Entregable Final - Javier Mendoza

Vista previa del material en texto

Índice
1. Resumen Ejecutivo………………………………………………………………………………………..2
2. Introducción………………………………………………………………………………………………….3
3. Desarrollo……………………………………………………………………………………………………..4
3.1. Selección de Organización………………………………………………………………4
3.2. Contexto de la Organización……………………………………………………………4
3.3. Aviso de Auditoria………………………………………………………………………….5
3.4. Tipo de Auditoria………………..………………………………………………………….6
3.5. Definición y Autorización de la Auditoria………………………………………..6
3.6. Objetivo, Alcance, Recursos y Procedimientos………………………………..6
3.7. Plan de Trabajo……………………………………………………………………………….7
3.8. Informe Final………………………………………………………………………………….8
4. Conclusiones………………………………………………………………………………………………..14
5. Referencias………………………………………………………………………………………………….15
1. Resumen Ejecutivo
En este proyecto se abordará la implementación de todos los conocimientos adquiridos durante el curso de Políticas y Auditorias de Seguridad con un ejemplo de aviso de auditoría e informe de auditoría en seguridad de la información, en este caso particular se tomará como objeto de estudio al Instituto Nacional Electoral de México el cual será sometido a una auditoria de cumplimiento en el área de seguridad física, además de la inclusión de una breve investigación sobre la organización. 
Abstract
This project will address the implementation of all the knowledge acquired during the Security Policies and Audits course with an example of an audit notice and an information security audit report. In this case, the Institute will be taken as an object of study. National Electoral Commission of Mexico, which will be subjected to a compliance audit in the area of physical security, in addition to the inclusion of a brief investigation of the organization.
Keywords
Auditoria Informática 
Aviso de Auditoria 
Seguridad Informática
Dispositivos Biométricos
Seguridad Física
Seguridad Perimetral
2. Introducción 
El presente trabajo está compuesto inicialmente por una investigación sobre la entidad que será el objeto de estudio durante todo el proyecto, el cual es el instituto electoral más importante de México, se eligió esta organización debido a que recientemente se ha incrementado la cantidad de ataques cibernéticos en su contra y debido a que esta organización trabaja con una gran cantidad de información sensible es de vital importancia que esta permanezca segura.
Continuando con la investigación se obtuvieron los objetivos, valores, misión y visión establecidos en la organización, que servirán de base para el proceso de auditoria en donde se identificara si el área de tecnología y su funcionamiento están en la misma dirección con la visión de la organización.
Posteriormente se presenta el aviso de auditoría en el que se plasman todos los componentes vistos durante el curso y en el que se especifica principalmente que es lo que se auditara, por cuanto tiempo y quien es el personal que ejecutara la auditoria, el cual deberá estar dirigido al titular del área por Auditar y estar firmado por una autoridad con la capacidad de solicitar una auditoria.
Posteriormente se presenta el Informe Final de la Auditoria que es la culminación de las actividades realizada, en este documento es donde se aporta las evidencias que sustentan las observaciones hechas por el equipo auditor, así como la presentación de recomendaciones para mejorar el estado actual del ente auditado de ser necesario.
Finalmente se dan las conclusiones tanto del curso como del proyecto en sí, acompañadas de las referencias de todos los recursos empleados para la realización de este trabajo.
3. Desarrollo
3.1. Selección de Organización 
Para la realización de este proyecto se tomará como objeto de estudio al Instituto Nacional Electoral debido a que es una organización que maneja una gran cantidad de información sensible, además de ser la responsable de la realización de las contiendas electorales, esta organización ha sido blanco de ataques informáticos masivos desde el año 2014, registrando más de 11 millones de ciberataques hasta el año 2021.
3.2. Contexto de la Organización 
La siguiente información fue extraída directamente de la página web oficial del Instituto Nacional Electoral. “El INE es el organismo público autónomo encargado de organizar las elecciones federales y locales en los estados de la República y la Ciudad de México en coordinación con los organismos electorales de cada entidad, además se encarga de emitir la Credencial para Votar y realizar una serie de actividades tanto al interior del instituto como para la ciudadanía. 
Misión
Organizar procesos electorales libres, equitativos y confiables, para garantizar el ejercicio de los derechos político-electorales de la ciudadanía y contribuir al desarrollo de la vida democrática de México.
Visión
Ser el organismo electoral nacional autónomo que contribuya a la consolidación de la cultura y convivencia democrática en México, distinguiéndose por ser una institución moderna, transparente y eficiente, en la que la sociedad confíe plenamente para la organización de elecciones equitativas e imparciales.
Metas y objetivos.
Asegurar a los ciudadanos el ejercicio de sus derechos político-electorales y vigilar el cumplimiento de sus obligaciones, garantizar la celebración periódica y pacífica de las elecciones para renovar a los integrantes de los Poderes Legislativo y Ejecutivo, velar por la autenticidad y efectividad del sufragio.
Fortalecer la confianza y la participación ciudadanas en la vida democrática y política del país. En este sentido, es prioridad del Instituto orientar sus tareas hacia las acciones que permitan cumplir con el objetivo de incrementar la confianza ciudadana en la autoridad electoral, fortalecer los mecanismos para su participación y, en consecuencia, consolidar la democracia en México y el régimen de partidos que en ésta se desarrolla.
Garantizar el derecho a la identidad. Además de su función como mecanismo de identificación que da certeza al ejercicio del voto, la Credencial para Votar, el INE mejorará la atención al ciudadano en el momento de tramitar la Credencial para Votar”.
Órgano Interno de Control en el Instituto Nacional Electoral.3.3. Aviso de Auditoria
Área de Auditoria.
Ciudad de México a 10 de enero de 2022. 
Oficio No. AAI-220210-25A 
Asunto: Aviso de Auditoria en materia de Seguridad de Tecnologías de la Información. 
Mtra. Cecilia del Carmen Azuara Arai.
Directora de la Unidad Técnica de Transparencia y Protección de datos Personales 
P R E S E N T E:
En relación con la orden de auditoria No. AAI-220210-25A emitida el día 10 de enero del 2021, con el objetivo de verificar en la Unidad Técnica que tiene a su cargo el cumplimiento de las medidas de seguridad para el acceso y almacenamiento de la información, así como las normativas aplicables con referencia a la protección de datos personales, por lo cual se revisara el correcto funcionamiento de los mecanismos de seguridad para el acceso a las instancias en donde se encuentra almacenada la base de datos, tales como la presencia de elementos de seguridad, el uso de dispositivos de autenticación y registro de accesos.
Para la parte de la auditoria correspondiente a la seguridad física del área de informática se revisará el que el hardware empleado se encuentre en una ubicación segura de incendios e inundaciones, que cuente con vigilancia y las condiciones ambientales idóneas para el correcto funcionamiento de los equipos. Todas las actividades previamente señaladas serán realizadas en cumplimiento al Programa Anual de Auditorias 2022, dicho lo anterior se le notifica que se llevara a cabo en su unidad técnica y cualquier instalación o domicilio, la auditoria con clave AAI-220210-25A.
Hago de su conocimiento que este proceso tendrá una duración de un mes, iniciando el día 17 de enero del 2022, con el entendido de que este periodo se puede ampliar a un periodo adicional de un mes, si así lo considera necesario el equipo comisionado. La ejecución de la auditoria será dirigida por Javier Mendoza Ruiz, en compañíade Mario Alberto García, Diana Gutiérrez, José Luis Aguilar, Estefanía Flores en su carácter de auditores públicos, todos ellos son personal adscrito a este Órgano Interno de Control, se solicita que se les proporcione acceso a sus instalaciones, registros, archivos, manuales de operación, bases de datos, informes y todo aquel documento que requieran para la ejecución de la auditoria, así como las facilidades necesarias para realizar la inspección entre las cuales está el suministro de agua potable y el acceso a un baño.
Sin otro particular, quedo de usted. 
A T E N T A M E N T E
Lic. Jesús George Zamora
Titular del Órgano Interno de Control.
3.4. Tipo de Auditoria.
Como se menciona anteriormente en el Aviso, la Auditoria a realizar para este proyecto es de tipo de Seguridad Informática enfocada en el apartado de la seguridad física, para conocer si se está cumpliendo con las normas y medidas de seguridad establecidas por el Instituto durante sus operaciones. 
Se decido que el tipo de auditoria fuera de este tipo porque al tratarse de una Institución tan importante y que maneja tal cantidad de información sensible, resulta de suma importancia que esta información permanezca segura e integra, debido a que su mal uso puede ocasionar que los propietarios de la información resulten afectados con situaciones que pueden ser desde pequeñas molestias como las llamadas de propagandas de bancos o empresas y llegando hasta la posibilidad de que sean víctimas de suplantación de identidad.
3.5. Definición y Autorización de Auditoria. 
La auditoría expuesta anteriormente es solicitada por el titular del órgano de control interno el Lic. Jesús George Zamora, con motivo del cumplimiento del programa de anual de auditorías, en este caso la correspondiente al año 2022, en esta se busca identificar cualquier vulnerabilidad en el área de Seguridad Informática para que pueda ser corregida lo antes posible. 
3.6. Objetivo, Alcance, Recursos y Procedimientos.
Evaluar el funcionamiento del área de Seguridad Informática, en donde se busca encontrar posibles vulnerabilidades principalmente en el ámbito de Seguridad Física, para así poder corregirlas en el menor tiempo posible y así poder mantener segura la información.
Se iniciará la inspección el día 17 de enero del 2022 y se tiene planeado su conclusión el día 17 de febrero del 2022, con la posibilidad de que este periodo se extienda a por un mes adicional de ser necesario, en esta inspección se analizara las formas de acceso al centro de datos, así como las medidas de control y seguridad que se tiene con las personas que ingresan a esta área y manipulan la información ahí contenida. Se investigará en qué condiciones se encuentra operando el equipo, así como las medidas de seguridad que se ejecutan ante alguna catástrofe como un incendio o una inundación.
Para la ejecución de esta auditoria se cuenta con un equipo de profesionales capacitados en el área de seguridad informática que serán capaces de realizar su investigación, así como también aportar pruebas sobre las vulnerabilidades que estos detecten, además de brindar su conclusión y recomendaciones de cómo se podría mejorar lo que fue analizado.
 Las actividades realizadas durante la auditoria son las siguientes:
· Observación sobre la forma en la que ingresan los empleados encargados del área a la ubicación en donde se resguarda la información
· Realización de encuestas a algunos trabajadores del área de seguridad informática
· Inspección sobre el correcto funcionamiento de los equipos y las medidas de protección contra eventualidades que puedan dañar a los dispositivos.
3.7. Plan de Trabajo
	Actividades
	Semana 1 
	Semana 2
	Semana 3
	Semana 4 
	Recolección de la Información
	A
	
	
	
	Revisión de seguridad perimetral
	B, C
	
	
	
	Inspección de funcionamiento de CCTV
	D, E
	
	
	
	Revisión de Dispositivos biométricos 
	
	B, E
	
	
	Recolección de Bitácora de accesos
	
	C, D
	
	
	Entrevista a empleados del área de TI
	
	
	A, B
	
	Revisión de estado del Centro de Datos
	
	
	C, D
	
	Análisis de medidas de seguridad
	
	
	E
	
	Análisis de información obtenida
	
	
	
	A, C
Tabla 1. Cronograma Inicial.
	Actividades
	Semana 5
	Semana 6
	Semana 7 
	Semana 8
	Actividad Adicional 1
	
	
	
	
	Actividad Adicional 2
	
	
	
	
	Actividad Adicional 3
	
	
	
	
	Actividad Adicional n
	
	
	
	
Tabla 2. Cronograma adicional en el caso de ser necesario.
Como se muestra en el anterior día diagrama este proceso estará compuesto inicialmente por cuatro semanas, en donde se realizarán las actividades planteadas inicialmente, con la posibilidad de ampliar el periodo de examinación por cuatro semanas más, es necesario completar la Tabla 2 en el caso de que se amplie la auditoria.
El equipo auditor está conformado: 
A) Javier Mendoza Ruiz 
B) Mario Alberto García
C) Diana Gutiérrez
D) José Luis Aguilar
E) Estefanía Flores. 
Se establece un periodo máximo de una semana por cada actividad, así como la realización de algunas actividades de forma simultánea, así como también la participación de múltiples auditores por tarea con el objetivo de lograr un mejor aprovechamiento del tipo de auditoría y una visión más amplia de los elementos a evaluar.
3.8. Informe Final
A continuación, se presentará el informe final de la Auditoria de Seguridad Informática realizada a la Unidad Técnica de Transparencia y Protección de datos Personales del Instituto Nacional Electoral, que constará de una caratula de presentación del informe, resumen ejecutivo, desarrollo de informe compuesto por descripción de la metodología empleada, observaciones a la normativa interna y al cumplimento de leyes, descripción de resultados y con las conclusiones del equipo auditor además de una serie de recomendaciones para el ente auditado con el objetivo de que pueda corregir los problemas encontrados durante la auditoria de ser el caso.
Informe de Auditoría de Seguridad Informática
Realizada a la Unidad Técnica de Transparencia y Protección de Datos Personales.
Auditoria No. AAI-220210-25A.
Fecha de Auditoria: 17 de enero al 17 de febrero del 2022.
Fecha de Emisión de Informe: 20 de febrero del 2022.
Equipo de Auditores:
· Javier Mendoza Ruiz 
· Mario Alberto García
· Diana Gutiérrez
· José Luis Aguilar
· Estefanía Flores
Objetivos
La auditoría No. AAI-220210-25A tuvo como objetivo verificar que los sistemas de seguridad del área auditada estén correctamente implementados y se encuentren en buen estado, además de observar el comportamiento de los empleados con respecto a las medidas de seguridad establecidas por la institución.
También se tiene como objetivo conocer las medidas de prevención conta ataques informáticos y las normas de uso y mantenimiento de los equipos que se les proporciono a los empleados que laboran en el área.
Además de analizar el estado de operación de los centros de datos en cuanto a las medidas de seguridad y la correcta implementación de un control de accesos.
Alcance
Se analizo la infraestructura de seguridad informática en las instalaciones pertenecientes a la Unidad Técnica de Transparencia y Protección de Datos Personales por un periodo de un mes, así como al personal que labora en el área de TI, con el fin de emitir una serie de recomendaciones para la corrección de las irregularidades expuestas durante la auditoria.
Criterios
Los criterios usados durante cada fase de la auditoria son los siguientes:
· ISO 27001
· Ley General de Protección de Datos Personales en posesión de sujetos Obligados
Actividades realizadas
Durante la ejecución de la auditoria se llevaron a cabo las siguientes actividades por parte del equipo auditor:
· Recolección de la Información proporcionada por la unidad auditada para su posterior análisis y comparación con la información obtenida de la investigación realizada
· Revisión de seguridad perimetral, evaluando el estado de los muros de seguridad, la presencia de vallas electrificadas y personal de seguridad
· Inspección de funcionamiento de CCTV, así como su correcta ubicación en las instalaciones delinstituto
· Revisión de tipo de Dispositivos biométricos localizados en los accesos al centro de datos y funcionamiento
· Recolección de Bitácora de accesos
· Entrevista a empleados del área de TI con referencia al uso los dispositivos de seguridad y de las normas presentes en la organización
· Revisión de estado del Centro de Datos, manual de operación, cableado y ubicación de este, incluyendo su registro de mantenimiento.
· Análisis de medidas de seguridad presentes en las instalaciones.
· Análisis de información obtenida durante todo el proceso.
Resumen Ejecutivo:
A partir de las actividades realizadas en la auditoria se detectó inicialmente que se sigue un estricto orden en el manejo de los archivos cuando se le proporciono la información solicitada al equipo auditor, se contó con plena disposición por parte de los empleados de la Unidad auditada para la realización de la auditoria, al proveerle todas las facilidades a los auditores para la realización de su trabajo.
Para iniciar con los aspectos evaluados primeramente se detectó que se cumplía con los requerimientos en cuanto a la seguridad perimetral, contando con personal de seguridad en compañía de perros, los muro que se encuentra en el perímetro de las instalaciones están buenas condiciones además de contar con malla electrificada lo que aumenta el nivel de seguridad, la localización de las cámaras es óptima puesto que los puntos ciegos son mínimos y específicamente en el acceso al cuarto de servidores se tiene totalmente cubierto, en cuanto al equipo de CCTV este no cuenta con un lugar independiente y debido al reducido espacio en el que está instalado resulta difícil tener una buena organización de las grabaciones obtenidas, por lo que resulta fácil que se pueda perder algún archivo.
En cuanto al uso de los biométricos en las instalaciones se identificó que estos tienen mucho tiempo de uso y en alguno de estos se presentan falsos negativos por lo que no les permite la entrada a los empleados, aunque tengan la autorización de ingresar al área, además de esto únicamente se dispone de un tipo de autenticación biométrica (Lector de Huellas Digitales) existe la posibilidad de mejorar la seguridad en ese rubro.
Al analizar la bitácora de accesos el equipo concluyo que estaba en orden y era coherente con los resultados obtenidos de las entrevistas a los empleados debido a que para poder ingresar se requiere del biométrico, con las entrevistas también se identificó que los empleados no están conformes con el uso de los lectores de huellas digitales puesto que genera retrasos en el acceso al área de trabajo.
Para finalizar con la investigación se procedió a evaluar el centro datos y se obtuvo que la instalación del cableado no presenta orden, lo que puede ocasionar accidentes con el personal y desconexiones del sistema, además de no contar con un dispositivo biométrico para su acceso, fuera de estos inconvenientes los dispositivos están en perfectas condiciones y operando como se espera.
Evidencias:
En este apartado se muestra las pruebas de las observaciones hechas por el equipo auditor.
Foto 1. Ubicación del CCTV
Como se puede observar en la imagen anterior el área de monitoreo se encuentra en el mismo lugar en el que otros trabajadores desempeñan labores distintas.
Foto 2. Estado de Lector de Huellas
Con la anterior imagen podemos ver que los lectores no funcionan como deberían y que pueden ser falseados.
Foto 3. Cableado de los servidores
Con la imagen anterior se puede ver que el cableado no tiene orden y puede ocasionar algún accidente o corte del servicio.
Recomendaciones:
Después de realizar la auditoria y tras evaluar los resultados obtenidos se recomienda que se cambien los lectores de huella digital por unos nuevos y de mejor calidad, así como la implementación de un segundo dispositivo biométrico como lector de iris. También es importante que se ordene el cableado y se incorporen biométricos para el acceso a los propios servidores con el objetivo de mejorar la seguridad y agregar un nivel más de protección para el acceso a la información.
Conclusiones:
Para finalizar el informe de auditoría se concluye que el área auditada presenta un nivel aceptable de seguridad de la información con respecto a la Norma ISO 27001, aunque es necesario implementar las recomendaciones para reforzar aún más el nivel de protección en la institución, ya que este es el activo más importante de la misma y para cumplir con los valores, misión, visión y objetivos de la empresa al mantener protegida la información.
______________________________
Javier Mendoza Ruiz 
Responsable de la Auditoria 
4. Conclusiones.
Para concluir con la asignatura de Políticas y Auditorias de Seguridad lleva a cabo el presente trabajo de investigación y puesta en práctica de los conocimientos adquiridos durante las sesiones en el salón de clases, con el que pude entender de mejor manera la información proporcionada por el profesor, comprendiendo que es de gran importancia la implementación de Políticas de Seguridad en cualquier organización puesto que en cualquier empresa o institución pública se trabaja con información y es indispensable que esta siempre permanezca segura, integra y disponible. 
Gracias a los ejemplos expuestos por el profesor entendí que también es muy importante mantener las políticas actualizadas al contexto actual en el que trabajan, un ejemplo de esto es el caso del gran fraude corporativo en la empresa energética estadounidense Enron, que sucedió porque en ese tiempo no existían controles estrictos que protegieran los intereses de los inversionistas y en el caso de ocurrir una eventualidad como esa, los culpables pudieran ser juzgados por sus delitos. Debido a esta situación se crearon normas y leyes como la Sarbanes-Oxley con el objetivo de evitar que vuelva a suceder un incidente de tal magnitud.
Dicho lo anterior y tras realizar este proyecto, entendí que gran parte de las medidas que se pueden tomar para evitar que sucedan eventualidades como la expuesta anteriormente, recaen en una correcta ejecución de la auditorias, ya que como nos explicó el profesor las auditorias son ejercicios en donde podemos conocer las vulnerabilidades de nuestra organización, así como también nos ayuda a saber que estamos haciendo mal con nuestro trabajo y cómo podemos corregirlo, porque al final si no realizamos bien el trabajo por el que nos contrataron la organización se puede ver terriblemente afectada y por consiguiente ocasionar que en el menor de los casos nos despidan o incluso llegando a causarnos problemas más grandes como la privación de la libertad debido a que como consecuencia de un trabajo mal hecho en algunos caso se pueden ver afectadas terceros como lo que sucedió en el incidente del metro en la ciudad de México en el año 2021, en donde se perdieron vidas humanas debido a la poca importancia que se le dio a informes de auditorías.
Para finalizar con el proyecto concluyo que es muy importante tanto la implementación de políticas de seguridad actualizadas en todas las organizaciones para salvaguardar la información, así como también la correcta planeación y ejecución de las auditorias, es recomendable que estas se hagan por lo menos una vez al año para así conocer el estado actualizado de la organización, que estas se lleven a cabo de forma honesta ya que es mejor saber que problemas existen en la organización a pretender que esta se encuentra en prefecto estado, porque en el momento que sea víctima de un ataque se puedan perder recursos de gran valor.
Aunque aún no cuente con experiencia laboral espero que la información aprendida y las experiencias compartidas por el profesor me sean de ayuda para ser un mejor profesional.
Referencias
Herrera, L. (26 de enero del 2022). El INE bajo tormenta de ciberataques desde 2014. Reporte Índigo. México.
 https://www.reporteindigo.com/reporte/el-ine-bajo-tormenta-de-ciberataques-desde-2014/
Instituto Nacional Electoral. (27 de agosto del 2021). Sobre el INE - Instituto NacionalElectoral nueva autoridad electoral. https://www.ine.mx/sobre-el-ine/
Redacción. (19 de julio del 2021). INE investiga presunta venta de datos del Padrón Electoral. El Economista. México. 
 https://www.eleconomista.com.mx/politica/INE-investiga-presunta-venta-de-datos-del-Padron-Electoral-20210719-0082.html
Instituto Nacional Electoral. (20 de septiembre de 2021). Cultura Institucional. 
 https://www.ine.mx/sobre-el-ine/cultura-institucional/
Salesforce Latinoamérica. (2020, 9 noviembre). Ley de Protección de Datos Personales en México. Blog de Salesforce. 
 https://www.salesforce.com/mx/blog/2020/11/ley-de-proteccion-de-datos-personales.html
Instituto Nacional de Desarrollo Social. (2019, 24 abril). Ley General de Protección de Datos Personales en Posesión de sujetos Obligados. Gobierno de México.
 https://www.gob.mx/indesol/documentos/ley-general-de-proteccion-de-datos-personales-en-posesion-de-sujetos-obligados
INE. (2020, 27 enero). Tarjeta Informativa: Sobre el Padrón Electoral y los Datos Biométricos. Central Electoral. https://centralelectoral.ine.mx/2020/01/24/tarjeta-informativa-padron-electoral-los-datos-biometricos/
Instituto Nacional Electoral. (2021, marzo 30). Unidad de Transparencia UTTPDP - INE.
 https://www.ine.mx/estructura-ine/uttpdp/
Instituto Nacional Electoral. (2020, 6 noviembre). Órgano Interno de Control.
 https://www.ine.mx/estructura-ine/organo-interno-control/
García, J. (2022, 5 febrero). Fundamentos de Auditoria Informática [Diapositivas]. Blackboard. 
 Presentación de PowerPoint (blackboardcdn.com)
García, J. (2022, 5 febrero). Tipos y Clases de Auditoria [Diapositivas]. Blackboard. 
 Presentación de PowerPoint (blackboardcdn.com)
García, J. (2022, 12 febrero). El Proceso de Auditoria [Diapositivas]. Blackboard. 
 Presentación de PowerPoint (blackboardcdn.com)
García, J. (2022, 12 febrero). El Informe de Auditoría [Diapositivas]. Blackboard.
 Presentación de PowerPoint (blackboardcdn.com)
2