VIENTO EN POPA

Informe de Auditoría del nivel de Ciberseguridad

26 de marzo de 2020

BeAuditors S.A.
 Indice de contenidos

1 Antecedentes. .......................................................................................................... 3
2 Objeto ...................................................................................................................... 3
3 Alcance. ................................................................................................................... 4
4 Resumen ejecutivo ................................................................................................... 5
5 Metodología............................................................................................................. 7
6 Desarrollo del trabajo ............................................................................................... 8
7 Plan de acción ........................................................................................................ 11
Anexo I.- PLANIFICACIÓN ............................................................................................... 16
Anexo II – Reuniones con personal de Viento en Popa .................................................... 18
Anexo III – Documentación recibida y analizada.............................................................. 18
Anexo IV – Evidencias solicitadas.................................................................................... 18
Informe de Auditoria de Seguridad de la Información de la empresa Viento en Popa.

1 Antecedentes.

La empresa Viento en Popa, se dedica a impartir cursos teóricos y prácticos siendo estos oficiales
y de certificación para navegación en altamar, así como actividades náuticas recreativas. Para
consolidar sus canales de comunicación ha implementado un portal Web, al que tiene accesos
los estudiantes, turistas y personal administrativo. Las instalaciones de Viento en Popa se
encuentran en la ciudad de Alicante de España, en estas instalaciones se encuentra
implementado la infraestructura tecnológica de la empresa (CPDs), es importante indicar que el
portal Web se encuentra desarrollado en código Java.

El rápido aumento de ciberataques ha impactado en la conciencia de la Dirección de Viento en

Popa la cual ha determinado contratar los servicios de la auditora BeAuditors para determinar
el nivel de seguridad actual de la información tratada en la compañía y con ello identificar el
grado de exposición ante riesgos tecnológicos, mejorar la seguridad y la efectividad de los
controles, consiguiente de esta manera un debido control sobre la confidencialidad, integridad
y disponibilidad de la información de la empresa.

2 Objeto

La información es uno de los activos más importantes para Viento en Popa, debido a que supone
un gran valor para el correcto desempeño de las funciones de negocio y su buen hacer. El
objetivo de la Seguridad de la Información, es protegerla de una amplia gama de amenazas, a
fin de asegurar la continuidad de los sistemas de información, minimizar el daño y maximizar el
retorno sobre las inversiones y las oportunidades.

La Seguridad de la Información se consigue implementando un conjunto adecuado de controles

y medidas que comprenden políticas, procedimientos, prácticas, estructuras organizativas,
funciones de software o hardware. Estas aseguran los objetivos y la confidencialidad, integridad
y disponibilidad de la información, así como la trazabilidad de las acciones.

En la adquisición y diseño de los sistemas de información, en algunos casos, no se tienen en

cuenta requisitos o características de seguridad apropiados. Por ello, el nivel de seguridad que
puede lograrse por medios técnicos es limitado y debe ser apoyado por una gestión y
procedimientos adecuados, participando los empleados de la organización, e incluso en algunos
casos, proveedores y/o clientes.
Viento en Popa es consciente de la importancia de proteger la información y los sistemas
informáticos que la tratan y mantienen, para el correcto desempeño de los procesos de negocio
de la Compañía. Con el fin de asegurar dicha protección, se ha marcado como objetivo el
desarrollo de una auditoria de Seguridad de la Información siguiendo, entre otros, el estándar
internacional ISO/IEC 27001, la legislación aplicable en Seguridad de la Información y la
integridad y cadena de custodia de las evidencias electrónicas, entre otros marcos de referencia
de dicho plan.

Así, tras la petición por parte de la dirección de Viento en Popa, se ha realizado un trabajo de
auditoria, el cual queda reflejado en el presente informe, basándose en la información recabada
durante:

▪ Las reuniones mantenidas con los miembros de Seguridad, Sistemas y Recursos

Humanos de Viento en Popa.

▪ La revisión de la normativa en materia de Seguridad de la Información y evidencias

técnicas.

▪ El análisis de los sistemas de información relevantes y de sus registros y configuraciones.

▪ Los contratos y cláusulas contractuales.

Esta revisión está limitada a las acciones realizadas desde el 01 de marzo de 2020 hasta el 31 de
mayo del mismo año.

3 Alcance.

Alcance a nivel de organización.

▪ El alcance a nivel de organización abarca las áreas de tecnología, recursos humanos,

comercial y soporte al alumno.

Alcance a nivel de ubicación.

▪ A nivel de ubicación, el alcance comprende la sede principal de Viento en Popa en

Alicante (España).

Alcance a nivel de sistemas de información.

 ▪ Infraestructura TIC de la organización, profundizando en los sistemas de información
encargados de tratar la información de tecnología, recursos humanos, comercial y
soporte al alumno.

4 Resumen ejecutivo

La dirección de Viento en Popa es consciente de la importancia de proteger la Información y en

consecuencia los Sistemas y Tecnologías que la soportan y gestionan, con el fin de salvaguardar
el correcto desempeño de los procesos de negocio de la Compañía. Por ello, Viento en Popa se
ha marcado como objetivo la elaboración de una auditoria de Seguridad de la Información.

A raíz del trabajo realizado, se concluye que la situación de Viento en Popa en materia de
seguridad de la información se encuentra en un nivel (1) Inicial / (2) En Desarrollo (en una escala
de 0 a 4). La compañía dispone de ciertos controles implantados y realiza acciones para
garantizar la Seguridad de la Información tratada, pero éstos, podrían ser mejorados para
conseguir salvaguardar de forma más eficiente la confidencialidad, integridad, disponibilidad y
trazabilidad de la información, evitando que estas deficiencias pudieran desembocar en
pérdidas de servicio, financieras y reputacionales.

El estado actual de la Seguridad de la Información en Viento en Popa contempla un alto

conocimiento de la criticidad de la información que se trata en la gran mayoría de los procesos
de negocio de la compañía. La falta de distribución y aceptación, entre empleados y personal
externo, del cuerpo normativo de Seguridad de la Información, hace que la gran mayoría de las
acciones y tratamientos de la información, se realicen mediante reglas o conductas de sentido
común y/o la experiencia adquirida durante su trayectoria profesional.

Cabe destacar aspectos positivos sobre la gestión y tratamiento de la información de manera

segura. De especial mención, es la seguridad dentro de los Centro de Proceso de Datos (CPDs),
donde se ha evidenciado la adopción de medidas de seguridad perimetral y medioambiental,
capaces de salvaguardar la seguridad física de los activos que se encuentran en su interior.

Asimismo, es necesario matizar que, desde nuestra perspectiva y experiencia en materia de

Seguridad de la Información en organizaciones similares a Viento en Popa, podemos afirmar que
los aspectos de mejora encontrados durante la revisión realizada, pueden conllevar, entre otras,
fugas de información, perdidas de su disponibilidad, acciones malintencionadas por empleados
y terceros así como poder sufrir interrupciones graves en el funcionamiento de los sistemas de
información claves para el negocio. Todo ello motivado por las siguientes deficiencias:
 - La falta de formación, concienciación y sensibilización en materia de Seguridad de la
Información puede provocar negligencias en las acciones del personal y conseguir
aumentar el nivel de riesgo sobre la organización.

- El cuerpo normativo de Seguridad de la Información actualmente en Viento en Popa,

no es capaz de reflejar, cualquier acción y casuística que pueda realizarse sobre la
información tratada.

- Debido a la estrategia de clasificación de la información que posee Viento en Popa, no

es posible definir de forma clara los controles que debe poseer la información según su
nivel de clasificación.

- La falta de herramientas de control de fuga de información podria causar importantes

vulnerabilidades en la seguridad de la información, el objeto de negocio de la compañía
y en la reputación de la misma.

- Se detecta la falta de definición global y formal de roles, responsabilidades e

incompatibilidades, capaces de constituir la base necesaria para mantener la Seguridad
de la Información y poder, de esta manera, definir un marco de incumplimiento en base
al cuerpo normativo y legislación vigente aplicable.

- Se detecta la necesidad de una segmentación de la red, mejoras en la red inalámbrica

y el control de accesos del sistema de ficheros . El diseño y su gestión no proporcionan
un grado de seguridad y confianza adecuado a las necesidades actuales de Viento en
Popa. Así mismo, se ha identificado un nivel de seguridad deficiente en los accesos
remotos

- La falta de un plan de continuidad de negocio formal y probado implica un riesgo de

impacto económico en caso de materializarse alguna incidencia.

Adicionalmente a las anteriores, se han detectado algunas otras debilidades concretas de menor
entidad o dependientes de las anteriores que serán explicadas a lo largo del presente informe.

Por todo ello, sugerimos poner en marcha una serie de actuaciones organizativas,
procedimentales, técnicas y contractuales, tanto internas, como de modelos de relación y
supervisión de proveedores (terceros) con el fin de evitar, entre otras, posibles fugas de
información o fallos en la seguridad de la misma.

La siguiente gráfica muestra el nivel de cumplimiento actual en cada una de las áreas que
componen el anexo A de la norma ISO/IEC 27001 (Sistema de Gestión de Seguridad de la
Información). Este nivel de cumplimiento se ha realizado en base a los siguientes valores:

Nivel 0- Nulo
• No existe ningún procedimiento documentado.
• No existen procesos, se realizan las acciones de forma subjetiva e intuitiva.
• No se gestionan las acciones realizadas.
Nivel 1- Inicial
• No existe ningún tipo de política, normas, procedimientos, guías o controles.
• No se ha definido un proceso de gestión o faltan medios para implantarlo.
• Los procesos llevados a cabo son dependientes de actividades individuales.
• Mecanización de pocas actividades y estructura bajo el liderazgo de pocas
personas.
• Gestión mínima de operaciones.
Nivel 2- En desarrollo
• Se realizan acciones básicas, sin seguir procedimientos definidos.
• Se realizan tareas básicas de gestión.
• Existen definidos algunos controles básicos.
• Se han planteado proyectos de mejora o la definición formal de procedimientos.
Nivel 3- Definido /Establecido
• Los procedimientos a seguir se encuentran definidos y documentados.
• Utilización de metodologías para realizar acciones de ejecución.
• Se monitorizan, documenta y mejoran sus procesos.
• Se realizan gestiones de rendimiento, cambios, problemas y configuración.
• Automatización y planificación de trabajos y gestión de la disponibilidad.
Nivel 4- Gestionado/ Optimizado
• Se poseen controles avanzados, métricas y retroalimentación normalizada.
• Acciones de mejora continua han sido implementadas en todos los aspectos
relevantes de la gestión.
• Empleo de métricas con propósito de optimizar.
• Utilización de procesos y técnicas adecuadas, proporcionadas y alineadas con el
negocio.
• Enfoque sobre la prevención de incidencias (disminución de esta manera de
controles correctivos y detectivos).
• Utilización de gestión para mejorar los procesos de negocio.

5 Metodología
El marco de control utilizado comprende la documentación que respalda la Ciberseguridad de
Viento en Popa, complementada con controles de estándares internacionales tales como la
norma ISO/IEC 27001:2013 y el Cybersecurity Framework de NIST. La matriz resultante contiene
controles clave capaces de valorar cada una de las áreas de control que se incluyen en dicha
metodología.
La realización del trabajo se ha llevado a cabo mediante la identificación y revisión de la
normativa en materia de Seguridad –donde se incluye todos los aspectos relativos a la
Ciberseguridad–, entrevistas con las personas responsables de las diferentes áreas –mediante
una muestra significativa– y la petición de evidencias que respalden algunas de las afirmaciones
vertidas durante las reuniones.
La matriz está diseñada para evaluar, a alto nivel, el grado de madurez de Viento en Popa para
proteger y gestionar uno de sus activos más valiosos y sensibles, la información, de manera que
sea capaz de protegerse contra los ataques cibernéticos, así como para identificar, gestionar y
minimizar el impacto en el caso de que se produjera uno.
Esta metodología va más allá de la preparación técnica. Para llevarla a cabo se necesita una
visión completa de las personas, procesos y tecnología. Nuestro enfoque le permitirá entender
las áreas de vulnerabilidades claves y es capaz de asesorar en la implementación de las
soluciones más adecuadas para su necesidad.
La secuencia de acciones realizadas es la siguiente:

Acordar
Entendimiento enfoque Trabajo de
inicial campo Resultados
conjunto

6 Desarrollo del trabajo

A continuación, se detalla la tabla de riesgos identificados:

 IDENTIFICADOR
RIESGOS INHERENTES OBJETIVOS DE CONTROL CONTROL PRUEBA EVID
DE RIESGO
11. SEGURIDAD FÍSICA Y AMBIENTAL A.11.1.4 Protección contra las
Verificar el
Inundaciones a causa de A.11.1 Áreas seguras Prevenir el amenazas externas y Compro
funcionamiento de los
Aguajes en las acceso físico no autorizado, los dañosambientales Aplicación de una la activa
R1 sensores, rociando agua
instalaciones de la e interferencia a la información de laprotección físicas (sensores) alarma d
sobre las áreas donde se
empresa organización y a los recursos de contra desastres naturales inundaci
encuentran instalados
tratamiento de la información. (inundaciones).
A. 7.2.2 Concienciación,
educación y capacitación en
7.SEGURIDAD LIGADA A LOS seguridad de la información
Realizar encuestas de
Falta de sensibilización y RECURSOS HUMANOS. Todos los empleados de la Resultad
conocimientos sobre las
concientización de A.7.2 Durante la contratación. organización deben recibir una encuesta
políticas y procedimientos
R2 seguridad de la Asegurar que empleados y adecuada educación, realizada
de seguridad de la
información al personal contratistas conozcan y cumplan con concienciación y capacitación emplead
información de la
interno sus responsabilidades en seguridad de con actualización sobre las organiza
organización.
la información políticas y procedimientos de la
organización, de acuerdo a su
puesto de trabajo.
Listado d
usuarios
deshabil
9. CONTROL DE ACCESOS. A.9.1.2 Control de acceso a las
Director
A.9.1 Requisitos de negocio para el redes y servicios asociados. Verificación de políticas
Control de perfiles y validado
R3 control de accesos Limitar el acceso a Implementación de Directorio configuradas en Directorio
accesos nómina
los recursos de tratamiento de Activo para accesos autorizados Activo.
persona
información y a la información. a los servicios de red.
entregad
Recursos
Humano
 IDENTIFICADOR
RIESGOS INHERENTES OBJETIVOS DE CONTROL CONTROL PRUEBA EVID
DE RIESGO
*Captura
*Validación de licencias pantalla
12. SEGURIDAD EN LA OPERATIVA. de Antivirus instalados en vigencia
A.12.2.1 Controles contra el
A.12.2 Protección contra código los computadores de la licencias
código malicioso. Instalación de
malicioso. Asegurar que los recursos empresa *Ingresar antivirus
R4 Instalación de Malware Antivirus Enterprise, con
de tratamiento de información y la dispositivo USB infestado *Captura
recursos adicionales de san box,
información estén protegidos contra con malware en cualquier pantalla
navegación segura, entre otras.
malware computador de la mensaje
empresa bloqueo
del antiv
* Acuerd
15. RELACIONES CON PROVEEDORES. Confiden
A.15.1.1 Política de seguridad de
A.15.1 Seguridad de la información en *Validación de firmados
la información para
Robo de información por las relaciones con proveedores. identificaciones de terceros
R5 proveedores. Firma de Acuerdos
personal externo Asegurar la protección de los activos personal de *Revisió
de Confidencialidad con
de la organización que sean accesibles mantenimiento externos. registros
terceros.
a los proveedores. cámaras
segurida

[Incluir mas
riesgos]
 7 Plan de acción

Gestión de Implementación de contraseña de acceso por defecto en

Reco.1 Quick-Win
activos dispositivos móviles

Descripción de la recomendación.

Se recomienda que los dispositivos móviles ofrecidos por la organización, teléfonos móviles y
tabletas electrónicas, sean pre-configurados desde el área de Sistemas de Información para que
los usuarios estén obligados a utilizar una contraseña de acceso. Dicha contraseña deberá
cumplir los parámetros de caducidad y robustez que Viento en Popa tenga previstos para la
construcción de contraseñas.

Acciones

‐ Revisar el número de activos que entran dentro del alcance de esta recomendación y
verificar quiénes son los propietarios de los mismos.
‐ Definir los parámetros de caducidad y robustez para contraseñas de dispositivos
móviles.
‐ Implementar una contraseña de inicio en los dispositivos que se empiecen a entregar
como nuevos.
‐ Desplegar las medidas en los dispositivos ya entregados.
‐ Vertebrar la acción desde Seguridad de la Información mediante mensajes de
concienciación.
‐ Ofrecer el soporte necesario para solventar dudas y problemas.
Beneficios

• De esta manera Viento en Popa se asegura de que todos los dispositivos móviles
utilizados y que tratan información de Viento en Popa se encuentran correctamente
protegidos desde el momento en que son entregados y, además, robustecen esta
seguridad forzando al cambio periódico de la contraseña establecida para el acceso.
Gestión de
Reco.4 Instalación de antivirus y cifrado de dispositivos móviles. Corto plazo
activos

Descripción de la recomendación

Se comprueba durante el trabajo realizado que los dispositivos móviles tales como smartphones,
tabletas electrónicas, pendrives, discos duros, etc., no poseen ningún mecanismo capaz de evitar
la inclusión de código malicioso o sistemas antivirus, poniendo esta afirmación en riesgo la
información de Viento en Popa.

De igual manera, ningún dispositivo móvil, donde incluimos también los ordenadores portátiles,
no tienen sistemas de cifrado, por lo que la información, en el caso de robo o hurto, está en
claro, pudiendo ser accedida por cualquier persona no autorizada.

Acciones

‐ Identificación de los activos pertenecientes al parque tecnológico de Viento en Popa que

no poseen antivirus y tecnológicamente es posible.
‐ Identificación de los activos pertenecientes al parque tecnológico de Viento en Popa que
no poseen ningún sistema de cifrado y son portátiles o móviles.
‐ Inventariar todos los activos y priorizarlos por criticidad, riesgos, colectivo o cualquier
otro parámetro.
‐ Búsqueda de proveedor/proveedores que tengan las soluciones más eficientes y
adecuadas a las necesidades de Viento en Popa.
‐ Planificar de manera detallada las acciones.
‐ Realización de piloto de instalación de medidas sobre los activos, sobre una muestra
considerable de activos.
‐ Implantación total de las aplicaciones.
‐ Implantación de un sistema de monitorización del estado de los dispositivos.
Beneficios

• Mejora notable de la seguridad de la información en los activos o dispositivos portátiles.

Gestión de la
Reco.08 Clasificación de la información Corto Plazo
información

Descripción de la recomendación

La estrategia de clasificación de la información utilizada por Viento en Popa no establece de

forma clara los controles que debe poseer la información según su nivel de clasificación.

La mayoría de las personas entrevistadas consideran que la información con la que trabajan es
confidencial. Este hecho hace que la gran mayoría de la información presente en Viento en Popa
está clasificada como tal, perdiendo utilidad, efectividad y veracidad en su clasificación. Esto es
debido a que no existe un procedimiento para la clasificación de la información, siendo la misma
persona que crea el documento la encargada de clasificarlo según su propio criterio.

Acciones

‐ Creación de una estrategia de clasificación de la información.

‐ Identificación de los flujos de información dentro de Viento en Popa y sus áreas dentro
del alcance.
‐ Definir y establecer la estrategia a seguir para la gestión de la misma.
‐ Definición del diseño de los controles en base a los niveles.
Beneficios

• Clasificar la información según su valor e implantar controles proporcionales para

garantizar su seguridad.
Gestión de la
Reco.09 Gestión de identidades Corto Plazo
información

Descripción de la recomendación

Durante las reuniones mantenidas con el personal se ha identificado que la gestión de

identidades, perfiles y permisos de acceso no se realiza de la forma más eficiente posible,
evidenciando la existencia de numerosos usuarios con permisos que no son adecuados para el
correcto desarrollo de sus funciones.

Esta asignación de permisos resulta inadecuada en muchos casos, bien por exceso o bien por
defecto. En el primer caso es habitual que un usuario que cambie de puesto o de área conserve
los permisos que tenía en su puesto anterior aunque ya no los necesite.

Acciones

‐ Realización de un estudio a alto nivel de los tipos de usuarios necesarios en la

organización así como la asignación y gestión de sus funciones.
‐ Una vez definido, proponer un modelo acorde a la casuística y necesidades de Viento en
Popa para la gestión de los usuarios y de sus permisos.
‐ Por último se implantará un modelo de integración para la gestión de las entidades de
los usuarios.
Beneficios

• Los usuarios de los sistemas de información de Viento en Popa tendrán una correcta
asignación de permisos para desempeñar su labor y se minimizarán las posibilidades de
fugas de información confidencial.
Hábitos y
Planificación y ejecución de acciones de formación,
buenas Reco.16 Corto plazo
concienciación y sensibilización
prácticas

Descripción de la recomendación

La concienciación, sensibilización y formación de los empleados es un pilar básico para

garantizar la protección de dicha información de Viento en Popa. Con el objetivo de facilitar la
aplicación de las recomendaciones expuestas en el presente informe y de elevar el nivel
<cultural= de la organización en seguridad de la información se recomienda definir un plan de
manera estructurada que permita mediante píldoras informativas, correos electrónicos, noticias
en la intranet y sesiones online o presenciales transmitir los principales mensajes de seguridad
a los empleados.

De igual manera, se deberán planificar acciones específicas, ya no sólo en seguridad sino en el

correcto uso de los activos que la organización ha puesto a su disposición.

Acciones

‐ Identificar y desarrollar las estrategias y técnicas de formación, concienciación y

sensibilización más adecuadas que faciliten la adopción de la cultura de Seguridad de la
Información.
‐ Diseñar la estrategia de comunicación que identifique y defina la entrega de mensajes
de Seguridad de la Información a los grupos o personas correctas de la organización.
‐ Desarrollar los contenidos y los elementos de comunicación a usar como parte de las
acciones de formación, concienciación y sensibilización.
‐ Concienciar al personal de Viento en Popa a través de mensajes y otros elementos de
comunicación, sobre los beneficios de tener una cultura estructurada de Seguridad de
la Información, que se refleje en la gestión del día a día de la organización.
‐ Identificar los mecanismos más adecuados para la creación y posterior sostenimiento
de una cultura de Seguridad de la Información a través de acciones de esponsorización,
sensibilización y comunicación.
‐ Facilitar el compromiso y la motivación de los grupos objetivo para lograr una cultura de
Seguridad de la Información.
‐ Establecer un proceso de monitorización continúa sobre las actividades de formación y
concienciación que permita conocer el nivel de cumplimiento de los plazos y valorar la
efectividad de las estrategias diseñadas
Beneficios

• Aumentar la cultura de seguridad de la información en Viento en Popa y contribuir a

reducir el riesgo de pérdidas, robos o accesos no autorizados a la información sensible
de Viento en Popa.
Anexo I.- PLANIFICACIÓN

A continuación, se van a detallar los tiempos y recursos que se van a necesitar para el desarrollo
de la auditoría.

Se va a requerir de 2 Auditores que se van a desplazar a las instalaciones de Viento en Popa, en

un periodo comprendido entre los meses de octubre y noviembre de 2020. La auditora
BeAuditors, a través del Gerente de cuentas, se compromete a que dicho personal cumpla los
siguientes requisitos:

• Licenciado/Graduado en Ingeniería Informática/Telecomunicaciones. 5 años o más de

experiencia en la realización de auditorías tecnológicas.
• Posean alguna de las siguientes certificaciones: CISM, CISP, CISA, PMP, ISO Lead Auditor
27001, CSA STAR Certification, Lead Auditor 22301 y ITIL.

Viento en Popa se compromete a proveer del equipamiento y herramientas necesarias para la

realización de la auditoría tecnológica al personal externo que se va a desplazar a sus
instalaciones. Consta de 2 ordenadores con buen procesador y memoria, 2 monitores, acceso a
Internet y a la red de la empresa, herramientas como ACL, Visio, Nessus, OWASP ZAP etc.

Fases durante el desarrollo de la Auditoria:

1) Apertura: realización de reunión de apertura donde se explican los objetivos y grueso

de actividades planteadas para ser desarrolladas en marco del cumplimiento del
objetivo de la auditoria
1. Identificación de los riesgos potenciales: se realiza un primer acercamiento a los riesgos
que son identificados como parte del proceso propio del portal web (Inherentes) y los
que son externos pero pueden colocar riesgos en los procesos establecidos.
2) Identificación de los controles (fuertes y débiles): Estudio de los controles con que se
cuentan en las etapas actuales del proceso del portal y su grado de influencia en el
mismo.
3) Selección de las pruebas y técnicas y metodología a utilizar: basado en la información
anterior se establece cuáles de estas permitirán el cumplimiento de los objetivos
dependiendo de las particularidades propias de los procesos que se ejecutan para el
cumplimiento de la misión y visión del portal.
4) Planificación detalla de actividades: se detallan cada una de las actividades en recursos
humanos, técnicos, económicos que deben ser asignados en función del tiempo.
5) Realización de pruebas, reuniones con responsable, entrevistas y obtención de
resultados: ejecución propia de las actividades planteadas acorde a la metodología que
se establece. En esta etapa se obtendrán los resultados que surjan de la aplicación de
los procedimientos de control y las pruebas realizadas a fin de poder determinar si se
cumple o no con los objetivos de control antes definidos. Los datos obtenidos se
registrarán en planillas realizadas a medida para cada procedimiento a fin de tener
catalogado perfectamente los resultados con el objetivo de facilitar la interpretación de
los mismos y evitar interpretaciones erróneas.
 6) Registro de las pruebas: Toma de registros de cada una de las pruebas que se requieren
como parte del Anexo del informe para determinar las acciones de mejore que sean
necesarias.
7) Conclusiones y comentarios: Se enmarca el resumen del análisis de las actividades,
pruebas y metodología para determinar las acciones correctivas o de mejoras que deben
ejecutarse en marco de los resultados obtenidos. En este paso se detallara el resumen
de toda la información obtenida, así como lo que se deriva de esa información, sean
fallos de seguridad, organización o estructura empresarial.
8) Revisiones y cierre de documentos: Se realiza una revisión de los documentos
generados y/o obtenidos como parte del acervo documental de la auditoria.
9) Redacción informe preliminar de auditoria: se realiza un primer borrador de informe
que contenga un control de versiones con el fin de que tanto los datos obtenidos,
comentarios generados sean retroalimentados por parte de las actores de los procesos
con el fin de ingresar sus adecuaciones o sugerencias, mitigando un posible error de
interpretación.
10) Suministro de versión preliminar: se genera una primera versión de informe con el
consolidado de toda la información obtenida.
11) Conceptualización de los participantes directos: se da la oportunidad de revisión ligera
de las personas que participaron de la auditoria.
12) Elaboración de informe final de auditoria: se toma el informe preliminar y se analizan
las observaciones recibidas por parte de los involucrados en la etapa anterior y de ser el
caso se incorporan al informe final de auditoria.
13) Elaboración de informe de alto nivel de auditoria: a partir de la consolidación obtenida
en la fase anterior se genera un informe ejecutivo para ser presentado frente a la
directiva de alto nivel de la empresa Viento en Popa.
14) Registro final de control de versiones (versión final): se genera una versión final del
informe de auditoría y se le asigna el consecutivo de control de versiones final que será
entregado como producto final del proceso.
15) Reunión final y entrega de documentos: Esta es la última parte de la auditoria y en una
reunion se formaliza la entrega del informe final con los resultados obtenidos en la
auditoria.

A continuación se presenta una imagen que contiene las fases propuestas para el desarrollo de
la metodología y los tiempos planeados para la ejecución de las mismas, en consideración de lo
planteado se debe tener en cuenta:
FASES DE TRABAJO DEL PLAN DE AUDITORIA DEL PORTAL WEB VIENTO EN POPA

SEMANA 1 SEMANA 2 SEMANA 3 SEMANA 3 SEMANA 4 SEMANA 5 SEMANA 6 SEMANA 7 SEMANA 8

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60
Reunión de apertura 2
Identificación de los riesgos potenciales 2 1 1
Identificación de los controles (fuertes y debiles) 1 1 2 2
Selección de las pruebas y técnicas a utilizar 2 2 2
Planeación fina de actividades 2 2 2
Realización de pruebas, reuniones con responsable, entrevistas y
2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2
obtención de resultados
Registro de las pruebas 1 1 1 1 1 1
Conclusiones y comentarios 1 1 1 1 1 1
Revisiones y cierre de documentos 2 2 1 1
Redacción informe preliminar de auditoria 1 1 2 2
Suministro de versión preliminar 2
Conceptualización de los participantes directos 1 1
Elaboración de informe final de auditoria 1 1 2 2 2
Elaboración de informe de alto nivel de auditoria 2 2
Registro final de control de versiones (versión final) 2
Reunión final y entrega de documentos 2

Se puede requerir la ayuda de asis tentes de auditoria en á reas de alta es pecializac ión

2 El número al i nterior de cada cas illa i dentifica el número de auditores que requiere esa actividad en es e día
Anexo II – Reuniones con personal de Viento en Popa

Durante el proceso del trabajo, se han mantenido reuniones con las siguientes personas de
Viento en Popa:

Departamento Nombre y Apellidos

Persona 1
Gestion de personas
Persona 2

Persona 1
Tecnologia
Persona 2

Persona 1
[Otros departamentos]
Persona 2

Durante la celebración de estas reuniones, el equipo de BeAuditors estuvo acompañado por

persona 1 del departamento de Seguridad.

Anexo III – Documentación recibida y analizada

Documentación de Viento en Popa recibida y analizada

Plan de Ciberseguridad
Controles de Ciberseguridad
Normas de usuarios para la Seguridad de los Sistemas de Información
Procedimiento de Gestión de Incidentes de Ciberseguridad en Sistemas de Control de Proceso
Plan de Continuidad del Servicio
Autoevaluación test de intrusión
Gestión de Soportes
[Mas Documentos]

Anexo IV – Evidencias solicitadas

Evidencias a nivel de usuario de los sistemas:

‐ Listado de todos los usuarios del DA. (Usuarios / permisos / fechas....).

 ‐ Listado de todos los usuarios con acceso a los entornos de desarrollo
y preproducción.
‐ GPO del Directorio Activo.
‐ Listado de usuarios administradores del sistema.
‐ Registro de acciones de los usuarios administradores.
Inventario:

‐ Inventario de pc sobremesa, portátiles y smartphones (Sistemas operativos inclusive).

‐ Inventario de entornos inferiores a Producción (desarrollo y preproducción).
‐ Inventario de licencias de antivirus desplegadas.
Desarrollo:

‐ Metodología de desarrollo.
‐ Listado de desarrollos realizados durante el primer semestre del 2015
‐ Procedimientos de actualizaciones de software.
‐ Plan de pruebas de los últimos tres desarrollos realizados.
Departamento de informática:

‐ Procedimiento de gestión de incidencias.

‐ Plan de formación en Ciberseguridad y acciones realizadas durante el primer
semestre del 2019
‐ Procedimientos de actualizaciones de software.
[Mas Documentos]