Asignatura Datos del alumno Fecha

Apellidos: Cruces Vega

Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

Universidad Internacional de La
Rioja en México

Maestría en Seguridad
Informática

Auditoría de Seguridad

Profesor:
Carlos Salvador Pérez Salgado

Actividad:
El proceso y las fases de la
auditoria de sistemas de
información

Presenta: Luis Alberto Cruces

Vega

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

Antecedentes
Viento en Popa es una empresa dedicada a la planificación de actividades
náuticas, así como a impartir clases teóricas y prácticas de navegación.
Ofrece la posibilidad de obtener la certificación de Patrón de
Embarcaciones de Recreo (PER). La plataforma está desarrollada en
tecnología Java, la infraestructura requerida para la publicación y
mantenimiento de la plataforma está ubicada en las instalaciones de la
empresa.

Análisis de la Empresa
La empresa Viento en Popa requiere brindar confianza a los usuarios de sus
servicios a los usuarios de su plataforma Web, para lo cual requiere realizar
una auditoría de sistemas de información. El Sitio Web, reside en
servidores locales, ubicados en su centro de datos, el cual corre sobre
plataforma Linux y ha sido desarrollado en lenguaje Java. La
administración de la plataforma es realizada por las áreas de Desarrollo y
Mantenimiento.

Fig. 1. Organigrama de Gerencia TIC

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

Las responsabilidades de las áreas respecto a la plataforma Web son:

 Desarrollo
o Instalación, monitoreo y sostenimiento de los servidores y de
la plataforma
o Desarrollo y actualización del sitio Web
 Mantenimiento
o Administrar la información que se publica en la página Web
o Administrar los accesos de los usuarios, en base a
suscripciones y contenido que pueden acceder
o Diseño gráfico del sitio
o Incorporación de contenidos

Fig. 2. Diagrama de Arquitectura del Sitio Web

En el diagrama de la figura 2 se puede observar que hay 3 capas de

seguridad que dividen el servicio web, aplicaciones administrativas y
servidores de base de datos.

La Dirección General está consciente que existen riesgos inherentes al

tener un sitio Web expuesto, estos los ha impulsado a solicitar esta
auditoría, los principales riesgos inherentes que se ellos determinan son:
 Disponibilidad del portal

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

 Acceso a la base de datos y daños o modificaciones

 Alteración de código del sitio web
 Interceptar, modificar y robar datos personales y sensibles
 Ataques de Denegación de Servicio (DoS)
 Espionaje político y empresarial

A nivel técnico los riesgos de programación web están descritos en el

OWASP Top 10 – 2017 “Los diez riesgos más críticos en Aplicaciones Web
Seguridad en Aplicaciones Web (OWASP por sus siglas en inglés)” [4].
Riesgo Descripción
Las fallas de inyección, como SQL, NoSQL, OS o LDAP ocurren
cuando se envían datos no confiables a un intérprete, como
A1:2017
parte de un comando o consulta. Los datos dañinos del atacante
Inyección
pueden engañar al intérprete para que ejecute comandos
involuntarios o acceda a los datos sin la debida autorización.
Las funciones de la aplicación relacionadas a autenticación y
gestión de sesiones son implementadas incorrectamente,
A2:2017
permitiendo a los atacantes comprometer usuarios y
Pérdida de
contraseñas, token de sesiones, o explotar otras fallas de
Autenticación
implementación para asumir la identidad de otros usuarios
(temporal o permanentemente).
Muchas aplicaciones web y APIs no protegen adecuadamente
datos sensibles, tales como información financiera, de salud o
A3:201 Información Personalmente Identificable (PII). Los atacantes
Exposición de pueden robar o modificar estos datos protegidos
Datos inadecuadamente para llevar a cabo fraudes con tarjetas de
sensibles crédito, robos de identidad u otros delitos. Los datos sensibles
requieren métodos de protección adicionales, como el cifrado en
almacenamiento y tránsito.
Muchos procesadores XML antiguos o mal configurados evalúan
referencias a entidades externas en documentos XML. Las
A4:2017
entidades externas pueden utilizarse para revelar archivos
Entidades
internos mediante la URI o archivos internos en servidores no
Externas XML
actualizados, escanear puertos de la LAN, ejecutar código de
(XXE)
forma remota y realizar ataques de denegación de servicio
(DoS).
A5:2017 Las restricciones sobre lo que los usuarios autenticados pueden
Pérdida de hacer no se aplican correctamente. Los atacantes pueden

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

explotar estos defectos para acceder, de forma no autorizada, a

Control de funcionalidades y/o datos, cuentas de otros usuarios, ver
Acceso archivos sensibles, modificar datos, cambiar derechos de acceso
y permisos, etc.
La configuración de seguridad incorrecta es un problema muy
común y se debe en parte a establecer la configuración de forma
A6:2017
manual, ad hoc o por omisión (o directamente por la falta de
Configuración
configuración). Son ejemplos: S3 buckets abiertos, cabeceras
de Seguridad
HTTP mal configuradas, mensajes de error con contenido
Incorrecta
sensible, falta de parches y actualizaciones, frameworks,
dependencias y componentes desactualizados, etc.
Los XSS ocurren cuando una aplicación toma datos no
A7:2017 confiables y los envía al navegador web sin una validación y
Secuencia de codificación apropiada; o actualiza una página web existente
Comandos en con datos suministrados por el usuario utilizando una API que
Sitios ejecuta JavaScript en el navegador. Permiten ejecutar comandos
Cruzados en el navegador de la víctima y el atacante puede secuestrar
(XSS) una sesión, modificar (defacement) los sitios web, o
redireccionar al usuario hacia un sitio malicioso.
Estos defectos ocurren cuando una aplicación recibe objetos
serializados dañinos y estos objetos pueden ser manipulados o
A8:2017
borrados por el atacante para realizar ataques de repetición,
Deserialización
inyecciones o elevar sus privilegios de ejecución. En el peor de
Insegura
los casos, la deserialización insegura puede conducir a la
ejecución remota de código en el servidor.
Los componentes como bibliotecas, frameworks y otros módulos
A9:2017
se ejecutan con los mismos privilegios que la aplicación. Si se
Componentes
explota un componente vulnerable, el ataque puede provocar
con
una pérdida de datos o tomar el control del servidor. Las
vulnerabilidad
aplicaciones y API que utilizan componentes con
es
vulnerabilidades conocidas pueden debilitar las defensas de las
conocidas
aplicaciones y permitir diversos ataques e impactos.
El registro y monitoreo insuficiente, junto a la falta de respuesta
ante incidentes permiten a los atacantes mantener el ataque en
A10:2017
el tiempo, pivotear a otros sistemas y manipular, extraer o
Registro y
destruir datos. Los estudios muestran que el tiempo de
Monitoreo
detección de una brecha de seguridad es mayor a 200 días,
Insuficientes
siendo típicamente detectado por terceros en lugar de por
procesos internos

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

Auditoría de Seguridad de la
Información
Planificación
Alcance
La auditoría se realizará a la infraestructura y servicios relacionados con el
portal Web de la empresa “Viento en Popa”, el portal está dividido en 2
partes claramente diferenciadas:
 La zona de Administración, desde la cual se gestiona la información
relativa a cursos y alumnos.
 La zona de clientes y alumnos, donde el usuario tiene acceso a la
información de Viento en Popa referente a actividades y cursos, y
acceso a la parte privada de cada uno, con la posibilidad de realizar
exámenes, descargar temarios y documentación, etc.

Recursos y Tiempo
La auditoría se llevará a cabo dentro de las instalaciones de la empresa,
para lo cual el equipo de trabajo estará integrado por 2 auditores, los
cuales tienen conocimientos y experiencia en tecnología Java.
Perfil Responsabilidades

Líder de  Responsable de la planificación, ejecución y

Auditoría finalización de la auditoría.
 Diseña el presupuesto y supervisa su ejecución.
 Supervisa y asesora a los asistentes de auditoría,
asegurándose de la comprensión de los
procedimientos asignados en los programas de
auditoría.
 Revisa todos los papeles de trabajo y asegura
que la evidencia sea suficiente y adecuada.
 Ejecuta los procedimientos de auditoría en áreas

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

complejas.
 Identifica problemas y los comunica de forma
oportuna al gerente con posibles soluciones.
 Diseña y valida los informes a la gerencia.
 Se asegura del cumplimiento de los compromisos
adquiridos con el cliente.
 Revisa el paquete de estados financieros y
sugiere un modelo de opinión de acuerdo con los
resultados de la auditoría.
 Sugiere mejoras en el proceso de auditoría
Asistente de  Ejecutar y documentar los procedimientos
Auditoría asignados en los programas de auditoría.
 Administrar el tiempo asignado en el
presupuesto.
 Comunicación oportuna con el Líder de Auditoría
del avance del trabajo y de hallazgos y/o
situaciones críticas identificadas.
 Realizar los ajustes sugeridos por el Líder en los
procedimientos y/o papeles de trabajo.
 Ejecutar otras tareas asignadas por el Líder en el
desarrollo del trabajo.
 Sugerir mejoras en el proceso de auditoría.

Por parte de la Empresa Viento en Popa en equipo de trabajo estará

encabezado por el Gerente de Tecnologías de Información.

Las partes, de común acuerdo, han fijado realizar la auditoría en un tiempo

estimado de 2 meses, dando como fecha de inicio el 20 de noviembre de
2020.

Plan de Comunicación
Una vez finalizada la auditoría y el informe final, el Líder de Auditoría
establecerá contacto y enviará vía correo electrónico un borrador de dicho
informe al Gerente de Tecnologías de Información a fin que pueda realizar

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

observaciones o comentarios en un lapso no mayor a 3 días hábiles.

Posterior a esto, el Auditor Líder y Gerente de Tecnologías de Información
convocarán a una reunión al Director General y Gerentes de Área para la
presentación del Informe de Auditoría.

Plan de Trabajo
El trabajo de auditoría se basará en la evaluación de riesgos, asociándolos
con controles ISO 27001. A continuación, se presenta el plan de trabajo
detallado realizado.

Fig. 3. Plan de Trabajo

Desarrollo
La auditoría realizada tuvo como objetivo la evaluación de los riesgos
inherentes al portal Web, así como otros riesgos que pudieron identificarse,
para esto en cada actividad se cubrieron diferentes puntos de
cumplimiento de acuerdo a los controles ISO 27001.
Presentación con la Dirección General
La Dirección General estableció la importancia de fortalecer el canal de
negocios y su impacto económico en la empresa, los servicios ofrecidos a
través del Portal Web representan el 40% del ingreso mensual de la

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

empresa y se estima que dentro del próximo año llegará al 60% de los
mismos, razón por la cual es de suma importancia que los riesgos
inherentes sean identificados, evaluados y, en caso de ser necesario,
establecer controles para minimizarlos.
Recopilación y Análisis de la Información
Se solicitó y analizó, la siguiente información:
 Organigrama funcional de la empresa (detalle específico del
departamento de informática)
 Objetivo, misión y visión empresarial
 Directorio del personal administrativo que tenga interacción directa
e indirecta con la operación de la página Web
 Inventario de activos informáticos (Hardware y Software) que tengan
relación con la página Web
 Documentación técnica del desarrollo de la página web
(requerimiento inicial, desarrollo, pruebas, mejoras – versiones,
bitácora de mantenimiento, reportes de fallas)
 Manuales de operación
 Políticas de seguridad de la empresa
 Políticas de roles y perfiles de los usuarios
 Informes de auditorías anteriores (internas y externas)
Entrevistas
Se establecieron reuniones con el personal de desarrollo y mantenimiento
para profundizar en la infraestructura que soporta el Portal Web y los
controles que están establecidos. Así también con Administración con el
objetivo de determinar sus funciones con relación al portal, sus actividades
que interactúan con el Portal Web, evaluar su conocimiento de la política
de seguridad de la empresa.
Pruebas de Funcionalidad y Seguridad
Se realizaron pruebas de funcionalidad para determinar que los manuales
de la plataforma estén actualizados e identificar que estén apegados con
los requerimientos funcionales. Se realizaron pruebas de seguridad, para lo
cual utilizaron herramientas de hackeo ético para realizar pruebas de
reconocimiento, penetración interna y externa, e identificar
vulnerabilidades.

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

Discusión de hallazgos
Retroalimentación con las áreas involucradas de los hallazgos para evaluar
si se cumple o no se cumple lo que se está auditando.
Informe preliminar
Se realizó un informe preliminar por parte de los auditores que fue
discutido con las áreas de desarrollo y mantenimiento, para dar la
oportunidad de aportar información adicional que permitiera modificar el
resultado.
Informe final
Las actividades anteriores dieron como resultado el descubrimiento de
deficiencias de seguridad las siguientes bases de seguridad:
 Falta de actualización de las políticas de seguridad de la
información.
 Falta de procedimientos para alta y baja de usuarios.
 Documentos no actualizados para asignación de perfiles y roles.
 Los controles de seguridad informática y Portal Web, son generales y
no están basados en ningún estándar.
 Falta de concientización a los usuarios para resguardo de
contraseñas.
 Falta de políticas para respaldo de información.
 Falta de licencias del software antivirus.
 Falta de capacitación del personal para el manejo y configuración del
firewall.
 Falta de licencias del software del firewall.
 Falta de infraestructura de seguridad para el resguardo físico del
centro de datos.
 Falta de políticas de versionamiento de las aplicaciones.
 No se cuenta con un ambiente de pruebas para los cambios que se
aplican.
 No existe un plan de capacitación de buenas practicas de desarrollo
de software seguro.
 Falta del aviso de privacidad en el manejo de datos personales.
 No hay personal asignado responsable de la seguridad de la
información.

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

 No se cuenta con un Plan de Recuperación de Desastres (DRP)

 No se cuenta con un Plan de Continuidad de Negocio (BCP)
 No se cuenta con redundancia en los sistemas para asegurar alta
disponibilidad del Portal Web.
 Falta de políticas de cifrado de la información

El resultado general de la auditoria es grave debido a la falta de controles,

principalmente, de seguridad y manejo de la información, por lo cual se
deben tomar medidas urgentes para subsanar las vulnerabilidades
existentes. Se recomienda implementar y cumplir, gradualmente, controles
ISO 27001:2013, a continuación, se sugieren los más urgentes, así como su
estatus actual y hallazgos que lo respaldan.

La siguiente tabla se enlistan y explica los controles ISO 27001:2013 [5],

así como las vulnerabilidades OWASP [4]. La valoración del impacto o
riesgo que tiene el cumplir con un control o la falta de este está en un
rango de 1 a 10, en donde 1 significa que es de bajo riesgo o poco impacto
y 10 es un riesgo alto o alto impacto.

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

Control Impact
Riesgo
ISO o Control Cumplimiento Hallazgo Recomendación
OWASP
27001 /Riesgo
Falta de actualización Revisión y
Política de Seguridad
A3:201 de las políticas de actualización, cada 6
5.1 8 de la Información, No Conforme - Mayor
7 seguridad de la meses, de la política de
revisada cada 3 meses.
información. seguridad.
Definición de
No hay personal
responsables de la
A5:201 asignado responsable Asignar responsables
6.1 10 seguridad de la No Conforme - Mayor
7 de la seguridad de la de las políticas.
información en cada
información.
lugar del proceso
Requisitos de RRHH se encarga de la
Implementar políticas
contratación deben evaluación del
7.1 5 N/A Conforme de asignación de
incluir acuerdo de candidato e incluye
perfiles y roles.
Confidencialidad perfiles de seguridad
Implementar
A10:20 procedimiento de altas
Falta de procedimientos
17 Procedimiento estricto y bajas de usuarios e
7.3 9 No Conforme - Mayor para alta y baja de
A3:201 de baja de empleado integrarlo a las
usuarios.
7 políticas de asignación
de perfiles y roles.
8.2 8 A3:201 Clasificación de No Conforme - Mayor No se ha clasificado la Asignar responsables
7 información y políticas información ni existen de las políticas.

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

políticas para hacerlo o

de conservación y uso
para manejarla.
A3:201 Falta de concientización Implementar plan de
7 Gestión de accesos a los usuarios para capacitación para
9.2 9 No Conforme - Mayor
A5:201 de usuario resguardo de concientizar el uso y
7 contraseñas. manejo de contraseñas.
Perfiles de acceso
Los controles de
claramente definidos y
A3:201 seguridad informática y
revisados cada 6 meses, Implementar políticas
7 Portal Web, son
9.4 8 otorgamiento de No Conforme - Menor de asignación de
A10:20 generales y no están
accesos en base a perfiles y roles.
17 basados en ningún
perfiles y no
estándar.
individuales
Cifrado de Información Falta de políticas de Implementar políticas
A3:201
10.1 8 clasificada como No Conforme - Mayor cifrado de la de cifrado de la
7
confidencial o crítica información información.
A3:201 Implementar
Acceso físico controlado Falta de infraestructura
A6:201 procedimientos para el
y privilegiado a los de seguridad para el
11.1 9 7 No Conforme - Mayor acceso físico y
servidores y equipos de resguardo físico del
A10:20 seguridad del centro de
red centro de datos.
17 datos.
12.1 8 A10:20 Documentación de No Conforme - Mayor Falta de políticas de Implementar políticas
17 procedimientos de versionamiento de las de Gestión de Cambios.
operación, Gestión de aplicaciones.

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

Cambios, separación de
ambientes de
desarrollo-pruebas-
producción
Establecer políticas de
Herramientas
monitoreo de
actualizadas y Falta de licencias del
A6:201 infraestructura y
12.2 9 optimizadas de No Conforme - Mayor software antivirus y
7 actualizar el inventario
protección contra Firewall
de activos cada 3
código malicioso.
meses.
No existe un plan de Implementación de
A6:201 Política de desarrollo capacitación de buenas plan de capacitación de
14.2 8 No Conforme - Mayor
7 de software seguro prácticas de desarrollo desarrollo de software
de software seguro. seguro.
Revisión y
No se cuenta con un actualización de las
A10:20 Plan de recuperación
17.2 6 No Conforme - Mayor Plan de Recuperación políticas de seguridad
17 de Desastres
de Desastres (DRP) a fin de implementar
DRP

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

Informe
Descripción: Informe Final de auditoría al portal Web de Viento en Popa
Versión: 1.0
Fecha de la
24 de enero de 2021
Versión:
Creado por: Luis Alberto Cruces Vega
Aprobado por: Director Auditoría – Tiempo en Popa
Nivel de
Alto
confidencialidad:

REPORTE EJECUTIVO DE LA AUDITORIA

Director General de Viento en Popa

Presente

En cumplimiento con el programa de auditoría vigente en el ejercicio 2020,

proporcionamos a ustedes el informe de auditoría realizado al portal de
servicios de certificación Nautica para Viento en Popa.

La auditoría de seguridad de la información fue realizada a su solicitud y la

misma determino el estado actual de los controles de seguridad en su
aplicación, a través de entrevistas de trabajo, análisis de documentación y
test éticos de penetración a sus sistemas. El plan de trabajo contempla un
ejercicio con el listado de controles basados en ISO 27001. Se auditaron los
controles de seguridad asociados a riesgos inherentes de funcionamiento
del portal.

Bajo la premisa mencionada, surge la necesidad de realizar y proporcionar

hallazgos y recomendaciones asociadas a la identificación de riesgos del
portal web Viento en Popa, así como las recomendaciones y nivel de
riesgo/impacto que se adjudica a cada punto, siendo 1 poco o ningún
riesgo/impacto y 10 total impacto y riesgo público.

Impact
Hallazgo Recomendación Cumplimiento o
/Riesgo
Falta de actualización Revisión y actualización, No Conforme - 8
de las políticas de cada 6 meses, de la Mayor

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

seguridad de la
política de seguridad.
información.
No hay personal
asignado responsable Asignar responsables de No Conforme -
10
de la seguridad de la las políticas. Mayor
información.
RRHH se encarga de la
Implementar políticas de
evaluación del
asignación de perfiles y Conforme 5
candidato e incluye
roles.
perfiles de seguridad
Implementar
procedimiento de altas y
Falta de procedimientos
bajas de usuarios e No Conforme -
para alta y baja de 9
integrarlo a las políticas Mayor
usuarios.
de asignación de perfiles
y roles.
No se ha clasificado la
información ni existen Asignar responsables de No Conforme -
8
políticas para hacerlo o las políticas. Mayor
para manejarla.
Falta de concientización Implementar plan de
a los usuarios para capacitación para No Conforme -
9
resguardo de concientizar el uso y Mayor
contraseñas. manejo de contraseñas.
Los controles de
seguridad informática y
Implementar políticas de
Portal Web, son No Conforme -
asignación de perfiles y 8
generales y no están Menor
roles.
basados en ningún
estándar.
Falta de políticas de
Implementar políticas de No Conforme -
cifrado de la 8
cifrado de la información. Mayor
información
Falta de infraestructura Implementar
de seguridad para el procedimientos para el No Conforme -
9
resguardo físico del acceso físico y seguridad Mayor
centro de datos. del centro de datos.
Falta de políticas de
Implementar políticas de No Conforme -
versionamiento de las 8
Gestión de Cambios. Mayor
aplicaciones.

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

Establecer políticas de
Falta de licencias del monitoreo de
No Conforme -
software antivirus y infraestructura y 9
Mayor
Firewall actualizar el inventario
de activos cada 3 meses.
No existe un plan de Implementación de plan
capacitación de buenas de capacitación de No Conforme -
8
prácticas de desarrollo desarrollo de software Mayor
de software seguro. seguro.
Revisión y actualización
No se cuenta con un
de las políticas de No Conforme -
Plan de Recuperación 6
seguridad a fin de Mayor
de Desastres (DRP)
implementar DRP

Las observaciones identificadas pueden ser detalladas en las sesiones que

el staff directivo de Viento en Popa determine y son sujetas de réplica.

Sin otro particular y a la espera de su retroalimentación, quedamos a las

órdenes.

Nombre Puesto Firma

Luis Alberto Cruces Vega Líder de Auditoría
Viviana Sánchez
Asistente de Auditoría
Hernández

TEMA 3 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Cruces Vega
Auditoría de la
25/enero/2021
Seguridad Nombre: Luis Alberto

Referencias
1. Moncayo Carolina. Así se compone un equipo de auditoría.
Consultado el 05 de enero del 2021 desde https://incp.org.co/asi-se-
compone-equipo-auditoria/
2. Pérez Moreno Merced. Auditoría Informática. Consultado el 05 de
enero del 2021 desde https://sites.google.com/site/auditoriajcll/
3. Auditoría de Sistema de TI como medio de aseguramiento de control
en las empresas del Siglo XXI. Consultado el 05 de enero del 2021
desde https://reci.org.mx/index.php/reci/article/view/54/250
4. OWASP Top 10 - 2017. Los diez riesgos más críticos en Aplicaciones
Web. Consultado el 05 de enero del 2021 desde
https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
5. ISO/IEC 27001:2013 — Information technology — Security
techniques — Information security management systems —
Requirements (second edition). Consultado el 05 de enero del 2021
desde https://www.iso27001security.com/html/27001.html

TEMA 3 – Actividades