Informe de auditoría al sistema de seguridad aplicado a InfoSecure.

Integrantes:

Manuel Alejandro Gómez Jiménez

Cristian Ferney Suescun Barrera

José Miguel Méndez Martín

Ing. Alexander López Pulido

Universidad de Cundinamarca Extensión Chía

Facultad de Ingeniería, Ingeniería de Sistemas

22 de noviembre 2024

Tabla de Contenido
LOGO Y DATOS DE EMPRESA ............................................................................................. 4
1. Introducción y Alcance de la Auditoría ............................................................................. 5
1.1. Objetivo de la Auditoría de Seguridad Informática ................................................... 5
1.1.1. Objetivo General ................................................................................................ 5
1.1.2. Objetivos específicos.......................................................................................... 5
1.2. Alcance de la Auditoría .............................................................................................. 6
1.3. Normativas de Referencia .......................................................................................... 6
1.3.1. COBIT 2019: ...................................................................................................... 6
1.3.2. ISO/IEC 27001:2013: ......................................................................................... 7
1.3.3. NIST Cybersecurity Framework: ........................................................................... 7
2. Planificación de la Auditoría de Seguridad Informática .................................................... 7
2.1. Miembros del Equipo de Auditoría ............................................................................ 7
2.2. Independencia y Objetividad del Equipo ................................................................... 8
2.2.1. Objetivo Principal del equipo:............................................................................ 8
2.2.2. Objetivos específicos del equipo: ....................................................................... 8
2.2.3. Cronograma ........................................................................................................ 8
2.2.4. Recursos Necesarios ........................................................................................... 9
3. Evaluación de los Procesos de Gobernanza y Gestión (Basado en COBIT) ................... 12
3.1. Evaluación de la Gobernanza de TI ......................................................................... 12
3.1.1. Revisión del Cumplimiento Normativo en el Uso de TI:................................. 12
3.1.2. Evaluación de la Gestión de Riesgos Tecnológicos: ........................................ 12
3.1.3. Revisión de la Planificación Estratégica de TI: ............................................... 13
3.1.4. Análisis de la Gestión de Activos Tecnológicos: ............................................. 13
3.1.5. Evaluación de la Gestión de Cambios y Proyectos de TI: ............................... 13
3.1.6. Supervisión y Control de Proveedores Tecnológicos: ..................................... 13
3.1.7. Monitoreo y Evaluación del Desempeño de TI:............................................... 13
3.1.8. Análisis de la Gestión de Incidentes y Continuidad del Negocio: ................... 13
3.1.9. Validación de Controles de Acceso: ................................................................ 14
3.2 Gestión de Riesgos de TI ......................................................................................... 14
3.3 Gestión de Servicios y Operaciones de TI ............................................................... 14
3.3.1 Gestión de Incidentes y Problemas ...................................................................... 14
 3.3.2 Gestión de Cambios Operativos ....................................................................... 14
3.3.3 Supervisión y Monitoreo de Infraestructura..................................................... 14
3.3.4 Gestión de Disponibilidad ................................................................................ 15
3.3.5 Gestión de Proveedores de Servicios ............................................................... 15
3.3.6 Gestión de Copias de Seguridad y Recuperación............................................. 15
3.4.1 Revisión del plan de continuidad del negocio y recuperación ante desastres .. 15
3.4.2 Evaluación de la frecuencia y eficacia de las pruebas de recuperación. .......... 16
4 Evaluación Técnica de la Seguridad Informática ............................................................. 16
4.2 Análisis de Vulnerabilidades y Pruebas de Penetración .......................................... 16
4.2.1 Pruebas de Penetración Externas e Internas ..................................................... 16
4.2.2 Análisis de Escaneos de Vulnerabilidades ....................................................... 17
4.2.3 Evaluación y Respuesta a las Vulnerabilidades ............................................... 17
4.3 Revisión de la Configuración de Seguridad ............................................................. 17
4.3.1 Auditoría de Directorios Activos ..................................................................... 17
4.3.2 Configuración de Ambientes Virtuales ............................................................ 17
4.3.3 Validación de Seguridad en Páginas de Inicio de Sesión ................................. 18
4.3.4 Monitoreo y Respuesta Continua ..................................................................... 18
4.4 Auditoría de Controles de Acceso ............................................................................ 18
5 Recolección y análisis de evidencias ............................................................................... 19
5.2 Revisión Documental ............................................................................................... 19
5.2.1 Revisión de Políticas, Manuales, Procedimientos y Registros de Incidentes: . 19
5.2.2 Verificación de la Existencia y Actualización de los Registros de Seguridad: 20
5.3 Entrevistas y encuestas ............................................................................................. 21
6 Informe de resultados y recomendaciones ....................................................................... 25
6.2 Resumen ejecutivo ................................................................................................... 25
6.3. Detalle de hallazgos ...................................................................................................... 26
6.4. Plan de acción................................................................................................................ 28
7.1. Revisión de implementación ..................................................................................... 29
7.2. Informe final .............................................................................................................. 31
Referencias ........................................................................................................................... 33
 LOGO Y DATOS DE EMPRESA

Nombre: InfoSecure

Logo:

Paleta de colores:

Azul oscuro: #162957

Azul medio: #23537D

Azul claro: #0AABD3

Blanco: #CACECF

Gris: #727783
Amarillo: #C17C08

Tipografía:

FontSquirrel

1. Introducción y Alcance de la Auditoría

1.1. Objetivo de la Auditoría de Seguridad Informática

1.1.1. Objetivo General

Evaluar la eficacia y el cumplimiento de los controles de seguridad implementados por

InfoSecure a la empresa auditada con base a en las directrices de COBIT 2019, a fin de
garantizar que se cumple con la protección de la integridad, confidencialidad y disponibilidad
de los activos digitales, así como la adecuada gestión de accesos y privilegios en su
infraestructura tecnológica.

1.1.2. Objetivos específicos

• Analizar el diseño implementación y funcionamiento de los controles de seguridad en

los procesos de TI con especial énfasis en la gestión de accesos mediante roles definidos
en el directorio activo.
• Verificar el cumplimiento de los controles y procesos con los estándares establecidos
por COBIT 2019 y normativas aplicables, cómo ISO/IEC 27001:2013, NIST
Cybersecurity Framework
• Evaluar la efectividad de la segmentación de Red y asignación de privilegios para
prevenir amenazas y contener incidentes de seguridad
• Identificar brechas y vulnerabilidades en administración de roles y accesos,
proponiendo planes de acción para alinearse con las mejores prácticas de seguridad.
• Validar la capacidad de la empresa auditada para detectar, responder y recuperar ante
incidentes de seguridad informática
1.2. Alcance de la Auditoría

La auditoría realizada por InfoSecure evaluara la implementación y efectividad del

Modelo de Seguridad y Privacidad de la Información, así como la capacidad de asegurar la
continuidad operativa en los procesos relacionados con la gestión de tecnologías de la
información.

• Revisión de la documentación, registros, procedimientos, políticas y manuales

existentes durante el período correspondiente al segundo semestre de 2024
tomando los primeros 3 meses de este periodo.
• Análisis de los controles establecidos para garantizar la protección de la
información, de acuerdo con las mejores prácticas y estándares aplicables (por
ejemplo, ISO 27001, COBIT, o NIST, si aplica).
• Evaluación de los mecanismos implementados para asegurar la disponibilidad,
integridad y confidencialidad de los datos.
• Verificación de la alineación entre las políticas internas de seguridad de la
información y los requisitos normativos o legales vigentes.
• Revisión de los planes de continuidad del negocio y recuperación ante desastres
asociados a los sistemas críticos de TI.

1.3. Normativas de Referencia

InfoSecure se apoya en tres normativas internacionales para guiar sus auditorías de

seguridad, garantizando que sus procesos de evaluación estén alineados con las mejores
prácticas globales en la protección de datos y la gestión de riesgos tecnológicos:

1.3.1. COBIT 2019:

Este marco se utiliza en InfoSecure para evaluar la gobernanza y gestión de la
tecnología de la información (TI), asegurando que los controles de seguridad estén
alineados con los objetivos empresariales. COBIT 2019 ayuda a la empresa a revisar la
estructura de roles y responsabilidades, la gestión de cambios en los sistemas y la
efectividad de los procesos de seguridad. El enfoque se centra en crear valor y gestionar
los riesgos de manera eficiente, integrando la TI con la estrategia empresarial y
proporcionando una base sólida para la toma de decisiones informadas (ISACA, 2018).
1.3.2. ISO/IEC 27001:2013:

InfoSecure utiliza este estándar para evaluar si los clientes han implementado un
Sistema de Gestión de Seguridad de la Información (SGSI) que proteja adecuadamente los
activos de información. La norma proporciona un enfoque estructurado para la protección de
la confidencialidad, integridad y disponibilidad de los datos. En la práctica, InfoSecure realiza
auditorías para verificar la existencia de políticas de seguridad bien definidas, controles de
acceso adecuados y procedimientos de manejo de riesgos, asegurando que los datos sensibles
estén protegidos frente a accesos no autorizados, pérdidas o alteraciones (ISO/IEC, 2013).

1.3.3. NIST Cybersecurity Framework:

Este marco se aplica para mejorar la postura de ciberseguridad de los clientes de

InfoSecure, ayudándoles a gestionar los riesgos cibernéticos de forma integral. El NIST
proporciona directrices para identificar, proteger, detectar, responder y recuperar ante
incidentes de seguridad. InfoSecure evalúa los procesos de gestión de incidentes, la capacidad
de detección y respuesta ante amenazas, y los planes de recuperación ante desastres. Además,
se asegura de que los clientes tengan un enfoque preventivo y reactivo eficaz, realizando
simulacros y pruebas periódicas para fortalecer la resiliencia cibernética.

2. Planificación de la Auditoría de Seguridad Informática

La planificación de la auditoría de seguridad informática de InfoSecure se basa en una

estructura organizada y detallada para evaluar los controles de seguridad en todos los aspectos
críticos de la empresa. El equipo de auditoría está compuesto por profesionales altamente
capacitados, cada uno con un enfoque específico para garantizar una evaluación exhaustiva y
objetiva:

2.1. Miembros del Equipo de Auditoría

• José Miguel Méndez Martín – Auditor Líder: Coordina todas las fases de la auditoría,
supervisa el cumplimiento de los estándares y lidera la generación de informes.
• Manuel Alejandro Gómez Jiménez – Auditor de Seguridad en Redes y Aplicaciones:
Se enfoca en revisar y analizar la infraestructura de redes y aplicaciones críticas,
buscando vulnerabilidades y riesgos.
 • Cristian Ferney Suescun Barrera – Auditor de Gestión de Incidentes y Continuidad
del Negocio: Evalúa los procesos de gestión de incidentes, control de acceso y respuesta
ante incidentes, así como la revisión de los planes de continuidad del negocio.

2.2. Independencia y Objetividad del Equipo

2.2.1. Objetivo Principal del equipo:

Asegurar la imparcialidad en la evaluación de los controles de seguridad: El equipo de

auditoría debe realizar su trabajo sin ningún tipo de influencia o conflicto de interés,
garantizando que las evaluaciones y recomendaciones sean objetivas y basadas únicamente en
las necesidades de seguridad de la organización

2.2.2. Objetivos específicos del equipo:

• Preservar la independencia de los auditores: Al estar compuestos por profesionales

que no participan en las operaciones diarias del área de TI, se asegura que las
decisiones y conclusiones del equipo no estén afectadas por intereses internos.
• Garantizar la transparencia en los resultados de la auditoría: La independencia permite
que los informes reflejen de manera fiel y precisa el estado de los controles de
seguridad, proporcionando una visión clara y sin sesgos sobre los riesgos y
vulnerabilidades existentes (Ministerio de Salud y Protección Social, 2022).

2.2.3. Cronograma
MESES
Septiembre Octubre Noviembre
Cronograma de auditoria
SEMANAS
1 2 3 4 1 2 3 4 1 2 3 4
FASE 1
Fase de Preparación
FASE 2
Fase de Ejecución
FASE 3
Fase de Evaluación y
Reporte

2.2.4. Recursos Necesarios

Los recursos necesarios son establecidos por la empresa Infosecure en base una serie de
características y normas para llevar este proceso.

Responsables:

Auditores de Seguridad de InfoSecure, específicamente los miembros del equipo

encargados de la revisión de políticas y controles de seguridad, como Manuel Alejandro Gómez
Jiménez (Auditor de Seguridad en Redes y Aplicaciones) y Cristian Ferney Suescun Barrera
(Auditor de Gestión de Incidentes y Continuidad del Negocio).

Documentación de Seguridad y Políticas de TI:

Política Descripción Objetivo Aplicación Responsables Métricas de

Evaluación

Política de Establece quién Proteger los Implementar Administradores -% de usuarios

Control de puede acceder a sistemas y autenticación de TI con MFA
Accesos los sistemas, datos críticos multifactor habilitado.
aplicaciones y de accesos (MFA),
-Número de
datos según su no asignar
rol y autorizados permisos intentos fallidos

responsabilidades mínimos de acceso.

necesarios
-Frecuencia de
para cada rol,
revisión de
y realizar
permisos.
auditorías
periódicas de
los accesos.
 Política de Define los Reducir el Contraseñas Equipo de -Cumplimiento
Gestión de
requisitos para la riesgo de con un Seguridad de TI del uso de
Contraseñas creación, cambio comprometer mínimo de contraseñas
y cuentas por 12 seguras.
almacenamiento contraseñas caracteres, - Frecuencia de
de contraseñas débiles o incluir reinicio de
seguras. reutilizadas. mayúsculas, contraseñas.
números y - % de cuentas
caracteres bloqueadas por
especiales, y intentos fallidos.
exigir
cambios cada
30 días.

Política de Define cómo Garantizar Prohibir el Equipo de TI y - Número de

Uso deben utilizarse un uso acceso a Supervisores infracciones
Aceptable los recursos responsable sitios web detectadas.
tecnológicos de los maliciosos, - % de
(computadoras, recursos de limitar cumplimiento
correos TI y descargas de con auditorías
electrónicos, minimizar software no del uso
internet, riesgos de autorizado, y aceptable.
software). abuso o mal monitorear el - Incidencias
uso. uso de los relacionadas con
recursos software no
tecnológicos. autorizado.

Política de Especifica la Asegurar la Respaldos Equipo de TI y - Tiempo

Respaldo y frecuencia y los continuidad automáticos Administradores promedio de
Recuperación métodos para del negocio diarios para recuperación de
respaldar los ante fallos, datos datos (RTO).
datos críticos y sensibles, - Frecuencia de
los almacenados pruebas de
 procedimientos ataques o en recuperación.
para su desastres. ubicaciones - % de datos
restauración en seguras (on- respaldados
caso de pérdida o premise y en exitosamente.
incidente. la nube), y
pruebas
semestrales
de
recuperación.

Política de Establece Minimizar el Crear un Equipo de - Tiempo

Gestión de procedimientos impacto de equipo de Respuesta a promedio de
Incidentes para identificar, los respuesta a Incidentes detección y
responder y incidentes y incidentes respuesta
mitigar restaurar las (CSIRT), (MTTD/MTTR).
incidentes de operaciones definir pasos - Número de
seguridad, como normales claros para la incidentes
brechas de datos rápidamente. gestión de gestionados.
o ataques incidentes, y - Evaluaciones
cibernéticos. realizar post-mortem de
simulaciones los incidentes
periódicas de más críticos
respuesta.

Registros de Incidentes:

• Informes históricos de incidentes de seguridad, que permitan entender los incidentes

previos, su naturaleza, impacto y las respuestas implementadas.
• Registros de eventos del sistema (logs), que ofrecen información detallada sobre
accesos no autorizados, fallos de seguridad, y otros comportamientos sospechosos.
• Reportes de pruebas de recuperación ante desastres, para verificar la efectividad de los
planes de continuidad.
 Estos recursos permitirán que los auditores de InfoSecure evalúen la adecuación de las
políticas de seguridad y el cumplimiento de las normativas internacionales como ISO 27001,
COBIT, y NIST.

Herramientas de Auditoría y Análisis (escáneres de vulnerabilidades y software de

análisis de registros)

• Nessus
• Wireshark
• Nmap
• OWASP ZAP
• Burp Suite

Proceso de Integración y Aspectos a tener en cuenta:

El equipo de auditoría de InfoSecure tendrá acceso a los sistemas internos de la empresa

auditada para recopilar la documentación necesaria, los registros de incidentes y realizar los
análisis pertinentes utilizando las herramientas mencionadas.

Durante la auditoría, se utilizarán herramientas de escaneo y monitoreo para identificar y

evaluar riesgos en tiempo real, y los resultados de los análisis de registros permitirán identificar
posibles brechas en la gestión de incidentes.

3. Evaluación de los Procesos de Gobernanza y Gestión (Basado en COBIT)

3.1. Evaluación de la Gobernanza de TI

3.1.1. Revisión del Cumplimiento Normativo en el Uso de TI:

Se analizaron los procesos y procedimientos para asegurar que cumplen con

normativas aplicables como ISO/IEC 27001, NIST y COBIT. Se revisaron registros de
auditorías internas previas para identificar brechas recurrentes y áreas de mejora.

3.1.2. Evaluación de la Gestión de Riesgos Tecnológicos:

Se verificó si la empresa realiza evaluaciones periódicas de riesgos tecnológicos.

Se revisaron los análisis de impacto de posibles fallas en los sistemas críticos y los
planes de mitigación implementados para garantizar la continuidad operativa.
3.1.3. Revisión de la Planificación Estratégica de TI:

Se evaluó si la estrategia de TI está alineada con los objetivos organizacionales,

revisando la documentación estratégica, los presupuestos asignados a proyectos de TI y
la prioridad dada a iniciativas de seguridad tecnológica.

3.1.4. Análisis de la Gestión de Activos Tecnológicos:

Se revisó el inventario de activos tecnológicos, incluyendo hardware, software y

redes, para asegurar que están documentados y protegidos. Se verificaron los procesos
de control de cambios en los sistemas críticos.

3.1.5. Evaluación de la Gestión de Cambios y Proyectos de TI:

Se analizaron los procesos para gestionar cambios en la infraestructura

tecnológica, incluyendo revisiones previas de impacto, aprobación de cambios por parte
de stakeholders, y pruebas antes de la implementación final.

3.1.6. Supervisión y Control de Proveedores Tecnológicos:

Se revisaron los contratos y acuerdos de nivel de servicio (SLAs) con

proveedores tecnológicos, verificando que incluyan cláusulas de seguridad y gestión de
riesgos. Además, se evaluó la supervisión de los servicios prestados.

3.1.7. Monitoreo y Evaluación del Desempeño de TI:

Se revisaron los indicadores clave de desempeño (KPIs) utilizados para medir la

eficacia de los sistemas tecnológicos y procesos de seguridad. Se evaluaron los informes
de monitoreo para determinar si los objetivos de desempeño están siendo alcanzados.

3.1.8. Análisis de la Gestión de Incidentes y Continuidad del Negocio:

Se evaluaron los procesos implementados para detectar, responder y recuperar

ante incidentes de seguridad informática, revisando registros de incidentes, tiempos de
respuesta y efectividad de los planes de recuperación ante desastres.
3.1.9. Validación de Controles de Acceso:

Se revisaron los controles de acceso, incluyendo la configuración del directorio

activo, los procesos de asignación de privilegios y la efectividad del monitoreo de
accesos no autorizados.

3.2 Gestión de Riesgos de TI

A continuación, se presenta la matriz de riesgos identificados

matriz de riesgos.xlsm

3.3 Gestión de Servicios y Operaciones de TI

3.3.1 Gestión de Incidentes y Problemas

Se evaluaron los procesos de gestión de incidentes para determinar si están diseñados

para restaurar los servicios en el menor tiempo posible. Se revisaron registros de incidentes
recientes, los tiempos de resolución, las métricas de satisfacción del cliente interno y las
acciones correctivas implementadas para prevenir problemas recurrentes (Contraloría General
de la República, 2020).

3.3.2 Gestión de Cambios Operativos

Se revisaron los procedimientos para la gestión de cambios operativos, verificando si

los cambios están documentados, aprobados y probados antes de ser implementados. También
se analizaron los registros de cambios para identificar posibles interrupciones no planificadas.

3.3.3 Supervisión y Monitoreo de Infraestructura

Se revisaron las herramientas de monitoreo utilizadas para supervisar la infraestructura

de TI, verificando que se generan alertas oportunas ante fallos o anomalías. También se
evaluaron los informes de monitoreo para identificar tendencias y posibles riesgos.
3.3.4 Gestión de Disponibilidad

Se revisaron las políticas y métricas relacionadas con la disponibilidad de los servicios

críticos de TI, verificando la implementación de estrategias de alta disponibilidad y
redundancia. También se evaluó la eficacia de las pruebas de recuperación ante fallos.

3.3.5 Gestión de Proveedores de Servicios

Se revisaron los contratos de nivel de servicio con proveedores externos que soportan
las operaciones de TI. Se evaluó el cumplimiento y los mecanismos de seguimiento y
evaluación de la calidad del servicio prestado.

3.3.6 Gestión de Copias de Seguridad y Recuperación

Se verificaron los procedimientos de respaldo de datos, incluyendo la frecuencia,

integridad y almacenamiento seguro de las copias de seguridad. Además, se evaluaron las
pruebas de recuperación de datos para asegurar la continuidad operativa en caso de pérdida de
datos.

3.4 Gestión de la Continuidad del Negocio

3.4.1 Revisión del plan de continuidad del negocio y recuperación ante desastres

Se busca verificar que la organización cuenta con un Plan de Continuidad del Negocio
(BCP) y un Plan de Recuperación ante Desastres (DRP) bien documentados, actualizados
y alineados con los estándares reconocidos (como ISO 22301 o COBIT).

Aspectos evaluados:
• Claridad en los roles y responsabilidades durante una crisis.
• Identificación de sistemas críticos y dependencias.
• Procedimientos definidos para restaurar sistemas y operaciones.
• Alineación de los planes con los riesgos más relevantes para la organización.
3.4.2 Evaluación de la frecuencia y eficacia de las pruebas de recuperación.

Se realiza una revisión si los planes de contingencia abarcan adecuadamente los posibles
escenarios de riesgo y si están diseñados para mitigar los impactos en las operaciones de TI
y en el negocio en general.

Aspectos evaluados:

• Cobertura de escenarios específicos: pérdida de datos, interrupción de servicios

críticos, fallas de infraestructura, ciberataques, desastres naturales, etc.
• Disponibilidad de infraestructura redundante y mecanismos de respaldo.
• Estrategias de comunicación interna y externa durante incidentes.

4 Evaluación Técnica de la Seguridad Informática

4.2 Análisis de Vulnerabilidades y Pruebas de Penetración

El objetivo fue identificar y evaluar vulnerabilidades en la infraestructura de TI mediante

pruebas exhaustivas que simularan posibles ataques cibernéticos.

4.2.1 Pruebas de Penetración Externas e Internas

• Procedimiento: Se llevaron a cabo pruebas de penetración tanto externas como

internas, enfocándose en la página de inicio de sesión de registro para simular ataques
que podrían capturar credenciales de usuarios.
• Técnicas utilizadas: Se empleó la técnica de SQL Injection para probar la capacidad
del sistema de resistir intentos de explotación que podrían permitir a un atacante obtener
acceso no autorizado y capturar contraseñas en el directorio activo.
• Tecnologías aplicadas: Se utilizó Kali Linux y su conjunto de herramientas,
incluyendo Burp Suite, para interceptar y manipular las solicitudes de inicio de sesión
y analizar las respuestas en busca de vulnerabilidades explotables.
4.2.2 Análisis de Escaneos de Vulnerabilidades

• Proceso: Se realizaron escaneos detallados en los sistemas con Nmap y Nessus para
identificar puertos abiertos y servicios vulnerables.

4.2.3 Evaluación y Respuesta a las Vulnerabilidades

• Acciones correctivas: Se revisaron y fortalecieron los mecanismos de autenticación,

implementando medidas como la protección contra inyecciones SQL y la mejora de la
seguridad en los formularios de inicio de sesión.
• Validación posterior: Las pruebas de seguimiento se realizaron utilizando Burp Suite
para confirmar que las vulnerabilidades se habían resuelto, asegurando la integridad de
la página de registro y la protección de los datos de los usuarios.

4.3 Revisión de la Configuración de Seguridad

Se llevo una serie de configuración y pruebas para abordar las problemáticas

encontradas con la finalidad de resolver con pruebas de campo

4.3.1 Auditoría de Directorios Activos

• Implementación: Se revisaron los permisos y configuraciones de acceso en los

directorios activos para asegurar que solo los administradores autorizados
tuvieran privilegios avanzados. Se aplicaron políticas de acceso basado en roles
para restringir el uso no necesario de cuentas con privilegios elevados.
• Posible caso de error: Durante la auditoría, se detectó que algunas cuentas de
usuarios tenían permisos innecesarios debido a configuraciones heredadas. Esto
podría haber permitido cambios en la estructura de directorios y acceso a datos
sensibles.

4.3.2 Configuración de Ambientes Virtuales

• Implementación: Se desplegaron controles de acceso estrictos en los ambientes

virtuales, asegurando que los servidores virtuales estuvieran aislados y
protegidos con firewalls configurados para bloquear conexiones no autorizadas.
 • Posible caso de error: Se identificó un error en la configuración de uno de los
entornos virtuales donde un puerto crítico estaba abierto, lo que representaba un
posible punto de entrada para atacantes externos. Se corrigió cerrando el puerto
y configurando alertas para futuras aperturas no autorizadas.

4.3.3 Validación de Seguridad en Páginas de Inicio de Sesión

• Implementación: Se llevó a cabo una validación exhaustiva de las entradas en

formularios web para evitar inyecciones SQL. Esto incluyó la aplicación de
consultas parametrizadas y la implementación de capas de seguridad adicionales
para proteger la integridad de los datos en los formularios de inicio de sesión.

• Posible caso de error: Se simuló un intento de inyección SQL en la página de

inicio de sesión de un ambiente de prueba. La prueba inicial reveló una falla en
la validación de entradas que permitió una ejecución parcial de código. Tras este
hallazgo, se aplicaron parches y se actualizaron las políticas de validación para
prevenir la explotación de la vulnerabilidad.

4.3.4 Monitoreo y Respuesta Continua

• Implementación: Se configuraron sistemas de monitoreo para la detección de

actividades inusuales en tiempo real. Los logs de acceso y las alertas se
establecieron para registrar intentos de acceso fallidos y posibles amenazas.

• Posible caso de error: Durante las pruebas de monitoreo, se simularon intentos

de acceso no autorizados desde IPs externas. El sistema de alertas envió
notificaciones al equipo de seguridad, pero hubo un retraso en la respuesta inicial
debido a una mala configuración en el servicio de notificaciones. Se ajustó el
proceso para mejorar la velocidad de respuesta.

4.4 Auditoría de Controles de Acceso

En InfoSecure, se realizó una auditoría de los controles de acceso para asegurar que los
roles y permisos en el directorio activo estuvieran correctamente implementados,
limitando el acceso solo a los usuarios autorizados.
 • Revisión de Roles y Permisos en el Directorio Activo
Se revisaron los roles de usuario en el directorio activo para asegurar que cada
empleado tuviera acceso solo a los recursos necesarios para su trabajo. Durante
la auditoría, se descubrió que algunos usuarios tenían permisos elevados
innecesarios, lo que fue corregido inmediatamente.

• Validación de Políticas de Control de Acceso

Se verificaron las políticas de control de acceso, como la autenticación
multifactor y la gestión de contraseñas, para asegurarse de que estuvieran
correctamente implementadas. Se encontraron algunas cuentas inactivas que no
se habían desactivado, lo que fue corregido mediante un proceso de limpieza.

• Monitoreo y Auditoría de Accesos

Se implementaron procedimientos para monitorear los accesos a los

sistemas críticos, incluyendo alertas automáticas para detectar accesos no
autorizados. Algunos registros de acceso no se estaban guardando
correctamente debido a configuraciones erróneas, lo que fue solucionado y se
aseguraron los logs contra alteraciones (Auditoria Group, s.f.).

5 Recolección y análisis de evidencias

5.2 Revisión Documental

5.2.1 Revisión de Políticas, Manuales, Procedimientos y Registros de Incidentes:

• En primer lugar, se realizará una revisión exhaustiva de las políticas de

seguridad interna de la empresa auditada, asegurando que estén alineadas con
las disposiciones de la Ley 1581 de 2012, que regula la protección de datos
personales en Colombia. Según el artículo 17 de esta ley, las empresas deben
garantizar que sus políticas de privacidad y manejo de datos sean transparentes
y accesibles para los titulares de la información.
 • Además, se evaluarán los manuales de procedimientos relacionados con la
seguridad de la información y los procedimientos operativos estándar (SOP),
que deben reflejar las mejores prácticas establecidas en la Ley 1273 de 2009,
que penaliza el acceso ilícito a sistemas informáticos. Es crucial que los
procedimientos contemplen medidas claras de protección frente a accesos no
autorizados y medidas disciplinarias ante incidentes.

• Registros de Incidentes: Se revisará la documentación de incidentes de

seguridad anteriores, como los informes históricos de incidentes de seguridad
y los registros de eventos (logs), para verificar que se sigan las directrices de
respuesta establecidas en el artículo 24 de la Ley 1581 de 2012, que obliga a
las empresas a informar oportunamente sobre incidentes que comprometan los
datos personales. Además, se confirmará que los registros de incidentes y las
respuestas ante estos estén correctamente documentados y actualizados,
conforme al cumplimiento de la ley colombiana (Congreso de la República de
Colombia, 2012).
Otros documentos:
• Matriz de riesgos
• Matriz DOFA
Organigrama
• Cronograma

5.2.2 Verificación de la Existencia y Actualización de los Registros de Seguridad:

• Se examinarán los registros relacionados con las actividades de seguridad informática,

como las bitácoras de acceso y las respuestas ante incidentes de ciberseguridad. La
legislación colombiana, a través de la Ley 1273 de 2009, establece la obligación de
registrar los accesos a sistemas de información y las actividades que impliquen la
manipulación de datos sensibles. Esto garantizará que la empresa tenga un control
adecuado de las acciones realizadas sobre sus sistemas, favoreciendo la trazabilidad de
los incidentes de seguridad (Congreso de la República de Colombia, 2009).
 • Asimismo, se verificará que los registros sean completos y estén disponibles para la
auditoría, como lo exige la Ley 1581 de 2012, en cuanto a la integridad y accesibilidad
de los datos personales que maneja la empresa. Este análisis permitirá identificar
posibles debilidades en la gestión de incidentes y en la implementación de medidas
correctivas (Congreso de la República de Colombia, 2012).

5.3 Entrevistas y encuestas

Realización de Entrevistas con el Equipo de TI, Seguridad y la Alta Dirección:

Sección 1: Gestión de Contraseñas

1. ¿Con qué frecuencia se te solicita cambiar tu contraseña en los sistemas internos?

o Cada 30 días

o Cada 60 días

o Cada 90 días

o Nunca

2. ¿Consideras que las políticas de creación de contraseñas (longitud, caracteres

especiales, etc.) son adecuadas para garantizar la seguridad?

o Sí

o No

o No lo sé

3. ¿Has recibido capacitación o información sobre cómo crear contraseñas seguras?

o Sí

o No
 4. ¿Cómo evalúas la facilidad de uso del sistema actual de recuperación de contraseñas?

o Muy fácil

o Fácil

o Difícil

o Muy difícil

Sección 2: Gestión de Accesos y Autenticación

5. ¿Utilizas autenticación multifactor (MFA) para acceder a los sistemas de la

organización?

o Siempre

o A veces

o Nunca

o No sé qué es MFA

6. ¿Crees que los niveles de acceso otorgados a los colaboradores están bien definidos
según sus funciones?

o Sí

o No

o No lo sé

7. ¿Qué tan satisfecho estás con la rapidez y efectividad para obtener acceso a un recurso
que necesitas?

o Muy satisfecho

o Satisfecho
 o Insatisfecho

o Muy insatisfecho

8. En caso de cambiar de rol dentro de la organización, ¿los accesos se ajustaron

correctamente a tus nuevas responsabilidades?

o Sí

o No

o No he cambiado de rol

Sección 3: Cumplimiento Normativo

9. ¿Conoces las leyes de protección de datos personales (Ley 1581 de 2012) y de

información financiera (Ley 1266 de 2008)?

o Sí, las conozco y las entiendo

o He oído hablar de ellas, pero no las entiendo

o No las conozco

10. ¿Consideras que las políticas actuales de la organización cumplen con estas
normativas?

• Sí

• No

• No estoy seguro/a

11. En tu opinión, ¿qué mejoras serían necesarias para fortalecer la protección de los datos
personales y financieros en la organización?
(Respuesta abierta)

Sección 4: Opinión General

 12. ¿Sientes que la organización prioriza la seguridad de la información en sus políticas y
procedimientos?

• Sí, totalmente

• Algo

• Poco

• Nada

13. ¿Qué tan efectiva consideras que es la gestión actual de accesos y contraseñas en la
organización?

• Muy efectiva

• Efectiva

• Poco efectiva

• Nada efectiva

14. ¿Qué sugerencias tienes para mejorar las prácticas de seguridad en la organización?
(Respuesta abierta)

Distribución y Análisis de Encuestas de Seguridad entre el Personal:

Se distribuirán encuestas de seguridad enfocadas principalmente en evaluar el

conocimiento del personal sobre el uso adecuado de contraseñas y su implicación en la
seguridad de los sistemas informáticos. Las encuestas incluirán preguntas relacionadas con la
frecuencia de cambio de contraseñas, la complejidad exigida para las mismas, y el uso de
autenticación multifactor. También se indagará sobre las prácticas de los empleados en cuanto
a la protección de sus credenciales y el cumplimiento de las políticas internas de seguridad
(Economistas, 2024).

Las respuestas obtenidas serán analizadas para determinar el grado de conciencia y

cumplimiento de las políticas de seguridad establecidas, en especial las relacionadas con la
Ley 1581 de 2012 sobre protección de datos y la Ley 1273 de 2009 que sanciona los accesos
no autorizados a sistemas informáticos. Esto permitirá identificar posibles áreas de mejora y
asegurar que el personal esté debidamente capacitado para prevenir incidentes relacionados
con el manejo incorrecto de contraseñas y la administración inadecuada de accesos a los
directorios activos (Congreso de la República de Colombia, 2012; Congreso de la República
de Colombia, 2009).

6 Informe de resultados y recomendaciones

6.2 Resumen ejecutivo

Durante la auditoría se detectaron las siguientes vulnerabilidades críticas:

1. Configuración incorrecta de Active Directory:

Roles y permisos mal asignados permiten accesos no autorizados y facilitan la
escalada de privilegios.

2. Problemas en el servidor DHCP:

Configuraciones incorrectas aumentan el riesgo de ataques como DHCP Spoofing,
comprometiendo la conectividad y la seguridad de la red.

3. Vulnerabilidades en el sistema de login:

Falta de protección contra inyecciones SQL expone datos sensibles y permite
manipulación de la base de datos.

4. Configuración deficiente del servidor web:

Ausencia de cabeceras de seguridad como CSP y X-Frame-Options deja la aplicación
vulnerable a ataques XSS y clickjacking.

Recomendaciones Prioritarias:

• Active Directory: Aplicar el principio de mínimos privilegios y realizar auditorías

periódicas.

• Servidor DHCP: Configurar correctamente y habilitar medidas como DHCP

Snooping para prevenir spoofing.
 • Sistema de Login: Implementar consultas preparadas y validación de entradas.

• Servidor Web: Configurar cabeceras de seguridad críticas para mitigar ataques

comunes.

6.3. Detalle de hallazgos

Hallazgo: Configuración Incorrecta de Roles y Permisos en Active Directory

• Descripción: Durante la auditoría, se detectaron varios usuarios con permisos

excesivos o incorrectamente asignados en Active Directory. Esto incluye permisos de
administración o acceso a áreas sensibles sin justificación.
• Riesgo: La incorrecta asignación de roles y permisos puede permitir la escalada de
privilegios y facilitar ataques internos.

Evidencias:

• Se detectó que varios usuarios de bajo nivel tienen permisos para modificar
configuraciones críticas del sistema.
• Registros de acceso que muestran que algunos usuarios accedieron a recursos no
autorizados.

Análisis técnico: Se debe revisar la política de roles y permisos de AD, asegurando que solo
los usuarios con funciones específicas tengan privilegios elevados.

Hallazgo: Configuración Incorrecta de DHCP

Descripción: El servidor DHCP no estaba correctamente configurado, lo que permitió la

asignación incorrecta de direcciones IP a varios dispositivos en la red, aumentando el riesgo
de interferencias de tráfico.

Riesgo: Un atacante podría aprovechar una mala configuración para realizar DHCP Spoofing,
redirigiendo el tráfico hacia un servidor malicioso.

Evidencias:

• Verificación de direcciones IP asignadas a dispositivos desconocidos.

 • Registros de eventos de red que indican cambios inesperados en la asignación de IPs.

Análisis técnico: Se debe activar DHCP Snooping y otras medidas de protección para
asegurar que solo los servidores DHCP confiables puedan asignar direcciones.

Hallazgo: Vulnerabilidad de Inyección SQL en el Login

Descripción: Durante la prueba de penetración, se descubrió que el formulario de login era

vulnerable a inyección SQL, permitiendo que un atacante manipule las consultas para obtener
acceso no autorizado a la base de datos.

Riesgo: Un atacante podría obtener acceso a los datos sensibles, incluyendo contraseñas,
información personal o incluso modificar datos en la base de datos.

Evidencias:

• Se realizaron pruebas de inyección SQL utilizando caracteres especiales en los campos

de entrada del formulario de login, lo que permitió el acceso no autorizado a la base de
datos.
• Análisis técnico: El sistema debe usar consultas parametrizadas para evitar que los
datos del usuario se interpreten como parte de la consulta SQL.

Hallazgo: Falta de Configuración de Cabeceras de Seguridad en el Servidor Web

Descripción: El servidor web no tiene configuradas algunas cabeceras de seguridad

esenciales, como CSP, X-Frame-Options, lo que lo expone a ataques comunes.

Riesgo: La falta de estas cabeceras aumenta la posibilidad de sufrir ataques como XSS y la
ejecución de contenido malicioso.

Evidencias:

• Examen de las respuestas HTTP del servidor, donde se observó la ausencia de las
cabeceras de seguridad mencionadas.
• Análisis técnico: Es necesario configurar adecuadamente las cabeceras de seguridad
para reducir la vulnerabilidad a los ataques web más comunes.
6.4. Plan de acción

Revisión y Corrección de los Roles y Permisos en Active Directory

Acciones:

• Revisar y corregir la asignación de roles y permisos en Active Directory, asegurando

que se aplique el principio de mínimos privilegios para que cada usuario solo tenga
acceso a los recursos estrictamente necesarios.
• Implementar una política de permisos más estricta para los usuarios con privilegios
elevados.
• Realizar auditorías periódicas de permisos y roles, y establecer alertas automáticas
para detectar cambios no autorizados.

Responsable: Administrador de AD, Equipo de TI.

Reconfiguración de DHCP y Medidas contra DHCP Spoofing

Acciones:

• Reconfigurar el servidor DHCP para asegurar que las direcciones IP sean asignadas de
forma coherente y segura.
• Activar DHCP Snooping para restringir los servidores DHCP que puedan asignar
direcciones IP, y establecer IPS/IDS para detectar posibles intentos de DHCP
Spoofing.
• Realizar pruebas de integridad de la red para verificar que las medidas de protección
contra Spoofing sean efectivas.

Responsable: Administrador de Red, Equipo de Seguridad.

Protección de los Formularios de Login contra Inyección SQL

Acciones:

• Implementar consultas preparadas y procedimientos almacenados en el código para

prevenir inyección SQL.
 • Validar y sanitizar todas las entradas de usuario, asegurando que no se permitan
caracteres o comandos peligrosos.
• Realizar pruebas de penetración periódicas para verificar que la aplicación es
resistente a este tipo de ataques.

Responsable: Desarrolladores, Equipo de Seguridad.

Implementación de Cabeceras de Seguridad en el Servidor Web

Acciones:

• Realizar una auditoría de seguridad en el servidor web para asegurarse de que las
configuraciones sean adecuadas.
• Monitorizar los logs del servidor para detectar posibles intentos de explotación de
vulnerabilidades.

Responsable: Administrador de Servidores Web, Equipo de Seguridad.

7.1. Revisión de implementación

Revisión y Corrección de los Roles y Permisos en Active Directory

Seguimiento de las Acciones Correctivas:

• Monitoreo de logs de cambios en Active Directory para identificar patrones de acceso

no deseados.

• Verificación de la efectividad de las políticas de permisos mediante simulaciones de

acceso.

• Inspección de resultados de las auditorías automáticas para garantizar que no existan

brechas.

Revisión de Eficacia:
 • Comparar incidencias de accesos no autorizados antes y después de la implementación.

• Encuestas a los administradores y usuarios clave para validar la facilidad y efectividad

del sistema actualizado.

• Revisión de alertas activadas y ajustes en las configuraciones de las políticas según sea
necesario.

Reconfiguración de DHCP y Medidas contra DHCP Spoofing

Seguimiento de las Acciones Correctivas:

• Revisión de registros de DHCP Snooping para detectar intentos de Spoofing.

• Inspección de alertas generadas por IPS/IDS en la red.

• Evaluación periódica de la consistencia de las direcciones IP asignadas.

Revisión de Eficacia:

• Validar que no se han registrado incidentes de DHCP Spoofing desde la

implementación.

• Monitorear las métricas de estabilidad y rendimiento de la red tras las modificaciones.

• Revisión de los resultados de las pruebas de integridad para asegurar que todas las
medidas se mantengan efectivas.

Protección de los Formularios de Login contra Inyección SQL

Seguimiento de las Acciones Correctivas:

• Validación de las configuraciones a través de herramientas de análisis de código

estático.

• Ejecución periódica de pruebas de penetración automatizadas e informes generados por

estas herramientas.
 • Supervisión continua de los logs de acceso para identificar posibles intentos de
explotación.

Revisión de Eficacia:

• Comparación de los resultados de las pruebas de penetración realizadas antes y después

de las mejoras.

• Monitoreo de intentos fallidos de inyección detectados y análisis de patrones.

• Entrevistas con el equipo de desarrollo para identificar posibles ajustes adicionales.

Implementación de Cabeceras de Seguridad en el Servidor Web

• Seguimiento de las Acciones Correctivas:

o Revisión regular de configuraciones de cabeceras de seguridad mediante

herramientas como OWASP ZAP.

o Monitoreo constante de los logs del servidor para identificar vulnerabilidades

emergentes.

o Análisis de los resultados de las auditorías realizadas.

• Revisión de Eficacia:

o Validar mediante auditorías de terceros que las configuraciones cumplen con

estándares de seguridad.

o Revisar la ausencia de ataques exitosos relacionados con XSS o Clickjacking

desde la implementación.

o Realizar simulaciones de ataques para garantizar que las medidas sigan siendo
efectivas frente a nuevas amenazas.

7.2. Informe final

Resumen de las acciones implementadas y su impacto

1. Corrección en Active Directory:

Acción: Se implementaron revisiones regulares dentro de la empresa auditada

para identificar permisos mal asignados y corregirlos, aplicando el principio de
mínimos privilegios.

Impacto: Reducción significativa del riesgo de accesos no autorizados y

escalada de privilegios. Mejora de la trazabilidad en el control de roles y
permisos.

2. Reconfiguración del servidor DHCP:

Acción: Configuración del servidor DHCP para asignar direcciones IP de

manera segura, activando DHCP Snooping y otras medidas preventivas.

Impacto: Eliminación de vulnerabilidades relacionadas con DHCP Spoofing y

estabilización en la asignación de direcciones IP.

3. Protección contra inyecciones SQL:

Acción: Se actualizaron los sistemas de login mediante consultas preparadas,

validación y sanitización de entradas, además de pruebas regulares de
penetración.

Impacto: Prevención de inyecciones SQL, protegiendo datos sensibles y

mejorando la seguridad en los accesos.

4. Implementación de cabeceras de seguridad en servidores web:

Acción: Configuración de cabeceras como Content Security Policy (CSP), X-

Frame-Options y X-Content-Type-Options.

Impacto: Protección contra ataques XSS, clickjacking y ejecución de

contenido malicioso, mejorando la resiliencia de las aplicaciones web.

5. Migración de sistemas de sistemas basados en Windows NT hacia sistemas linux:

Acción: Se debe realizar migraciones progresivas de los sistemas Windows a

sistemas GNU Linux conforme las configuraciones se puedan realizar con
mayor precisión y estabilidad en pro de mejorar la seguridad.
 Impacto: Los sistemas al basarse sobre GNU Linux tendrán la capacidad de
adaptarse fácilmente a los requerimientos se seguridad necesaria dentro de la
empresa debido a su naturaleza de código abierto por ello su configuración es
más personalizada según el caso de uso.

Cierre Formal de la Auditoría

La auditoría realizada por InfoSecure cumplió con los objetivos establecidos, proporcionando
un análisis exhaustivo de la seguridad informática de la empresa auditada. Las acciones
implementadas han reducido de manera significativa las vulnerabilidades críticas
identificadas, aumentando la resiliencia operativa y cumpliendo con estándares
internacionales como COBIT, ISO 27001 y NIST.

El informe se entrega con las siguientes recomendaciones finales:

• Mantener auditorías regulares en permisos y configuraciones críticas.

• Continuar fortaleciendo la postura de seguridad mediante la capacitación del personal.

• Realizar pruebas periódicas de recuperación ante desastres y simulaciones de

incidentes.

Con este cierre, InfoSecure concluye la auditoría y reafirma su compromiso de apoyar la

mejora continua en la seguridad informática de sus clientes.

Referencias

ISACA. (2018). COBIT 2019 framework: Governance and management objectives. ISACA.

ISO/IEC. (2013). ISO/IEC 27001:2013 - Information technology — Security techniques —

Information

Contraloría General de la República. (2020). Informe final de la Contraloría General de la

República sobre la gestión del Servicio Público de Internet en la vigencia 2019.
Superintendencia de Servicios Públicos Domiciliarios.
https://www.superservicios.gov.co/sites/default/files/inline-
files/informe_final_cgr_sspd_vigencia_2019_nov.2020.pdf

Congreso de la República de Colombia. (2009). Ley 1273 de 2009: Por la cual se modifican el
Código Penal y el Código de Procedimiento Penal y se dictan otras disposiciones sobre delitos
informáticos y la protección de datos personales. Diario Oficial No. 47.347.
https://www.mintic.gov.co/portal/604/articles-9814_Ley_1273_2009.pdf

Congreso de la República de Colombia. (2012). Ley 1581 de 2012: Por la cual se dictan
disposiciones generales para la protección de datos personales. Diario Oficial No. 48.107.
https://www.mintic.gov.co/portal/604/articles-9860_Ley_1581_2012.pdf

Economistas. (2024). Comunicado técnico: Recomendaciones sobre la seguridad en el uso de

contraseñas. Recuperado de
https://economistas.es/Contenido/REA/ComunicacionDepartamentoTecnico/Comunicacion-
D.-Tco.124%20%28230424%29.pdf

Congreso de la República de Colombia. (2012). Ley 1581 de 2012: Por la cual se dictan
disposiciones generales para la protección de datos personales. Diario Oficial No. 48.107.
https://www.mintic.gov.co/portal/604/articles-9860_Ley_1581_2012.pdf

Congreso de la República de Colombia. (2009). Ley 1273 de 2009: Por la cual se modifican el
Código Penal y el Código de Procedimiento Penal y se dictan otras disposiciones sobre delitos
informáticos y la protección de datos personales. Diario Oficial No. 47.347.
https://www.mintic.gov.co/portal/604/articles-9814_Ley_1273_2009.pdf

Auditoria Group. (s.f.). Redacción de informes de auditoría. Recuperado de

https://auditoriagroup.com.ar/redaccion-de-informes-de-auditoria/

Ministerio de Salud y Protección Social. (2022). Informe de auditoría financiera 2022.

Recuperado de
https://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/DE/OCI/informe-
auditoria-financiera-msps-2022.pdf