Proyecto Auditoria

REPÚBLICA BOLIVARIANA DE VENEZUELA

INSTITUTO UNIVERSITARIO POLITÉCNICO

“SANTIAGO MARIÑO”

EXTENSIÓN CARACAS

INGENIERÍA DE SISTEMAS

AUDITORIA

Caracas, Julio de 2013

Índice General

INFORME DE AUDITORIA http://www.mcti.gob.ve/ Vs http://www.ibm.com/ve/es/ 3

MOTIVO DE LA AUDITORIA 3

OBJETIVO DE LA AUDITORIA 3

ALCANCE DE LA AUDITORIA 3

ACLARACIONES PREVIAS 3

EL PRINCIPIO DE DISEÑO USABLE 3

OBTENCIÓN DEL CERTIFICADO DE CALIDAD WEB W3C A NUESTRO PORTAL ICCI 5

TÉCNICAS DE CAJA NEGRA 5

METODOLOGÍA Y RESULTADOS 6

COMENTARIOS Y OBSERVACIONES 8

RECOMENDACIONES 9

CONCLUSIONES 9

CARACAS 15 DE JULIO DE 2013 10

FIRMA AUDITORES 10

DISTRIBUIDORA QUIMISOL, C.A. 12

MOTIVO DE LA AUDITORIA 12

OBJETIVO DE LA AUDITORIA 12

ALCANCE DE LA AUDITORIA 12

ESTRUCTURA ORGANIZACIONAL FUNCIÓN EN EL ÁREA Y/O SISTEMA AUDITAR 13

DEPARTAMENTO PLATAFORMA: 13

SISTEMAS Y PROCESOS YA IMPLANTADOS 13

HARDWARE 15

ACLARACIONES PREVIAS 15

RESULTADOS DE LA AUDITORIA 15

COMENTARIOS Y OBSERVACIONES 17

RECOMENDACIONES 18

CONCLUSIONES 19

CARACAS 16 DE JULIO DE 2013 19

FIRMA AUDITORES 19

INFORME DE AUDITORIA http://www.mcti.gob.ve/ Vs http://www.ibm.com/ve/es/

MOTIVO DE LA AUDITORIA

Inspección del sitio web (página Web de IBM vs Ministerio de Ciencia y Tecnología) a partir de una lista de puntos de revisión que evalúan la facilidad de uso (usabilidad) y el alineamiento de los contenidos y servicios que ofrece el sitio web respecto a los objetivos de la entidad.

OBJETIVO DE LA AUDITORIA

Realizar un análisis de la página web para establecer un diagnóstico de la situación y proponer acciones enfocadas a la mejora del rendimiento de la página web desde un punto de vista de la experiencia de usuario.

ALCANCE DE LA AUDITORIA

 Información General

 Amplitud Informativa

 Contenido Básico

 Promoción y Divulgación

 Desempeño.

ACLARACIONES PREVIAS

Las páginas web son un activo tangible de cualquier empresa y el primer medio de comunicación. Cuando se lleva a cabo una auditoria se debe realizar un estudio exhaustivo de todas y cada una de las secciones y apartados que componen la página, de terminando que la página ha sido diseñada da tomando en cuenta:

EL PRINCIPIO DE DISEÑO USABLE

La Organización Internacional para la Estandarización (ISO) ofrece dos definiciones de usabilidad:

ISO/IEC 9126: “La usabilidad se refiere a la capacidad de un software de ser comprendido, aprendido, usado y ser atractivo para el usuario, en condiciones específicas de uso”

ISO/IEC 9241: “Usabilidad es la eficiencia y satisfacción con la que un producto permite alcanzar objetivos específicos a usuarios específicos en un contexto de uso específico”

La distinción entre usabilidad – facilidad de uso – y accesibilidad, es difícil y en muchos casos innecesaria. Además, la accesibilidad debe ser entendida como parte de y al mismo tiempo requisito para la usabilidad, puesto que la accesibilidad no sólo implica la necesidad de facilitar acceso, sino también la de facilitar el uso. No obstante, no está de más dar unas indicaciones generales sobre usabilidad en particular.

El diseñador de usabilidad proporciona un punto de vista independiente de las metas de la programación porque el papel del diseñador es actuar como defensor del usuario. Por ejemplo, tras interactuar con los usuarios, el diseñador de usabilidad puede identificar necesidades funcionales o errores de diseño que no hayan sido anticipados, logrando ejemplificar una Estructura Funcional del Sistema Propuesto.

La siguiente imagen ilustra las relaciones entre los elementos desde el punto de vista de la Web como interfaz de software (orientado a las tareas) y la Web como Sistema de Hipertexto (orientado a la Información)

OBTENCIÓN DEL CERTIFICADO DE CALIDAD WEB W3C A NUESTRO PORTAL ICCI

W3C es la sigla utilizada por la World Wide Consortium, una organización mundial que se encarga de estudiar, desarrollar y perfeccionar los estándares y recomendaciones que sirve como guía para la elaboración de una web de calidad. La misión de la organización es conducir a la Web a desarrollar su máximo potencial.

Cumplir con la validación W3C es una buena práctica que no sólo nos provee la satisfacción de saber que nuestra web cumple con esos estándares, es decir, está bien hecha, sino que también nos permite proyectar profesionalismo hacia afuera, ya sean nuestros usuarios, clientes o competidores.

TÉCNICAS DE CAJA NEGRA

1. Vulnerabilidades de tipo 'deface';

2. Vulnerabilidades de tipo 'cross-site scripting';

3. Vulnerabilidades de tipo 'spoofing';

4. Vulnerabilidades de tipo inyección de SQL;

5. Vulnerabilidades de tipo inyección de código;

6. Vulnerabilidades derivadas de la validación de entrada / salida;

7. Vulnerabilidades derivadas del análisis de tiempos;

8. Vulnerabilidades de sincronización;

9. Vulnerabilidades de tipo desbordamiento de memoria;

10. Vulnerabilidades basadas en secuestro de sesiones;

11. Vulnerabilidades en los equipos de la red local;

12. Vulnerabilidades basadas en 'sniffing' de la red;

13. Vulnerabilidades basadas en escaladas de privilegio;

14. Vulnerabilidades en la gestión de contraseñas.

15. Inyección de código;

16. Autenticación incompleta y gestión de sesiones;

17. Referencias directas a objetos inseguros;

18. Configuración incorrecta de la seguridad de aplicaciones;

19. Almacenamiento criptográfico inseguro;

20. Problemas de acceso a URLs restringidas;

21. Protección del nivel de transporte insuficiente;

22. Redirecciones no validadas.

METODOLOGÍA Y RESULTADOS

Para realizar la auditoria aplicamos la inspección empleando una técnica de evaluación llamada Test Heurístico de Usabilidad. La misma consiste en buscar potenciales problemas que afecten la correcta comprensión y uso de la página web por parte de los usuarios, comprobando el cumplimiento de los Principios de Diseño Usable (heurísticos).

Adicionalmente

...