INSTITUTO POLITÉCNICO NACIONAL

UNIDAD PROFESIONAL INTERDISCIPLINARIA

DE INGENIERÍA Y CIENCIAS SOCIALES Y
ADMINISTRATIVAS

Auditoria en BD

Unidad de aprendizaje: Auditoria Informática

Secuencia 5CM80

Equipo 3

• Franco Ferrer Alejandro

• Martínez Polanco Luis Ángel
• Zamora Maldonado Irsa Sharon
• Zamudio Escutia Amairani Moncerrad

Profesor Cruz Romero Juan Carlos

14/01/2020
Contenido
Antecedentes de la empresa ........................................................................................................... 3
Auditoria en bases de datos a la empresa “Comisión Nacional del Agua” (CONAGUA). .... 3
Misión de la empresa....................................................................................................................... 4
Visión de la empresa. ...................................................................................................................... 4
Visión del sector hidráulico. ............................................................................................................ 4
NECESIDAD DE LA AUDITORIA..................................................................................................... 4
Objetivo .............................................................................................................................................. 4
Objetivos específicos ....................................................................................................................... 4
Asignación del equipo de auditoria (roles) ....................................................................................... 6
Planificación de la Auditoria (cronograma)....................................................................................... 6
CRONOGRAMA DE ACTIVIDADES ........................................................................................ 7
EJECUCIÓN DE LA AUDITORIA (ENTREVISTAS, REVISIÓN DOCUMENTAL, ETC) ........ 9
Aspectos generales de su elaboración ......................................................................................... 9
Hallazgos ............................................................................................................................................ 14
Informe ................................................................................................................................................. 20
Antecedentes de la empresa
Auditoria en bases de datos a la empresa “Comisión Nacional del Agua” (CONAGUA).
La Comisión Nacional del Agua es heredera de una gran tradición hidráulica y a lo
largo de su historia ha estado integrada por destacados profesionales y especialistas
de diversas disciplinas, reconocidos internacionalmente por su dedicación y
capacidad técnica. Dentro de las instituciones que le antecedieron destacan la
Dirección de Aguas, Tierras y Colonización creada en 1917; la Comisión Nacional de
Irrigación, en 1926; la Secretaría de Recursos Hidráulicos en 1946 y la Secretaría de
Agricultura y Recursos Hidráulicos en 1976.

Actualmente, la misión de la Comisión Nacional del Agua consiste en administrar y

preservar las aguas nacionales, con la participación de la sociedad, para lograr el uso
sustentable del recurso.

La Comisión considera que la participación de la sociedad es indispensable para

alcanzar las metas que se han trazado en cada cuenca del país, ya que, entre otros
aspectos, los habitantes pueden dar la continuidad que se requiere a las acciones
planteadas. Por otra parte, considera que el uso sustentable del agua se logra cuando
se cumplen los aspectos siguientes:

I. El agua genera bienestar social: básicamente se refiere al suministro de los

servicios de agua potable y alcantarillado a la población, así como al
tratamiento de las aguas residuales.
II. El agua propicia el desarrollo económico: considera al agua como un insumo
en la actividad económica; por ejemplo, en la agricultura, la producción de
energía eléctrica o la industria
III. El agua se preserva: es el elemento que cierra el concepto de sustentabilidad.
Si bien se reconoce que el agua debe proporcionar bienestar social y apoyar el
desarrollo económico, la Comisión Nacional del Agua está convencida de que
se debe preservar en cantidad y calidad adecuadas para las generaciones
actuales y futuras y la flora y fauna de cada región
Misión de la empresa.
"Administrar y preservar las aguas nacionales y sus bienes inherentes, para lograr su
uso sustentable, con la corresponsabilidad de los tres órdenes de gobierno y la
sociedad en general".

Visión de la empresa.
"Ser autoridad con calidad técnica y promotor de la participación de la sociedad y de
los órdenes de gobierno en la gestión integrada del recurso hídrico y sus bienes
públicos inherentes".

Visión del sector hidráulico.

"Una nación que cuente con agua en cantidad y calidad suficiente, reconozca su valor
estratégico, la utilice de manera eficiente, y proteja los cuerpos de agua, para
garantizar un desarrollo sustentable y preservar el medio ambiente".

La Gerencia del Consultivo Técnico de la Comisión Nacional del Agua, cuenta con
una herramienta la cual les permite informar y actualizar cada uno de los registros de
la información que se deriva de las inspecciones que se realizan periódicamente a
cada una de las presas del país; La gerencia realiza un proceso exhaustivo para
recopilar, verificar y autorizar la información de cada una de las obras de captación y
control de agua del país, ya que, es un factor importante tener información consistente
y actualizada para cada una de las instalaciones hidráulicas, de tal manera que se
puedan generar informes con características generales de cada una de las presas en
México.

NECESIDAD DE LA AUDITORIA.
Objetivo
• Auditar la Base de Datos de la aplicación de “Sistema de Seguridad de Presas”
bajo la metodología de COBIT

Objetivos específicos
1. Comprobar que se cumplan los controles de acceso a la base de datos.
2. Realizar la auditoria de acuerdo con las buenas prácticas.
3. Aplicar herramientas de seguridad que nos ayuden a evaluar el sistema.
 4. Verificar la seguridad entorno de la Base de Datos.

Problemática (Necesidad)

Dentro de la política de la empresa, señala que se debió realizar después de la

implementación, algún proceso de auditoria a la aplicación y dicho proceso no se ha
llevado a cabo para verificar si el sistema que se está poniendo en marcha cumple
con los requerimientos de las mejores prácticas. Con la presente auditoria se pretende
llevar a cabo un análisis de riesgos para el “Sistema de Seguridad de Presas” de la
CONAGUA que permita revisar la aplicación apegándonos a la metodología de COBIT
y la relación con la política de la empresa.

Se auditarán los controles de la Base de datos de la aplicación “Sistema de Seguridad

de Presas”, se realizará un análisis de riesgos conforme a las buenas prácticas de la
metodología COBIT, llevándose a cabo la revisión de los siguientes Procesos:

PO9 - Evaluar y administrar los riesgos de TI.

AI2 - Adquirir y dar mantenimiento a software aplicativo.
DS5 - Garantizar la seguridad de los sistemas.
DS8 - Administración Mesa de servicio e incidentes.
DS11 - Administrar datos.
DS13 - Administrar operaciones.

Con el fin de facilitar a quienes lo precisen, respuestas a consultas de la información

almacenada en el “Sistema de Seguridad de Presas”. A su vez generar un informe
que facilite el análisis de datos para que el personal encargado de la seguridad de
presas tenga disponibilidad confiabilidad e integridad de a información para una mejor
toma de decisiones.
Asignación del equipo de auditoria (roles)

NOMBRE CARGO ID
Franco Ferrer Alejandro. Auditor. FFA
Martínez Polanco Luis Responsable de la MPLA
Ángel. auditoría.
Zamora Maldonado Irsa Auditor. ZMIS
Sharon
Zamudio Escutia Amairani Auditor. ZEAM
Moncerrad.

Planificación de la Auditoria (cronograma)

Durante la planificación de la auditoria a la base de datos del sistema de seguridad
de presas se tomaron diversos aspectos en consideración, ya que una mala
planeación de la auditoria podría causar retrasos, olvidos, y no se podría dar un
seguimiento lógico y constante. La fase de la planeación consta de diversas partes
en las cuales se detallan cada uno de los procedimientos y pasos a seguir dentro de
la auditoria.
1) En primera instancia se reunió el equipo auditor para definir y delimitar la
auditoria, con esto se lograría solo enfocarse a la base de datos y no involucrar
otras áreas o procedimientos que no estuvieran justificados y además que
causaran el retraso de algunas actividades, en base a esto se desarrolló una
lista de puntos específicos donde se quedaran por escrito cada una de las
tareas a realizar. Con esto se desarrolló un cronograma de actividades, en el
cual se detalla el inicio, ejecución y fin de cada actividad.
2) Terminado el cronograma se asignarán las tareas y días correspondientes a
cada integrante del equipo registrándose en el mismo. Así se asegura que
cada día se realizara una tarea diferente y no hubiera complicaciones,
malentendidos o traslapes en actividades.
3) Una vez las tareas estén realizadas, el equipo se dispone a hacer las
 entrevistas con el personal del área encargada, se le entrega un oficio
indicando lo anteriormente señalado y la carta de aceptación para la
realización de la auditoria, esto es para darle formalidad, cumplimiento a lo
establecido y no haya malentendidos con la empresa.

CRONOGRAMA DE ACTIVIDADES
Durante la planeación de la auditoria se desarrolló, un cronograma de actividades en
el cual se observan los tiempos de inicio, ejecución, fin del proyecto y de cada
actividad correspondiente dentro del mismo, así mismo incluye un apartado en donde
se indica el nombre de la persona que realizó la actividad y una gráfica de Gantt que
describe todo el proceso.

El cronograma se dividió en 5 actividades principales:

I. Estudio general de la empresa, donde se recopila información que nos ayude

a comprender mejor el funcionamiento y procesos de la empresa.
II. Planeación y programa de trabajo, se llevan a cabo las actividades
correspondientes a las entrevistas, permisos, reuniones y aceptación.
III. Realización de la auditoria, están todas las actividades relacionadas con la
ejecución de la auditoria a la base de datos.
IV. Evaluación de la auditoria, se describen los hallazgos encontrados las
vulnerabilidades y se realiza el análisis de riesgos.
V. Presentación del informe ejecutivo, donde se describen los impactos y las
recomendaciones para minimizar los riesgos encontrados.
EJECUCIÓN DE LA AUDITORIA (ENTREVISTAS, REVISIÓN DOCUMENTAL,
ETC)
Dentro de la ejecución de la auditoria a la base de datos se contemplaron diversos
puntos realizados sucesivamente, de acuerdo con el cronograma de actividades, ya
que todas dependían de los resultados las actividades anteriores.

Aspectos generales de su elaboración

Para esta etapa de la auditoria se ocuparon diversos formatos para darle una mejor
presentación y comprensión, en cada uno de ellos se describe detalladamente lo que
se realizó dentro de la auditoria.

a) Entrevistas. - en esta parte se tienen entrevistas formales con la gente

encargada tanto del sistema como del área a la que pertenece, esto con el fin
de tener una visión más clara de nuestra auditoria, para tener los permisos
necesarios para tener acceso a la base de datos, realizar las pruebas
pertinentes en el sistema y documentación requerida para realizarla.
b) Checklist. Esta actividad, es una de las más importantes para llevar a cabo la
auditoria, ya que aplicándolo nos mostrará una visión más detallada de cómo
se encuentra el activo que se auditará. Esto se explicará más adelante.

El checklist elaborado por el equipo auditor partía de manera muy precisa de los
puntos señalados en el alcance, logrando que se siguiera por el camino de las
buenas prácticas de COBIT, a manera de lista se fueron revisando los cuatro
dominios y de ahí solos se tomaron los procesos con sus respectivos objetivos de
control que cubrieran los aspectos que pretendíamos evaluar y que a nuestra
consideración, podrían darnos información relevante y nos permitirían tener una
visión del sistema y sus problemas con mayor detalle.
Con un total de 55 preguntas, el equipo auditor entrevisto al encargado del sistema
aplicando el checklist, quedando graficado y detallado de la siguiente manera:
 Total de preguntas 55
Resp Afirmativas 39
Resp. Negativas 11
No aplican 5

Porcentaje afirmativo 70.91%

55 100%
39 70.91

Porcentaje Negativo 20%

55 100%
11 20

Porcentaje no aplican 9.09%

55 100%
5 9.09
TOTAL 100.00%

Tabla Porcentajes Checklist

A pesar de que nuestro resultado fue positivo ya que la mayoría de las preguntas
son afirmativas, las resultantes negativas tenían un gran impacto en el sistema
generando un riesgo muy grande dentro del sistema.
Para mayor comodidad, dentro del mismo checklist se hicieron nuevas columnas en
donde se planteó y resolvió el Análisis de Riesgos. Dentro de esta actividad, nos
concentramos en ver qué puntos del checklist eran buenos, cuáles eran regulares y
cuales tenían un impacto negativo al sistema. En base a esto se fueron distinguiendo
con una escala de colores de acuerdo con su nivel de riesgo. Se realizaron las
observaciones correspondientes a los 11 riesgos encontrados describiendo la causa
del riesgo y su impacto dentro del sistema en caso de que no fuera atendido.
Dentro del análisis de riesgos también se hicieron observaciones para dar posibles
soluciones a los riesgos encontrados, pero todo esto se detalla mejor en el cierre de
la auditoria presentando las recomendaciones.

Hallazgos
Esta actividad tiene como objetivo principal el dar a conocer los errores,
vulnerabilidades, riesgos y cualquier otra anomalía que haya sido detectada en el
análisis de riesgos, con esto se asegura que se tengan bien presentes todos los
puntos que tuvieran un gran impacto o que interfirieran con las actividades diarias del
sistema.

En nuestra auditoria encontramos los siguientes hallazgos:

1. Se identificó que debido a que el sistema es reciente no se han llevado a cabo

análisis de riesgos y pueden existir posibles fallos, detección de amenazas y
vulnerabilidades no contempladas en su BD, perjudicando la integridad,
confiabilidad e integridad del sistema (P09.4)
2. Se detectó que no cuentan con un plan de contingencia. (DS5.2)
3. No se notifica al personal de modificaciones en el sistema. (DS5.2)
4. No se respaldan archivos logs en la Base de datos. (DS5.2)
5. Los passwords de usuarios no son seguros debido a que se asignan igual que
el nombre del usuario. (DS5.3)
6. Así mismo se observó que no contemplan un almacenamiento del registro de
accesos no se ha hecho una revisión de los usuarios y privilegios definidos en
las aplicaciones, a fin de asegurar que únicamente existan los autorizados con
los privilegios apropiados. (DS5.3)
7. Identificamos cuentas activas que ya no laboran en CONAGUA. Existen 2
cuentas en esta situación. (DS5.4)
8. No se notifican incidencias de seguridad. (DS5.6)
9. Las contraseñas de los usuarios no están fuertemente cifradas. (DS5.8).
10. El software de la base de datos no es actualizado. (DS5.9)
11. No se cuenta con un protocolo específico para el envío de la información.
(DS5.11)
 HALLAZGOS

Observación 1.- Se identificó que debido a que el sistema

es reciente no se han llevado a cabo análisis
de riesgos y pueden existir posibles fallos,
detección de amenazas y vulnerabilidades no
contempladas en su BD, perjudicando la
integridad y confiabilidad del sistema.
Impacto Existe la posibilidad de que afecte en la toma de
decisiones de los directivos para las futuras
inspecciones ya que la información no es
actualizada con la frecuencia necesaria.
Causa El sistema fue implementado en Marzo del 2010 y
no se ha llevado un proceso de Auditoria.
Recomendación Después de la auditoria en curso, recomendamos
realizar diversas valoraciones periódicamente
(cada 6 meses), tomando en cuenta la
importancia y riesgos del mal funcionamiento del
sistema de Seguridad de Presas.

Observación 2.- Se detectó que no cuentan con un plan de

contingencia (DS5.2).
Impacto Deja susceptible la continuidad del sistema, así
como también la posible pérdida total de los
datos en un desastre natural o algún sabotaje
interno.
Causa Debido a que el sistema fue implementado
recientemente no se tiene un plan formalizado
específico por la Subgerencia de Sistemas, más
que los planes de Contingencia Generales de la
CONAGUA (Se anexa).
Recomendación Reunirse con el personal de la Gerencia de
Informática y Telecomunicaciones para concretar
e implementar un plan de contingencia que
asegure la continuidad en las operaciones así
como los procedimientos a realizar en un posible
desastre o sabotaje.

Observación 3.- No se notifica al personal de

modificaciones en el Sistema (DS5.2).
Impacto Provocaría inestabilidad en el proceso de la
operación del sistema así como malentendidos
ocasionados por la falta de información y
procedimientos informáticos.
Causa El proceso de oficialía de partes no está bien
establecido y no se lleva un acuse de control para
 comprobar que los usuarios realmente están
informados de cambios.
Recomendación Nombrar a una persona encargada de boletinar
los acontecimientos, cambios y nuevos
procedimientos para asegurar el cumplimiento de
los cambios realizados a las políticas o en su
defecto ligar con el Sistema de Control de Gestión
para monitorear los acuses de recibo.

Observación 4.- No se respaldan archivos logs en la Base

de Datos (DS5.2).
Impacto No se tiene un control de quien accesa al
Sistema, de donde accesa y que modificaciones
realizó en la información para que en caso de
robo de información se tenga un registro de los
accesos.
Causa No consideran prioritario este proceso ya que
como existen muchos usuarios de consulta
consideran redundante los accesos.
Recomendación Almacenar y realizar copias de seguridad, utilizar
el programa My sqldump o el script My
sqlhotcopy script.

Observación 5.- Los passwords de usuarios no son seguros

debido a que se asignan igual que el nombre
del usuario (DS5.3).
Impacto Cualquier usuario malintencionado puede
accesar a otra cuenta con distintos privilegios y
modificar información importante.
Causa No existe una codificación ni procedimiento para
el cambio de los passwords.
Recomendación Se debe de tener una restricción en la consulta
del campo Password.
Al realizar el query SELECT*FROM USUARIOS, no
arrojar USUARIOS_PASSWORD y si es necesaria
dicha consulta solicitar contraseña de
administrador.
Establecer políticas de seguridad en los password
(no aceptar con relación al nombre, puesto,
función o área del usuario).

Observación 6.- Asimismo se observó que no contemplan

un almacenamiento del registro de accesos
no se ha hecho una revisión de los usuarios y
privilegios definidos en las aplicaciones. A fin
de asegurar que únicamente existan los
 autorizados con los privilegios apropiados
(DS5.3).
Impacto Se puede afectar la integridad, confidencialidad y
disponibilidad de la información provocando que
se filtre información de manera indefinida en
tiempos no autorizados internamente como
accesos del exterior.
Causa Debido a que en Oficinas Foráneas no existe el
personal definido específicamente para el acceso
no consideran como prioridad dicho control y por
tal motivo no hay documento que sustente dicho
control.
Recomendación Definir los privilegios requeridos y autorizados a
asignar a los usuarios (lectura, modificación, etc.)
de acuerdo a su puesto y funciones,
principalmente almacenarlos y modificarlos por
un periodo definido, a fin de asegurar que se
encuentran activos y con los privilegios que les
corresponden únicamente a usuarios autorizados.

Observación 7.- Identificamos cuentas activas que ya no

laboran en CONAGUA. Existen 2 cuentas en
esta situación (DS5.4).
Impacto Filtración del personal no permitido al área,
alterar o robar información y la posibilidad de
que ya no se puedan reasignar cuentas por el
motivo de que hay algunas activas.
Causa No existe coordinación ni notificación de las bajas
o movimientos de personal de la Gerencia de
Personal con la Gerencia de Informática y
Telecomunicaciones.
Recomendación Realizar un procedimiento o minuta para que
todo movimiento de personal involucrado en el
acceso al sistema sea notificado y/o bloqueado
por los administradores del sistema.

Observación 8.- No se notifican incidencias de seguridad

(DS5.6).
Impacto Se corre el riesgo de quedarse sin continuidad de
actividades por no reportar una falla a tiempo,
que además puede ser causado por virus, hacking
que pueden costar pérdida de información
importante para las futuras inspecciones.
Causa No se ha formalizado el proceso de notificaciones.
Recomendación Crear y difundir el procedimiento en donde se
haga consciencia a los empleados al presentarse
un problema en el sistema, proponer un protocolo
 de fallo que asegure la información dentro del
desastre y un procedimiento para reportar y
reparar el mismo.

Observación 9.- Las contraseñas de los usuarios no están

fuertemente encriptadas (DS5.8).
Impacto El no tener passwords encriptados supone una
vulnerabilidad al sistema, ya que puede ser
atacado por hacking, phishing e ingeniería social,
detectado muy fácil el pass, teniendo el acceso a
toda la Base de Datos y posiblemente la
modificación no autorizada o daños parcial o
totalmente.
Causa No se tiene una cultura de contraseñas
encriptadas, o no se cuenta con la suficiente
difusión para que los usuarios lo implementen.
Recomendación Contar con un sistema y metodología de
encriptación de contraseñas, así como la buena
propaganda de la cultura de los passwords
seguros.

Observación 10.- El software de la base de datos no es

actualizado (DS5.9).
Impacto Se corre el riesgo de un mal funcionamiento en
los procesos de captura y almacenamiento,
provocando una inestabilidad en el sistema.
Causa No existe el presupuesto suficiente ni las
autorizaciones dentro del Programa Anual para
la compra de nuevo Software o actualizaciones.
Recomendación Realizar Oficio de consideración y autorización en
el Programa Anual 2011 para la compra de
software adicional y actualizaciones.

Observación 11.- No se cuenta con un protocolo específico

para el envío de la información (DS5.11).
Impacto Al no contar con un protocolo seguro para la
transmisión de los datos, al ser un ambiente WEB
puede correr el riesgo de robo de información por
terceros.
Causa Únicamente está implementado el protocolo FTP.
Recomendación Implementar un Protocolo seguro para la
transmisión de datos como lo son los SSH, SSL,
TSL, y HTTPS que son protocolos usados en la
actualidad.
Informe
En la última parte de la auditoria, se empezarán a plasmar todos los resultados
obtenidos tanto del análisis de riesgos como de la actividad “hallazgos”, logrando que
la auditoria sea comprendida, que el alcance fuera el correcto y que la justificación
fuera completa.
INFORME DE AUDITORIA

SISTEMA DE SEGURIDAD DE PRESAS METODOLOGÍA COBIT

1.0 DATOS GENERALES DE LA ORGANIZACIÓN

Nombre: Comisión Nacional del Agua

Dirección: Insurgentes Sur. No. 2416 Colonia Copilco el bajo CP.04340, Delegación Coyoacán
México D.F.

Servicios: Administrar y preservar las aguas nacionales

No de empleados: 13600 empleados totales de la Comisión Nacional del agua, con: Subgerencia de
Seguridad de Presas y 3 en Subgerencia de Sistemas

Representantes de la organización auditada:

ING. ARCADIO GARCÍA GIRON

SUBDIRECTOR ADMINISTRATIVO “A” RESPONSABLE DE SISTEMA DE

SEGURIDAD DE PRESAS

2.0 OBJETIVO, PROBLEMÁTICA, ALCANCE y CRITERIOS DE AUDITORIA. Los objetivos de esta

auditoria fueron:

Auditar la base de datos de la aplicación del “sistema de seguridad de presas”, bajo la metodología
de COBIT

Confirmar que el sistema de seguridad de presas en su base de datos que cumple con lo requerido
por la metodología aplicada COBIT

Problemática

Dentro de la política de la empresa, se debió realizar después de la implementación algún proceso

de auditoria al mismo y dicho proceso no se ha llevado a cabo
 INFORME DE AUDITORIA

SISTEMA DE SEGURIDAD DE PRESAS METODOLOGÍA COBIT

Alcance: Con la presente auditoria se pretende llevar a cabo un análisis de riesgos para el “Sistema
de Seguridad de Presas” de la CONAGUA que permita revisar la aplicación apegándonos a la
metodología de COBIT y la relación con la política de la empresa.

Con el fin de facilitar a quienes lo precisen, respuestas a consultas de la información almacenada

en el “Sistema de Seguridad de Presas”. A su vez generar un informe que facilite el análisis de
datos para que el personal encargado de la seguridad de presas tenga disponibilidad confiabilidad
e integridad de a información para una mejor toma de decisiones

Como criterios de auditoria se han definido los siguientes documentos:

1) Metodología COBIT.
2) Documentación del sistema de Seguridad de Presas otorgado por el área de sistemas de
la institución

Justificación

Debido a que el “sistema de seguridad de presas” se implementó por primera vez el 1º de marzo
de 2010 en la CONAGUA, es necesario llevar a cabo el proceso de auditoria para minimizar los
riesgos de que la aplicación no funcione adecuadamente y determinar si cumple con las buenas
prácticas.

Al realizar dicha auditoria tendremos como resultado, disminuir las incidencias que surgieran en la
aplicación, de esta forma, ayudar a que la aplicación opere de forma eficiente basándonos en la
metodología PRIMA y tomando como referencia COBIT para elaboración del checklist.

INFORME DE AUDITORIA

SISTEMA DE SEGURIDAD DE PRESAS METODOLOGÍA COBIT

Equipo de auditores

Nombre Iniciales

1 Franco Ferrer Alejandro FFA

2 Martínez Polanco Luis Ángel MPLA

3 Zamora Maldonado Irsa Sharon ZMIS

4 Zamudio Escutia Amairani ZEAM

Moncerrad
 3.0 CONCLUSIONES DE LA AUDITORIA
Concluimos que existe conciencia sobre la seguridad y ésta es promovida por la
gerencia, aunque esta sea un poco fraccionada y limitada en cuanto al control de
accesos.
➢ Algunas políticas de seguridad están alineadas con la política de
seguridad de TI
➢ Las responsabilidades de la seguridad de TI están asignadas y
entendidas, pero no continuamente implementadas
➢ Existe capacitación en seguridad para TI, pero se programa y se
comunica de manera informal.
➢ La seguridad de TI es vista primordialmente con responsabilidad y
disciplina, pero la institución no lo ve como parte importante de sus
propios objetivos.
Podemos concluir que el proceso está definido y el contacto con métodos para
promover la conciencia de la seguridad es obligatorio por lo tanto se tendrá que
tomar en cuenta las medidas correctivas antes observadas para que la
responsabilidad sea conjunta de la institución y sus objetivos optimizados con las
mejores prácticas.
3.1 FORTALEZAS
➢ Apoyo logístico
➢ Disponibilidad del personal de la Institución
➢ Programa presupuestal de alto índice económico
➢ Infraestructura de alta calidad
3.2 DEBILIDADES
➢ La no comprensión por parte de los usuarios de la política corporativa
de SGSI.
➢ Falta de concienciación con respecto a la importancia de la
confidencialidad de la contraseña.
➢ Los passwords no consideran 8 caracteres, mayúsculas, minúsculas
y caracteres especiales.
3.3 SUGERENCIAS POR PARTE DEL EQUIPO AUDITOR
➢ Dar una mayor difusión a la Política Corporativa de Seguridad de la
Información. Asegurarse que la información que se está transmitiendo
sea clara. Difundir información que involucra la participación del usuario.
➢ Corroborar que se hayan dado de baja las cuentas de correo electrónico
solicitadas a sistemas centrales e incluir las bajas de todas las cuentas
de las aplicaciones que el usuario utilizaba.
➢ Concientizar a los usuarios para que utilicen el bloqueo de equipo cuando
están fuera de su lugar de trabajo.
HALLAZGOS ENCONTRADOS CONFORME A LA METODOLOGÍA COBIT

DOMINO DEL COBIT DESCRIPCIÓN DEL HALLAZGO ENCONTRADO RIESGO PRESENTADO

PROCESO DEL DOMINO DEL
COBIT

PLANEACIÓN Y No se cuenta con una auditoría Posibles fallas y no detección de

ORGANIZACIÓN. PO9. Evaluación de Riesgos previa al sistema, ni una relación amenazas y no vulnerabilidades
de TI con la evaluación de los riesgos del sistema perjudicando la
➢ Evaluar de forma de TI. integridad y confiabilidad de
recurrente la la información.
probabilidad e impacto
de todos los riesgos
identificados, usando
métodos cualitativos y
cuantitativos.
➢ La probabilidad e
impacto asociados a los
riesgos inherentes y
residuales se debe
determinar de forma
individual, por categoría
y con base en el
portafolio.

ENTREGA Y SOPORTE. DS5.2. Plan de seguridad de ✓ No se cuenta con un Plan ❖ El sistema se encuentra
TI de contingencia. susceptible a la
➢ Trasladar los ✓ Las políticas y continuidad de sus
requerimientos de procedimientos de operaciones si llegará a
negocio, riesgos y seguridad no son tener una pérdida total, o
cumplimiento dentro de comunicados con parcial de información
un plan de seguridad de frecuencia. por un desastre natural
TI completo, teniendo ✓ No cuentan con un un sabotaje interno o
en consideración la registro de identidades externo.
 infraestructura de TI y del usuario en un ❖ Al no llevar una
cultura de la seguridad. repositorio. comunicación apropiada
➢ Comunicar las políticas y ✓ No cuentan con una hacia los miembros de
procedimientos de administración de TI, puede provocar una
seguridad a los cuentas dadas de baja inestabilidad en flujo
interesados y a los del personal que no de trabajo de las
usuarios. labora en la institución. operaciones del sistema.
✓ No cuentan con una ❖ Al no contar con el
DS5. Administración de administración de almacenamiento de con
Identidades cuentas para las bajas un registro de las
➢ Hay que asegurar que del personal que no identidades del usuario
todos los usuarios labora en la institución. pueden provocar una
(internos, externos y ✓ No cuentan con unas alteración en la base de
temporales) y su actualizaciones en la datos al no tener
actividad en sistemas de base de datos. establecidos los tipos de
TI (aplicación de ✓ No cuentan con un acceso para cada
negocio, entorno de TI, control en la habilitación usuario.
operación de sistemas, o inhabilitación de los ❖ Al mantener activas
desarrollo y puertos que dan salida a cuentas de usuario
mantenimiento) deben la red. pueden existir una
ser identificables de suplantación de
manera única. Permitir identidades del personal
que el usuario se no permitido al área y
identifique a través de alterar o robar
mecanismos de información importante.
autenticación. ❖ El riesgo que se presenta
➢ Confirmar que los al no actualizar ocasiona
permisos de acceso al un mal funcionamiento
usuario al sistema y los en los procesos de
datos están en línea con captura y
las necesidades del almacenamiento
negocio y provocando inestabilidad
documentadas. en el sistema.
 ➢ Verificar que los ❖ El riesgo es la intrusión
derechos al acceso a los de hackers, spywares,
usuarios sean solicitados phising, malwares que
por la gerencia y provoquen daño
aprobados por el irreparables o pérdidas
responsable del sistema de información relevante
e implementado por la para la institución
persona responsable de
la seguridad.
➢ Las identidades del
usuario y los derechos
de acceso se mantienen
en un repositorio central.

DS5.4 Administración de
cuentas de usuario.

➢ Garantizar que la
solicitud,
establecimiento,
emisión, suspensión,
modificación y cierre de
cuentas de usuarios y de
los privilegios
relacionados, sean
tomados en cuenta por
un conjunto de
procedimientos de la
gerencia de cuentas de
usuarios.
DS5.9 Prevención, Detección y
Corrección de Software
Malicioso

➢ Medidas preventivas,
detectivas y correctivas
(en especial contar con
parches de seguridad y
control de virus
actualizados en toda la
organización para
proteger los sistemas de
la información y a la
tecnología contra
malware.

DS5.10 Seguridad en la red

➢ Uso de técnicas de
seguridad y
procedimientos de
administración
asociados con firewalls,
dispositivos de
seguridad,
segmentación de redes y
detección de intrusos
para autorizar el acceso
y controlar los flujos de
información desde y
hacia las redes.
México, D.F. a 14 de enero del 2020

Atentamente

Nombre

• Franco Ferrer Alejandro

• Martínez Polanco Luis Ángel
• Zamora Maldonado Irsa Sharon
• Zamudio Escutia Amairani Moncerrad.