INFORME EJECUTIVO Y TÉCNICO AUDITORIA A FLY AIRES

El presente documento PRESENTA DE MANERA DETALLADA EL INFORME EJECUTIVO DE LA

AUDITORIA REALIZADA AL PORTAL WEB DE LA COMPAÑÍA durante un periodo de dos meses
donde se establecieron los componentes sujetos a evaluar y los respectivos objetivos de control
aplicables según el estandar ISO/IEC 27002:2013, el informe ejecutivo da a conocer de manera
general la planeacion y ejecucion de la auditoria incluyendo técnicas y herramientas a utilizar para
llevar a cabo el objetivo y el informe técnico presenta de manera detallada los hallazgos
encontrados durante la ejecución de las pruebas planteadas para la evaluación del portal con sus
respectivos riesgos y recomendaciones
Componente Riegos Descripción Consecuencias Objetivo de control Controles
Recurso Afectación física del servidor a causa de un Se presenta 1.Afectacion en la 11.1 Áreas seguras. 11.1.4 Protección
tecnológico fenómeno natural dificultad imagen de la contra las
fisico Afectación física del servidor a causa de un para disponer empresa amenazas
incendio o corto circuito del servicio 2. Perdidas externas y
web económica y de ambientales.
Presencia de actos terroristas tiempo 5.1 Directrices de la 5.1.1 Conjunto de
Afectación del servidor debido a presencia de 3. Dirección en políticas para la
actividades de sabotaje internos en la compañia Incumplimiento a seguridad de la seguridad de la
clientes, información información
Daños técnicos en los componentes del servidor proveedores y 11.2 Seguridad de los 11.2.4
(memorias RAM, discos duros, etc) empleados equipos. Mantenimiento
4. Disminución en de los equipos
Recurso Daños en los componentes lógicos del servidor a Se presenta la credibilidad de 11.2 Seguridad de los 11.2.1
tecnológico causa de actualizaciones o procesos fallidos dificultad la organización equipos Emplazamiento y
lógico (sistema operativo, código fuente de la pagina para disponer protección de
web, aplicativo de servidor web, bases) del servicio equipos.
Daños en los componentes lógicos del servidor a web
causa de presencia de malware (sistema
operativo, código fuente de la pagina web,
aplicativo de servidor web, bases)
Precensia de vulnerabilidades en el portal web 12.6 Gestión de la 12.6.1 Gestión de
vulnerabilidad técnica las
vulnerabilidades
técnicas.
Errores de compilación del portal web 14.2 Seguridad en los 14.2.8 Pruebas de
procesos de desarrollo funcionalidad
y soporte durante el
desarrollo de los
sistemas
Informacion Robo de información debido a la explotación de Se presentan 12.2 Protección contra 12.2.1 Controles
vulnerabilidades en el servicio web problemas de código malicioso. contra el código
Perdida de información debido a la presencia de seguridad malicioso
malware que pueden
Perdida de información debido a daño al físico comprometer 11.2 Seguridad de los 11.2.4
de los elementos de almacenamiento la integridad, equipos Mantenimiento
disponibilidad de los equipos.
Perdida de información debido a la incorrecta y veracidad 9.2 Gestión de acceso 9.2.5 Revisión de
asigancion de permisos en las bases de datos de la de usuario los derechos de
Alteracion de información debido a la incorrecta informacion acceso de los
asigancion de permisos en las bases de datos usuarios.
Internet Afectacion en la disponibilidad del servicio de Se presenta 13.1 Gestión de la 13.1.1 Controles
internet dificultad seguridad en las de red.
para publicar redes.
el servicio
web
 INFORME EJECUTIVO DE AUDITORÍA

Versión: 01 Página: 1 Fecha: 04/08/2019

Reunión de apertura: Reunión de cierre:

Nombre de la empresa: Fly Aires

Objetivo de la auditoria

El objetivo de esta auditoria es evaluar los riesgos presentes en

el portal web de la empresa Fly Aires, el cual se encuentra

desarrollado en el lenguaje de programación JAVA y está

almacenado en un hosting que un proveedor

Dependencias No 1

Sistemas de

información y

tecnología

Alcance Evaluar los riesgos del portal web de la compañía Fly Aires

Enfoque Identificación de riesgos inherentes

Objetivos Identificación de riesgos

Establecer objetivos de control

Establecer controles
Periodo de análisis El tiempo estimado del proceso completo 2 meses/hombre

Muestra

Metodologías aplicadas No 1 No 2 No 3 No 4

Estudio Revisión y Comunicación

preliminar. evaluación de de resultados

controles y

seguridades

Herramientas utilizadas Cuestionarios

Entrevistas

JMeter (Load Testing)

Selenium (Web Application Testing)

Criterio Técnico de evaluación

El criterio técnico está basado en el cumplimiento del estándar ISO/IEC 27002:2013

observaciones

Recomendaciones

Auditor 1 Auditor 2

________________________________ ____________________________

CC CC
 INFORME TÉCNICO DE AUDITORÍA

Fecha: Auditores

Tipo de auditoría

Auditoria informatica

Objetivo de la auditoría:

Evaluar el funcionamiento del portal web de la empresa Fly Aires

Empresa auditada:

Fly Aires

Nombre del Servidor de Servidor de Hallazgos Riesgos Recomendaciones

sistema aplicación base de datos

Portal web GlassFish Microsoft Se logró Pérdida Se recomienda no

SQL Server evidenciar de utilizar puertos ni

mediante informaci contraseñas por

explotació ón defecto.

n de Alteració

vulnerabili n de la

dades el informaci

acceso al ón
servidor

donde se

encuentra

el portal

El portal Robo de No utilizar

contiene informaci procedimientos

inyeccion ón almacenados y

SQL limpiar los

campos que se

van a modificar

Existe Pérdida Realizar una

intermiten de adecuada gestión

cia del credibilid de las redes y

internet lo ad y acompañamiento

que esta clientes permanente del

dificultand proveedor

o la

disponibili

dad del

portal web

El Pérdida Realizar un

servidor de mantenimiento
 presenta informaci integral a los

daños ón. servidores de

lógicos a Alteració aplicación y de

causa de n de la base de datos

malware informaci

ón.

Indisponi

bilidad

del

sistema

Teniendo en cuenta los resultados de la auditoría al portal web de la empresa Fly Aires se
recomienda el cambio de proveedor del hosting o la implementación de los servidores que
soportan el portal en las instalaciones de la organización y un sistema de réplica de dichos
servidores en otra ciudad de tal manera que se garantice la integridad y disponibilidad de la
información

How to Choose a DRM Software to protect your document?