REPORTE

AUDITORÍAS DE SEGURIDAD DE SISTEMAS Y

REDES

QUE PARA OBTENER EL TÍTULO DE:

TÉCNICO SUPERIOR UNIVERSITARIO

EN SISTEMAS PRODUCTIVOS ÁREA SISTEMAS DE

GESTIÓN DE CALIDAD

PRESENTA:

FERNANDA JAQUELINE HERNÁNDEZ MANCILLA

AUTORIZACIÓN DEL AUTORIZACIÓN DEL

ASESOR DE EMPRESA ASESOR DE LA
UTSJR

M.A.P.I RUBÉN SPINDOLA RIVERA MAPI. JOSÉ DE JESÚS VELASCO

COLIN

SAN JUAN DEL RÍO, QRO. OCTUBRE DE 2021

“La mejor universidad para los mejores alumnos”

3
2

DEDICATORIA

Esta tesis está dedicada a mis padres quienes son mi mayor apoyo para salir adelante y no
derrumbarme en el camino, agradecerles por todo por su amor, trabajo y sacrificio en todos
estos años, gracias a ustedes he logrado llegar hasta aquí́ y convertirme en lo que soy. Ha
sido un orgullo y privilegio ser su hija, son los mejores padres.

A la memoria de mi abuelo Gabriel Mancilla quien desde el cielo me sigue inspirando a dar
lo mejor de mí y esforzarme aun en los peores momentos, este un paso mas que estamos
logrando juntos, aquí sigo viviendo una vida por los 2, se que estas mirando hacia abajo y
prometo que te hace sentir orgulloso.

Finalmente quiero dedicar esta tesis a mis amigas, por apoyarme cuando más las necesito,
por extender su mano en momentos difíciles y por el amor brindado.

AGRADECIMIENTOS

Al finalizar este trabajo quiero utilizar este espacio para agradecer a Dios por todas sus
bendiciones, a mis Padres que han sabido darme su ejemplo de trabajo y honradez y darme
la oportunidad de continuar con mis estudios y a mi amiga por ser mi mejor maestra.

También quiero agradecer a la Universidad tecnológica de San Juan del Rio, directivos y
profesores, agradecerles por ser la mejor opción que cualquier alumno podría buscar para
hacer su carrera y a todos esos profesores que me brindaron la mano y apoyaron.
3

ÍNDICE

INTRODUCCIÓN 8
CAPÍTULO 1 11
ANTECEDENTES DE LA EMPRESA 11
1.1. Historia de la empresa 11
1.2. Misión 12
1.3. Visión 12
1.4. Giro 13
1.5. Área de desarrollo del proyecto 13
1.6. Ubicación 13
CAPÍTULO 2. 14
GENERALIDADES DEL PROYECTO 14
2.1. Título del proyecto 14
2.2. Objetivo del proyecto 14
2.3. Justificación 14
2.4. Alcance 15
CAPÍTULO 3. 16
MARCO O REFERENCIA TEÓRICA FUNDAMENTAL 16
3.1. Auditoria 16
3.2. Objetivos de la auditoría 17
3.3. Clases de auditoría 18
3.4. ¿Por qué una auditoría de sistemas de gestión de la seguridad? 22
3.5. Beneficios de realizar una auditoría de seguridad 22
3.6. Roles de la auditoría interna y externa 23
3.7. Palabras clave 26
3.8. Los virus informáticos 27
3

CAPÍTULO 4. 30
DESARROLLO DEL PROYECTO Y SOLUCIONES PROPUESTAS 30
4.1. Materiales 30
4.2. Metodología 30
4.2.1. Tipo de investigación 30
4.2.2. Método de investigación- recabar datos 31
4.2.3. Equipos de cómputo: 33
4.2.4. Servidores y equipos de intercambio de datos 33
4.2.5. Sistemas de seguridad, prevención y control de acceso 34
4.2.6. Clasificar activos: 34
4.2.7. Identificación y justificación de amenazas de las redes de 38
comunicaciones.
4.2.8. Ataques a la seguridad de la red 39
4.2.9. Amenazas potenciales encontradas en la universidad tecnológica de san 42
juan del rio.
4.3 identificación y valoración de amenazas tipo: aplicaciones informáticas. 42
4.3.1. Identificación y valoración de amenazas: servicios. 46
4.3.2 determinación de vulnerabilidades y amenazas asociadas a los activos 49
críticos del centro de control.
4.3.3. Salvaguardas 50
4.3.4. Resumen del hardware y software de la universidad. 52
4.3.5. Aplicación de las pruebas de auditoría 53
4.4. Recomendaciones 55
CAPITULO 5. PRUEBAS Y RESULTADOS 58
CONCLUSIONES 65
GLOSARIO 66
REFERENCIAS BIBLIOGRÁFICAS 70
ANEXOS 72
3

Índice de ilustraciones

Ilustración 1.1 Universidad tecnológica de san juan del rio 11

Ilustración 1.3 Logo de la universidad tecnológica de san juan del rio. 12
Ilustración 1.6 MAPA aéreo de la universidad 13
Ilustración 3.6 REQUISITOS ISO 9001 2015 25
Ilustración 4.2.3 REFERENTE a equipos de cómputo en la UTSJR 33
Ilustración 4.2.8. Referente al porcentaje de amenazas en redes de 41
comunicación.
Ilustración 4.3.5. Control interno informativo 54
Ilustración 4.4. Ayuda visual de una auditoría 55
Ilustración 5. Referente al software 63
Ilustración 5.1. Referente a la actualización de software 64

Índice de tablas

Tabla 4.2.6. Amenazas potenciales 36

Tabla 4.2.7 Abreviaturas 37
Tabla 4.2.8 Valores 37
Tabla 4.2.9 Activos críticos 37
Tabla 4.3 Amenazas tipo aplicaciones informáticas 43
Tabla 4.4. Amenazas tipo: aplicaciones informáticas 43
Tabla 4.3.1. Referencias 46
Tabla 4.3.2 Frecuencia de amenazas en servicio. 47
Tabla 4.3.2.1 Cuadros activos 49
Tabla 4.3.3 Salvaguardas 50
Tabla 5 Mejoras en amenazas a servicios 60
Tabla 5.1. Mejoras en amenazas a aplicaciones 62
3

Índice de graficas
Gráfico 4.4.1 Amenazas tipo: aplicaciones informáticas 44
Gráfico 4.3.2. Amenazas en servicios 47
Gráfico 5. Gráfico de pastel referente a amenazas en servicios 60
Gráfico 5.1. Gráfico de pastel referente a amenazas a aplicaciones 62
8

INTRODUCCIÓN

La información de la empresa y para la empresa, siempre importante, se ha convertido en

un Activo Real de la misma, como sus stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión
Informática. Del mismo modo, los Sistemas Informáticos han de protegerse de modo global
y particular: a ello se debe la existencia de la auditoria de seguridad informática en general,
o a la auditoria de seguridad de alguna de sus áreas, como pudieran ser desarrollo o técnica
de sistemas, cuando se producen cambios estructurales en la Informática, se reorganiza de
alguna forma su función: se está en el campo de la auditoria de Organización Informática.

En ciertas situaciones puede resultar conveniente optar por realizar una Auditoría de
Seguridad Informática de los mismos para conocer exactamente cuáles pueden ser los fallos
de nuestro sistema y evitar consecuencias indeseables, es muy importante estar conscientes
de que por más que el área de cómputo de cualquier empresa o institución sea la más segura
desde el punto de vista de ataques externos, disturbios, sabotajes, etc.; la seguridad de la
misma será nula si no se ha previsto como combatir un incendio.

La Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de

control, como medidas de prevención y contramedidas ante amenazas a los recursos e
información confidencial". Se refiere a los controles y mecanismos de seguridad dentro y
alrededor del Centro de Cómputo, así como los medios de acceso remoto al y desde el
mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
La auditoría es un examen, que no implica la preexistencia de fallas en la entidad auditada y
que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un
organismo, el auditor informático ha de velar por la correcta utilización de los amplios
recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de
información. El término de Auditoria se ha empleado incorrectamente con frecuencia ya
que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar
fallas.
9

A causa de esto, se ha tomado la frase "Tiene Auditoria" como sinónimo de que, en dicha
entidad, antes de realizarse la auditoria, ya se habían detectado fallas.

El concepto de auditoria es mucho más que esto, la palabra auditoria proviene del latín
auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la
virtud de oír. Por otra parte, también se define como: Revisor de Cuentas colegiado. En un
principio esta definición carece de la explicación del objetivo fundamental que persigue
todo auditor: evaluar la eficiencia y eficacia.

Una Auditoría de Seguridad Informática, por definición, es el estudio que comprende el

análisis y gestión de los sistemas informáticos de una empresa, llevado a cabo por
profesionales para identificar, enumerar y posteriormente describir las diversas
vulnerabilidades que pudieran presentarse en el funcionamiento rutinario de los Servidores,
Puestos de Trabajo, Seguridad en el Acceso Remoto y Redes del parque informático de
dicha empresa. los sistemas de información apoyan en gran medida la actividad gerencial y
la toma de decisiones en las empresas; incluso, la propia información y el acceso a la
misma, los productos y servicios que se intercambian se han convertido en sus principales
activos. Por ello, la gestión de la información no sigue siendo concebida como el resultado
de un accionar para preservar los otros activos de la empresa, sino que se ha transformado
en un condicionante estratégico para operar y/o competir en los sectores productivos y de
esta manera generar valor para la misma.

Este trabajo se desarrollará en 5 capítulos los cuales contendrán toda la información a

detalle con ayudas visuales.
El primer capítulo, antecedentes de la empresa, contiene una descripción que nos cuenta
brevemente la historia de la Universidad Tecnológica de San Juan del Rio, así como su
misión, visión y giro.
El segundo capítulo, generalidades del proyecto, se habla sobre lo que es proyecto en
general, así como cuál es el objetivo y el por qué se esta realizando.
10

Entrando al tercer capítulo marco o referencia teórica fundamental, se abordan los

principales conceptos, definiciones y aspectos teóricos que se requieren conocer para el
entendimiento y desarrollo del proyecto
En el cuarto capítulo, Desarrollo del proyecto y soluciones propuestas, En este capítulo se
abordará el desarrollo y la solución o soluciones completas del proyecto, incluyendo en la
propuesta desglosada: planteamiento, análisis, algoritmos, materiales, diseños,
simulaciones, programas, pruebas, experimentos, recopilación de datos, tratamiento de
datos, etc., según aplique en cada caso.
Y por último en el capítulo 5, Pruebas y resultados, en este capítulo se presentarán los
resultados o la pruebas que se realizaron al desarrollar el proyecto.
11

CAPÍTULO 1. ANTECEDENTES DE LA EMPRESA

1.1. Historia de la empresa

La Universidad Tecnológica de San Juan del Río, es una Institución de Educación Superior
creada en agosto de 1998, que ofrece a los jóvenes egresados del bachillerato, carreras
universitarias estrechamente vinculadas con el sector productivo para que en un corto plazo
se incorporen al trabajo profesional de la región.

Ilustración 1.1 Universidad Tecnológica de San Juan del Rio.

La UTSJR es una institución dependiente del gobierno estatal de Querétaro que comenzó su
historia en 1998 con una matrícula de menos de 100 alumnos inscritos en la carrera de
ingeniería industrial. Hoy en día esta universidad y recibe anualmente a poco menos de
1000 alumnos. En sus amplias instalaciones se imparten un total de 9 ingenierías con el
objetivo de que sus estudiantes usen “La educación y la tecnología para trascender” como
indica su lema. En 2016 recibió la certificación de calidad en gestión educativa por ABS
Quality.
12

Entre otros galardones, la TSJR cuenta con los siguientes:

▪ Premio Estatal de Calidad del Estado de Querétaro 2007 y 2008

▪ Premio Nacional de Exportación 2007 y 2008
▪ Reconocimiento a la calidad académica en 2006, 2007, 2008 y 2009
▪ Premio Estatal de Exportación en la categoría de instituciones educativas, por
fomentar la cultura exportadora en sus alumnos a través de actividades que
promuevan el comercio exterior. Y reconocimiento de la SEP durante los años 2006,
2007, 2008 y 2009

1.2. Misión
Formar personas en educación superior con competencias profesionales, promover la
investigación, así como ofrecer servicios tecnológicos, a través de una estrecha vinculación
con los distintos sectores del entorno, adaptados a los cambios y contribuyendo al
desarrollo científico y tecnológico.

1.3. Visión
Ser una universidad reconocida nacional e internacionalmente por la capacidad de
adaptación, flexibilidad y aprendizaje continuo de sus egresados, que trascienda en la
generación y aplicación del conocimiento, atendiendo las necesidades de los sectores
público, privado y social.

Ilustración 1.3 Logo de la Universidad Tecnológica de San Juan del Rio.

13

1.4. Giro
La Universidad Tecnológica de San Juan del Río (UTSJR) es un organismo público
descentralizado de Gobierno del Estado de Querétaro que ofrece educación superior
localizada al suroeste de la ciudad de San Juan del Río.

1.5. Área de desarrollo del proyecto

Universidad Tecnológica de San Juan del Rio área Sistemas de gestión de calidad.

1.6. Ubicación
Av. La Palma No. 125, Col. Vista Hermosa | San Juan del Río, Qro.

Ilustración 1.6 Mapa aéreo de la universidad

14

CAPÍTULO 2. GENERALIDADES DEL PROYECTO

2.1. Título: Auditorías de seguridad de sistemas y redes

2.2. Objetivo del proyecto:

Dar a conocer e invitar a las universidades y empresas a implementar las auditorias de

sistemas para poder detectar las debilidades y las fortalezas, con respecto a los
controles que se estén empleando y de esta manera generar seguridad, utilidad,
confianza, privacidad y disponibilidad en el ambiente informático.

Objetivos específicos.
● Planificar las distintas actividades que permitan realizar el proceso de auditoría.
● Desarrollar la auditoria apoyada en una herramienta de recolección de datos.
● Informar a los miembros del área de TI los hallazgos obtenidos en el proceso
de la auditoria.
● Presentar mejoras al área de TI en cuanto a la seguridad de la información
teniendo en cuenta los hallazgos obtenidos.

2.3. Justificación

El presente proyecto se enfoca en estudiar el análisis y gestión de los sistemas

informáticos en las auditorias y en estructuras la idea de la implementación de una
auditoría informática en seguridad en sistemas de manera ordenada y eficaz, esto
derivado de que la Universidad Tecnológica de San Juan del Rio no cuenta con
auditorias de seguridad que proteja y que permitirá saber periódicamente el estado
de seguridad de nuestros sistemas.
15

Al realizarse la auditoria a la seguridad del sistema de información, se podrán

identificar diferentes tipos de riesgos, vulnerabilidades, fallas y amenazas, que
puedan presentarse en la institución, llevando a implementar medidas de corrección
y políticas de seguridad.

Así mismo el implementar las auditorias de seguridad le brindara beneficios a la

Universidad, algunos de los beneficios que destacan son:
● Permiten reducir los impactos una vez identificados los riesgos y
vulnerabilidades.
● Ofrecen mayores garantías y niveles de seguridad para la Universidad.
● Mejoran la imagen externa de la institución.
● Ayudará a saber qué medidas concretas de seguridad implementar.
● Aumentan la seguridad de la institución salvaguardando la confidencialidad
y la integridad de la información que se gestiona.

2.4. Alcance

El presente proyecto se llevó a cabo en la Universidad Tecnológica de San juan del Rio
para la ejecución de las distintas fases del proceso de auditorías seguridad y con él se
espera disminuir las vulnerabilidades y amenazas de seguridad en el registro
académico y de notas de los estudiantes, entre otros, con la auditoria del sistema de
gestión de seguridad de la información para la institución educativa.
16

CAPÍTULO 3. MARCO O REFERENCIA TEÓRICA

FUNDAMENTAL

3.1. Auditoría
El origen etimológico de la palabra auditoria proviene del verbo latino audire que significa
„revisar‟, „intervenir‟ y se define como un proceso sistemático que comprende una serie de
procedimientos lógicos, estructurados y organizados. Se entiende como un examen crítico y
sistemático utilizando técnicas determinadas que se realiza a una organización con el fin de
evaluar el cumplimiento de normas y objetivos que determinan la eficiencia y eficacia de
todos los procesos verificados, estableciendo alternativas y soluciones que mejoren el
sistema examinado.
De igual manera la (American Accounting Association (AAA)) define la auditoria
identificándola como “un proceso sistemático para obtener y evaluar de manera objetiva las
evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos
relacionados. El fin del proceso consiste en determinar el grado de correspondencia del
contenido informativo con las evidencias que le dieron origen, así como determinar si
dichos informes se han elaborado observando principios establecidos para el caso.
(AMERICAN ACCOUNTING ASSOCIATION (AAA))

Determina que “La auditoría se originó en la práctica de la contabilidad; la cual desde los
inicios de la sociedad se encarga de desarrollar un sistema de información en el que se
realiza una acumulación y registro ordenado de datos acerca de factores productivos en los
que existe interés, con la intención de clasificarlos en cuentas que los representen así:
derechos (activos), obligaciones (pasivo y patrimonio), entradas (ingresos) y salidas
(egresos), para tener conocimiento acerca del valor de éstos y con base en dicho
conocimiento poder tomar decisiones.”
(Arguello, 1976).
17

3.2. Objetivos de la auditoría

Una auditoría es una evaluación de algún aspecto de la empresa, esto es puede analizar los
aspectos contables, los de calidad, los de seguridad, etc.
Entre los objetivos de las auditorías podemos encontrar:

1. Conocer la situación actual y exacta de la empresa en general o en algo concreto

2. Dar credibilidad y confianza frente a posibles inversores o entidades financieras
3. Detectar fraudes que se estén cometiendo en la empresa
4. Comprobar la legalidad de todos los productos y actuaciones
5. Detectar errores técnicos que se estén realizando
6. Observar si se el sistema de trabajo de la empresa está siendo eficaz y eficiente
7. Recabar la máxima información posible para tomar decisiones que mejoren el
rendimiento
8. Controlar el comportamiento organizacional en relación con los estándares
preestablecidos
9. Ayudar a la determinación de métodos deficientes, precisar pérdidas y deficiencias
y, en su caso, resaltar oportunidades.
10. Descubrir las deficiencias que limitan el desarrollo de las organizaciones.
(Ruiz. V 2019)

En el año 1848 El señor Arthur Kent, escribe un artículo sobre la ADMINISTRACIÓN DE

OPERACIONES, ya que menciona esta rama aliada a la Auditoría administrativa y a su vez
el campo que esta administración alcanza.
(Arthur Kent, 1848)

Luego en 1900 El padre de la administración Científica Federick W. Taylor, propone el

método científico para llevar a cabo el análisis del trabajo, elevando la eficiencia en las
tareas de producción.
(Federick W. Taylor, 1990)
18

La auditoría surge con la actividad comercial y por la incapacidad de intervenir en los

procesos tanto productivos como comerciales de una empresa Por estas razones surge la
necesidad de buscar personas capacitadas, de preferencia externas (imparciales), para que
se desarrollen mecanismos de supervisión, vigilancia y control de los empleados que
integran y desempeñan las funciones relativas a la actividad operacional de la empresa. Con
el transcurso del tiempo, las relaciones comerciales y operaciones de negocios empezaron a
crecer rápidamente, sobre todo a partir de la Revolución Industrial, en ese momento el
comerciante tuvo la necesidad de crear un nuevo sistema de supervisión mediante el cual el
dueño, o en su caso, el administrador extendiese su control y vigilancia.
(Mantilla, 1989).

3.3. Clases de auditoría

En los últimos años, la rápida evolución de la auditoría ha generado algunos términos que
son poco claros respecto de los contenidos que expresan. Además, este proceso evolutivo ha
provocado, en la actividad de la revisión, la especialización de la auditoría según el objeto,
destino, técnicas, métodos, etc., que se realicen. Así, sin ánimo de ser exhaustivos, se habla
de auditoría externa, auditoría interna, auditoría operativa, auditoría pública o
gubernamental, auditoría de sistemas, etc. Una breve referencia de cada una de las
modalidades descritas nos aclara los diferentes enfoques.

Auditoría externa o auditoría legal

Examen de las cuentas anuales de una empresa por un auditor externo, normalmente por
exigencia legal.
La definición de auditoría externa que recoge (L. Cañibano 29, 5, 2015) de aceptación
generalizada, es la siguiente: «El objetivo de un examen de los estados financieros de
una compañía, por parte de un auditor independiente, es la expresión de una opinión sobre
si los mismos reflejan razonablemente su situación patrimonial, los resultados de sus
operaciones y los cambios en la situación financiera, de acuerdo con los principios de
contabilidad generalmente aceptados y con la legislación vigente».
19

Algunos autores, como J. L. Larrea y A. S. Suárez, califican la auditoría como externa por
su condición de legalidad y porque el auditor es ajeno a la empresa; mientras que otros
autores lo hacen por los efectos que ella produce frente a terceros (inscripción en el
Registro Mercantil).

Auditoría interna
Control realizado por los empleados de una empresa para garantizar que las operaciones se
llevan a cabo de acuerdo con la política general de la entidad, evaluando la eficacia y la
eficiencia, y proponiendo soluciones a los problemas detectados.
La auditoría interna se puede concebir como una parte del control interno. La realizan
personas dependientes de la organización con un grado de independencia suficiente para
poder realizar el trabajo objetivamente; una vez acabado su cometido han de informar a la
Dirección de todos los resultados obtenidos. La característica principal de la auditoría
interna es, por tanto, la dependencia de la organización y el destino de la información. Hay
autores, como E. Heviá, 6 que la equiparan más a aspectos operativos, definiéndola como
«el órgano asesor de la dirección que busca la manera de dotar a la empresa de una mayor
eficiencia mediante el constante y progresivo perfeccionamiento de políticas, sistemas,
métodos y procedimientos de la empresa».

Auditoría operativa
Revisión del sistema de control interno de una empresa por personas cualificadas, con el fin
de evaluar su eficacia e incrementar su rendimiento. La auditoría operativa consiste en el
examen de los métodos, los procedimientos y los sistemas de control interno de una
empresa u organismo, público o privado; en definitiva, se fundamenta en analizar la
gestión. (Romero, 2016)
20

Auditoría informática:
La auditoría informática es una prueba que se desarrolla con carácter objetivo, crítico,
sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los
recursos informáticos, de la gestión informática y si estas han brindado el soporte adecuado
a los objetivos y metas de una organización. Para esta prueba existe un conjunto de
conocimientos, normas, técnicas y buenas prácticas dedicadas a la evaluación y
aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la información
tratada y almacenada a través del computador y demás dispositivos, así como de la
eficiencia, eficacia y economía con que la administración de la organización está manejando
dicha información y todos los recursos físicos y humanos asociados para su adquisición,
captura, procesamiento, transmisión, distribución, uso y almacenamiento. Esto en busca de
emitir una opinión o juicio, para lo cual se aplican técnicas de auditoria de general
aceptación y conocimiento técnico específico. La Auditoría Informática deberá estar
formada no sólo por la evaluación de los equipos de cómputo, de un sistema o
procedimiento específico, sino que además habrá de evaluar los sistemas de información en
general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de
información. (VILLARREAL, 2016)

Auditoría de redes
Es el análisis llevado a cabo de manera exhaustiva, específica y especializada que se realiza
a los sistemas de redes de una empresa, tomando en cuenta, en la evaluación, los tipos de
redes, arquitectura, topología, sus protocolos de comunicación, las conexiones, accesos
privilegios, administración y demás aspectos que impactan en su instalación,
administración, funcionamiento y aprovechamiento. Además, también la auditoría de red
toma en cuenta la revisión del software institucional, de los recursos informáticos e
información de las operaciones, actividades y funciones que permiten compartir las bases de
datos, instalaciones, software y hardware de un sistema de red.
21

Esta clase de auditoría ha cobrado una importancia tal, que hoy en día su aplicación es
altamente demandada en casi todas las instituciones en donde se realizan auditorías de
sistemas. Con la implementación de una auditoría a los sistemas de redes de cómputo, Se
busca valorar todos los aspectos que intervienen en la creación, configuración,
funcionamiento y aplicación de las redes de cómputo, a fin de analizar la forma en que se
comparten y aprovechan en la empresa los recursos informáticos y las funciones de
sistemas; también se evalúan la distribución de cargas de trabajo, la centralización de los
sistemas de redes computacionales y la repercusión de la seguridad, protección y
salvaguarda de información, personal y activos informáticos.

Para realizar una auditoría de la red de una empresa, se propone examinar las siguientes
características:
• Los objetivos de una red de cómputo.
• Las características de la red de cómputo.
• Los componentes físicos de una red de cómputo.
• La conectividad y comunicaciones de una red de cómputo.
• Los servicios que proporciona una red de cómputo.
• Los sistemas operativos, lenguajes, programas, paqueterías, utilerías y
bibliotecas de la red de cómputo.
• Las configuraciones, topologías, tipos y cobertura de las redes de
cómputo Curso: Auditoría de Redes
Dr. Vladimir Villarreal Página 14
(Vladimir, 2016)

“El control interno es una función de la gerencia que tiene por objeto salvaguardar y
preservar los bienes de la empresa, evitar desembolsos indebidos de fondos, y ofrecer la
seguridad de que no se contraen obligaciones sin autorización.”
(ARTHUR, 2016)
22

La gestión de seguridad en las ONG es más efectiva cuando se lleva a cabo de una manera
sistemática. Los procesos se deben aplicar en un orden lógico para alcanzar las condiciones
y resultados deseados. Para muchas ONG, el propósito primordial de los sistemas de
gestión de seguridad es generar unas condiciones que permitan el desarrollo de la misión de
ayuda humanitaria dentro de una tolerancia al riesgo que sea aceptable en un contexto
operativo dado. Una auditoría de sistemas de gestión de seguridad (SGS) consiste en una
revisión basada en pruebas de la estructura y funciones de un sistema, y en un test sobre el
objetivo del mismo. La auditoría proporciona información esencial a los gestores y a su
personal a partir de la cual se identifican las fortalezas y debilidades del sistema,
permitiendo que los recursos se apliquen ahí donde sean más necesarios.
El proceso de auditoría también sirve como herramienta para que las ONG puedan evaluar
sus procesos internos de gestión y determinar si el sistema de gestión de seguridad es el
adecuado para el objetivo.

3.4. ¿Por qué una auditoría de sistemas de gestión de la seguridad?

Las organizaciones de ayuda humanitaria auditarán sus sistemas de gestión de seguridad
por dos razones fundamentales:

a. Como empleadores, las ONG tienen la obligación moral hacia sus empleados de
asegurar que éstos no están en una situación de peligro como consecuencia de su
trabajo;
b. En muchos contextos las ONG están obligadas por ley a ejercer un deber de cuidado
hacia los empleados, requiriéndose sistemas y procesos claramente definidos para
gestionar los riesgos en el lugar de trabajo (FINUCANE, 2013)

3.5. Beneficios de realizar una auditoría de seguridad

Realizar una auditoría de seguridad no es solo responsabilidad de grandes empresas y
corporaciones. Hoy en día cualquier tipo de empresa depende de elementos y dispositivos
tecnológicos para poder realizar sus procesos de negocio
23

Por lo que es necesario que evalúe de forma periódica su seguridad. Las principales
ventajas que aporta el realizar una auditoría de seguridad en una empresa son:

✔ Mejora los controles internos de seguridad de la empresa.

✔ Detecta debilidades en los sistemas de seguridad como errores, omisiones o fallos.
✔ Identifica posibles actuaciones fraudulentas (acceso a datos no autorizados o robos a
nivel interno).
✔ Ayuda a eliminar los puntos débiles de la empresa en cuestión de seguridad (webs,
correo electrónico o accesos remotos, por ejemplo).
✔ Permite controlar los accesos, tanto físicos como virtuales (revisión de privilegios
de acceso).
✔Permite mantener sistemas y herramientas actualizadas.
(Muñoz, 2021)

3.6. Roles de la auditoría interna y externa

La auditoría financiera puede ser desarrollada por contadores públicos independientes o por
los mismos empleados contadores de la organización.
La auditoría externa independiente es realizada por contadores públicos para expresar una
opinión sobre los estados financieros. La auditoría realizada por los mismos empleados de
la organización, cuyo propósito fundamentalmente es el control, es conocida como
auditoría interna.

Auditoría interna
Las funciones incluyen:
ü Revisión de operaciones para verificar la autenticidad, exactitud y concordancia con las
políticas y procedimientos establecidos.
ü Control de los activos a través de los registros de contabilidad y toma física.
ü Revisión de las políticas establecidas y procedimientos para evaluar su efectividad.
24

ü Revisión de si los procedimientos contables fueron aplicados en forma consistente con los
principios de contabilidad generalmente aceptados.
ü Auditoria de otras organizaciones con las que existan relaciones contractuales para el
cumplimiento de lo previsto en los contratos.
ü Evaluación del cumplimiento de las estrategias de la organización.
ü Verificar datos relacionados entre sí y prueba la efectividad del trabajo administrativo
contable revisando evidencias:

EL AUDITOR INTERNO DEPENDE FUNCIONALMENTE DEL COMITÉ DE

AUDITORIA Y ORGÁNICAMENTEDEPENDE DEL DIRECTORIO.

Auditoría externa
Para dar crédito a las representaciones administrativas, contenidas en los estados
financieros básicos, los usuarios e interesados en esta información piden la opinión de un
contador público, totalmente desligado de esa administración, llamado auditor
independiente. La auditoría externa se encarga de:
ü Examen de los estados financieros para formarse una opinión de si fueron preparados de
conformidad con normas y principios de contabilidad generalmente aceptados.
ü Realizar la evaluación del control interno que le permita determinar el alcance de la
auditoria, mediante pruebas selectivas y otros procedimientos de auditoria generalmente
aceptados.
ü Revisión de las políticas de dirección y procedimientos específicos que, relacionados
entre sí, forman la base para obtener suficiente evidencia con el propósito de poder expresar
una opinión sobre la calidad de la información financiera y de los controles internos
existentes. ü Detectar y eliminar cualquier distorsión en la información causada por
personas culpables de ignorancia, influencias personales, interés propio, negligencia o
deshonestidad. (Plácido, 2019)
25

Seguridad de la información.
Es un término que hace referencia a la seguridad de activos de forma general, incluyendo la
seguridad informática, la seguridad TIC y la seguridad de los datos. Los cuales se ocupan a
diseñar normas, procedimientos, métodos y técnicas. Consiguiendo un sistema de
información segura y confiable.
(D. Fernando, 2005)

Metodología de análisis de riesgos. La metodología de análisis de riesgos, son

implementadas para la identificación de controles y estableciendo medidas para estas
vulnerabilidades. La metodología de análisis de riesgos se clasifica en dos: Las
cuantitativas y las cualitativas. (VILCHES T, Martín, 2016)

Ilustración 3.6 Requisitos ISO 9001 2015

26

3.7. Palabras clave

Norma ISO:
La ISO (International Standarization Organization), como su nombre lo indica es la
organización encargada de la normalización o estandarización de normas de tal forma que
puedan ser aplicadas a nivel internacional obteniendo efectividad en los procesos y
reducción de los costos asociados
(Magerit Libro I, 2012, p. 19)

Riesgo.
Se refiere a la incertidumbre o probabilidad de que ocurra o se realice una eventualidad, la
cual puede estar prevista.
(Téllez, 1988)

Salvaguarda.
Son todos aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo.
(Ministerio de Hacienda y Administraciones Públicas de España, 2012)

Seguridad de la Información.
Tiene como fin la protección de la información y de los sistemas de la información del
acceso, uso, divulgación, interrupción o destrucción no autorizada.
(Asociación Española para la Calidad, 2014).

La seguridad en términos generales

Al hablar de términos de seguridad informática se debe entender a las bases que conforman
los cimientos de esta ciencia, para las partes más complejas de esta disciplina, una de estas
bases es el concepto de seguridad, la cual consiste en un estado de bienestar, es la ausencia
de riesgo por la confianza que existe en alguien o algo, si la seguridad se aborda desde el
tema disciplinario el concepto se puede definir como una ciencia interdisciplinaria para
27

evaluar y gestionar los riesgos a los que se encuentra una persona, un animal, el ambiente o
un bien.
(Gabriela, 2018)

Según (Aguilera 2011), se puede definir a la seguridad informática como la disciplina

encargada de plantear y diseñar las normas, procedimientos, métodos y técnicas con el fin
de obtener que un sistema de información sea seguro, confiable y sobre todo que tenga
disponibilidad.
Aguirre (2006), También afirma que la seguridad informática puede definirse como el
conjunto de métodos y de varias herramientas para proteger el principal activo de una
organización como lo es la información o los sistemas ante una eventual amenaza que se
pueda suscitar

3.8. Los virus informáticos

Unos de los primeros conceptos cuando se habla de seguridad informática, es el de virus
informático. Las computadoras solo entienden código binario como ceros y unos, en el
mundo de las computadoras y de la informática existen muchos conceptos como el de
programas, videojuegos, sistemas operativos y cualquier clase de software.

El software es uno de los conceptos más abstractos, se lo define como todo lo intangible de
la computadora, son instrucciones que el ordenador espera que se realicen, las cuales
pueden ser instrucciones complejas o instrucciones sencillas. Según (Beynon-Davies,
2015), el término software o programa es utilizado para describir una secuencia de varias
instrucciones que es leído por un computador, los cuales son escritos en un determinado
lenguaje de programación que pueden ser clasificados de la siguiente manera:
• Lenguaje de máquina
• Lenguaje ensamblador
• Lenguajes de alto nivel
28

Según (Vieites, 2013), se define al virus informático, como un programa desarrollado en un

determinado lenguaje de programación (C++, C, ensamblador, etc.) con el objetivo de
infectar uno o varios sistemas informáticos, utilizando varios mecanismos de propagación o
autorreplicación, el cual trata de reproducirse de forma acelerada para extender su alcance.

Concepto de autenticación
La autentificación se puede definir como un proceso en el que se busca confirmar algo
como verdadero, no se busca verificar un usuario, ya que la autenticación no siempre está
relacionada con estos, en muchos casos se quiere saber si un cambio o un dato es correcto,
no se debe cometer el error en pensar que solamente las personas necesitan este proceso,
este puede ser para cualquiera, un sistema, un dispositivo o una persona.

La autenticación es bastante usada en el mundo de la computación, sólo que actualmente la

contraseña del correo o de una red social ha hecho olvidar que este método de validación
era ya muy común, por ejemplo, todas las credenciales que expiden para realizar una
votación en determinado país es un método de autenticación, otro ejemplo es cuando se
ingresa a un país y solicitan un documento

Los tres pilares de la seguridad

Los datos son valores, números, medidas, textos, documentos en bruto, la información es el
valor de esos datos, es lo que aporta conocimiento. Los manuales de procedimientos, los
datos de los empleados, de los proveedores y clientes de la empresa, la base de datos de
facturación son datos estructurados de tal forma que se convierten en información, que
aportan valor como compañía. Los pilares de la seguridad de la información se
fundamentan en esa necesidad que todos tienen de obtener la información, de su
importancia, integridad y disponibilidad de la información para sacarle el máximo
rendimiento con el mínimo riesgo. (Romero castro, 2020)
29

(Carpentier 2016), indica que el uso de sistemas de información implica establecer normas
y procedimientos aplicados al uso y sistemas de información ante posibles amenazas
como:

● Elaborar varias normas y procedimientos.

● Definición de acciones que deben emprender las personas.
● Definición del perímetro que se va a afectar.

Vulnerar para proteger.

Para ( (Luna & Solís, E, 20202)., 2002:8) los intrusos:
Utilizan diversas técnicas para quebrar los sistemas de seguridad de una red. Básicamente
buscan los puntos débiles del sistema para poder filtrarse en ella. El trabajo de los
administradores y testersno difiere mucho de esto. En lo que sí se diferencian y por
completo, es en los objetivos: un intruso penetra en las redes de computadoras para
distintos fines (investigación, daño, robo, etc.) mientras que un administrador lo hace para
poder mejorar los sistemas de seguridad.
Los intrusos cuentan con grandes herramientas como los escanea dores de puertos, robo de
contraseñas, software de análisis de vulnerabilidades, un administrador cuenta con todas
ellas empleadas para bien, además de los sistemas de detección de intrusos y los sistemas
de rastreo de intrusiones.
Para (Callegari, O, s.f.:1980): Al conjunto de técnicas que se utilizan para evaluar y probar
la seguridad de una red se lo conoce como test de penetración, uno de los recursos más
poderosos con los que se cuenta hoy para generar barreras cada vez más eficaces contra los
intrusos.
30

CAPÍTULO 4. DESARROLLO DEL PROYECTO Y

SOLUCIONES PROPUESTAS

4.1. Materiales: Se requiere la utilización de recursos propios asignados a la

Auditoría Interna del Instituto lo cual implica material de oficina, carpeta, fotocopias y uso
de equipo de cómputo como Pc`s, servidores y scaners.
Así como un equipo de computo personal estudiantil, computadora personal y acceso a
datos escolares.

4.2. Metodología
4.2.1. Tipo de investigación

El tipo de investigación a utilizar es cuantitativo y cualitativo de carácter exploratorio, para

producir una lista de riesgos y así compararlas entre sí con facilidad por tener asignados
unos valores numéricos, determinando la probabilidad de ocurrencia de un evento.

La investigación cuantitativa permite medir la cantidad y el nivel de efectiva de cada uno

de los controles de seguridad de la información existentes en la Empresa y en base a este
resultado generar medidas que protejan los activos de información. Por otra parte, con la
investigación cualitativa se puede analizar e interpretar los datos mediante la observación
del entorno y entrevistas hechas al personal que interactúa directamente con el sistema.

Para realizar este proyecto se tuvo en cuenta el tipo de investigación formativa establecida
en el reglamento de investigación de la Universidad Tecnológica de San Juan del Rio,
pretendiendo aplicar los conocimientos adquiridos durante la formación académica.
También se recabo información acerca de qué tipo de auditorías se realizan en la
Universidad esta fue brindaba por partes interesadas del equipo auditor de la universidad.
31

4.2.2. Método de investigación- recabar datos

Identificar los tipos de auditorías: Para la identificación de las auditorias que se llevan a
cabo en la universidad tecnológica de San Juan del rio Querétaro, primero se realiza una
investigación en la página oficial de la escuela en búsqueda de información que sea útil,
luego se realizaran entrevistas, lista de chequeo, esta última información será
proporcionada por parte del equipo de auditorías de la Universidad.

Para recabar la información necesaria de las auditorias de forma ordenadamente y

sistemática se estará desarrollando una de las 7 herramientas de calidad, la hoja de control o
comúnmente llamado, checklist.
Esta técnica de recogida de datos se prepara para que su uso sea fácil e interfiera lo menos
posible con la actividad de quien realiza el registro. El checklist es uno de los mejores
aliados cuando usted necesita recordar todas las tareas que se deben realizar. No tendrá
mucho efecto si no pueden identificar todos los elementos que sean necesarios. El
responsable de los procesos, deberá asegurar que todos los pasos se encuentren incluidos en
la lista de comprobación. Por lo tanto, puede consultar el documento cada vez que desee
asegurar que todo saldrá según los planificado.

Checklist para la reunión de datos

1. Determinar el propósito de los datos que se están reuniendo.

⌖ Aquí se determinará cual es propósito de conocer que tipo de auditorias se llevan
a cabo en la Universidad
⌖ Determinar el tipo de auditorias que se llevan a cabo en la institución.

2. Definir el tipo de daos necesarios.

⌖ Datos que ayudaran a comprender bajo que condiciones se va a trabajar y se va a
desarrollar el proyecto.
32

3. Identificar donde se van a reunir los datos bajo los cuales se va a trabajar.
⌖ Los sitios que sean necesarios para recabar los datos (Departamentos)

4. Identificar de quien deben reunirse los datos.

⌖ Personal
⌖ Internet (pagina oficial)

5. Determinar si los datos están disponibles.

En caso de ser negativo el método de recaudación de datos se tendrá que utilizar
otro método de recaudación de datos, como entrevistas y observación en campo.

6. Determinar y desarrollar la herramienta para la recaudación de

datos Pasaremos ahora a la realización de la herramienta
(Anexo 1 página 71)

Determinar de los dominios de información: Se realizarán valoraciones a los activos, determinando

la confidencialidad, integridad y disponibilidad de estos.
33

4.2.3. Equipos de cómputo:

La sede principal dispone equipos de cómputo, distribuidos de la siguiente manera,
ubicados en salas de sistemas, laboratorio, equipos de uso estudiantil y equipos de cómputo
para uso administrativo y docente.

Ilustración 4.2.3. Referente a equipos de cómputo en la UTSJR

4.2.4. Servidores y equipos de intercambio de datos

⌖ La institución posee un (1) servidor.
⌖ Encargado del control de acceso en el salón de sistema.
⌖ Sistema Operativo Windows Server 2008, marca hp.
⌖ Red de internet.
⌖ Un swithes de red.
⌖ Routers.
34

4.2.5. Sistemas de seguridad, prevención y control de acceso

● Sensores de movimiento y alarmas de seguridad.

● Ubicadas en secretaria y salón de sistemas, administrada por la misma institución.
● Cámaras de seguridad IP.
● Ubicadas en secretaria y salón de sistemas, administrada por la misma
● institución.
● Sistema de aire acondicionado.
● Extintores de diferentes tipos según la ubicación del extintor, entorno, equipos y
elementos de cada sitio.

4.2.6. Clasificar activos:

Después de comprender la estructura organizacional y su forma de operar, se procede a

clasificar los activos por criticidad, definiendo planes a realizar y obteniendo datos donde
identifique el estado de seguridad a nivel de hardware y software de los equipos, servicios,
información de las instalaciones físicas procesos y procedimientos.

⌖ Identificar los sitios de los equipos de comunicación donde se encuentran,

seguridad perimetral, almacenamiento y procesamiento de datos; esto debido
al recolecta miento de vivencias de las condiciones actuales.

⌖ Los activos se clasifican para determinar cuáles son los más críticos que puedan
detener el funcionamiento de la institución en caso de falla.
35

Catálogo de Activos
Elementos, en este se describen los tipos de activos, las distintas dimensiones para hacer su
respectiva valoración, además, en este se presenta la clasificación de amenazas y
salvaguardas. Como resultado de esta actividad se obtuvo la siguiente clasificación (En la
clasificación de
Datos y/o información, software y personal no se presenta de forma específica los activos
identificados porque es necesario mantener la confidencialidad de la información):

TIPO DE ACTIVO ACTIVO

Sistemas utilizados por la empresa para
Software realizar las respectivas operaciones.
Servidor de Base de Datos
Servidor Proxy
Servidor de Intranet
Hardware Pc’s
(Equipamiento Informático) Portátiles
Switch
Router
Firewall
Impresoras

Información contenida en las bases de

Datos y/o Información datos sobre usuarios, estados financieros,
etc.
Instalaciones Cuarto de Telecomunicaciones
36

Personal Miembros del área de TI

Redes de Comunicaciones Intranet Red

telefónica Red de
datos
Red Inalámbrica Internet
Soportes de Información Disco Duro Externo

Equipamiento Auxiliar Ups Fibra Óptica Aire Acondicionado

Tabla 4.2.6 Amenazas potenciales

Determinación de activos críticos

Una vez que se clasificaron los activos, se procede a valorarlos teniendo en cuenta las
distintas dimensiones de valoración, La valoración que recibe un activo en una cierta
dimensión es la medida del perjuicio para la organización si el activo se ve dañado en dicha
dimensión.”
La valoración de los activos, se realiza a través de una entrevista hecha al coordinador de
Sistemas, informática y telecomunicaciones de la Universidad, seguidamente se procedió a
hacerle los interrogantes planteados en la tabla “Dimensiones de valoración” y como
respuesta a cada uno de ellos, él debía seleccionar uno de los niveles establecidos en la
tabla “Escala de valoración” para determinar el valor de cada uno de los activos en las
distintas dimensiones

Abreviaturas
A: Autenticidad Nivel de daño representaría para la empresa
que quien accede al servicio no sea
realmente quien se cree
37

C: Confidencialidad Nivel de daño representaría para la

empresa que el dato fuera conocido por
personas no autorizadas

D: Disponibilidad Nivel de daño representaría para la

empresa que el activo no estuviera
disponible
I: Integridad Nivel de daño representaría para la empresa
que los datos fueran modificados fuera de
control

T: Trazabilidad nivel de daño representaría para la empresa

que no quedara constancia del uso del
servicio o el acceso a los datos
Tabla 4.2.7. Abreviaturas

VALOR DESCRIPCIÓN
1 Muy bajo
2 Bajo
3 Medio
4 Alto
5 Muy alto
Tabla 4.2.8. Valores

ACTIVOS VALORACIÓN
CRÍTICOS A C D I T
Red de datos 4 5 5 4 5
38

Servidor de Intranet 5 4 4 4 5
Servidor de base de
datos 5 5 5 5 5
Servidor Proxy 4 5 4 5 5
Tabla 4.2.9. Activos críticos

Resumen valoración de activos.

El cuadro anterior presenta la valoración de los activos considerados como críticos en cada
una de las distintas dimensiones que se presentan. Estos fueron identificados como activos
críticos tomando como base el resultado de la valoración obtenida y teniendo en cuenta que
estos son la fuente de almacenamiento, procesamiento y transporte de la información, y que
representan la base para la realización de las operaciones de la institución.

En la tabla podemos observar como todos los activos son altos en nivel de valoración
presentación así un cuadro alto de gravidez ante la situación. Observamos que el mayor
numero de gravedad se concentra en servidor de base de datos mientras servidor de internet
se presenta como el mas bajo.

4.2.7. Identificación y justificación de amenazas de las redes de comunicaciones.

En este punto es importante identificar las amenazas que potencialmente se podrían

presentar en la universidad, dado que el desarrollo de las tecnologías ha avanzado y ahora
es más probable que el instituto se vea amenazado por alguno de estos peligros.
Al identificar estas amenazas será mas factible el desarrollo del proyecto dado que se
tendrá en cuenta bajo que riesgo se trabajan y que criterios hay que tratar.

Pero primero para entrar un poco en contexto; La información es una herramienta útil en la
toma de decisiones de una organización, por su valor incalculable, es necesario protegerla.
Con el avance de la tecnología que cada día se perfecciona, específicamente en el campo de
las comunicaciones y con la capacidad del computador para comunicarse con otros
39

dispositivos remotos y para comunicar entre si computadores físicamente separados en los

que llamamos una red de transmisión de datos, la cual es importante en el diseño de muchos
sistemas de información. Pero esta información si no está debidamente protegida cuando se
realiza el proceso de transmisión de datos puede generar perdidas costosas e importantes a
diversas organizaciones, lo que generaría riesgos e incertidumbre en la exactitud de la
información, por esto es muy importante desarrollar políticas de seguridad claras con la
intención de mantener seguros los datos durante el proceso de emisión, transporte y
recepción

Seguridad de la información en la Red, se puede entender la seguridad como la necesidad

de proteger. En una red se deben proteger todos los equipos que posibilitan el proceso de la
comunicación, las personas que producen, acceden y distribuyen los datos y finalmente la
información que es considerada como uno de los activos más importantes de las
organizaciones

Para mantener segura la información que viaja a través de la

red esta debe cumplir con tres requisitos:
● Integridad: Requiere que los recursos sean modificados por quienes están
autorizados y que los métodos y los procesamientos de la información sean
salvaguardados en su totalidad y con exactitud.
● Confidencialidad: Se debe garantizar que la información sea accesible solo por
quienes están autorizados para su lectura, cambios, impresión y formas de
revelación
● Disponibilidad: Se requiere que la información esté disponible en el momento
exacto para quienes están autorizados a acceder a ella.

4.2.8. Ataques a la seguridad de la red

Un ataque no es más que la realización de una amenaza. La mayor parte de los ataques a los
sistemas informáticos son provocados, intencionadamente o no, por las personas. En
general lo que se busca es conseguir un nivel de privilegio en el sistema que les permita
realizar acciones no autorizadas.
40

Estos ataques se pueden asimismo clasificar de forma útil en términos de ataques pasivos y
ataques activos.

● Ataques pasivos: Son oidores o monitoreos de las transmisiones, en los ataques pasivos
el atacante no altera la comunicación, sino que únicamente la escucha o monitoriza,
para obtener información que está siendo transmitida. quienes realizan ese tipo de
ataque busca obtener la información que se está transmitiendo. En este tipo de ataque se
pueden encontrar:

▪ Divulgación del contenido de un mensaje: es un tipo de ataque pasivo por medio del
cual el atacante se entera de la información transmitida; como por ejemplo escuchar
una llamada telefónica, leer un correo electrónico abierto.
▪ Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los
paquetes monitorizados.
▪ Control del volumen de tráfico intercambiado entre las entidades monitorizadas,
obteniendo así información acerca de actividad o inactividad inusuales.
▪ Control de las horas habituales de intercambio de datos entre las entidades de la
comunicación, para extraer información acerca de los períodos de actividad

● Ataques activos: Suponen modificación de los datos o creación de flujos de datos

falsos. Dentro de este tipo de ataques se pueden encontrar:

▪ Enmascaramiento: Es un tipo de ataque activo que tiene lugar cuando una entidad
pretende suplantar a otra para obtener información confidencial.
▪ Repetición: Se realiza con la captura de unidades de datos que se vuelven a
retransmitir para producir efectos no autorizados.
▪ Modificación de Mensajes: Se modifican los mensajes para producir efectos no
autorizados.
▪ Denegación de Servicios: Previene o inhabilita el uso normal de las facilidades de
comunicación, usualmente se hace para obtener un fin especifico o para obtener
41

perturbaciones sobre la red desmejorando su rendimiento o incluso inhabilitando la

misma.
Básicamente, podemos agrupar las amenazas a la información en cuatro grandes categorías:
Factores Humanos (accidentales, errores); Fallas en los sistemas de procesamiento de
información; Desastres naturales y; Actos maliciosos o malintencionados;
algunas de estas amenazas son:

• Virus informáticos o código malicioso

• Uso no autorizado de Sistemas Informáticos
• Robo de Información
• Fraudes basados en el uso de computadores
• Suplantación de identidad
• Denegación de Servicios (DoS)
• Alteración de la Información
• Divulgación de Información
• Desastres Naturales
• Sabotaje, vandalismo

Según los datos de la encuesta anual de Seguridad del FBI1, los virus informáticos siguen
siendo la principal fuente de pérdida financiera en las organizaciones, seguidos por los
impactos derivados de accesos no autorizados a los sistemas, el robo de información de
propiedad industrial, y la pérdida de computadores personales o elementos de computación
móvil. Estas causas generan más del 74% del total de las pérdidas financieras

Ilustración4.2.8 Referente al porcentaje

de amenazas en redes de
comunicación.
 42
.

4.2.9. Amenazas potenciales encontradas en la Universidad Tecnológica de San

juan del Rio.

● Fallo de servicio de comunicaciones: El nivel de frecuencia fue calificado como

poco frecuente, pero en la dimensión de seguridad fue catalogado como alto, ya que
en el momento en que falle el servicio se ve afectado por varias horas.
● Manipulación de configuración: El nivel de frecuencia es calificado poco frecuente,
pero en las dimensiones de confidencialidad y autenticidad son consideradas de alto
riesgo, ya que la configuración la administra la empresa que presta el servicio.

● Avería de origen físico y lógico: Dentro del nivel de frecuencia se considera normal,
ya que por las condiciones climáticas sea amenazada, pero en la dimensión la
disponibilidad se encuentra en un nivel muy alto, ya que las condiciones donde se
encuentran no son las adecuadas físicamente para su protección.

● Desastres naturales: Se pueden llegar a presentar, debido a las condiciones

geográficas rurales donde se encuentra, el cual tendría un detrimento muy alto, ya
que podría causar una paralización de todas las actividades.

4.3 Identificación y Valoración de Amenazas Tipo: Aplicaciones Informáticas

Ahora que conocemos de manera general cuales son las amenazas que hay dentro de la
universidad, pasaremos a identificar las amenazas en las aplicaciones informáticas ya que la
auditoria se encargara de solucionar dichas amenazas encontradas, pero primero hay que
valorar el nivel de amenaza que representa, así como la frecuencia con la que se presenta.

A continuación, se presentan en una tabla las amenazas encontradas y junto a ella su

frecuencia y el nivel de amenaza que representa para la institución.
43

Porcentaje Frecuencia Frecuencia Gravedad

0-30% Rara vez 1-3 Leve

30-60% Pocas veces 3-6 Moderado

60-90% Ocasionalmente 6-9 Elevado

90-100% Frecuentemente 9-100 Alto grado

Tabla 4.3. Amenazas tipo aplicaciones informáticas

AMENAZA NIVEL DE FRECUENCIA FRECUENCIA

AMENAZA
Escapes de 90% Frecuentemente 10
información

Errores de 60% Pocas veces 7

los usuarios

Destrucción de 80% Ocasionalmente 6

información
Modificación de la 40% Pocas veces 4
información
Acceso no 60% Ocasionalmente 6
autorizado
Tabla 4.4 Amenazas Tipo: Aplicaciones Informáticas
44

10

Gráfico 4.4.1. Amenazas tipo: Aplicaciones informáticas

Amenazas Tipo: Aplicaciones Informáticas
ESCAPES DE INFORMACIÓN
ERRORES DE LOS USUARIOS
ACCESO NO AUTORIZADO
DESTRUCCIÓN DE INFORMACIÓN
0
2
4
6
8
10
12

Resumen del gráfico: Se encontró que dentro de la universidad tecnológica de San Juan
del Rio existen 5 tipos de amenazas a las aplicaciones informáticas que se manejan dentro
de ella las cuales son:
● Escapes de información
● Errores de los usuarios
● Destrucción de información
● Modificación de la información
● Acceso no autorizado

En la tabla observamos que la mayor amenaza para la institución son los escapes de
información con un 90% de amenaza siendo presente de manera frecuente.
45

Las fugas de datos pueden ser ocasionadas por causas internas o externas a las
organizaciones:
Internas: Causadas, por ejemplo, intencionada o accidentalmente por personal interno de la
organización.
Externas: por ejemplo, la filtración de los datos personales de los empleados de una
empresa por un incidente de seguridad de un proveedor.

Además, pueden ser deliberadas o involuntarias:

Deliberadas: Se filtran o revelan datos confidenciales con el propósito de obtener una
ventaja económica o causar un daño o perjuicio a las organizaciones: sanciones
económicas, la pérdida de una ventaja competitiva, la pérdida de imagen o reputación, etc.

Involuntarias: se filtran o revelan datos confidenciales de manera accidental o no

intencionada, por ejemplo, por no seguir las buenas prácticas de seguridad de la
información. Causas de una brecha de datos

La causa más común de las fugas de datos en las organizaciones es la falta o pérdida de la
concienciación y disciplina en las buenas prácticas y medidas de seguridad para el
tratamiento de la información. La mayoría de las veces se producen por:

▪ No borrar la información de la manera apropiada de soportes extraíbles

Almacenar información sensible en dispositivos portátiles
▪ No cifrar los datos que los dispositivos de almacenaje de información acaben en
manos inadecuadas mediante su pérdida o robo

Consecuencias del escape de información

Dependiendo del tipo de información que se revele o se filtre, las consecuencias que
produce son distintas. Por ejemplo, la fuga de datos personales puede ocasionar pérdidas
económicas importantes para las organizaciones bien sea por multas de las agencias
reguladoras o por la pérdida de la confianza de sus clientes. Si se produce una revelación de
un secreto comercial,
46

puede ocasionar la pérdida de una ventaja competitiva que deriva a su vez en perjuicios
económicos.

4.3.1. Identificación y valoración de amenazas: servicios.

La plataforma de servicio en la nube son hoy en día la tendencia digital, sin embargo,
existen serias amenazas de seguridad a estos Servicios en la nube que se debe tener en
cuenta para no correr ningún riesgo
Se encontró que muchas de las amenazas de seguridad de los servicios se encuentran en la
nube la nube y estos son similares a las que se presentan cuando utilizamos centros de datos
físicos, sin embargo, cuando tenemos ambientes de trabajo híbridos, se presentan nuevos
retos que debemos aprender a afrontar.

Algunos del cuerpo operativo tienen sus datos alojados en sus propios computadores, pero
otros los tienen en funcionando tanto en sus equipos como desde alguna aplicación en la
Nube, por lo tanto, debemos estar preparados para identificar desde el principio el tipo de
entorno de trabajo de cada parte y saber cómo trabajar con las herramientas de seguridad
disponibles para cada modalidad.
En este paso se desarrolla una tabla donde se identifiquen cuáles son las amenazas
encontradas en los servicios.

Porcentaje Frecuencia Frecuencia Gravedad

0-30% Rara vez 1-3 Leve

30-60% Pocas veces 3-6 Moderado

60-90% Ocasionalmente 6-9 Elevado

90-100% Frecuentemente 9-100 Alto grado

Tabla 4.3.1. Referencias

47

Amenaza Nivel de amenaza Frecuencia

Suplantación de 90% Frecuentemente 15

la identidad del usuario

Vulnerabilidades de los 40% Pocas veces 3

programas

Software dañino 80% Ocasionalmente 7

Denegación de 30% Rara vez 2

servicios.
Tabla 4.3.2 Frecuencia de amenazas en servicio.

AMENAZAS EN SERVICIOS

Suplantación de la identidad del usuario

Software dañino

Vulnerabilidades de los programas

Denegación de servicios.

0 2 4 6 8 10 12 14 16

Gráfico 4.3.2. Amenazas en servicios

Resumen tabla: Una vez analizando las amenazas encontradas podemos observar que la
mayor amenaza encontrada es la Suplantación de la identidad del usuario con un nivel de
amenaza del 90% siendo frecuente en la institución.
48

Los ataques y fraudes basados en la suplantación de identidad pueden ser muy variados,
aunque se distinguen principalmente por dos cosas:

● Robo o acceso no autorizado a una cuenta: cuando el atacante ha conseguido

acceder a nuestra cuenta haciendo uso de nuestras contraseñas, que ha obtenido a
través de distintas técnicas y ataques. En este caso, puede suponer la pérdida del
control de nuestra cuenta si el ciberdelincuente cambia la clave de acceso y los
métodos de recuperación, aunque en otros casos el atacante puede que solo utilice la
cuenta para publicar en nuestro nombre, ver datos almacenados, etc.; todo ello sin
nuestro consentimiento.
● Creación de un perfil falso: el atacante ha creado una cuenta o perfil muy similar al
nuestro o al de otra persona, entidad o empresa. Para ello, utiliza información que ha
podido conseguir fácilmente a través de Internet y no implica el robo de nuestra
cuenta ni accesos no autorizados.

¿Cómo podemos protegernos?

● Configurando correctamente las opciones de privacidad y seguridad de nuestra
cuenta.
● Activando la verificación en dos pasos y utilizando contraseñas robustas.
● No aceptando peticiones de amistad de usuarios desconocidos o con perfiles
falsos.

Suplantación de identidad y difusión de fraudes entre contactos y seguidores

En este caso, los atacantes tienen como objetivo suplantar aquellas cuentas con muchos
seguidores, tanto de usuarios particulares como empresas, como un medio para engañar al
mayor número de usuarios posibles y dañar la reputación del perfil legítim
49

¿Cómo podemos protegernos?

● Desconfiando de cualquier petición de amistad por parte de desconocidos.
● Confirmando que estamos siempre siguiendo a un perfil legítimo. Ante la duda, será
mejor contrastar la información utilizando otras fuentes de confianza.
● Si un contacto nos solicita ayuda o nos realiza una petición que nos genera dudas,
debemos contactar con él por otra vía para verificar que es cierta la información.

4.3.2 Determinación de vulnerabilidades y amenazas asociadas a los activos críticos

del centro de control
A continuación, se establecen una serie de vulnerabilidades y amenazas asociadas a los
activos críticos del Centro de Control. Estas fueron identificadas a través de la aplicación
del mismo instrumento de recolección de datos (Checklist) utilizado en el análisis anterior.

ACTIVO VULNERABILIDAD AMENAZA

Servidor La infraestructura tecnológica del Perdida de información
Elastix centro de control no es administrada y/o deterioro de los
directamente por un profesional de equipos por el manejo
esta área. inadecuado de los
mismos o la atención
inoportuna en caso de
presentarse fallos.
Servidor Las cuentas de usuario para el acceso Deterioro, hurto y/o
Scada al sistema en el Centro de control no pérdida de información
Servidor son administradas por el área de por no establecer
OMS sistemas de la empresa. correctamente los
privilegios de acceso de
los usuarios.
50

Red de datos Los activos físicos de información del Pérdida o deterioro de

Centro de control no tienen asignado los equipos por no existir
un responsable directo un responsable directo
por cada uno de ellos.
Tabla 10. Cuadros activos

4.3.3. Salvaguardas

Una vez que se hayan analizado las posibles amenazas que puedan afectar al desarrollo de
las redes de comunicación seguimos a establecer las debidas salvaguardas cuando sea
necesario. A continuación, examinamos algunos ejemplos al respecto.

Es llamada también contramedidas, las cuales permiten hacer frente a las amenazas, para
ello es importante implementar normas que tengan que ver con aspectos organizativos,
técnicos, físicos y gestión personal, mecanismos de seguridad física y lógica. Si se realiza
las debidas salvaguardas, el impacto, la probabilidad y el riesgo se mitigan, viéndose
reducidos a valores residuales.
51

4 Control de acceso lógico

5 Programas antivirus
6 Contraseñas personales
Son aplicados a través de políticas de firewall y software de seguridad antivirus-antispyware, sistemas
operativos tipo servidor. Su aplicación está orientada a las dimensiones de autenticidad,
integridad de los datos y disponibilidad.
Salvaguarda de perfiles de seguridad.

Salvaguarda de actualizaciones
● Generación de un reporte
La evaluación que se le da es debido a que las donde se documenten las

actualizaciones y mejoras que se les ha hecho a actualizaciones.

estos sistemas han estado acorde a las necesidades

esperadas, pero a una falta mejorar en los procesos.

Detección y prevención de intrusión

● Generación de contraseñas,
Protege los posibles intentos de acceso no aptas solo para las partes
autorizado desde internet, igualmente en la red interesadas
inalámbrica protegiéndola al acceso de los ● IPS: Sistema de
servicios, en las dimensiones de confidencialidad, Prevención de Intrusos

integridad, autenticidad y disponibilidad. La

valoración dada de 50%, surge de las reglas
establecidas ya que son vulnerables, debido a las
necesidades que tiene la institución.
52
Salvaguarda copia de seguridad de los datos
● Se aplican perfiles de
para tener copias de seguridad de su sistema, es seguridad.

manejado por un sistema externo, comprendiendo ● Generación de copias de

varios aspectos que cubren el control de acceso y seguridad y dar una copia a

los servicios de seguridad, manejando un esquema cada parte interesada.

de autorización del sistema comprende la definición

de
roles y privilegios de cada uno de los usuarios.
Tabla 4.3.3. Salvaguardas
53

4.3.4. Resumen del hardware y software de la

universidad. Hardware:
Una vez tomando en cuenta todos los datos obtenidos y una vez de analizar la situación
actual se llegó a la conclusión de que los procedimientos realizados en el mantenimiento
correctivo y preventivo, no son normalizados los procedimientos técnicos, provocando que
la solución no sea la más efectiva o la más eficaz.
La institución cuenta con personal para realizar el mantenimiento preventivo, correctivo en
los equipos de la institución, pero la programación que se realiza no se cumple según lo
planeado.
No existen restricciones para el uso de dispositivos de almacenamiento tipo USB,
provocando la infección fácilmente en el sistema.
Si se presenta una falla irrecuperable de hardware en un equipo de cómputo de uso crítico,
no se cuenta con planes de contingencias que permitan hacer un proceso de recuperación
que se pueda comprometer.

Software:
El mayor problema encontrado es la suplantación de datos, la universidad tiene una alta
probabilidad de robo y suplantación de identidad.
No se tiene implementado un resguardo de los datos que permitan recuperar la continuidad
del negocio ante una contingencia, dado que no se realizan copias de seguridad
periódicamente.
Se tiene un servicio ocasional de soporte contratado con un tercero para atender las
eventualidades que se presenten.
No se cuenta con procedimientos definidos, ni registro de aplicación de actualizaciones de
software o parches de seguridad en los sistemas base críticos.

Datos:
La universidad cuenta con contraseñas sin embargo no se tiene la seguridad apropiada.
Se sufre muy frecuentemente la suplantación de datos del personal.
No se cuenta con algún procedimiento de recuperación de datos en caso de robo.
54

Los datos ocasionalmente son borrados o descartados debido a un descuido provocando la

perdida de datos.

4.3.5. Aplicación de las pruebas de Auditoría

Las fases que debe llevar una auditoria informática son cinco:

● Inicio: es la toma de contacto entre el auditor o el equipo auditor y la empresa; hay

una formalización contractual mediante un contrato se establecen una serie de
normas. Es necesario identificar al interlocutor válido por parte de la empresa a
auditar o del servicio a auditar que generalmente coincide con el máximo
responsable. La definición del alcance y el objetivo de la auditoria, la confección del
plan de trabajo a desarrollar.

● El desarrollo de trabajos: es la recopilación de la información, por medio de

entrevistas, revisión de documentos, pruebas y verificación de datos; en definitiva,
trabajos de campo. Evaluación de la información: es la síntesis y análisis de los
datos recopilados, como previsión, comprobación, cumplimiento de normas,
estándares, seguimientos y estándares reconocidos. Todo este análisis debe estar
justificado con evidencias.

● Presentación de resultados: el informe de auditoría es la presentación de los

resultados obtenidos, es recomendable mantener reuniones para la presentación de
un borrador de informe y permitir a la entidad o a la organización en un plazo
prefijado observaciones y alegaciones a ese borrador, que serán estudiadas por el
equipo o por el auditor a presentar el informe definitivo.

● Redacción del informe de auditoría: es la presentación del informe de auditoría,

señalando que las recomendaciones deben ser llevadas a cabo en un periodo de
tiempo determinado, las recomendaciones son soluciones a los problemas
detectados basadas
55

en experiencia del auditor, no son ejecutivas. Este informe de auditoría debe

contener título, índice, introducción, objetivos y alcance, metodología, resultados,
las alegaciones de los auditados, anexos, fechas de emisión y de entrega,
conclusiones y las recomendaciones.

Para la realización de este trabajo se estarán llevando a cabo los siguientes

● Enumeración de los servicios que se vayan a auditar.

● Verificación del cumplimiento de estándares de calidad y normas de control.
● Identificación del software, hardware y sistemas operativos instalados.
● Análisis de los servicios y aplicaciones instalados.
● Comprobación y evaluación de las vulnerabilidades detectadas.
● Corrección con medidas específicas.
● Implantación de medidas preventivas

Ilustración 4.3.5 Control interno informativo

56

6.4. Recomendaciones
Se establece de suma importancia realizar capacitaciones al personal, acerca de temas
relacionados con la seguridad de la información, garantizando la concientización del valor
de la información dentro de una organización, y que se tenga conocimiento de la
posibilidad de ocurrencia de incidentes. Además, se establecerán políticas de seguridad en
la institución, previniéndola de riesgos a los activos informáticos.

Ilustración 4.4. Ayuda visual de una auditoría

En el informe presentado a la institución se establecerá importante que las organizaciones

inviertan en herramientas que permitan la gestión de redes, como también que se haga uso
de herramientas de libre distribución, con el fin de obtener un valor agregado de seguridad
en la organización; y que se haga énfasis en la concientización de seguridad tanto en niveles
superiores de personal en una empresa, como en los demás empleados.
57

Las directivas administrativas deben de apoyar este estudio de seguridad informática y

aplicarlo a la menor brevedad posible, y hacerle continuidad a este proyecto

La metodología implementada debe ser utilizada exclusivamente para realizar auditorías de

riesgos en el área informática ya que contiene actividades que puede ser aplicada en otras
instituciones de nuestro medio.

Regula el acceso al edificio, las instalaciones de procesamiento de información y a las

oficinas, establece medidas para la protección de los activos de información tales como: el
uso de extintores, sistemas de alarma contra incendios, cámaras de seguridad, el registro de
ingreso y salida de los visitantes de la empresa y del acceso del personal autorizado a las
instalaciones donde reside el archivo.

Para una investigación a profundidad se debe realizar un estudio y análisis de metodologías

existentes y se tomen en consideración, técnicas y herramientas de comparación avanzadas,
que sea para aplicar las empresas de nuestro medio.

Los usuarios y funcionarios de la institución deben recibir una capacitación y socialización

del proyecto para poder aplicar las políticas de seguridad informática en pro de las mejores
prácticas.

Reglamentar una serie de controles para evitar el acceso de personas no autorizadas a las
instalaciones de la empresa, a las áreas de procesamiento de información y a las diferentes
oficinas. Entre los controles establecidos se encuentran: autorizaciones para el ingreso a
áreas sensibles, registrar información de acceso en bitácoras, tener un sistema lector de
tarjetas o biométrico para controlar el acceso al edificio y a los cuartos de
telecomunicaciones.

Se verifique y se corrija la configuración de los antivirus instalados en el Centro de control

para permitir el normal funcionamiento del sistema y el desarrollo de las funciones del
personal y de esta manera evitar la intrusión de software malicioso al sistema.
58

Asimismo, crear procedimientos que permitan realizar de forma segura la eliminación de

los soportes de almacenamiento, restrinjan y controlen el uso de programas no autorizados
en los equipos de la empresa, establezcan los pasos a seguir para el transporte seguro de los
soportes de almacenamiento, y proteger los activos de información de amenazas externas y
ambientales.

Elaborar formatos para: registrar las visitas a los cuartos de telecomunicaciones a fin de
determinar quienes ingresan a estas áreas y que te tipo de actividad realizan, tener toda
la información relacionada con los equipos de cómputo y de comunicación de propiedad de
la empresa a través del levantamiento de su respectiva hoja de vida

Garantizar que los equipos de cómputo sean devueltos luego de la terminación del contrato
de los empleados y de esta manera se pueda evidenciar el estado en que se entregan,
determinar los diferentes aspectos vinculados a la realización de pruebas de funcionamiento
del software.

La subdirección de sistemas, informática y telecomunicaciones se haga cargo de la

administración de la infraestructura tecnológica de toda la empresa y de crear las
respectivas cuentas de usuario para el acceso del personal al sistema.
59

CAPÍTULO 5. PRUEBAS Y RESULTADOS

● Durante la realización de este trabajo nos pudimos dar cuenta como es que a pesar
de que la institución cuente con el desarrollo de auditorías de seguridad le hacía
falta el desarrollo completo para mejorar estas auditorias y ara conocer los riesgos a
los que una organización está expuesta se utilizan las auditorias de seguridad de la
información, que realizadas por expertos en el área, tienen como objetivo
identificar, describir y valorar las vulnerabilidades a las que la plataforma de
operaciones está expuesta,

● Una vez realizando la metodología de la auditoría de red de seguridad planteada se

logrará mitigar los riesgos que tiene la institución siendo de vital importancia para
mejorar las instalaciones alámbricas de red de la sede principal, teniendo en cuenta
las normas internacionales, para la seguridad.

● La realización de la auditoria se contó con un buen cronograma de actividades, los

cuales ayudaron a implementar un programa detallado de cada punto que se va
evaluar y/o auditar.
● el nivel de cumplimiento de los estándares internacionales en materia de seguridad
de la información deberá determinarse de acuerdo a cada organización o institución,
en función de la criticidad de sus activos informáticos y la regulación a la que su
mercado o industria está sujeta.

● Como resultado del análisis de brechas se busca lograr identificar de manera muy
ágil, los problemas más relevantes de la compañía o institución para poder
determinar así los controles que se deberán acometer como resultado de la
definición del nivel de cumplimiento de los estándares.
60

● Implementar controles de seguridad y auditarlos continuamente, tienen como

resultado un incremento en la protección de tus activos de información.

● Además, se logrará facilitar la construcción de un esquema de operación confiable y

documentado, lo cual se verá reflejado en el incremento de la confianza de tus
clientes y empleados; es decir, desarrollas una operación confiable, de la que se
obtiene un esquema de recuperación en caso de fallas y cumples con la normativa
de protección de datos aplicable a temas de seguridad y gestión de activos
informáticos.

● Respecto a las capacitaciones hacia el personal, se espera lograr aumentar su nivel

de capacidad para el puesto en el que están laborando y ser capataces de desarrollar
una auditoria de seguridad más eficiente.

● Se espera disminuir al menos un 70% el riesgo de suplantación de la identidad del

usuario y así evitar a su vez perdida de documentos.

Se disminuirán las amenazas: servicios.

Una vez realizada la mejora a las auditorias de seguridad se espera disminuir las amenazas
en las aplicaciones informáticas se espera que las soluciones para protegerse ante un posible
ataque vayan mucho más allá de contar con un antivirus en el computador si no también
desarrollar estrategias como cifrado de las comunicaciones, políticas de seguridad
integrales y protección de los dispositivos móviles. Poder superar el daño de un ciberataque
toma tiempo, tiene un impacto en la imagen corporativa y causa millonarias pérdidas, por lo
que presentamos siete recomendaciones con medidas necesarias para evitar estos daños que
pueden llegar a ser irreparables.
61

Amenaza Nivel de amenaza Frecuencia

Suplantación de 20% Rara vez 2

la identidad del
usuario
Vulnerabilidades de los 0% Rara vez 2
programas

Software dañino 10% Rara vez 3

Denegación de 0% Rara vez 4

servicios.
Tabla 5. Mejoras en amenazas a servicios

La tabla… refleja el cambio que se espera alcanzar con la nueva metodología de la

auditoria, vemos como la suplantación de la identidad del usuario disminuye un 70% a
comparación de su estado inicial, de igual manera se tiene previsto al mismo tiempo
disminuir notablemente con el resto de las amenazas. Al menos un 40% en comparación al
primer estudio.

Amenaza Tipo:Servicios Frecuencia

Denegación de
servicios.
37%
Suplantación de la
identidad del usuario
18%
Vulnerabilidades de
62
los programas 18%
Software dañino
27%
Suplantación de la identidad del usuario
Vulnerabilidades de los programas Software dañino

Denegación de servicios.

Gráfico 5. Gráfico de pastel referente a amenazas en servicios

63

En el gráfico de pastel se muestra que al implementar las nuevas salvaguardas y el nuevo

procedimiento de la auditoria se disminuye el mayor problema encontrado en los servicios
dejando repartidos de manera que no sea de alto impacto para las aplicaciones, siendo la
suplantación de identidades solo un 18% del problema.

Se disminuirán las amenazas Tipo: Aplicaciones Informáticas

Para disminuir este tipo de amenazas el proyecto desarrollara un programa de seguridad de
Internet de confianza para protegerse de un modo proactivo contra los Spyware y otros
riesgos de seguridad.

También se configurará el firewall en el programa de seguridad de Internet de Confianza

para bloquear peticiones no solicitadas para comunicaciones exteriores.
No aceptar o abrir cuadros de diálogo de errores sospechosos dentro del navegador.

Se tomarán más precauciones ante cada acto antes de ser realizado, el spyware puede llegar
como parte de una “oferta gratis” – no acepte ofertas gratis, se leerá siempre con cuidado el
acuerdo de Licencia de Usuario a la hora de Instalar y cancele la instalación si otros
“programas” están siendo instalados como parte del programa deseado.
Y finalmente se Mantener los parches de software y seguridad actualizados.

Algunas precauciones que se comenzaran a tomar sean:

▪ Abre sólo archivos adjuntos de e-mails y mensajes instantáneos que provengan de
fuentes de confianza y que esperes.
▪ Escanea los archivos adjuntos con un programa de seguridad de Internet de
confianza antes de abrirlos.
▪ Borra todos los mensajes indeseados sin abrirlos.
▪ No pinches en enlaces de Webs que hayan sido enviados por personas que no conoces.
▪ Si una persona en tu lista de Contactos te está enviando mensajes, archivos o
enlaces extraños finaliza tu sesión de mensajería instantánea.
64

AMENAZA NIVEL DE FRECUENCIA

AMENAZA
Escapes de 90% Frecuentemente 4
información
Errores de los 60% Pocas veces 2
usuarios
Destrucción de 80% Ocasionalmente 2
información
Modificación de la 40% Pocas veces 1
información
Acceso no autorizado 60% Ocasionalmente 3
Tabla 13. Mejoras en amenazas a aplicaciones

En la tabla -…. Se pues observar como se disminuyo la frecuencia con la que ocurren
dichos actos mejorando las aplicaciones.

Amenazas Tipo: Aplicaciones Informáticas FRECUENCIA

25%
33%
8%
17%
17%
Escapes de información Errores de los usuarios Destrucción de información Modificación de la información
Acceso no autorizado

Gráfico 5.1 Gráfico de pastel referente a amenazas a aplicaciones.

65

La institución es un potencial que sigue siendo víctima número de los virus informáticos
por su información o por los datos confidenciales que manejan, por eso resulta vital que los
computadores cuenten con un antivirus instalado. En el mercado se encuentran varias
opciones, por lo que escoger una de ellas dependerá de las necesidades de la institución, es
el caso de Windows Defender o Windows Security.
Pueden parecer programas simples, pero son muy eficaces destruyendo troyanos, gusanos o
spyware. Eso sí, hay que estar pendientes de nuevas actualizaciones. Además de los
antivirus, hay otras opciones para evitar que nuestros dispositivos se vean afectados:
Hay que tener especial precaución con las redes sociales. Nunca abras un archivo sin
comprobar su origen, cerrar el sitio web cuando el navegador te indique que no es un sitio
seguro, no aceptar archivos de contactos que no conozcas y realizar copias de seguridad de
tus archivos periódicamente.

1. Se planea instala un software antivirus/malware.

Este consejo puede ser evidente, y lo mencionamos anteriormente. Sin embargo, muchos
ordenadores -especialmente los domésticos- no tienen protección anti-virus/malware. Esta
protección es un primer paso indispensable para mantener su PC libre de virus.

Ilustración 5 Referente al software.

66

2. La siguiente acción es mantén actualizado tu software antivirus.

Tener un software de protección es el primer paso; mantenerlo es el segundo. El software
antivirus gratuito es mejor que nada, pero tenga en cuenta que no es la mejor solución.
Microsoft proporciona un paquete de seguridad “gratuito”. Es gratuito, ya que, si tiene
Windows en su equipo, se le concede acceso, pero pagó por su licencia de Windows.
Muchos usuarios no son conscientes de este programa, pero en realidad es una protección
decente.

Ilustración 5.1 Referente a la actualización de software

67

CONCLUSIONES
En la trayectoria del desarrollo profesional como auditor, las auditorias permiten conocer
una serie de empresas, y obtener experiencias de distintos tipos en diferentes áreas de
conocimiento, entre ellas, Procesamiento Electrónico de Datos -PED, Sistemas de
Información - SI, Tecnologías de la Información y Comunicación - TIC's, etc., que permiten
el desarrollo y crecimiento empresarial y de negocios. Es en este sentido la "Seguridad De
La Información", ha cobrado una importancia relevante en gran parte de las mismas, tanto
empresas públicas como privadas, ya que la información que genera la empresa, se ha
convertido en un bien (Activo Real) en riesgo, que debe ser resguardado y protegido contra
posibles daños, perdidas, manipulación, etc., que pueden tener como origen, tanto personal
interno, como externo, personas jurídicas y naturales, con los cuales la empresa se
desenvuelve de manera cotidiana en sus actividades, procesos, operaciones y transacciones
de carácter, jurídico legal, administrativo, contable, financiero u otro.

En la mayoría de empresas o instituciones existe una constante preocupación por la

presencia ocasional de fraudes, sin embargo, muchos de estos podrían prevenirse La
auditoría en informática deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información. Un conjunto bien definido de políticas y
procedimientos de seguridad puede prevenir perdidas y ahorrar dinero para la empresa y
negocios, de ahí que la Auditoria de Seguridad de la Información cobra importancia como
medio de detección de desviaciones de las políticas y procedimientos implantados por
medio de herramientas de aplicación aceptadas a nivel mundial (Estándares, practicas, etc.)
y permiten la retroalimentación para las correcciones o cambios oportunos en post de lograr
mejorar la Seguridad de la Información y salvaguardar la misma.
68

GLOSARIO
Ambiente informático: (Castro, 2010) Nos referimos a un todo, pero un todo compuesto
por varias partes que podemos enumerar y definir, se refiere a un entorno informático
consiste en la combinación de hardware y software para acometer una tarea o una serie de
tareas.

Castro, L. (2010). Slideshare. Obtenido de https://es.slideshare.net/marcecastro/ambientes-

informaticos

Amenaza: Algunas recomendaciones (“Diccionario virtual” 2015) Factor físico o lógico

capaz de producir daños.

Análisis de riesgos informáticos: (García-Peñalvo, 2018) El riesgo es cualquier variable

importante de incertidumbre que interfiera con el logro de los objetivos y estrategia del
negocio. Es decir, es la posibilidad de la ocurrencia de un hecho o suceso no deseado o la
no- ocurrencia de uno deseado.

García-Peñalvo, F. J. (2018). "Ingeniería del Software,". España: Salamanca.

Análisis de riesgos: Algunas recomendaciones (“Diccionario virtual” 2015) Proceso de

determinar el nivel de riesgo a partir de la posibilidad y consecuencia de los eventos
identificados.

Auditoria: Holmes (2012) nos dice Inicialmente la auditoria se limitó a las verificaciones
de los registros contables, dedicándose solamente a observar si los mismos eran exactos. Es
considerado como la forma primaria, lo cual es confrontar lo escrito con pruebas de lo
acontecido y las referencias que en los registros se establecen. Con el tiempo el campo de
acción de la auditoria se ha ido extendiendo, no obstante, aún existen posturas en relación a
que esa actividad debe de ser meramente de carácter contable. Holmes la define de forma
clara y sencilla como: “La auditoría es el examen de las demostraciones y registros
69

administrativos, en donde el auditor observa la exactitud, integridad y autenticidad de tales

demostraciones, registros y documentos.”

Holmes. (2012). Introducción a la auditoría. México: RED TERCER MILENIO S.C.

Auditorias de seguridad: Una auditoría de seguridad informática es una evaluación de los

sistemas informáticos cuyo fin es detectar errores y fallas y que mediante un informe
detallado entregamos al responsable en el que describimos:

• Equipos instalados, servidores, programas, sistemas operativos…

• Procedimientos instalados
• Análisis de Seguridad en los equipos y en la red
• Análisis de la eficiencia de los Sistemas y Programas informáticos
• Gestión de los sistemas instalados
• Vulnerabilidades que pudieran presentarse en una revisión de las estaciones de
trabajo, redes de comunicaciones, servidores.

Auditoria informática. El autor Landon (2012) nos dice que la auditoría informática se
define como un examen metódico, puntual y discontinuo que verifica y evalúa; destinada a
la ayuda en la mejora de la seguridad, eficacia, eficiencia y rentabilidad de los sistemas de
información de la organización, establece en opinión objetiva fundada en las evidencias,
con unos objetivos muy concretos; mejorar la eficacia en la organización de los sistemas de
información, para proteger los activos y recursos; garantizando resultados fiables en el
tiempo, costos y utilidad. Mejorar los procedimientos, estándares y planificación
colaborando en su diseño y en la actualización de sus normas.

K, L. (2012). Sistemas de información en general. México: Pearson education.

70

Control: Algunas recomendaciones (“Diccionario virtual” 2015) Las políticas, los

procedimientos, las prácticas y las estructuras organizacionales concebidas para brindar una
garantía razonable de que los objetivos de negocios se lograrán y que los eventos no
deseados se impedirán o detectarán y corregirán.

Evaluación de riesgos: Algunas recomendaciones (“Diccionario virtual” 2015) Proceso de

determinar las prioridades para la administración de riesgos.

Gestión de calidad: (Juran, 1951) Proceso gerencial para lograr el mejoramiento continuo
de todo lo relacionado con la organización. Se asocia también con los requerimientos de las
normas ISO.

Juran, J. M. (1951). Manual de controlm de la calidad. España: REVERTÉ.

Metodología de análisis de riesgos. (Cordero, 2017) La metodología de análisis de

riesgos, son implementadas para la identificación de controles y estableciendo medidas
para estas vulnerabilidades. La metodología de análisis de riesgos se clasifica en dos: Las
cuantitativas y las cualitativas.

Cordero, L. G. (2017). Análisis del Riesgo. Madrid: salamandra.

Programas informáticos: (García-Peñalvo, 2018) Un programa informático o programa de

computador es una pieza de software, es decir, una secuencia compleja de instrucciones y
procesos orquestados para cumplir una tarea específica en un computador o sistema de
computadores. Estos programas pueden ser programas preinstalados en el computador,
como el Sistema Operativo que controla todo el funcionamiento del mismo, o pueden ser
añadidos adicionalmente por el usuario.

Peña, E. (2016). Auditorías en informática. México: CRISC.

71

Redes de comunicaciones: Una red de comunicaciones es un conjunto de medios técnicos

que permiten la comunicación a distancia entre equipos autónomos. Normalmente se trata
de transmitir datos, audio y vídeo por ondas electromagnéticas a través de diversos medios
(aire, vacío, cable de cobre, fibra óptica, etc.). La información se puede transmitir de forma
analógica, digital o mixta, pero en cualquier caso las conversiones, si las hay, siempre se
realizan de forma transparente al usuario, el cual maneja la información de forma analógica
exclusivamente.

Seguridad de la información: Algunas recomendaciones (“Meridian” 2020) Nos dice que

es n término que hace referencia a la seguridad de activos de forma general, incluyendo la
seguridad informática, la seguridad TIC y la seguridad de los datos. Los cuales se ocupan a
diseñar normas, procedimientos, métodos y técnicas. Consiguiendo un sistema de
información segura y confiable.

Sistemas informáticos: Peña (2006) Nos menciona que se refiere a un conjunto de

elementos interrelacionados con el propósito de prestar atención a las demandas de
información de una organización, para elevar el nivel de conocimientos que permitan un
mejor apoyo a la toma de decisiones y desarrollo de acciones. (Peña, 2006).

Peña, E. (2016). Auditorías en informática. México: CRISC.

Software: (García-Peñalvo, 2018) Software, también referido a él con la abreviatura SW,

es una palabra que proviene del inglés y que da significado al soporte lógico de un sistema
informático.

García-Peñalvo, F. J. (2018). "Ingeniería del Software,". España: Salamanca.

Vulnerabilidad: (Wisner, 2012) Es el riesgo que una persona, sistema u objeto puede sufrir
frente a peligros inminentes, sean ellos desastres naturales, desigualdades económicas,
políticas, sociales o culturales.

Wisner. (2012). sciELO. Obtenido de

http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0188-46112012000100006
72

REFERENCIAS BIBLIOGRÁFICAS

Arthur Kent. (s.f.). Administración de operaciones. EE.UU: Warrior captions.

ARTHUR, H. R. (2016). RIDDA. Obtenido de
https://ridda2.utp.ac.pa/bitstream/handle/123456789/5107/Folleto-Auditoria-
Redes.pdf?sequence=3&isAllowed=y
Auilera, M. (2011). Instituto de ingenieria. Obtenido de http://www.ii.unam.mx/es-
mx/AlmacenDigital/CapsulasTI/Paginas/seguridadinformatica.aspx
Beynon-Davies. (2 de 5 de 2015). DECDISIS. Obtenido de
https://www.significados.com/software/
Carpentier, R. (4 de 2016). Los sistemas de información. Obtenido de Encopedia:
https://economipedia.com/definiciones/sistema-de-
informacion.html#:~:text=Un%20sistema%20de%20informaci%C3%B3n%20est%
C3%A1,para%20conseguir%20un%20objetivo%20com%C3%BAn.&text=Los%20
elementos%20del%20sistema%20de,administraci%C3%B3n%20de%20cualquier
% 20info
Castro, D. R. (2020). Seguridad en redes: Informatica. León: Corporation Arlet.
Castro, L. (2010). Slideshare. Obtenido de https://es.slideshare.net/marcecastro/ambientes-
informaticos
Charlote, C. (1980). Redes de seguridad. Madrid: Salamandra.
Cordero, L. G. (2017). Análisis del Riesgo. Madrid: salamandra.
FINUCANE, C. (2013). Auditorías de Seguridad. En C. FINUCANE. EE.UU: European
Interagency Security Forum.
García-Peñalvo, F. J. (2018). "Ingeniería del Software,". España: Salamanca. Holmes.
(2012). Introducción a la auditoría. México: RED TERCER MILENIO S.C. Juran, J.
M. (1951). Manual de controlm de la calidad. España: REVERTÉ.
K, L. (2012). Sistemas de información en general. México: Pearson education.
73

Luna, D., & Solís, E. (04 de 08 de 20202). Redes de seguridad. Obtenido de MOVITOWN:
http://www.scielo.org.bo/scielo.php?script=sci_arttext&pid=S2071-
081X2013000100004
M, C. (2017). U4.6 Ataques pasivos vs ataques activos. Obtenido de
https://virtual.itca.edu.sv/Mediadores/cms/u46_ataques_pasivos_vs_ataques_activos
.html
Muñoz, S. (9 de 02 de 2021). ambit. Obtenido de bulding solutions together:
https://www.ambit-bst.com/blog/qu%C3%A9-es-una-auditor%C3%ADa-de-
seguridad-inform%C3%A1tica-tipos-y-fases
Peña, E. (2016). Auditorías en informática. México: CRISC.
Plácido, J. M. (2019). Introducción a la. Perú: Ediciones Carolina (Trujillo).
Romero, M. (2016). La auditoría: concepto, clases y ecolución. México: Diamante.
Ruiz, V. (2016). SOFTWARE Y MAS. México: Diamante.
Téllez, M. (1988). Diccionario español. Madrid:
Anagrama. Uribe, G. (2018). Seguridad Vol1. Planeta.
Vieites, L. (2013). Virus informaticos. LA: Silouette corporations.
VILLARREAL, D. V. (2016). AUDITORÍA DE REDESç. México: Creative Commons
Atribución.
Vladimir, D. (2016). Auditorías de redes. En D. V. Villareal. México: Creative Commons
Atribución.
Wisner. (2012). sciELO. Obtenido de
http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0188-
46112012000100006
74

ANEXOS

Anexo 1: Plantilla de Checklist

Instalación
Universidad tecnológica de San Juan del Rio

Área: Entrevistado: Cargo:

NO. Generalidades SI NO Observaciones