Principales áreas de la auditoría informática

Auditoria Informática

Instituto IACC

01 de abril de 2019
 Desarrollo

1. En una bodega se lleva un control de inventario almacenando la información de

los productos en una base de datos Oracle. Periódicamente se generan reportes

de cuadraturas de los productos en stock y los que han entrado y salido de la

bodega, sin embargo, en los últimos dos meses se han encontrado diferencias

entre el reporte que entrega la base de datos y el inventario manual.

De acuerdo a lo anterior, usted es contratado para conducir una auditoría sobre la base

de datos para revisar si el problema de inconsistencia en los informes automáticos

corresponde a la base de datos o no.

 ¿Qué tipo de auditoría es necesaria en este caso? ¿Es necesario incluir el sistema

operativo sobre el que opera la base de datos y la aplicación que maneja los datos?

R.- Para este caso es necesaria la verificación de usuarios que tienen acceso al sistema de

control y sus roles en él, ya que por ejemplo el acceso de un usuario no autorizado a través de

una clave valida, o por un equipo que quedo “abierto” puede provocar unapérdida o

modificación de datos que finalmente afectara el reporte entregado por la base de datos.

Una auditoria de base de datos es la que para este caso en concreto nos brinda las herramientas

más eficaces para determinar la relación de los usuarios al acceder a las bases de datos,

incluyendo los movimientos que generen modificación o eliminación de datos.

Este tipo de auditoria requiere que conjuntamente se audite el sistema operativo, con el objetivo

de detectar anomalías en este que afecten el funcionamiento óptimo de la base de datos, además

que el nivel de seguridad ofrecido por el sistema operativo sea el necesario para garantizar el

resguardo frente a manipulaciones no autorizadas de la base de datos.

sistema operativo) que incluiría en su auditoría.

Tópico a auditar Motivo

Claves de Acceso Al permitir estas el acceso al sistema y la base de datos, se

convierten en un punto de riesgo, ya que un descuido o un mal

uso de ellas como compartirla puede conllevar a una pérdida o

modificación de los datos.

Roles de los usuarios activos Los roles determinan el nivel de manejo que el usuario tiene

con respecto a los datos, un mal manejo de estos puede dar a

un usuario inexperto la posibilidad de realizar modificaciones

que están a nivel de un usuario de mayor rango y experiencia.

riesgo si es accesible a personal no autorizado o ajeno a la

compañía.

Cuentas por defecto Verificar el estado de las cuentas creada por defecto, ya que

alguna cuenta que este habilitada puede tener roles o

privilegios que permitan el uso malintencionado de estas.

En una empresa dedicada al desarrollo de software existen tres áreas bien definidas

para el ciclo de desarrollo de aplicaciones, estas son: desarrollo, certificación y

producción.

Por normativas de seguridad no deben existir conexiones entre las distintas áreas. El

ciclo de desarrollo se compone de lo siguiente:

 Desarrollo: diseña y programa una aplicación.

 Certificación: toma el diseño y realiza pruebas funcionales (que la aplicación

haga lo que se supone debe hacer).

 Producción: en esta área se disponibiliza la aplicación para ser utilizada

con fines productivos y por lo tanto está expuesta a usuarios y/o internet.

Usted debe auditar las tres áreas, por ello, se le solicita que prepare un documento que

incluya:
 Un cuadro en el que se incorporen las pruebas de auditoría que es posible realizar en cada

área. Considere una descripción breve de todas las pruebas

seleccionadas.

Área Pruebas de auditoria Detalle

Desarrollo Pruebas de direccionamiento Verificar que el proceso de

desarrollado se enfoque en el

propósito principal del

software manteniendo su

funcionalidad óptima y

segura.

Certificación Pruebas de accesibilidad y Verificar el correcto

de autenticación, comprobar

la existencia de

vulnerabilidades.

Producción Pruebas de funcionalidad Verificación de cumplimiento

de plazos de entrega y

cumplimiento de requisitos

declarados.
Una justificación sobre si corresponde o no auditar el uso de buenas prácticas SSL/TSL,

vulnerabilidades de servidor, autentificación, etc.

SSL es el acrónimo de Secure Sockets Layer (capa de sockets seguros), la tecnología

estándar para mantener segura una conexión a Internet, así como para proteger cualquier

información confidencial que se envía entre dos sistemas e impedir que usuarios no

autorizados accedan y o modifiquen cualquier dato transferido, incluida información que

pudiera considerarse de relevancia para la organización.

La seguridad de los sistemas informáticos tiene un alto nivel de implicancia para cada

empresa, por tal motivo, es necesario que se apliquen las medidas de seguridad junto a las

correspondientes pruebas sobre los sistema SSL y TTS que sirven como barreras de

protección ante amenazas que puedan afectar la vulnerabilidad de los sistemas.

Contenidos para la semana 7 – Auditoria informática – IACC 2019

Contenidos adicionales para la semana 7 – Auditoria informática – IACC 2019