Proyecto Auditoria

REPÚBLICA BOLIVARIANA DE VENEZUELA

INSTITUTO UNIVERSITARIO POLITÉCNICO

“SANTIAGO MARIÑO”

EXTENSIÓN CARACAS

INGENIERÍA DE SISTEMAS

AUDITORIA

Caracas, Julio de 2013

Índice General

INFORME DE AUDITORIA http://www.mcti.gob.ve/ Vs http://www.ibm.com/ve/es/ 3

MOTIVO DE LA AUDITORIA 3

OBJETIVO DE LA AUDITORIA 3

ALCANCE DE LA AUDITORIA 3

ACLARACIONES PREVIAS 3

EL PRINCIPIO DE DISEÑO USABLE 3

OBTENCIÓN DEL CERTIFICADO DE CALIDAD WEB W3C A NUESTRO PORTAL ICCI 5

TÉCNICAS DE CAJA NEGRA 5

METODOLOGÍA Y RESULTADOS 6

COMENTARIOS Y OBSERVACIONES 8

RECOMENDACIONES 9

CONCLUSIONES 9

CARACAS 15 DE JULIO DE 2013 10

FIRMA AUDITORES 10

DISTRIBUIDORA QUIMISOL, C.A. 12

MOTIVO DE LA AUDITORIA 12

OBJETIVO DE LA AUDITORIA 12

ALCANCE DE LA AUDITORIA 12

ESTRUCTURA ORGANIZACIONAL FUNCIÓN EN EL ÁREA Y/O SISTEMA AUDITAR 13

DEPARTAMENTO PLATAFORMA: 13

SISTEMAS Y PROCESOS YA IMPLANTADOS 13

HARDWARE 15

ACLARACIONES PREVIAS 15

RESULTADOS DE LA AUDITORIA 15

COMENTARIOS Y OBSERVACIONES 17

RECOMENDACIONES 18

CONCLUSIONES 19

CARACAS 16 DE JULIO DE 2013 19

FIRMA AUDITORES 19

INFORME DE AUDITORIA http://www.mcti.gob.ve/ Vs http://www.ibm.com/ve/es/

MOTIVO DE LA AUDITORIA

Inspección del sitio web (página Web de IBM vs Ministerio de Ciencia y Tecnología) a partir de una lista de puntos de revisión que evalúan la facilidad de uso (usabilidad) y el alineamiento de los contenidos y servicios que ofrece el sitio web respecto a los objetivos de la entidad.

OBJETIVO DE LA AUDITORIA

Realizar un análisis de la página web para establecer un diagnóstico de la situación y proponer acciones enfocadas a la mejora del rendimiento de la página web desde un punto de vista de la experiencia de usuario.

ALCANCE DE LA AUDITORIA

 Información General

 Amplitud Informativa

 Contenido Básico

 Promoción y Divulgación

 Desempeño.

ACLARACIONES PREVIAS

Las páginas web son un activo tangible de cualquier empresa y el primer medio de comunicación. Cuando se lleva a cabo una auditoria se debe realizar un estudio exhaustivo de todas y cada una de las secciones y apartados que componen la página, de terminando que la página ha sido diseñada da tomando en cuenta:

EL PRINCIPIO DE DISEÑO USABLE

La Organización Internacional para la Estandarización (ISO) ofrece dos definiciones de usabilidad:

ISO/IEC 9126: “La usabilidad se refiere a la capacidad de un software de ser comprendido, aprendido, usado y ser atractivo para el usuario, en condiciones específicas de uso”

ISO/IEC 9241: “Usabilidad es la eficiencia y satisfacción con la que un producto permite alcanzar objetivos específicos a usuarios específicos en un contexto de uso específico”

La distinción entre usabilidad – facilidad de uso – y accesibilidad, es difícil y en muchos casos innecesaria. Además, la accesibilidad debe ser entendida como parte de y al mismo tiempo requisito para la usabilidad, puesto que la accesibilidad no sólo implica la necesidad de facilitar acceso, sino también la de facilitar el uso. No obstante, no está de más dar unas indicaciones generales sobre usabilidad en particular.

El diseñador de usabilidad proporciona un punto de vista independiente de las metas de la programación porque el papel del diseñador es actuar como defensor del usuario. Por ejemplo, tras interactuar con los usuarios, el diseñador de usabilidad puede identificar necesidades funcionales o errores de diseño que no hayan sido anticipados, logrando ejemplificar una Estructura Funcional del Sistema Propuesto.

La siguiente imagen ilustra las relaciones entre los elementos desde el punto de vista de la Web como interfaz de software (orientado a las tareas) y la Web como Sistema de Hipertexto (orientado a la Información)

OBTENCIÓN DEL CERTIFICADO DE CALIDAD WEB W3C A NUESTRO PORTAL ICCI

W3C es la sigla utilizada por la World Wide Consortium, una organización mundial que se encarga de estudiar, desarrollar y perfeccionar los estándares y recomendaciones que sirve como guía para la elaboración de una web de calidad. La misión de la organización es conducir a la Web a desarrollar su máximo potencial.

Cumplir con la validación W3C es una buena práctica que no sólo nos provee la satisfacción de saber que nuestra web cumple con esos estándares, es decir, está bien hecha, sino que también nos permite proyectar profesionalismo hacia afuera, ya sean nuestros usuarios, clientes o competidores.

TÉCNICAS DE CAJA NEGRA

1. Vulnerabilidades de tipo 'deface';

2. Vulnerabilidades de tipo 'cross-site scripting';

3. Vulnerabilidades de tipo 'spoofing';

4. Vulnerabilidades de tipo inyección de SQL;

5. Vulnerabilidades de tipo inyección de código;

6. Vulnerabilidades derivadas de la validación de entrada / salida;

7. Vulnerabilidades derivadas del análisis de tiempos;

8. Vulnerabilidades de sincronización;

9. Vulnerabilidades de tipo desbordamiento de memoria;

10. Vulnerabilidades basadas en secuestro de sesiones;

11. Vulnerabilidades en los equipos de la red local;

12. Vulnerabilidades basadas en 'sniffing' de la red;

13. Vulnerabilidades basadas en escaladas de privilegio;

14. Vulnerabilidades en la gestión de contraseñas.

15. Inyección de código;

16. Autenticación incompleta y gestión de sesiones;

17. Referencias directas a objetos inseguros;

18. Configuración incorrecta de la seguridad de aplicaciones;

19. Almacenamiento criptográfico inseguro;

20. Problemas de acceso a URLs restringidas;

21. Protección del nivel de transporte insuficiente;

22. Redirecciones no validadas.

METODOLOGÍA Y RESULTADOS

Para realizar la auditoria aplicamos la inspección empleando una técnica de evaluación llamada Test Heurístico de Usabilidad. La misma consiste en buscar potenciales problemas que afecten la correcta comprensión y uso de la página web por parte de los usuarios, comprobando el cumplimiento de los Principios de Diseño Usable (heurísticos).

Adicionalmente se evaluó la correcta visibilidad de la página web en Google y otros motores de búsqueda. El Test será respondido por los auditores Meifer Llamas, el mismo estará integrado por preguntas cerradas donde las respuestas serán si (S) no (N) el mismo se apreciara en el Siguiente Cuestionario.

IBM MCT

Nro. PREGUNTAS S N S N

INFORMACION ENERAL:

1 ¿Se identifica claramente el nombre de la organización en la página? X X

2 ¿En la página se muestra información relacionada a los servicios que presta con claridad? X X

3 ¿Se identifican las autoridades teléfonos y sucursales de la organización? X X

AMPLITUD INFORMATICA:

4 ¿Se identifica con claridad en la página la Visión, Misión, Objetivos y Valores Institucionales? X X

5 ¿Existe un link de las noticias recientes, actualización de temas y funcionan satisfactoriamente? X X

CONTENIDO BASICO:

6 ¿Existe información presente, clara sobre los pasos a seguir para solicitar los servicios ofrecidos por la organización? X X

7 ¿Se visualiza información relacionada con el propósito fundamental del organismo? X X

8 ¿Se logra visualizar con facilidad las pestañas que proporcionan información con mayor amplitud en relación a los objetivos, funciones, noticias, etc, y éstos funcionan satisfactoriamente? X X

9 ¿Muestra la pagina mensajes de error, al cometerlos el usuario? X X

10 ¿La página web presenta instructivos de ayuda claros, precisos? X X

DESEMPEÑO

11 ¿Se ha tenido en cuenta la accesibilidad de usuarios con discapacidades? X X

12 ¿El usuario puede realizar las operaciones con facilidad a la velocidad esperada? X X

13 ¿Es fácil acceder a la página en Google y cualquier otro motor de búsqueda? X X

Aplicando las TAACs pueden mejorar la efectividad y eficiencia de los procedimientos de auditoría. Pueden también proporcionar pruebas de control efectivas. Se utilizó la herramienta de la pagina web http://webscore.wsiworld.com donde se refleja lo siguiente:

http://www.ibm.com

http://www.mcti.gob.ve

Bueno Total

Puntuación resumida de este sitio web.

Bueno Accesibilidad

¿Qué tan accesible es el sitio web para los usuarios móviles y los discapacitados.

Promedio Experiencia

¿Cómo satisfacer el sitio web es probable que sea para los usuarios.

Promedio Mercadeo

¿Qué tan bien comercializado, y el sitio web es muy popular.

Bueno Tecnología

¿Qué tan bien diseñado y construido el sitio web es.

Bueno Total

Puntuación resumida de este sitio web.

Bueno Accesibilidad

¿Qué tan accesible es el sitio web para los usuarios móviles y

...