Auditoría – Live Room

Alumnos:
Alonso Castillo Luz Berenice
Cervantes Ramírez Óscar de Jesús
López Romero Brenda Alejandra
Pérez Fuentes Luis Guillermo
Rangel Martínez Rodrigo

Grupo:
ITI-1001

Materia:
Auditoría de sistemas de TI

Profesor:
Juan Reynoso Neri

Fecha:
01 Diciembre de 2017
7
 Índice
Abstract ......................................................................................................................................... 3
1. Información de la empresa ................................................................................................... 4
1.1 Empresa ......................................................................................................................... 4
1.2 Filosofía ......................................................................................................................... 4
1.3 Objetivos estratégicos ................................................................................................... 5
1.4 Procesos del negocio ..................................................................................................... 6
1.5 Productos / servicios ..................................................................................................... 7
1.6 Estructura (organigrama) .............................................................................................. 7
2. Alcance de la auditoria .......................................................................................................... 8
2.1 Objetivo ............................................................................................................................... 8
2.2 Marco de referencia......................................................................................................... 8
2.3 Alcance......................................................................................................................... 8
2.4 Equipo auditor ............................................................................................................. 8
3. Desarrollo de la auditoria ...................................................................................................... 9
➢ A.5 Política de Seguridad .............................................................................................. 9
➢ A.6 Organización de la seguridad de la información ................................................ 9
➢ A.7 Gestión de los activos ........................................................................................... 10
➢ A.11 Control de acceso ............................................................................................... 10
➢ A.13 Gestión incidentes en la seguridad de la información ................................... 11
4. Alternativas de solución (recomendaciones) ...................................................................... 12
➢ A.5 Política de Seguridad ............................................................................................ 12
➢ A.6 Organización de la seguridad de la información .............................................. 12
➢ A.7 Gestión de los activos ........................................................................................... 14
➢ A.11 Control de acceso ............................................................................................... 14
➢ A.13 Gestión incidentes en la seguridad de la información. .................................. 15
5. Tiempo y costos................................................................................................................... 16
➢ A.5 Política de Seguridad ............................................................................................ 16
➢ A.6 Organización de la seguridad de la información .............................................. 16
➢ A.7 Gestión de los activos ........................................................................................... 18
➢ A.11 Control de acceso ............................................................................................... 18
➢ A.13 Gestión incidentes en la seguridad de la información. .................................. 20
Conclusiones ............................................................................................................................... 21

1
2
 Abstract

La empresa LiveRoom, dedicada al desarrollo web y análisis de mercado, se

encuentra dentro de un proceso de auditoría enfocado a la seguridad de la
información empresarial. Por lo tanto, el siguiente documento tiene como objetivo
ilustrar a los lectores sobre la esencia de la empresa: sus objetivos, procesos,
áreas y personas encargadas.

Además, el lector podrá comprender de mejor manera el sentido de la auditoría,

dado que se resaltarán cuáles son los procesos que manejan información
relevante para la organización, así como su metodología de trabajo en general.

3
 1. Información de la empresa
1.1 Empresa

Nombre de la empresa: LiveRoom

LiveRoom nace en el año 2009 gracias a la necesidad de abrir una empresa

de mercadotecnia integral, donde se ofrezcan distintos servicios del área de
marketing, como publicidad, diseño gráfico y digital, investigación de mercados
cualitativa y cuantitativa, diseño de sitios web y marketing digital.

Actualmente la agencia cuenta con diversas cuentas de distintos giros, desde

negocios dedicados al calzado y curtiduría, hasta canales de televisión. Lo que
diferencia a LiveRoom de las demás empresas del mismo giro, es la calidad y
realización de proyectos que no solamente cubren un área de la mercadotécnica,
sino que satisfacen varios rubros del marketing, para ofrecer un servicio integral
que sobrepase las expectativas de los clientes.

1.2 Filosofía
Misión

Somos una agencia que ofrece un servicio integral de mercadotecnia a

pequeñas, medianas y grandes empresas locales, regionales y nacionales e
internacionales. Creamos marcar y productos nuevos y los posicionamos en el
mercado, a través de la investigación de mercados, el diseño de imagen y el
lanzamiento de campañas de comunicación.

4
 Visión

Consolidarnos como una de las mejores agencias del país en los rubros de
marketing digital, investigación de mercados, comunicación integral de mercados
y diseño de imagen corporativa.

Valores

• Creatividad y originalidad.
• Honestidad en nuestro trabajo.
• Trabajo en equipo constante.
• Pasión por el servicio al cliente.
• Apoyo y atención a nuestros colaboradores.
• Creemos que menos, es más

1.3 Objetivos estratégicos

a. Ofrecer a nuestros clientes un servicio de calidad, que satisfaga
perfectamente sus necesidades y así poder posicionarnos como una
empresa de confianza en la región del bajío.

b. Brindar asesorías especializadas para desarrollar soluciones a la medida

de cada empresa.

c. Posicionar nuestra marca como una de las mejores en el área de

marketing digital y desarrollo.

d. Incrementar el número de clientes satisfechos gracias a los excelentes

resultados que surgen del monitoreo post-implementación. Obtener
buenas referencias de trabajo y un reconocimiento potencial.

e. Contar con un equipo de trabajo de excelencia, para así brindar mejores

servicios y/o soluciones.

5
1.4 Procesos del negocio
• Contacto: el cliente se comunica con el encargado en ventas para agendar
una cita con el equipo.

• Diagnóstico de necesidades: proceso realizado dentro de la entrevista con

el cliente. Se hacen citas de mínimo 2 horas, en donde el personal de
desarrollo platica con el cliente, detallando cuál es su problemática y la
solución que le gustaría adquirir. El diagnóstico debe ser profundo y claro,
para así evitar futuros malentendidos.

• Propuesta valor: se elabora una propuesta que es presentada al cliente al

cabo de unos días. Es ahí donde el equipo de desarrollo o marketing parte
para la ejecución de la solución. Además, el cliente tiene la oportunidad
de realizar los cambios que considere pertinentes, sin salir del alcance del
proyecto.

• Retroalimentación: El cliente muestra qué le gusta y qué no le gusta de la

propuesta. Después alterna sus opiniones.

• Ejecución: Desarrollo de la solución planeada. El tiempo de este proceso

varía dependiendo la complejidad de la solución, además de los tiempos
establecidos de contacto con el cliente.

• 3 cambios: Una vez desarrollada la solución, se le permite al cliente

realizar 3 únicos y finales cambios al proyecto.

• Entrega final: una vez realizados los 3 cambios, se entrega e implementa

el proyecto.
• Seguimiento: se realiza un monitoreo para verificar que el proyecto ha
tenido los resultados esperados por el cliente.

6
 1.5 Productos / servicios
LireRoom desde sus inicios ayuda a sus clientes teniendo la creatividad como
principal ventaja competitiva.

La manera en que ofrecen esta ventaja es por medio de los siguientes servicios:

• Branding: un equipo de profesionales multidisciplinarios, dedicados a la

consultoría y asesoría en el sector Corporativo y Gubernamental.

• Desarrollo Web: Posicionamiento de la marca de la empresa o producto

al alcance de los clientes potenciales que buscan productos y servicios en
internet.

• Rediseño de marca: mejora de la marca para que sea capaz de

responder a las necesidades de sus clientes y del mercado actual.

• Social media: utiliza los perfiles sociales para generar contenido de alto
valor percibido.

• Fotografía, editorial, video y publicidad.

1.6 Estructura (organigrama)

Victor
Director General

Diseño Desarrollo
gráfico web

Ruy Gaby Javier Fran

Diseñador Diseñador Desarrollador Desarrollador

7
 2. Alcance de la auditoria

2.1 Objetivo
Demostrar que la empresa LiveRoom cumple con los controles establecidos
o, de lo contrario, definir planes de acción para las áreas de oportunidad
detectadas.

2.2 Marco de referencia

Para comprobar la seguridad de la información en LiveRoom se tomará la
ISO27001 ya que proporcionan un marco de referencia para la definición e
implantación de un SGSI además facilita la integración con otros sistemas de
gestión ISO.

2.3 Alcance
Aplicar los controles A.5, A,6. A.7, A.10, A.11, A.14 y A.15 de la norma ISO-
27001 correspondientes a la seguridad de la información de la empresa
LiveRoom.

2.4 Equipo auditor

• Alonso Castillo Luz Berenice
• Cervantes Ramírez Óscar de Jesús
• López Romero Brenda Alejandra
• Pérez Fuentes Luis Guillermo
• Rangel Martínez Rodrigo

8
 3. Desarrollo de la auditoria

➢ A.5 Política de Seguridad

No existe un documento sobre políticas de seguridad de la

información, por lo tanto, los empleados no tienen conocimiento de que
debe haber un documento que les informe cómo actuar para prevenir
pérdida, robo o manipulación parcial o total de la información

➢ A.6 Organización de la seguridad de la información

Al no haber políticas de seguridad que sean claras y explícitas para

los empleados, trampoco hay un responsable de verificar que dichas
políticas se lleven a cabo y que sean efectivas y minimicen el riesgo de
pérdida, robo o manipulación parcial o total de la información, no se
generan reportes respecto a la seguridad de la información

9
➢ A.7 Gestión de los activos

No hay control sobre los activos de la empresa, es decir, tampoco

se cuenta con un encargado de llevar a cabo la revisión de pólíticas
respecto a los activos de la empresa. Los involucrados no conocen los
procedimientos para el manejo de la información.

➢ A.11 Control de acceso

o No hay un registro de las personas que acceden a la información,

por lo tanto, en caso de alguna modificación no autorizada no
habría culpables
o No se cuenta con la administración de usuarios, tanto para
privilegios como para asignación de contraseñas
o No se verifica ni revisa qué usuarios tienen privilegios respecto al
acceso a la información
o No hay seguridad respecto a claves y contraseñas de usuarios
para el acceso a la información
o No se eliminan los archivos que son obsoletos para la empresa
o La información de los usuarios está expuesta, tanto física como
digital
o Respecto al uso de redes y recursos compartidos, no hay
protección respecto a la segregación de redes, acceso restringido
a sitios en la web ni manejo o protección por medio de direcciones
MAC
o No se cuenta con un procedimiento de accesos a la información
mediante la identificación personal o uso de claves por usuario ni
seguridad para las mismas
o No hay control sobre el uso de sesiones en equipos de cómputo
10
 o No hay una comunicación formal, no hay políticas explicitas que
prohíban el uso de los dispositivos móviles personales o de
cómputo de la misma índole.

➢ A.13 Gestión incidentes en la seguridad de la información

o No hay encargado(s) de hacer reporte de información mediante

medios formales, ambigüedad de la información que llega a los
empleados
o No hay reportes de fallas o debilidades en el tratamiento de la
información
o No hay responsables de llevar a cabo respuestas de riesgos.
o No hay un documento de registro de riesgos mitigados.
o No hay acción legal correspondiente respecto al fallo interno a las
políticas de seguridad

11
 4. Alternativas de solución (recomendaciones)

➢ A.5 Política de Seguridad

o Designar a un encargado de redactar un documento con las
políticas de seguridad
o Dar una copia de las políticas de seguridad a cada empleado
relacionado directamente con el tratamiento de la información
o Hacer reuniones periódicas en las que se cuestione a los
empleados sobre políticas de seguridad
o Designar a un encargado para que verifique la realización y
propia aplicación de las políticas de seguridad.

➢ A.6 Organización de la seguridad de la información

o Redactar un documento con las responsabilidades de los

encargados (por área) para con las políticas de seguridad de la
información.
o Designar a un encargado (por área) para que verifique el
cumplimiento y efectividad de las políticas de seguridad.
o Entregar una copia con las tareas que debe realizar el encargado
de revisar el cumplimiento de las políticas de seguridad.

o Realizar periódicamente cambios o actualizaciones a los medios

de procesamiento de información.
o Realizar capacitaciones a los interesados sobre los nuevos
cambios o actualizaciones de los medios de procesamiento de la
información.
o Redactar una bitácora con la información pertinente sobre los
cambios o actualizaciones y capacitaciones sobre los medios de
procesamiento de la información.

o Redactar un documento de acuerdos de confidencialidad y no

divulgación de información

12
o Designar a un encargado que realice reuniones periódicas en las
que se revise y haga conciencia sobre los acuerdos
o Enviar una copia del documento de acuerdos de confidencialidad y
de no divulgación a cada empleado de la empresa

o Cuando sucedan altercados, reportar en una bitácora y hacer uso

de las autoridades correspondientes a la falta cometida.

o Asistir a foros en los que la seguridad en la información sea el tema

principal para generar consciencia sobre la importancia de la
misma

o Llevar a cabo revisiones periódicas fijas que promuevan la

consciencia sobre la seguridad de la información

o Buscar tener herramientas que protejan contra atacantes externos

sobre la red u otros medios

o Hacer un análisis sobre las necesidades de la empresa respecto a

la seguridad de la información

o Redactar un documento de procedimientos sobre permisos para

quienes manipulan la información

o Verificar que los empleados no duplicaron la información de la

empresa

o Redactar un documento sobre la no divulgación de la información

de la empresa y del cliente en que ambos se comprometan con la
seguridad de la información
o Redactar un contrato para el cumplimiento de la seguridad de la
información

13
➢ A.7 Gestión de los activos

1. Redactar un manual de procesos y procedimientos al tratar con los

activos de la empresa
2. Redactar un documento para llevar a cabo la revisión de los activos de
la empresa a modo de bitácora
3. Designar a un encargado por área para el manejo de los activos de la
empresa
4. Realizar reuniones periódicas para revisión de informes sobre el
manejo de los activos de la empresa
5. Entregar una copia del manual de procesos y procedimientos para el
manejo de la información a los interesados
6. Capacitar a los encargados para la revisión del estado de los activos
de la empresa
7. Generar un documento de reporte de daños o faltas a los activos de la
información.

➢ A.11 Control de acceso

o Redactar un formato de acceso s la información para hacer

registro de quienes acceden a la información
o Redactar un documento de negación o permiso de acceso a la
información a cierto personal de la empresa autorizado o no.

o Identificar a los usuarios necesarios para el manejo de la

información

o Asignar encargados de revisar los permisos de usuarios actuales.

o Configuración del uso de sesiones en los equipos de cómputo

que requieran y utilicen información de suma importancia para la
empresa mediante la delimitación de tiempo límite después de la
inactividad del equipo

o Designar un área específica y aislada para los sistemas sensibles

14
 o Redactar en el manual de procesos y procedimientos la
restricción explícita del uso de equipos de cómputo personales
durante las horas laborales
o Redactar en el manual de procesos y procedimientos la
restricción explícita del uso de equipos móviles personales
durante las horas laborales
o Tener señalética que recuerde a los empleados que el uso de
teléfonos y equipo de cómputo personales está prohibido durante
y en las estaciones de trabajo

➢ A.13 Gestión incidentes en la seguridad de la información.

o Designar un formato de reporte de información para los
interesados (memorándum, bitácoras, etc)
o Designar a un encargado de la revisión y autenticación de que la
información proporcionada a los interesados ha sido recibida de
manera física o digital

o Adoptar un programa de gestión de sesiones que ayude a

generar y asignar contraseñas a los usuarios interesados en la
información

o Redactar un formato de reporte de debilidades del manejo de la

información
o Enviar una copia del reporte de debilidades para ser llenado
periódicamente y llevar un manejo adecuado de las posibles fallas
o Dar retroalimentación sobre las debilidades detectadas por parte
de la empresa y usuarios externos interesados.

o Redactar en el manual de procesos y procedimientos quienes son

los responsables de llevar a cabo un plan de riesgos detectado
o Redactar un documento (bitácora) de riesgos detectados y
anulados o mitigados que incluya al responsable de llevar la
acción.

o Almacenar las bitácoras de riesgos y respuesta a los mismos que

se hayan llevado a cabo hasta el momento

o Detectar las autoridades y procedimientos correspondientes para

los fallos respecto a la seguridad de la información

15
 5. Tiempo y costos
➢ A.5 Política de Seguridad

No DOMINIO PLAN DE ACCIÓN O MEJORA

Alternativas de solución Responsable Duración Costo

1 A.5 Política 1. Designar a un encargado de Gerente 3 semanas $9,000

de Seguridad redactar un documento con las
políticas de seguridad
2. Dar una copia de las políticas
de seguridad a cada empleado
relacionado directamente con el
tratamiento de la información
3. Hacer reuniones periódicas en
las que se cuestione a los
empleados sobre políticas de
seguridad
4. Designar a un encargado para
que verifique la realización y prpia
aplicación de las políticas de
seguridad

➢ A.6 Organización de la seguridad de la información

No DOMINIO PLAN DE ACCIÓN O MEJORA

Alternativas de solución Responsable Duración Costo

2 A.6 1. Realizar periódicamente cambios o Gerente y 2 semanas $6,000

Organización actualizaciones a los medios de Subgerente
de la procesamiento de información
seguridad de 2. Realizar capacitaciones a los
la interesados sobre los nuevos
información cambios o actualizaciones de los
medios de procesamiento de la
información
3. Redactar una bitácora con la
información pertinente sobre los
cambios o actualizaciones y
capacitaciones sobre los medios de
procesamiento de la información

1. Redactar un documento de Gerente 2 semanas $6,000

acuerdos de confidencialidad y no
divulgación de información
2. Designar a un encargado que
realice reuniones periódicas en las
que se revise y haga conciencia
sobre los acuerdos

16
3. Enviar una copia del documento de
acuerdos de confidencialidad y de no
divulgación a cada empleado de la
empresa

1. Cuando sucedan altercados, Gerente y 1 día $600

reportar en una bitácora y hacer uso Subgerente
de las autoridades correspondientes
a la falta cometida
1. Asistir a foros en los que la Todos 1 día $600
seguridad en la información sea el
tema principal para generar
consciencia sobre la importancia de
la misma

1. Llevar a cabo revisiones periódicas Gerente 2 semanas $6,000

fijas que promuevan la consciencia
sobre la seguridad de la información
2. Documentar los cambios
realizados a las políticas de
seguridad de la información
3. Enviar un memorandum que
informe sobre los cambios realizados
a las políticas de seguridad, así como
una copia actualizada con las mismas

1. Buscar tener herramientas que Gerente 2 días $1,200

protejan contra atacantes externos
sobre la red u otros medios
1. Hacer un análisis sobre las Gerente 1 semana $3,000
necesidades de la empresa respecto
a la seguridad de la información

1. Redactar un documento de Gerente 2 semanas $6,000

procedimientos sobre permisos para
quienes manipulan la información
1. Verificar que los empleados no Gerente 1 día $600
duplicaron la información de la
empresa
1. Redactar un documento sobre la Gerente 2 semanas $6,000
no divulgación de la información de la
empresa y del cliente en que ambos
se comprometan con la seguridad de
la información
2. Redactar un contrato para el
cumplimiento de las seguridad de la
información

17
 ➢ A.7 Gestión de los activos

No DOMINIO PLAN DE ACCIÓN O MEJORA

Alternativas de solución Responsable Duración Costo

3 1. Redactar un manual de procesos y Gerente y 3 semanas $9 000

procedimientos al tratar con los Subgerente
activos de la empresa
2. Redactar un documento para llevar
a cabo la revisión de los activos de la
empresa a modo de bitácora
3. Designar a un encargado por área
para el manejo de los activos de la
empresa
4. Realizar reuniones periódicas para
revisión de informes sobre el manejo
de los activos de la empresa
5. Entregar una copia del manual de
procesos y procedimientos para el
manejo de la información a los
A.7 Gestión de los activos

interesados
6. Capacitar a los encargados para la
revisión del estado de los activos de
la empresa
7. Generar un documento de reporte
de daños o faltas a los activos de la
información

➢ A.11 Control de acceso

No DOMINIO PLAN DE ACCIÓN O MEJORA
Alternativas de solución Responsable Duración Costo

4 A.11 1. Redactar un formato de acceso s la Gerente 2 semanas $6,000

Control de información para hacer registro de
acceso quienes acceden a la información
2. Redactar un documento de
negación o permiso de acceso a la
información a cierto personal de la
empresa autorizado o no

1. Identificar a los usuarios Gerente 2 semanas $6,000

necesarios para el manejo de la
información
2. Adoptar un programa de gestion de
sesiones que ayude a generar y
asignar contraseñas a los usuarios
interesados en la información
1. Asignar encargados de revisar los Gerente 1 semana $3,000
permisos de usuarios actuales

18
1. Asignación de claves y Gerente 1 día $600
contraseñas para los usuarios que
acceden a la información
1. Programar la eliminación periódica Gerente 1 semana $3,000
de archivos que ya no se necesiten 2.
Manejar una carpeta de archivo
muerto digital
1. Manejo de archivo muerto para Gerente 1 semana $3,000
documentos físicos
2. Redactar políticas de seguridad
para dispositivos de almacenamiento
externo/flash así como preferir
unidades propias de la empresa y de
uso exclusivo

1. Selección de sitios web a los que Gerente y 3 semanas $9,000

los usuarios no tendrán acceso Subgerente
mediante el bloqueo de los mismos
2. Segmentación de la red por áreas
para reducir el acceso mediante
equipos remotos a equipos no
autorizados
3. Encargados para la verificación del
cumplimiento de las normas de
seguridad respecto al uso de redes y
recursos compartidos
4. Revisión periodica para la
prevención de instalación de
programas que burlen la seguridad y
las políticas previamente establecidas
5. Reuniones periódicas sobre la
conscientización del uso y acceso a
páginas no autorizadas y los riesgos
que estás páginas sugieren.

1. Adquirir un programa de control de Gerente 1 semana $3,000

acceso a la información
personalizado y de interfaz agrádale
2. Asignación de claves y usuarios
para el acceso a la información para
los interesados
1. Configuración del uso de sesiones Gerente 1 semana $3,000
en los equipos de cómputo que
requieran y utilicen información de
suma importancia para la empresa
mediante la delimitación de tiempo
límite después de la inactividad del
equipo

1. Designar un área específica y Gerente 1 día $600

aislada para los sistemas sensibles
1. Redactar en el manual de procesos Gerente y 3 semanas 9000+A2:S65
y procedimientos la restricción Subgerente
explícita del uso de equipos de
cómputo personales durante las

19
 horas laborales
2. Redactar en el manual de procesos
y procedimientos la restricción
explícita del uso de equipos móviles
personales durante las horas
laborales
3. Tener señalética que recuerde a
los empleados que el uso de
teléfonos y equipo de cómputo
personales está prohibido durante y
en las estaciones de trabajo

➢ A.13 Gestión incidentes en la seguridad de la información.

No DOMINIO PLAN DE ACCIÓN O MEJORA

Alternativas de solución Responsable Duración Costo

1. Designar un formato de reporte de Gerente 1 semana $3,000

información para los interezados
(memorandum, bitácoras, etc)
2. Designar a un encargado de la
revisión y autenticación de que la
información proporcionada a los
interesados jha sido recibida de
manera física o digital
1. Redactar un formato de reporte de Gerente y 1 semana $3,000
debilidades del manejo de la Subgerente
información
2. Enviar una copia del reporte de
debilidades para ser llenado
periódicamente y llevar un manejo
A.13 Gestión incidentes en la seguridad de la información

adecuado de las posibles fallas

3. Dar retroalimentación sobre las
debilidades detectadas por parte de
la empresa y usuarios externos
interesados
1. Redactar en el manual de procesos Gerente y 1 semana $3, 000
y procedimientos quienes son los Subgerente
responsables de llevar a cabo un plan
de riesgos detectado
2. Redactar un documento (bitácora)
de riesgos detectados y anulados o
mitigados que incluya al responsable
de llevar la acción
1. Almacenar las bitácoras de riesgos Gerente 1 semana $3,000
y respuesta a los mismos que se
hayan llevado a cabo hasta el
momento
1. Detectar las autoridades y Gerente 1 semana $3,000
procedimientos correspondientes
para los fallos respecto a la seguridad
de la información

20
 Conclusiones

Con base en la investigación realizada sobre la empresa LiveRoom, el

equipo pudo constatar que se trata de una empresa de tamaño pequeño, con
pocos integrantes, pero con mucha información importante que, de no ser
preservada y cuidada correctamente, podría presentar un enorme riesgo para el
funcionamiento de la misma.

La empresa al día de hoy no se ha preocupado por la seguridad de su

información, por falta de conocimiento su información ha estado desprotegida
durante mucho tiempo, se espera que con las opciones que el quipo auditor
proporciona la seguridad en LiveRoom aumente antes de que haya perdidas
significantes.

21