.
 Comunica entre la administración y el directorio.
 Provee líneas de comunicación separadas.
 Selecciona los métodos de comunicación relevantes.
 Principio 15: La organización comunica a terceros con respecto a asuntos que afectan el funcionamiento del Control
Interno. Puntos de enfoque:
 Comunica a terceras partes.
 Permite canales de comunicación entrantes.
 Comunica con el directorio.
 Provee líneas de comunicación separadas.
 Selecciona los métodos de comunicación relevantes.
 Principio 16: La organización selecciona, desarrolla y realiza evaluaciones concurrentes o separadas para determinar si
los componentes de control interno están presentes y funcionando. Puntos de enfoque:
 Considera una combinación de evaluaciones concurrentes y separadas.
 Considera la tasa de cambio.
 Establece una base de entendimiento.
 Usa personal con conocimiento de lo evaluado.
 Integrada a los procesos de negocio.
 Ajusta el alcance y la frecuencia.
 Evaluaciones objetivas.

4 de 2
 Fecha 18/04/2023
Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

 Principio 17: La organización evalúa y comunica las deficiencias de control interno de manera oportuna a los
responsables de tomar acción correctiva, incluida la alta gerencia y el directorio si correspondiese. Puntos de enfoque:
 Evalúa los resultados de las evaluaciones.
 Comunica las deficiencias.
 Monitorea las acciones correctivas.
4.4 Detalle la aplicación del Principio 11
 Determina la vinculación entre el uso de la tecnología en los procesos de negocio y los controles generales de
tecnología.
o La administración comprehende y determina la dependencia y vinculación entre los procesos de negocios, las
actividades de control automatizadas y los controles generales de tecnología.
 Establece las actividades de control de infraestructura de tecnología pertinentes.
o La administración selecciona y desarrolla actividades de control sobre la infraestructura de tecnología, las que
son diseñadas e implementadas para ayudar a asegurar la integridad, exactitud y disponibilidad de la
tecnología de procesamiento.
 Establece actividades de control pertinentes sobre los procesos de administración de seguridad.
o La administración selecciona y desarrolla actividades de control que son diseñadas e implementadas para
restringir el acceso a la tecnología a usuarios autorizados, adecuados a sus responsabilidades y para proteger
los activos de la entidad de amenazas externas.
 Establece actividades de control pertinentes sobre la adquisición, desarrollo y mantenimiento de tecnología.
o La administración selecciona y desarrolla actividades de control sobre la adquisición, desarrollo y
mantenimiento de tecnología y su infraestructura para alcanzar los objetivos.

COBIT 2019 (Control Objetives for Information and Related Technology)

5.1 Para que se utiliza el Framework COBIT

El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a
todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el
proceso

5.2 Listar los Objetivos de Gobierno y Gestión

5.3 Explicar los Objetivos de Gestión:

 MEA02: Gestionar el Sistema de Control Interno: El proceso MEA02 Supervisar, evaluar y valorar el sistema de control
interno de COBIT 5 facilita a los directivos cómo valorar si los controles son adecuados para satisfacer los requisitos de
conformidad.

 DSS05: Gestionar los Servicios de Seguridad: Su objetivo es proteger la información de la empresa para mantener
aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y
mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad.

ISO/IEC 27000
5 de 2
 Fecha 18/04/2023
Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

6.1 ¿Cuál es el Objeto de Aplicación de la norma ISO/IEC 27001?

Especifica los requerimientos necesarios para implantar y gestionar un Sistema de Gestión de Seguridad de la Información
(SGSI). Esta norma es certificable. La norma ISO/IEC 27001 establece un marco para la gestión de la seguridad de la
información, que incluye la identificación de riesgos, la implementación de controles de seguridad y la evaluación continua del
SGSI. La implementación de esta norma permite a las organizaciones proteger sus activos de información, minimizar el riesgo
de incidentes de seguridad y mejorar la confianza de los clientes y partes interesadas en la gestión de la seguridad de la
información de la organización.

6.2 ¿Para que se utiliza la ISO/IEC 27002?

ISO/IEC 27002 es un estándar internacional utilizado como referencia para los controles al implementar un Sistema de Gestión
de Seguridad de la Información, incorporando controles de acceso a datos, control criptográfico de datos confidenciales y
administración de claves.

6.3 Que se incorpora con la nueva revisión de la norma ISO/IEC 27002:2022

ISO 27002 (y el Anexo A de ISO 27001) contenía 114 controles, divididos en 14 capítulos. Esto ha sido reestructurado, la versión
2022 ahora contiene 93 controles, divididos en 4 capítulos:
 5. Organizacional (37 controles)
 6. Personas (8 controles)
 7. Físico (14 controles)
 8. Tecnológico (34 controles)

Si bien algunos controles parecen haberse fusionado, otros parecen nuevos y pueden requerir algunos ajustes en su
implementación existente. En total de los 93 controles actuales: 58 se han actualizado, 24 representan la fusión de controles
anteriores y 11 se han introducido como nuevos controles.
La actualización a ISO 27002:2022 incorpora 11 nuevos controles:
 Inteligencia de amenazas.
 Seguridad de la información en la nube.
 Continuidad de negocio
 Seguridad física y su supervisión.
 Configuración.
 Eliminación de la información.
 Encriptación de datos.
 Prevención de fugas de datos.
 Seguimiento y monitoreo.
 Filtrado web.
 Codificación segura.

6.4 Explique el Control 9.2.6 Retirada o Reasignación de los Derechos de Acceso

Control
Los derechos de acceso de todos los empleados y terceras partes, a la información y a los recursos de tratamiento de la

6 de 2
 Fecha 18/04/2023
Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

información deberían ser retirados a la finalización del empleo, del contrato o del acuerdo, o ajustados en caso de cambio.

Guía de implantación
Tras la finalización del empleo, los derechos de acceso de un individuo a la información y activos asociados con los recursos de
tratamiento de la información y servicios deberían eliminarse o suspenderse. Esto determinará si es necesaria la eliminación de
los derechos de acceso. Los cambios en el empleo deberían tener reflejo en la eliminación de todos los derechos de acceso que
no fueran aprobados para el nuevo trabajo. Los derechos de acceso que deberían ser eliminados o ajustados incluyen tanto los
de acceso físico como lógico. La eliminación o el ajuste puede hacerse eliminando, revocando o reemplazando claves, tarjetas
de identificación, recursos de tratamiento de la información o subscripciones. Cualquier documentación que identifique los
derechos de acceso de empleados y de contratistas debería reflejar la eliminación o ajuste de derechos de acceso. Si se conoce
que el empleado o el usuario de una tercera parte que deja el puesto, posee contraseñas para identificadores de usuario que
queden activos, estos deberían cambiarse tras la finalización o cambio en el contrato o acuerdo de trabajo

Ejemplo con 2 situaciones para comprender el control:

1. Caso Irse de la organización: Si yo dejo la empresa, me deben retirar todos los derechos de acceso a toda la
información, a los sistemas informáticos, acceso de manera física a las instalaciones, al espacio de trabajo, hacia el
equipo de computo en caso de que haya sido asignado (Por eso dice tanto a la información y a los recursos de
tratamiento de la información). Entonces, cuando finaliza mi empleo (es decir, si estoy trabajando y se da por
terminada la relación laboral) la organización tiene que verificar que sea removido todos los derechos de acceso.
(Retirada de los derechos de acceso).
2. Cambio de puesto de trabajo: Si me cambian de puesto de trabajo, también me deben retirar todos los privilegios a los
cuales tenia acceso a ciertas áreas. Por ejemplo, ahora soy docente y tengo acceso al sistema de la universidad, a toda
la parte de docencia, mis materias, mis alumnos. Si cambio a un puesto diferente al que tengo , por ejemplo director de
escuela, entonces mi nivel de acceso y mis contraseñas tanto del sistema de información que manejo como del equipo
de computo deben de ser actualizados, ya no debo ingresar a los espacios de trabajo donde me encontraba antes.
(Reasignación de derechos de acceso).
NIST
7.1 Explique la serie NIST SP-800

El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia no reguladora que promueve la innovación mediante el
fomento de la ciencia, los estándares y la tecnología de la medición.

La serie NIST SP 800 es un conjunto de documentos de libre descarga que se facilita desde el gobierno federal de los estados
unidos, que describe las políticas de seguridad informática, procedimientos y directrices, que son publicadas por el Instituto
Nacional de Estándares y Tecnología, que contiene 130 documentos.

7.2 Catálogo de controles de SP-800-53 del NIST, Revisión 4 o 5

Catalogo de controles: [Link]
version=5.1

OWASP (Open Web Application Security Project)

8.1 ¿Qué es OWASP?

7 de 2
 Fecha 18/04/2023
Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

El Open Web Application Security Project (OWASP), es una organización internacional sin ánimo de lucro dedicada a la
seguridad de las aplicaciones web y está dedicado a la búsqueda y la lucha contra las vulnerabilidades en el software.

8.2 Explicar el Control “C6: Implement Digital Identity” en OWASP Proactive Controls v 3.0
La identidad digital es la representación única de un usuario (u otro sujeto) cuando participa en una transacción en línea. La
autenticación es el proceso de verificar que una persona o entidad es quien dice ser. La gestión de sesiones es un proceso
mediante el cual un servidor mantiene el estado de autenticación de los usuarios para que el usuario pueda continuar usando
el sistema sin volver a autenticarse. A continuación, se presentan algunas recomendaciones para una implementación segura.

Niveles de autenticación
NIST 800-63b describe tres niveles de garantía de autenticación denominados nivel de garantía de autenticación (AAL). El nivel
1 de AAL está reservado para aplicaciones de menor riesgo que no contienen PII u otros datos privados. En el nivel 1 de AAL,
solo se requiere la autenticación de un solo factor, normalmente mediante el uso de una contraseña.

Nivel 1:
Contraseñas
Las contraseñas son realmente muy importantes. Necesitamos una política, necesitamos almacenarlos de forma segura, a
veces necesitamos permitir que los usuarios los restablezcan. Las contraseñas deben cumplir como mínimo con los siguientes
requisitos:
 Tener al menos 8 caracteres de longitud si también se utilizan la autenticación multifactor (MFA) y otros controles. Si
MFA no es posible, esto debe aumentarse a al menos 10 caracteres.
 Todos los caracteres ASCII de impresión, así como el carácter de espacio, deben ser aceptables en los secretos
memorizados.
 Fomentar el uso de contraseñas y frases de contraseña largas
 Eliminar los requisitos de complejidad, ya que se ha determinado que tienen una eficacia limitada. En su lugar, se
recomienda la adopción de MFA o contraseñas más largas.
 Asegúrese de que las contraseñas utilizadas no sean contraseñas de uso común que ya se hayan filtrado en un
compromiso anterior. Puede elegir bloquear las 1000 o 10000 contraseñas más comunes que cumplan con los
requisitos de longitud anteriores y se encuentren en listas de contraseñas comprometidas.

MFA: La autenticación multifactor (MFA) agrega una capa de protección al proceso de inicio de sesión. Cuando se accede a una
cuenta o aplicación, los usuarios deben pasar por una verificación de identidad adicional; por ejemplo, tienen que escanear su
huella digital o especificar un código que reciben en su teléfono.

Implementar un mecanismo seguro de recuperación de contraseña

Es común que una aplicación tenga un mecanismo para que un usuario obtenga acceso a su cuenta en caso de que olvide su
contraseña. Un buen flujo de trabajo de diseño para una función de recuperación de contraseña utilizará elementos de
autenticación de múltiples factores. Por ejemplo, puede hacer una pregunta de seguridad, algo que saben, y luego enviar un
token generado a un dispositivo, algo que les pertenece.

Implementar almacenamiento seguro de contraseñas

Para proporcionar controles de autenticación sólidos, una aplicación debe almacenar de forma segura las credenciales de los
usuarios. Además, se deben implementar controles criptográficos de modo que si una credencial (por ejemplo, una contraseña)
se ve comprometida, el atacante no tenga acceso inmediato a esta información.
8 de 2
 Fecha 18/04/2023
Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

Nivel 2:
Autenticación multifactor
En el nivel 2 de AAL, se requiere autenticación multifactor, incluida OTP u otras formas de implementación multifactor.

La autenticación multifactor (MFA) garantiza que los usuarios sean quienes dicen ser al exigirles que se identifiquen con una
combinación de:
 Algo que sepa: contraseña o PIN
 Algo que posees: token o teléfono
 Algo que eres: datos biométricos, como una huella digital
El uso de contraseñas como único factor proporciona una seguridad débil. Las soluciones multifactor proporcionan una
solución más robusta al requerir que un atacante adquiera más de un elemento para autenticarse con el servicio.

Vale la pena señalar que la biometría, cuando se emplea como factor único de autenticación, no se considera un secreto
aceptable para la autenticación digital. Se pueden obtener en línea o tomando una fotografía de alguien con la cámara de un
teléfono (p. ej., imágenes faciales) con o sin su conocimiento, extrayéndolas de objetos que alguien toque (p. ej., huellas
dactilares latentes) o capturadas con imágenes de alta resolución (p. ej., iris patrones). La biometría debe usarse solo como
parte de la autenticación de múltiples factores con un autenticador físico (algo de su propiedad). Por ejemplo, acceder a un
dispositivo de contraseña de un solo uso (OTP) de múltiples factores que generará una contraseña de un solo uso que el
usuario ingresa manualmente para el verificador.

Nivel 3:
Autenticación basada en criptografía
El nivel de garantía de autenticación 3 (AAL3) se requiere cuando el impacto de los sistemas comprometidos podría provocar
daños personales, pérdidas financieras significativas, dañar el interés público o involucrar violaciones civiles o penales. AAL3
requiere una autenticación "basada en la prueba de posesión de una clave a través de un protocolo criptográfico". Este tipo de
autenticación se utiliza para lograr el nivel más alto de garantía de autenticación. Esto normalmente se hace a través de
módulos criptográficos de hardware.

Gestión de sesiones
Una vez que se ha llevado a cabo la autenticación inicial exitosa del usuario, una aplicación puede optar por rastrear y
mantener este estado de autenticación durante un período de tiempo limitado. Esto permitirá que el usuario continúe usando
la aplicación sin tener que volver a autenticarse con cada solicitud. El seguimiento de este estado de usuario se denomina
Gestión de sesión.

Generación y vencimiento de sesiones

El estado del usuario se rastrea en una sesión. Esta sesión generalmente se almacena en el servidor para la administración
tradicional de sesiones basada en la web. A continuación, se proporciona un identificador de sesión al usuario para que pueda
identificar qué sesión del lado del servidor contiene los datos de usuario correctos. El cliente solo necesita mantener este
identificador de sesión, que también mantiene los datos confidenciales de la sesión del lado del servidor fuera del cliente.

Estos son algunos controles que se deben tener en cuenta al crear o implementar soluciones de administración de sesiones:
 Asegúrese de que la identificación de la sesión sea larga, única y aleatoria.
 La aplicación debe generar una nueva sesión o al menos rotar la identificación de la sesión durante la autenticación y la
9 de 2
 Fecha 18/04/2023
Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

Re autenticación.
 La aplicación debe implementar un tiempo de inactividad después de un período de inactividad y una vida útil máxima
absoluta para cada sesión, luego de lo cual los usuarios deben volver a autenticarse. La duración de los tiempos de
espera debe ser inversamente proporcional al valor de los datos protegidos.

Cookies del navegador

Las cookies del navegador son un método común para que las aplicaciones web almacenen identificadores de sesión para
aplicaciones web que implementan técnicas estándar de administración de sesiones. Aquí hay algunas defensas a tener en
cuenta al usar las cookies del navegador.

Cuando las cookies del navegador se utilizan como mecanismo para rastrear la sesión de un usuario autenticado, deben ser
accesibles para un conjunto mínimo de dominios y rutas y deben etiquetarse para que caduquen en el período de validez de la
sesión o poco después.
El indicador "seguro" debe establecerse para garantizar que la transferencia se realice solo a través de un canal seguro (TLS).
El indicador “HttpOnly” debe establecerse para evitar que se acceda a la cookie a través de JavaScript.
Agregar atributos de "mismo sitio" a las cookies evita que algunos navegadores modernos envíen cookies con solicitudes entre
sitios y brinda protección contra la falsificación de solicitudes entre sitios y ataques de fuga de información.

Tokens
Las sesiones del lado del servidor pueden ser limitantes para algunas formas de autenticación. Los "servicios sin estado"
permiten la administración del lado del cliente de los datos de la sesión con fines de rendimiento, por lo que el servidor tiene
menos carga para almacenar y verificar la sesión del usuario. Estas aplicaciones "sin estado" generan un token de acceso de
corta duración que se puede utilizar para autenticar la solicitud de un cliente sin enviar las credenciales del usuario después de
la autenticación inicial.

JWT (tokens web JSON)

JSON Web Token (JWT) es un estándar abierto (RFC 7519) que define una forma compacta y autónoma de transmitir
información de forma segura entre las partes como un objeto JSON. Esta información se puede verificar y confiar porque está
firmada digitalmente. Se crea un token JWT durante la autenticación y el servidor (o servidores) lo verifica antes de cualquier
procesamiento.

Sin embargo, los JWT a menudo no son guardados por el servidor después de la creación inicial. Los JWT generalmente se crean
y luego se entregan a un cliente sin que el servidor los guarde de ninguna manera. La integridad del token se mantiene
mediante el uso de firmas digitales para que un servidor pueda verificar más tarde que el JWT sigue siendo válido y no fue
manipulado desde su creación. Este enfoque no tiene estado y es portátil en la forma en que las tecnologías de cliente y
servidor pueden ser diferentes y aún así interactuar.

Cloud Security Alliance (CSA)

9.1 Cuál es el propósito de CSA

Cloud Security Alliance (CSA) es una organización sin ánimo de lucro que tiene por objetivo "promover el uso de las mejores
prácticas para ofrecer garantías de seguridad en Cloud Computing, y proporcionar educación sobre los usos de la computación
en la nube para ayudar a asegurar todas las otras formas de informática".
10 de
2
 Fecha 18/04/2023
Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

9.2 Explicar el Domain 7 Infrastructure Security según el Cloud Security Alliance’s Security Guidance for Critical Areas of
Focus in Cloud Computing

La seguridad de la infraestructura es la base para operar de forma segura en la nube. “Infraestructura” es

el pegamento de las computadoras y las redes sobre las que construimos todo. A los efectos de este
Orientación, comenzamos con la seguridad informática y de redes, que también abarcan la carga de trabajo y
nube híbrida.

La seguridad de la infraestructura abarca las capas más bajas de seguridad, desde las instalaciones físicas hasta
la configuración del consumidor y la implementación de los componentes de la infraestructura. Estos son
los componentes fundamentales de los que se construye todo lo demás en la nube, incluida la computación
(carga de trabajo), redes y seguridad de almacenamiento.
Para los propósitos de la Guía CSA, nos estamos enfocando en aspectos de infraestructura específicos de la nube.
seguridad. Ya existen cuerpos de conocimiento increíblemente sólidos y estándares de la industria para los datos.
centro de seguridad al que deben hacer referencia los proveedores de nube y las implementaciones de nube privada. Considera
esto
Orientación una capa encima de esos materiales extensos y ampliamente disponibles. Específicamente, este Dominio
analiza dos aspectos: consideraciones de nube para la infraestructura subyacente y seguridad para virtual
Redes y cargas de trabajo.

NIST Cybersecurity Framework

10.1 Describir las 5 funciones fundamentales.

Las 5 funciones fundamentales son:

Identificar: Las actividades en la función de identificación son fundamentales para el uso eficaz de la estructura. Comprender el
contexto empresarial, los recursos que respaldan funciones, y los riesgos de seguridad cibernética relacionados permiten a una
organización enfocarse y priorizar sus esfuerzos, en conjunto con su estrategia de gestión de riesgos y las necesidades del
negocio.

Proteger: La función de protección admite la capacidad de limitar o contener el impacto de un posible evento de
ciberseguridad.

Detectar: Consiste en desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un
evento de ciberseguridad. La función de detección permite el descubrimiento oportuno de eventos de ciberseguridad.

Responder: Desarrollar e implementar las actividades apropiadas para tomar acción con respecto a un evento de seguridad
cibernética detectado. La función de respuesta admite la capacidad de contener el impacto de un evento potencial evento de
ciberseguridad.

Recuperar: Consiste en desarrollar e implementar las actividades apropiadas para mantener los planes de resiliencia y para
restaurar cualquier capacidad o servicio que se vio afectado debido a un evento de ciberseguridad. La función de recuperación
admite la recuperación oportuna a las operaciones normales para reducir el impacto de un evento de ciberseguridad.
11 de
2
 Fecha 18/04/2023
Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

10.2 Cuales son controles de Ciberseguridad (CCS) NIST recomendados

Controles de Ciberseguridad (CSS) NIST recomendados

Numer Control Objetivo
o
Inventario de Dispositivos Autorizados y no Gestionar activamente todos los dispositivos hardware en la red, de forma que
CCS1
Autorizados solo los dispositivos autorizados tengan acceso a la red.
Inventario de Software Autorizado y no Gestionar activamente todo el software en los sistemas, de forma que solo se
CCS2
Autorizado pueda instalar y ejecutar software autorizado.
Establecer una configuración base segura para dispositivos móviles, portátiles,
Configuraciones Seguras de Software y
equipos de sobremesa y servidores, y gestionarlas activamente utilizando un
CCS3 Hardware para Dispositivos Móviles, Portátiles,
proceso de gestión de cambios y configuraciones riguroso, para prevenir a los
Equipos de Escritorio y Servidores
atacantes explotar servicios y configuraciones vulnerables.
Disponer un proceso continuo para obtener información sobre nuevas
Proceso Continuo de Identificación Y
CCS4 vulnerabilidades, identificarlas, remediarlas y reducir la ventana de
Remediación de Vulnerabilidades
oportunidad a los atacantes.
Desarrollar procesos y utilizar herramientas para identificar, prevenir y
CCS5 Control sobre Privilegios Administrativos corregir el uso y configuración de privilegios administrativos en ordenadores,
redes y aplicaciones.
Mantenimiento, Monitorización y Análisis de Recoger, gestionar y analizar logs de eventos que pueden ayudar a detectar,
CCS6
LOGs de Auditoría entender o recuperarse de un ataque.
Protección del Correo Electrónico y del Minimizar la posibilidad de que los atacantes manipulen a los empleados a
CCS7
Navegador través de su interacción con el correo electrónico y el navegador.
Evitar la instalación, difusión y ejecución de código malicioso en distintos
Defensas Contra el Malware Avanzado de
CCS8 puntos, al tiempo que se fomenta la automatización para permitir una
Correo Electrónico y del Navegador
actualización rápida en la defensa, recopilación de datos y la corrección.
Limitar y Controlar los Puertos de Red, Gestionar el uso de puertos, protocolos y servicios en los dispositivos que
CCS9
Protocolos y Servicios tengan red para reducir las vulnerabilidades disponibles a los atacantes.
Disponer procesos, metodologías y herramientas adecuadas para respaldar la
CCS10 Capacidad de Recuperación de Datos
información crítica y realizar pruebas de recuperación.
Establecer una configuración base para los dispositivos de infraestructura de
Configuraciones Seguras de Dispositivos de red, y gestionarlas activamente utilizando un proceso de gestión de cambios y
CCS11
Red (Firewalls, Routers y Switches) configuraciones riguroso, para prevenir a los atacantes explotar servicios y
configuraciones vulnerables.
Desarrollar una estrategia para detectar, prevenir y corregir los flujos de
CCS12 Defensa Perimetral transmisión de información entre redes de distintos niveles de seguridad
(confianza).
Disponer de procesos y herramientas adecuadas para prevenir la fuga de
información, mitigar los efectos cuando se ha producido un incidente de fuga
CCS13 Protección de los Datos
de información, y asegurar la confidencialidad e integridad de la información
sensible.
El acceso a los activos críticos debe realizarse de acuerdo a una definición
formal de que personas, sistemas y aplicaciones tienen la necesidad y el
Acceso Basado en la Necesidad de Conocer
CCS14 derecho de acceso. Los procesos y herramientas utilizadas en el seguimiento,
(Need to Know)
protección y corrección de estos accesos deben estar alineados con las
definiciones.
Disponer de procesos y herramientas para garantizar una seguridad adecuada
CCS15 Control de Acceso Wireless en las redes Wifi y en los sistemas clientes, incluyendo seguimiento y
corrección de las medidas de seguridad.
12 de
2
 Fecha 18/04/2023
Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

Gestionar activamente el ciclo de vida de las cuentas de sistema y de

Control y Monitorización de Cuentas de
CCS16 aplicación (creación, uso, inactividad y borrado) para reducir su utilización por
Sistema
parte de un atacante.
Identificar los conocimientos específicos, habilidades y capacidades necesarias
Verificación de las Habilidades de Seguridad y en la organización para la defensa de los activos críticos de la compañía, y
CCS17
Formación Adecuada desarrollar y evaluar un plan para identificar gaps y remediar con políticas,
formación y programas de sensibilización.
Gestionar el ciclo de vida de todas las aplicaciones, tanto las desarrolladas
Seguridad en el Ciclo de Vida de las
CCS18 internamente como las de proveedores para prevenir, detectar y corregir
Aplicaciones
vulnerabilidades técnicas.
Proteger la información y la reputación de la organización desarrollando e
implementando una infraestructura de respuesta a incidentes para detectar un
CCS19 Gestión y Respuesta a Incidentes
ataque, contener el daño de forma efectiva, expulsar al atacante, y restaurar la
integridad de los sistemas y la red.
Probar las defensas de la organización (tecnología, procesos y personas)
Realizar Test de Penetración y Ejercicios de
CCS20 mediante la simulación de un ataque, utilizando sus mismas acciones y
Ataque
objetivos.

13 de
2
 Fecha 18/04/2023
Auditoria y Peritaje
Versión 1
Informático
Revisión 0

Código AuditoriaPeritaje-P03-2023

14 de
2