AUDITORÍA INFORMÁTICA

PRINCIPALES ÁREAS DE LA AUDITORÍA INFORMÁTICA

JAIME RADICH VASQUÉZ
IACC
15/10/2018
 DESARROLLO

1. En una bodega se lleva un control de inventario almacenando la información de

los productos en una base de datos Oracle. Periódicamente se generan reportes de
cuadraturas de los productos en stock y los que han entrado y salido de la bodega,
sin embargo, en los últimos dos meses se han encontrado diferencias entre el
reporte que entrega la base de datos y el inventario manual.

De acuerdo a lo anterior, usted es contratado para conducir una auditoría sobre la

base de datos para revisar si el problema de inconsistencia en los informes
automáticos corresponde a la base de datos o no.
 ¿Qué tipo de auditoría es necesaria en este caso? ¿Es necesario incluir el
sistema operativo sobre el que opera la base de datos y la aplicación que
maneja los datos? Justifique su análisis.

“El diccionario de datos de cada base de datos Oracle tiene una tabla llamada
SYS.AUD$, designada comúnmente como rastro de auditoría de la base de datos. La
base de datos o el rastro de auditoria del sistema operativo puede almacenar todos
los registros de auditoría generados como el resultado de declaraciones, privilegios o
de auditoría de objetos.” IACC (2018).
En este caso resultaría adecuado utilizar un sistema de auditoría que permita
verificar que usuarios y roles tiene acceso al sistema de control, es común en las
empresas que los colaboradores que manejan o administran los sistemas compartan
sus claves aunque estas tengan o den acceso a mas de un rango de roles, es muy
importante que solo tengan acceso los colaboradores que se desempeñan en esa
unidad de negocios en particular, en este caso control de inventario. Se realiza un
examen de los accesos a los datos de una BD, con el fin de medir, monitorear y tener
constancia de los accesos a la información almacenada. Todo apuntado hacia la
seguridad corporativa.
Una auditoría de base de datos, facilita herramientas eficaces para conocer de forma
exacta cual es la relación de los usuarios al acceder a las bases de datos, incluyendo
las acciones que deriven en una generación, modificación o eliminación de datos.
Al realizar una auditoria de BD es también requerida una auditoria del sistema
operativo, la razón es que se pueden detectar anomalías que el sistema pudiera
presentar, lo que podría afectar el correcto funcionamiento de la base de datos, del
mismo modo, el nivel de seguridad que el sistema pueda dar, debe estar plenamente
operativo para no afectar el buen funcionamiento de la BD.

 Proporcione una lista de todos los aspectos auditables (a nivel de base de

datos y/o sistema operativo) que incluiría en su auditoría. Justifique su
elección.
AUDITORÍA JUSTIFICACIÓN

CLVES DE ACCESO Cada una de las claves permite el acceso

ya sea controlado o libre en la
plataforma operativa, es por esto que
existe el riesgo de una mala
manipulación de los datos y con ello la
alteración de la información.

ROLES DE USUARIO Cada usuario tiene un rol especifico que

le permite usar una base de datos, la
seguridad y la veracidad de los datos son
la fuente principal que dan sustento a la
información obtenida.

LINK Es una conexión de una base de datos a

otra, esta disponible para usuarios que
tienen los privilegios necesarios en
ambas BD.

CUENTAS POR DEFECTO Las BD vienen con muchas cuentas por

defecto, que se crean como parte de la
instalación de la BD, la mayor parte de
estas cuentas esta des habilitada solo el
administrador de la BD tiene los
privilegios para habilitar
(usuario/contraseña).
2. Lea atentamente las situaciones planteadas y responda según lo solicitado.

En una empresa dedicada al desarrollo de software existen tres áreas bien

definidas para el ciclo de desarrollo de aplicaciones, estas son: desarrollo,
certificación y producción.
Por normativas de seguridad no deben existir conexiones entre las distintas áreas.
El ciclo de desarrollo se compone de lo siguiente:
* Desarrollo: diseña y programa una aplicación.
* Certificación: toma el diseño y realiza pruebas funcionales (que la aplicación haga
lo que se supone debe hacer).
* Producción: en esta área se disponibiliza la aplicación para ser utilizada con fines
productivos y por lo tanto está expuesta a usuarios y/o Internet.

Usted debe auditar las tres áreas, por ello, se le solicita que prepare un documento
que incluya:
Un cuadro en el que se incorporen las pruebas de auditoría que es posible realizar
en cada área. Considere una descripción breve de todas las pruebas seleccionadas.

PRUEBAS PARA ÁREAS AUDITADAS DESCRIPCIÓN

Desarrollo: Se efectuara una prueba que Cada software que se desarrolla debe
revisara parametros en términos de estar en linea con el propósito de su
funcionalidad de cada software que se creación y el uso que tendrá. La auditoria
desarrolla. verifica que el uso sea acorde al
 propósito de su creación.

Certificación: Prueba de accesibilidad por Se debera probar las claves de acceso

medio de contraseña y verificación de para contra restar si hay vulnerabilidad
bloqueos ante errores de escritura. en el acceso.

Producción: El sistema sera probado para Se ingresa con distintas claves que
corroborar su funcionamiento y acceso a permitirán que se prueben los roles de
la plataforma. cada usuario y así tener el control de
estos roles y de los usuarios.

Una justificación sobre si corresponde o no auditar el uso de buenas prácticas

SSL/TSL, vulnerabilidades de servidor, autentificación, etc.

SSL es el acronimo de Secure Sockets Layer (capa de socket seguro), que es la

tecnología estándar para mantener segura una conexión a Internet, así como para
proteger cualquier información confidencial que circula entre dos sistemas e impedir
que los delincuentes informáticos lean y modifiquen cualquier dato que se transfiera,
incluida información que podría llamarse personal. El principal beneficio de la
seguridad de la capa de transporte es la protección de los datos de la aplicación web,
de la divulgación y modificación no autorizada y entre el servidor de aplicaciones
web y otros servidores o componentes de las empresas.
La seguridad de los sistemas informáticos es de vital importancia´ en la gestión
empresarial, por este motivo es imprescindible su aplicación junto a las
correspondientes pruebas sobre los sistemas SSL y TTS, que servirán como
verdaderas berreras contra amenazas.
BIBLIOGRAFIA

DOCUMENTOS IACC (2018).