REPÚBLICA BOLIVARIANA DE VENEZUELA
UNIVERSIDAD BICENTENARIA DE ARAGUA
VICERRECTORADO ACADÉMICO
DECANATO DE LA FACULTAD DE INGENIERÍA
ESCUELA DE INGENIERÍA DE SISTEMAS
SAN JOAQUÍN DE TURMERO – ESTADO ARAGUA
Informe de auditoría para ECOINNOVA
Autor: César A. Salinas R. C.I.: 25.651.234
San Antonio de los Altos, julio de 2024
Introducción
EcoInnova es una empresa tecnológica comprometida con la sostenibilidad ambiental. Su enfoque se centra en desarrollar soluciones innovadoras que ayuden a los usuarios a reducir su huella de carbono. El producto estrella de EcoInnova es una aplicación móvil que permite a los usuarios optimizar su consumo energético en el hogar.
Además de su aplicación, EcoInnova ofrece servicios de consultoría a otras empresas. Su objetivo es implementar prácticas más verdes y eficientes en el ámbito empresarial. Para garantizar la integridad y seguridad de sus sistemas, EcoInnova ha solicitado una auditoría externa. En esta auditoría, los auditores trabajarán en colaboración con el equipo interno de tecnología e innovación.
Alcance:
Evaluación de la infraestructura tecnológica actual y su capacidad para soportar las operaciones y el crecimiento futuro.
Revisión de las políticas y procedimientos de seguridad cibernética.
Análisis de la eficacia del diseño y la usabilidad de la aplicación móvil.
Evaluación del proceso de gestión y análisis de datos.
Inspección de la estrategia de integración de tecnologías emergentes.
Objetivos:
Asegurar que la infraestructura tecnológica es robusta, segura y escalable.
Confirmar que las políticas y procedimientos de seguridad cibernética son adecuados y se siguen correctamente.
Verificar que la interfaz y experiencia del usuario promueven una alta adopción y satisfacción del usuario.
Evaluar la precisión y eficiencia del análisis de datos para mejorar continuamente el producto.
Determinar si la integración de nuevas tecnologías se realiza de manera efectiva y aporta valor a la empresa.
FASES
Preparación
Evaluación de riesgos
Recolección de información
Recolección de información
Pruebas
Análisis
Elaboración del informe
Presentación y seguimiento
ACTIVIDAD PLAZOS
Reunión inicial con el equipo auditor y los stakeholders.
Definición final del alcance y objetivos de la auditoría.
Recopilación de documentación relevante
Análisis de riesgos del departamento.
Identificación de áreas clave para la auditoría.
Entrevistas con el personal clave.
Revisión de políticas y procedimientos existentes.
Pruebas de controles internos.
Análisis de datos y evaluación de la seguridad cibernética.
Análisis de datos y evaluación de la seguridad cibernética.
Redacción del informe preliminar de auditoría.
Revisión interna del equipo auditor.
Presentación del informe a la dirección.
Discusión de recomendaciones y plan de acción.
Del 29-08-2024 al 02-09-2024
Del 05-09-2024 al 16-09-2024.
Del 19-09-2024 al 30-09-2024
Del 03-10-2024 al 21-10-2024
Del 24-10-2024 al 04-11-2024
Del 07-11-2024 al 11-11-2024
Establecimiento de un cronograma para el seguimiento. 14-11-2024.
Riesgo
Brecha de seguridad en la aplicación móvil
Acceso no autorizado a la base de datos
Matriz de riesgos
Probabilidad Impacto Severidad Acción Preventiva
Alta Alto Crítico
Moderada Medio Alto
Realizar pruebas de penetración y revisar el código fuente.
Reforzar las políticas de autenticación y monitorear los registros de acceso.
Falta de respaldo de datos críticos
Vulnerabilidade s en el servidor web
Baja Bajo Bajo
Incumplimiento de políticas de desarrollo seguro
Moderada Medio Alta
Implementar copias de seguridad regulares y almacenarlas fuera del sitio.
Actualizar regularmente el software del servidor y aplicar parches de seguridad.
Alta Medio Alta
Actualizar regularmente el software del servidor y aplicar parches de seguridad.
Hallazgos y recomendaciones
Después de un análisis exhaustivo de los sistemas y procesos de EcoInnova, se han identificado los siguientes hallazgos clave:
1. Seguridad de la Aplicación Móvil:
o Se encontraron vulnerabilidades en el código fuente de la aplicación móvil que podrían comprometer la seguridad de los datos de los usuarios.
o Se recomienda realizar pruebas de penetración adicionales y aplicar parches de seguridad.
2. Acceso a la Base de Datos:
o Se detectaron debilidades en las políticas de autenticación, lo que podría permitir accesos no autorizados a la base de datos.
o Se sugiere reforzar las medidas de seguridad y monitorear los registros de acceso.
3. Respaldos de Datos:
o Se constató que no existen respaldos regulares de datos críticos.
o Se insta a implementar copias de seguridad periódicas y almacenarlas fuera del sitio.
4. Servidor Web:
o Se identificaron vulnerabilidades en el servidor web utilizado por EcoInnova.
o Se recomienda mantener el software actualizado y aplicar parches de seguridad de manera regular.
5. Prácticas de Desarrollo Seguro:
o Se observó un incumplimiento de las políticas de desarrollo seguro.
o Se sugiere capacitar al equipo de desarrollo en buenas prácticas de seguridad.
Motivado a esto, a continuación se detalla una lista de programas recomendados, destinados a cada área mencionada en la matriz de riesgos anteriormente expuesta: Seguridad de la Aplicación Móvil:
Fortify: Una herramienta de análisis estático de código (SAST) que ayuda a identificar y corregir vulnerabilidades en el código fuente de la aplicación.
Veracode: Ofrece análisis de seguridad dinámica (DAST) y SAST para detectar y remediar vulnerabilidades en aplicaciones móviles.
Acceso a la Base de Datos:
CyberArk: Proporciona soluciones de gestión de acceso privilegiado (PAM) para proteger y controlar el acceso a bases de datos.
Imperva: Ayuda a monitorear y proteger bases de datos contra accesos no autorizados.
Respaldos de Datos:
Veeam Backup & Replication: Automatiza copias de seguridad y recuperación de datos críticos.
Acronis Cyber Backup: Ofrece soluciones de respaldo y recuperación confiables.
Servidor Web:
Nessus: Realiza escaneos de vulnerabilidades en servidores web y proporciona recomendaciones para parches y correcciones.
Qualys: Escanea y evalúa la seguridad del servidor web, identificando posibles vulnerabilidades.
Prácticas de Desarrollo Seguro:
OWASP Zap: Herramienta de seguridad de aplicaciones web (WAST) para identificar vulnerabilidades en el desarrollo de software.
Checkmarx: Realiza análisis estático y dinámico del código para garantizar prácticas seguras de desarrollo.
En general, EcoInnova tiene una base sólida, pero es fundamental abordar estos riesgos para garantizar la integridad y confidencialidad de sus sistemas. Se recomienda implementar las acciones preventivas mencionadas y realizar un seguimiento continuo.
Referencias
ISACA. (2018). COBIT 2019 Framework: Governance and Management Objectives.
Abolacio Bosch, P. (2018). Planificación de la auditoría.
Cienfuegos Gayo, M., Millas Alonso, J. L., & Gómez Macho, A. (2021). Guía para la realización de las auditorías internas de los sistemas de gestión
Cóccaro, H. (2019). Compendio de casos de Auditoría.
Comisión de Normas de Auditoría y Aseguramiento. (2017). Modelos de informes de auditoría y otras opiniones del auditor
Gamboa Suárez, R., Jiménez, J. A., & Vargas, J. (2019). Auditoría y revisoría fiscal: con Normas Internacionales de Auditoría.
Holguín Maillard, J. A., Castañeda, J. A., & Sánchez, J. A. (2018). Auditoría de estados financieros y su documentación: con énfasis en riesgos