Principales áreas de la auditoría informática

Auditoria Informática

Instituto IACC

23-12-2019
 Desarrollo

1. En una bodega se lleva un control de inventario almacenando la información de los

productos en una base de datos Oracle. Periódicamente se generan reportes de
cuadraturas de los productos en stock y los que han entrado y salido de la bodega, sin
embargo, en los últimos dos meses se han encontrado diferencias entre el reporte que
entrega la base de datos y el inventario manual.

De acuerdo a lo anterior, usted es contratado para conducir una auditoría sobre la base de datos
para revisar si el problema de inconsistencia en los informes automáticos corresponde a la base
de datos o no.

 ¿Qué tipo de auditoría es necesaria en este caso? ¿Es necesario incluir el sistema
operativo sobre el que opera la base de datos y la aplicación que maneja los datos?
Justifique su análisis.

La utilización de un sistema de auditoría que permita verificas los usuarios y roles que tienen
acceso al sistema de control. Es muy común en las empresas que los trabajadores que manejar
sistemas se compartan sus claves y en especial cuando ciertas de estas tienen un mayor rango de
roles para manipular información, razón por la que se requiere que solo tengan acceso los
trabajadores que se desempeñan en esa unidad de negocio, (control de inventario), puesto que la
manipulación de datos puede afectar y distorsionar los reportes que se obtienen de manera
periódica.

Se realiza un examen de los accesos a los datos almacenados en las bases de datos con el fin de
poder medir, monitorear y tener constancia de los accesos a la información almacenada en las
mismas. Si bien el objetivo puede variar en función de la casuística, en todos los casos el fin
último persigue, de uno u otro modo, la seguridad corporativa.

Una auditoría de base de datos, por lo tanto, facilita herramientas eficaces para conocer de forma
exacta cuál es la relación de los usuarios a la hora de acceder a las bases de datos, incluyendo las
actuaciones que deriven en una generación, modificación o eliminación de datos.

Este tipo de auditoría aplicada sobre una base de datos requiere que de forma conjunta se audite
el sistema operativo, la razón fundamental es que se pueden detectar ciertas anomalías que el
sistema este presentando lo que afectara la operatividad de esta base de datos, asimismo, el nivel
de seguridad que se pueda dar por medio del sistema y que puedan repercutir notoriamente en la
manipulación de la base de datos.

 Proporcione una lista de todos los aspectos auditables (a nivel de base de datos y/o
sistema operativo) que incluiría en su auditoría. Justifique su elección.
 Auditoria Justificación
Claves de accesos Cada una de las claves permite el acceso ya sea controlado o libre en la
plataforma operativa, por ende existe el riesgo de una incorrecta
manipulación de los datos que puede alterar la información.
Roles de los Cada usuario tiene un rol específico que le permite usar una base de datos,
la seguridad y la veracidad de los datos son la fuente principal que dan
usuarios. sustento a la información obtenida.
Los links Este enlace que une base de datos puede provocar serias distorsiones y ser
usado para fines que no son los propios de la empresa.
Las cuentas por Durante el uso de la base de datos se van creando una serie de usuarios y
contraseñas que están deshabilitadas, solo un usuario con el rol de
defecto administrador tiene la capacidad de poder activarla o desactivarlas, ya que
algunos de estos pueden estar con roles más específicos que al ser usado
con intenciones poco éticas pueden afectar la operatividad del negocio.

2. Lea atentamente las situaciones planteadas y responda según lo solicitado.

Usted debe auditar las tres áreas, por ello, se le solicita que prepare un documento que incluya:

 Un cuadro en el que se incorporen las pruebas de auditoría que es posible realizar en cada
área. Considere una descripción breve de todas las pruebas seleccionadas.

Pruebas para las Áreas auditadas Descripción

Desarrollo: se efectuara una prueba que para
revisar los primeros parámetros de
funcionamiento en términos de funcionalidad
de cada software que se desarrolla.
Certificación; prueba de accesibilidad por
medio de contraseña y verificación de
bloqueos ante errores de escritura.
Producción; el sistema será probado para
constata su funcionamiento y acceso a la
plataforma.
Cada software que se desarrolla debe estar
alineado con el propósito de creación y el uso
que tendrá, de esta forma por medio de la
revisión se estará verificando que su uso se
acorde al propósito de su creación.
Se deberá probar las claves de acceso para
contrarrestar si hay vulnerabilidad en el
acceso.
Se ingresaran con distintas claves que
permitirán que se prueben los roles que tendrá
cada usuario y así tener el control de los
distintos roles que deberán estar relacionados
con cada usuario.

 Una justificación sobre si corresponde o no auditar el uso de buenas prácticas SSL/TSL,

vulnerabilidades de servidor, autentificación, etc.
la tecnología estándar para mantener segura una conexión a Internet, así como para proteger
cualquier información confidencial que se envía entre dos sistemas e impedir que los
delincuentes lean y modifiquen cualquier dato que se transfiera, incluida información que
pudiera considerarse personal. El principal beneficio de la seguridad de la capa de transporte es
la protección de los datos de la aplicación web de la divulgación y modificación no autorizada
cuando se transmite entre clientes (navegadores web) y el servidor de aplicaciones web y entre el
servidor de aplicaciones web y otros servidores o componentes empresariales.

La seguridad de los sistemas informáticos tiene un alto nivel de implicancia para cada empresa,
por tal motivo, es necesario que se apliquen las medidas de seguridad junto a las
correspondientes pruebas sobre los sistema SSL y TTS que sirven como barreras de protección
ante amenazas que puedan afectar la vulnerabilidad de los sistemas. La información que viaja
debe contar con la protección adecuada que frene fugas o ataques que tengan por objetivo robar
información.