TAREA/ACTIVIDAD

A10 – Guías de auditoría. En base a la unidad 3

8CM80 - Equipo: #4

Camargo Pacheco Karen Abigail

Gutiérrez Hernández Fernando

Medina Alarcón Marisol

Nieves Solís Edgar Ovan

Reyes Flores Jesús Gustavo

INSTITUTO POLITÉCNICO NACIONAL (IPN)

Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias Sociales y

Administrativas (UPIICSA)

Auditoria De Seguridad

Sandoval González Víctor L.

29 de mayo de 2025
 ÍNDICE

Introducción..................................................................................................................... 1
Propósito ......................................................................................................................... 2
Desarrollo ........................................................................................................................ 3
1. ¿Qué Es La Evaluación Del Riesgo En Ciberseguridad? ....................................... 3
2.- Auditoría De Programas De Amenazas ................................................................ 5
3.- Relación Entre Evaluación De Riesgos Y Auditoría .............................................. 7
4.- Retos Comunes En La Evaluación Y Auditoría De Seguridad ............................... 8
5.- Buenas Prácticas Recomendadas ....................................................................... 9
Referencias ................................................................................................................... 14
 INTRODUCCIÓN

En la actualidad, el avance acelerado de las tecnologías de la información y la creciente

dependencia digital de las organizaciones han generado un entorno altamente
vulnerable frente a amenazas informáticas. La protección de los activos digitales se
ha convertido en una prioridad estratégica, y en este contexto, la auditoría de
seguridad informática juega un papel fundamental para garantizar la integridad,
confidencialidad y disponibilidad de la información.

Esta actividad tiene como eje central el análisis de las guías de auditoría desde la
perspectiva de la evaluación de riesgos y los programas de amenazas, en el marco
de la ciberseguridad. Se abordan conceptos clave como criptografía, arquitectura
de software segura y la implementación de ambientes de pruebas de penetración
(pentesting), los cuales constituyen pilares esenciales para el diagnóstico,
prevención y respuesta ante incidentes.

Mediante un enfoque estructurado y el uso de marcos de referencia como NIST, ISO/IEC

27000, FAIR y COBIT, se pretende identificar debilidades en los sistemas y evaluar
la eficacia de los controles implementados. Además, se destacan herramientas
tecnológicas como los sistemas de detección y prevención de intrusos (IDS/IPS),
las plataformas SIEM y las metodologías de análisis de vulnerabilidades, que
permiten establecer mecanismos proactivos de protección.

1|Página
 PROPÓSITO

El propósito de esta actividad es desarrollar una comprensión integral sobre la importancia

de las guías de auditoría dentro de un entorno de ciberseguridad, enfocándose en
la evaluación de riesgos y la verificación de programas de amenazas. Se busca que
los participantes sean capaces de identificar vulnerabilidades, analizar amenazas
emergentes y aplicar metodologías de control y mejora continua que garanticen la
protección de la infraestructura digital de una organización.

Asimismo, se pretende fomentar la capacidad crítica y analítica del estudiante para

interpretar el estado actual de la seguridad en entornos tecnológicos, proponiendo
medidas correctivas y preventivas basadas en estándares internacionales. A través
del estudio de componentes técnicos y organizativos, como la criptografía aplicada,
las arquitecturas seguras de software y los entornos de pentesting, se fortalece el
perfil profesional del auditor en seguridad informática, con un enfoque orientado a
la eficiencia, legalidad y resiliencia ante ciberataques.

2|Página
 DESARROLLO

3.2.4. Evaluación del Riesgo en Ciberseguridad y Auditoría de Programas de

Amenazas

1. ¿Qué es la Evaluación del Riesgo en Ciberseguridad?

La evaluación de riesgos de ciberseguridad es un proceso sistemático y continuo que

permite identificar, analizar y valorar las amenazas y vulnerabilidades que pueden
afectar la confidencialidad, integridad y disponibilidad de la información en una
organización.

Su objetivo principal es entender los riesgos potenciales que enfrenta una infraestructura
digital, para posteriormente aplicar medidas de control proporcionales al nivel de
amenaza. La evaluación de riesgos proporciona un mapa claro de exposición,
permitiendo que los recursos se dirijan de forma eficiente.

Principales conceptos:

• Amenaza: Cualquier circunstancia, entidad o evento con el potencial de

causar daño mediante el aprovechamiento de una vulnerabilidad. Por
ejemplo: un cibercriminal, un error humano, o un desastre natural.

• Vulnerabilidad: Debilidad o fallo en un sistema, proceso o control que puede

ser explotado por una amenaza. Ejemplos comunes incluyen sistemas sin
parches de seguridad, configuraciones incorrectas o protocolos de
autenticación débiles.
• Impacto: Grado de daño que podría causar una amenaza si se materializa.
Puede traducirse en pérdidas económicas, interrupción del negocio, filtración
de datos confidenciales o daño reputacional.
• Probabilidad: Es la posibilidad de que una amenaza explote una
vulnerabilidad y cause un incidente. Se puede estimar mediante estadísticas
históricas, análisis experto o evaluaciones probabilísticas.

3|Página
Pasos clave en el proceso:

1. Identificación de activos:

Consiste en elaborar un inventario detallado de los activos de información

críticos para la organización. Esto incluye sistemas, aplicaciones, bases de
datos, redes, servidores, y datos sensibles. Se clasifican según su valor,
confidencialidad, integridad y disponibilidad.

2. Identificación de amenazas:

Se analizan los posibles agentes o eventos que pueden explotar

vulnerabilidades. Estas amenazas pueden ser internas (empleados
negligentes o malintencionados) o externas (malware, ransomware, phishing,
ataques DDoS, ingeniería social, ciberespionaje, etc.).

3. Identificación de vulnerabilidades:

Se detectan debilidades técnicas o de procesos que podrían ser

aprovechadas por las amenazas. Ejemplos comunes incluyen sistemas sin
parches de seguridad, contraseñas débiles, configuraciones incorrectas, falta
de cifrado o insuficiente control de accesos.

4. Evaluación de impacto:

Se determina el posible daño si una amenaza concreta llega a materializarse.

Esto abarca pérdidas económicas directas, afectaciones a la reputación de
la empresa, interrupciones operativas, pérdida de datos sensibles y
sanciones legales o regulatorias.

5. Estimación de probabilidad:

Se evalúa qué tan probable es que cada amenaza se concrete, basándose

en estadísticas históricas, experiencias anteriores, tendencias del sector o
simulaciones de escenarios. Esto puede hacerse de forma cualitativa o
cuantitativa.

6. Determinación del riesgo:

4|Página
 Se calcula el nivel de riesgo como la combinación entre la probabilidad de
ocurrencia y el impacto estimado. Se clasifica como bajo, medio, alto o crítico,
y sirve para priorizar acciones.

7. Documentación y priorización de riesgos:

Finalmente, se documentan todos los riesgos identificados y se elaboran

matrices de riesgo o mapas de calor para visualizarlos. Esto permite priorizar
la asignación de recursos y definir planes de mitigación según la criticidad de
cada riesgo.

Normas y metodologías relevantes:

• NIST SP 800-30 Rev. 1: Proporciona un enfoque estructurado para el análisis

del riesgo.

• ISO/IEC 27005: Marco internacional para la gestión del riesgo de seguridad.

• OCTAVE: Evalúa riesgos a partir de activos críticos y condiciones

organizacionales.

• FAIR: Factor Analysis of Information Risk. Modelo cuantitativo basado en

métricas.

2.- Auditoría de Programas de Amenazas

Los programas de amenazas cibernéticas son estructuras organizativas

compuestas por políticas, procedimientos, herramientas y personal
especializado cuya finalidad es proteger los activos digitales ante amenazas
emergentes. Estos programas tienen una orientación preventiva, reactiva y
de mejora continua, y constituyen uno de los pilares fundamentales de
cualquier estrategia de ciberseguridad.

5|Página
Funciones principales de un programa de amenazas:

• Supervisar continuamente la infraestructura de TI:

Implica un monitoreo constante de redes, servidores, aplicaciones y dispositivos,

para detectar comportamientos anómalos o señales de posibles incidentes.
Se utilizan herramientas como SIEM, análisis de tráfico y reglas de
correlación.

• Identificar ataques en tiempo real:

A través del uso de tecnologías como sistemas de detección de intrusos (IDS) y de

prevención de intrusos (IPS), así como herramientas de análisis basadas en
inteligencia artificial, se busca detectar amenazas antes de que causen daño.

• Coordinar una respuesta rápida y efectiva:

Se incluyen planes de respuesta a incidentes que definen protocolos claros sobre

qué hacer, quién debe actuar y qué recursos deben movilizarse ante un
incidente. Esto reduce el impacto y acelera la recuperación.

• Cumplir con normativas y marcos regulatorios:

Las organizaciones deben alinear sus programas con regulaciones como el GDPR
(protección de datos en Europa), PCI DSS (seguridad en transacciones de
tarjetas de crédito) y HIPAA (seguridad en salud en [Link].). El cumplimiento
no solo evita sanciones legales, sino que demuestra compromiso con la
protección de la información.

Elementos clave en un programa de amenazas:

• Políticas y procedimientos de seguridad:

Documentos que definen los lineamientos, roles y protocolos de protección y

actuación ante incidentes.

• Sistemas IDS/IPS:

6|Página
 Detectan y bloquean comportamientos anómalos o ataques conocidos en la red y
los dispositivos.

• Centros de operaciones de seguridad (SOC):

Áreas especializadas que centralizan la supervisión de la seguridad de la

información, operando 24/7 en muchas organizaciones.

• Plataformas SIEM (Security Information and Event Management):

Herramientas que integran logs de múltiples fuentes, aplican reglas de correlación

y generan alertas de seguridad en tiempo real.

• Planes de respuesta ante incidentes y recuperación ante desastres:

Procedimientos que permiten restaurar la operación normal ante un ataque, pérdida

de datos o caída de sistemas, reduciendo el tiempo de inactividad.

3.- Relación entre Evaluación de Riesgos y Auditoría

Existe una interdependencia directa entre la evaluación de riesgos y la auditoría de

programas de amenazas. La primera ayuda a identificar qué partes del sistema
son más críticas o vulnerables, mientras que la segunda se encarga de verificar
que las acciones tomadas realmente estén funcionando.

• La evaluación de riesgos actúa como una guía, señalando dónde deben

enfocarse los recursos y controles.

• La auditoría valida y retroalimenta el proceso, asegurando que esos controles

hayan sido eficaces y proponiendo ajustes en caso de ser necesarios.

Este ciclo iterativo de mejora continua permite que la organización se mantenga siempre
actualizada frente a amenazas cambiantes.

7|Página
 4.- Retos Comunes en la Evaluación y Auditoría de Seguridad

A pesar A pesar de la implementación de marcos normativos y controles tecnológicos,

las organizaciones enfrentan obstáculos importantes que limitan la eficacia de
las evaluaciones y auditorías de ciberseguridad:

• Evolución constante de amenazas:

Las amenazas cibernéticas cambian rápidamente. Los atacantes emplean técnicas

cada vez más sofisticadas como malware polimórfico, que se modifica para
evadir detección, ataques fileless que operan en la memoria sin dejar rastro en
el disco, o ataques potenciados con inteligencia artificial, que aprenden del
entorno para optimizar su efectividad.

• Falta de cultura organizacional en seguridad:

La tecnología por sí sola no basta. La concienciación del personal es clave, ya que

errores humanos como abrir correos maliciosos, usar contraseñas débiles o no
seguir protocolos de seguridad pueden ser la puerta de entrada para ataques.
Muchas veces, el personal no conoce las políticas de seguridad o las considera
irrelevantes.

• Complejidad tecnológica:

Las empresas utilizan infraestructuras híbridas que combinan entornos locales,

servicios en la nube, dispositivos móviles e IoT, lo que crea múltiples vectores
de ataque. Esta heterogeneidad tecnológica hace difícil implementar controles
uniformes y una supervisión integral eficaz en tiempo real.

• Falta de personal especializado:

Existe una escasez global de profesionales capacitados en ciberseguridad. Esto limita

la capacidad de las organizaciones para realizar evaluaciones exhaustivas,
responder a incidentes y mantener actualizados los controles. Ante esta
realidad, muchas empresas se ven obligadas a depender de herramientas
automatizadas o a subcontratar servicios.

8|Página
 5.- Buenas Prácticas Recomendadas

Ante los desafíos crecientes en ciberseguridad, es esencial adoptar un enfoque

proactivo y estructurado mediante las siguientes estrategias clave:

1. Establecer un ciclo de mejora continua:

Aplicar el modelo PDCA (Planificar-Hacer-Verificar-Actuar) permite revisar

constantemente los procesos de seguridad, detectar deficiencias y ajustar los
controles. Este enfoque fomenta una cultura de evolución constante frente a
nuevas amenazas.

2. Adoptar marcos de referencia reconocidos:

Estandarizar las prácticas con modelos como COBIT (gobernanza de TI),

NIST CSF (marco de ciberseguridad) e ISO/IEC 27000 (gestión de la
seguridad de la información) garantiza una base sólida, alineada con las
mejores prácticas internacionales.

3. Realizar auditorías periódicas y automatizadas:

Implementar herramientas de auditoría automatizada y monitoreo continuo

permite detectar desviaciones en tiempo real, identificar configuraciones
inadecuadas y anticipar ataques antes de que causen daño significativo.

4. Capacitar y concientizar al personal:

El factor humano sigue siendo uno de los puntos más vulnerables. La

formación continua en ciberseguridad, campañas de concienciación y
simulacros de phishing ayudan a minimizar errores y reforzar
comportamientos seguros.

5. Implementar tecnología avanzada de monitoreo:

Soluciones con inteligencia artificial (IA), machine learning y plataformas

SIEM (Security Information and Event Management) permiten identificar
patrones anómalos, correlacionar eventos y responder más rápido a posibles
incidentes.

9|Página
6. Diseñar planes de continuidad del negocio y recuperación ante desastres:
Establecer procedimientos claros que definan tiempos máximos de
recuperación (RTO) y pérdida de datos aceptable (RPO), además de realizar
simulacros periódicos, asegura una respuesta eficaz ante cualquier
interrupción o ataque mayor.

10 | P á g i n a
 CONCLUSIONES

A través del desarrollo de esta actividad he comprendido que la auditoría de

seguridad va mucho más allá de un simple cumplimiento técnico; es una
disciplina estratégica que permite a las organizaciones anticiparse a posibles
amenazas, gestionar de forma inteligente sus vulnerabilidades y fortalecer su
infraestructura digital con base en decisiones informadas. Aprendí que los
riesgos en ciberseguridad no pueden eliminarse por completo, pero sí
pueden reducirse significativamente mediante evaluaciones constantes,
control estructurado y mejora continua.

Además, este análisis me permitió valorar el rol de la auditoría como un puente entre
la teoría y la realidad operativa de las empresas. La aplicación de marcos
como NIST, COBIT o ISO no solo brinda lineamientos técnicos, sino también
una mentalidad de prevención y resiliencia.

-Camargo Pacheco Karen Abigail

La evaluación del riesgo en ciberseguridad me pareció un proceso esencial porque

nos permite anticipar escenarios y tomar decisiones antes de que ocurra un
incidente. El auditar programas de amenazas no solo consiste en revisar si
se siguen las normas, sino en evaluar si las estrategias aplicadas realmente
protegen los activos más valiosos de una organización.

Comprendí la importancia de la capacitación constante del personal y la necesidad

de adaptar las políticas a un entorno que cambia con rapidez. Me quedó claro
que los marcos de referencia no son documentos teóricos, sino herramientas
prácticas que pueden guiar decisiones reales. Gracias a esto, tengo una
visión más completa sobre la importancia de proteger la información y
construir sistemas más seguros desde sus cimientos.

-Gutiérrez Hernández Fernando

11 | P á g i n a
Esta actividad permitió reflexionar sobre lo importante que es proteger la
información en el mundo actual, donde la tecnología forma parte esencial de
casi todo lo que hacemos. Las empresas, al igual que las personas, están
cada vez más expuestas a riesgos digitales que pueden afectar su
funcionamiento, su imagen e incluso a quienes confían en ellas.

Aprender sobre cómo se identifican estos riesgos y cómo se pueden prevenir o

controlar nos ayuda a comprender que la seguridad no es solo un tema de
computadoras o programas, sino también de decisiones, organización y
trabajo en equipo. Al conocer buenas prácticas y estrategias para mejorar
constantemente, queda claro que cuidar la información es una
responsabilidad compartida y continua.

-Medina Alarcón Marisol

A través del desarrollo de esta actividad, he comprendido que la evaluación de

riesgos y la auditoría de programas de amenazas no solo son prácticas
técnicas, sino componentes estratégicos fundamentales para la
sostenibilidad y resiliencia de cualquier organización en la era digital. La
ciberseguridad va más allá del uso de herramientas; requiere una visión
integral que combine procesos bien definidos, tecnología avanzada y una
cultura organizacional comprometida con la protección de la información.

En un entorno donde las amenazas evolucionan constantemente y los ataques se

vuelven más sofisticados, la mejora continua, el cumplimiento normativo y la
capacitación del personal son pilares indispensables. Personalmente, esta
experiencia reforzó mi convicción sobre la importancia de formar
profesionales en ciberseguridad que no solo dominen la técnica, sino que
también comprendan el valor estratégico de proteger los activos digitales en
todos los niveles de la organización.

-Nieves Solís Edgar Ovan

12 | P á g i n a
A lo largo de este trabajo he comprendido la importancia fundamental de las guías
de auditoría en el ámbito de la ciberseguridad, especialmente en la
evaluación de riesgos y la gestión de programas de amenazas. Estos
procesos me permitieron entender cómo identificar vulnerabilidades y
amenazas que pueden comprometer la confidencialidad, integridad y
disponibilidad de la información en una organización. Además, aprendí que
la evaluación de riesgos es un proceso continuo que debe adaptarse a la
evolución constante de las amenazas digitales, y que la aplicación de marcos
internacionales como NIST, ISO 27000 y COBIT es clave para fortalecer la
seguridad y establecer prácticas sólidas.

También reconozco que la auditoría no solo verifica la implementación técnica de

los controles, sino que evalúa el cumplimiento de políticas, la capacitación
del personal y la efectividad en la respuesta ante incidentes. La combinación
de estos factores contribuye a mantener una postura de seguridad resiliente
y proactiva. Por último, considero que la mejora continua y la actualización
constante son indispensables para enfrentar los retos actuales en
ciberseguridad, y que un enfoque integral que involucre personas, procesos
y tecnología es esencial para proteger los activos digitales en un entorno
dinámico y desafiante.

-Reyes Flores Jesús Gustavo

13 | P á g i n a
 REFERENCIAS

Achirou. (s. f.). Reporte del Pentest, Remediación y Seguimiento. Achirou.

Recuperado el 25 de mayo de 2025, de [Link]
pentest-remediacion-y-seguimiento/

Alberts, C., & Dorofee, A. (2002). OCTAVE: Operationally critical threat, asset, and
vulnerability evaluation. Carnegie Mellon University.

Criptohistoria. (s. f.). Bibliografía sobre criptología. Criptohistoria. Recuperado el 25

de mayo de 2025, de [Link]

ISO/IEC. (2018). Information technology — Security techniques — Information

security risk management (ISO/IEC 27005:2018). International Organization
for Standardization.

Jones, C., & Ashenden, D. (2019). Factor Analysis of Information Risk (FAIR). FAIR
Institute.

Kali Linux. (s. f.). Kali Linux. Página oficial de Kali Linux. Recuperado el 25 de
mayo de 2025, de [Link]

Visual Paradigm. (s. f.). What are the six types of relationships in UML class
diagrams? Visual Paradigm Blog. Recuperado el 25 de mayo de 2025, de
[Link]
in-uml-class-diagrams/

14 | P á g i n a