REPBLICA BOLIVARIANA DE VENEZUELA

M.P.P PARA LA EDUCACIN UNIVERSITARIA CIENCIA Y TECNOLOGA

PROGRAMA NACIONAL DE FORMACIN EN INFORMTICA

INSTITUTO UNIVERSITARIO DE TECNOLOGA DE LOS LLANOS

EXTENSIN ALTAGRACIA DE ORITUCO

ESTADO GURICO

Plan de auditoria para evaluar el control de acceso de la aplicacin web, utilizada en

la iglesia Nuestra Seora de los Dolores; Urbanizacin Jos Francisco Torrealba de
Altagracia de Orituco, Municipio Monagas, Estado Gurico.

PROFESOR ASESOR: AUTORES

Ing. Msc. Jos Ytriago Gonzales Carlos

Quilimaco Luis
 En funcin de las exigencias y requerimientos de los representantes de la iglesia
Nuestra seora de los Dolores, y tomando como principal objetivo de este informe la
aplicacin de las normas ISO 17799, se procedi hacer un estudio de necesidades del
sistema desarrollado por lo que se delimito principalmente en aplicar las normas
principales que tiene que ver con el acceso al sistema implementado ya que sta
presenta debilidades en la seguridad.

La finalidad de las normas ISO 17799 en su tems 11.5 Control del acceso al
sistema es brindar instrucciones y recomendaciones para la administracin de la
seguridad; as como tambin ofrece una estructura para identificar problemas e
implementar soluciones efectivas a las contingencias en el desarrollo de los sistemas
de informacin desarrollados en las distintas organizaciones por lo tanto las
normas ISO 17799 se usaron como recurso para adecuar y ofrecer un mejor acceso al
sistema.

Con el fin de agilizar y facilitar la lectura del presente informe, el mismo se

expone a travs del siguiente contenido:

Objetivos de la Auditoria
Alcance: cobertura de la evaluacin realizada
Metodologa: soporte y diseo de instrumentos
Hallazgos
Recomendaciones
Calendario de correcciones
Acta de Compromisos
 Objetivos de la auditoria

El objetivo principal de esta auditora es realizar un diagnstico de las

necesidades no cubiertas por las normas ISO 17799, especficamente en su tems11.5
Control del acceso al sistema de informacin desarrollado en la iglesia Nuestra
Seora de los Dolores, esto va a permitir mejorar la implementacin y funcionalidad
de la pgina web desarrollada aumentando la calidad y mejorando ampliamente el uso
del mismo.

Por lo tanto se debe Inspeccionar que los objetivos especficos sean desarrollados
durante la auditoria entre lo que se puede determinar con la Aplicacin de la Norma
ISO 17799 en su tems 11.5 Control del acceso al sistema:

Evitar el acceso no autorizado al sistema.

Supervisar el acceso de los usuarios al sistema.
Garantizar la eficiencia y la seguridad de cambio de clave de usuarios.
Asegurar las validaciones alfanumricas y numricas de los campos de
registro.
Garantizar la seguridad de la data del sistema
 Alcance: cobertura de la evaluacin realizada

El presente informe va dirigido a los estndares de las normas ISO 17799 la cual
corresponden especficamente al acceso del sistema en su tems 11.5 Control del
acceso de informacin desarrollado en tecnologa web en la iglesia nuestra seora de
los dolores. Por lo que es necesario desarrollar cdigos de programacin para
reestructurar la informacin que es controlada para acceder al sistema de
informacin. Por lo que mejora los controles internos del sistema.

AUDITORA: Plan de auditoria para evaluar el control de acceso de la aplicacin

web, utilizada en la iglesia Nuestra Seora de los Dolores; Urbanizacin Jos
Francisco Torrealba de Altagracia de Orituco, Municipio Monagas, Estado Gurico.
USO DE CLAVES DE ACCESOS

PREGUNTAS SI NO N/A
1. muestra la clave secreta y oculta al ingresar la clave
x
mediante smbolos?
2. registro (por ejemplo, papel, archivo en software o x
dispositivo manual) de las claves secretas?
3.Las claves secretas cuentan con la calidad y el largo
x
mnimo suficiente?
4. Las claves poseen letras nmeros y smbolos
x
establecidos por las normas mnimas de calidad?
5. Valida y consulta la clave secreta ingresada
nicamente si el largo mnimo est dentro del rango
x
permitido (saco contrario no debera hacer nada hasta
que este dentro el rango establecido)?
6. Limita el ingreso errneo de clave secreta (Tres
x
intentos y luego un tiempo de bloqueo razonable)?
7. Permite la recuperacin (en caso de que el usuario
olvide su clave) de contrasea mediante un x
procedimiento seguro?
8. Los usuarios registrados son obligados a cambiar su
x
clave temporal en su primer ingreso?
9. Permite a los usuarios registrados el cambio de
x
clave?
10. No Permite el reso de las tres ltimas claves
x
utilizadas?
11. El cambio de clave de usuario registrado solo se
x
valida si cumple con el ingreso de una clave adecuada?

Metodologa: soporte y diseo de instrumentos

Bsicamente el camino metodolgico que se utiliz para el logro de los objetivos

propuesto:

Primeramente la tcnica de la observacin directa y la entrevista

Instrumentos: Registro de notas para la observacin
Entrevista abierta no estructuradas

Procedimiento realizado:

En Primer lugar se realiz la observacin directa y participativa sobre el sistema

de informacin de desarrollo web realizado a la iglesia nuestra seora de los
dolores para diagnosticar las necesidades referentes al uso del sistema
principalmente en el acceso a la informacin. Para lo cual se retroalimento con
los usuarios el funcionamiento del sistema.

Posteriormente se continuo con las entrevistas abiertas no estructuras para

responder a las interrogantes de las necesidades nuevas que plantean los usuarios
del sistema basadas en las problemticas planteadas .
 Finalmente se trabaj Con la triangulacin ya que se estructuro la
entrevista realizada , para luego contrastarla con la teora de las normas ISO
17799. Y as poder determinar cul de los estndares aplicaban para realizar las
respectivas modificaciones necesarias para el funcionamiento

Hallazgos

Entre los problemas planteados por los usuario se consider que el sistema no
cumple con los estndares siguiente:

Normas referidas a los controles de accesos al sistema.

El ingreso de la clave secreta es muy riesgoso y fcil de vulnerar.

El largo mnimo de las claves no es el adecuado, son demasiado cortos y
tienen un alto grado de vulnerabilidad
No limita el ingreso errneo de clave secreta.
No bloquea un tiempo prudente antes de volver a intentar ingresar la clave
secreta despus de los intentos errneos.
No permite la recuperacin de contrasea.
Los usuarios nuevos no son obligados a cambiar su clave en su primer
ingreso al sistema.
No permite a los usuarios registrados el cambio de su clave secreta.
No existe una bitcora de registro de actividades (Ingresos al sistema,
salidas del sistema, eliminacin, modificacin y/o creacin de usuarios)
Permite el registro o creacin de nuevos usuarios sin haber llenado todos los
campos de la planilla de registro.
No limita el nmero de veces de intento de registro.
Al terminar el registro de un nuevo usuario no muestra los detalles (Fecha,
Hora y da)
La bitcora de registro de las actividades realizadas por los usuarios y
administrador estn en una tabla junto a la informacin manejada por la
comunidad.
No muestra una pantalla con la razn del cierre de sesin.
 Recomendaciones

Se recomienda alfabetizacin tecnolgica sobre el uso del

sistema debido a los nuevos cambios Realizado.
Aplicacin de los estndares de la norma ISO 17799 Especficamente la de
los controles de acceso.
Evitar el registro de clave de forma visible.
Elevar el largo mnimo de caracteres al momento de crear una clave secreta,
con forme a normas internacionales.
Modificar la validacin de clave, de manera que sea obligatorio que una
contrasea contenga letras nmeros y smbolos.
Modificar los parmetros del ingreso de clave de manera que no consulte ni
realice nada si el nmero de caracteres no est dentro el rango establecido.
Limitar el nmero de ingresos errneos de clave secreta.
Bloquear un tiempo prudente antes de volver a permitir el ingreso de clave
secreta, despus de tres intentos errneos o fallidos.
Permitir la recuperacin de contrasea mediante un procedimiento
confiable.

Obligar a los usuarios creados a cambiar su contrasea en su primer ingreso

al sistema.
Permitir a los usuarios creados cambiar su clave secreta.
No permitir el reus de claves secretas.
No permitir el cambio de clave si la nueva clave no cumple los rangos
mnimos establecidos.
Los privilegios de Eliminar, modificar y/o deben ser nicamente del
administrador.
Utilizar claves nicas al momento de crear usuarios.
Crear una bitcora que registre toda actividad en el sistema (Ingresos,
modificaciones, creaciones, eliminaciones, / fechas, horas y tareas)
No permitir el registro un nuevo usuario sin que todos los campos de
registro no estn completos y correctamente llenados.
Limitar el nmero de intentos de registro, despus de tres intentos errneos
o fallidos.
Forzar un tiempo prudente antes de volver a intentar registrarse despus de
tres intentos fallidos o errneos.
 Al terminar el registro de un nuevo usuario deber mostrar los detalles de
ese registro (Fecha, da y hora)

Despus de un tiempo de inactividad la sesin iniciada debe serrarse

automticamente. De esta manera proteger toda la informacin.
Mostrar una pantalla explicando el motivo de cierre de sesin.

Calendario de correcciones

Actividades / Semanas 1 2 3 4 5 6 7 8 9

Adecuar las caractersticas propias

de la auditoria Normas ISO 17799

Corregir y ajustar la Redaccin o

Transcribir la informacin

Programar Sistema de Acceso

Imprimir el informe