Principales áreas de la auditoría informática.

Eduardo Andrés Flores Sepúlveda

Auditoria Informática

Instituto IACC

31 de Marzo 2019
 Desarrollo.

1. En una bodega se lleva un control de inventario almacenando la información de los

productos en una base de datos Oracle. Periódicamente se generan reportes de
cuadraturas de los productos en stock y los que han entrado y salido de la bodega, sin
embargo, en los últimos dos meses se han encontrado diferencias entre el reporte que
entrega la base de datos y el inventario manual.

De acuerdo a lo anterior, usted es contratado para conducir una auditoría sobre la base
de datos para revisar si el problema de inconsistencia en los informes automáticos
corresponde a la base de datos o no.

¿Qué tipo de auditoría es necesaria en este caso? ¿Es necesario incluir el sistema
operativo sobre el que opera la base de datos y la aplicación que maneja los datos?
Justifique su análisis.

Luego de analizado el planteamiento de este caso, lo más óptimo sería la utilización de

un sistema de auditoría, la cual nos permita verificar los usuarios y roles que cada
uno de ellos tienen, en cuanto al acceso al sistema de control. Puesto que es una práctica
muy común dentro de las organizaciones, que los trabajadores que manejan sistemas
compartan sus claves, especialmente cuando ciertas claves tienen un mayor rango de
roles, en cuanto a la manipulación de la información, se hace imperante que solo
tengan acceso aquellos trabajadores que se desempeñan en esa unidad específica de
negocio, mantener mayor control del inventario, pues de no ser así, la mala
manipulación de los datos, pueden perjudicar y distorsionar los reportes que se
obtienen de manera periódica, con información errónea.

Por lo tanto, primeramente, se realiza un examen de los accesos a los datos almacenados
en las bases de datos, con el objetivo de medir, monitorear y tener constancia real de los
accesos a la información almacenada en las mismas. Y si bien es cierto, el objetivo
puede variar en función de cada caso particular, en todos los casos, nuestro objetivo
final, es la seguridad organizacional.

Esta auditoría de base de datos, es una herramienta facilitadora y eficaz para conocer de
manera estricta cuál es la relación de los usuarios a la hora de acceder a las bases de
datos, incluyendo las actuaciones de éstos, lo cual deriva a generar, modificar o eliminar
datos.

Cabe señalar que este tipo de auditoría aplicada sobre una base de datos, a su vez
requiere que de forma conjunta se audite el sistema operativo, puesto que de esta
forma se pueden detectar anomalías presentes en el sistema, que pudieran afectar la
operatividad de la base de datos, de igual forma, podrá detectar anomalías el nivel de
seguridad, que se pueda dar por medio del sistema, que pudieran repercutir
notoriamente en la manipulación de la base de datos.

 Proporcione una lista de todos los aspectos auditables (a nivel de base de datos
y/o sistema operativo) que incluiría en su auditoría. Justifique su elección.

Lista de aspectos que serán auditados:

Auditoria. Justificación
Roles de los Puesto que cada usuario tiene un rol específico, lo que le permite usar
usuarios. una base de datos, donde la seguridad y la veracidad de los datos, son la
fuente principal que, son la base de la información obtenida.
Claves de Puesto que cada una de las claves, nos permite el acceso, tanto
accesos controlado, como libre en la plataforma operativa, por lo tanto existe
riesgo de darse una incorrecta manipulación de los datos, lo que puede
alterar la información.
Las cuentas Puesto que durante el uso de la base de datos, se van creando una serie
por defecto de usuarios y con ello contraseñas, las que están deshabilitadas, pues
solo un usuario con el rol de administrador, tiene la facultad de poder
activarla o desactivarlas, puesto que, algunos de estos cuentan con roles
más específicos, y al ser utilizados con intenciones poco éticas pueden
afectar la operatividad de la organización.
Los links Por último, este enlace que une la base de datos, es importante auditar,
puesto que, pueden causar serias distorsiones, al ser utilizadas con fines
que no son propios de la organización.
2. Lea atentamente las situaciones planteadas y responda según lo solicitado.

En una empresa dedicada al desarrollo de software existen tres áreas bien definidas para
el ciclo de desarrollo de aplicaciones, estas son: desarrollo, certificación y producción.
Por normativas de seguridad no deben existir conexiones entre las distintas áreas. El
ciclo de desarrollo se compone de lo siguiente:
Desarrollo: diseña y programa una aplicación.
Certificación: toma el diseño y realiza pruebas funcionales (que la aplicación haga lo
que se supone debe hacer).
Producción: en esta área se disponibiliza la aplicación para ser utilizada con fines
productivos y por lo tanto está expuesta a usuarios y/o internet.

Usted debe auditar las tres áreas, por ello, se le solicita que prepare un documento que
incluya:

Un cuadro en el que se incorporen las pruebas de auditoría que es posible realizar en

cada área. Considere una descripción breve de todas las pruebas seleccionadas.

Cuadro de pruebas de auditoría.

Pruebas para las Áreas auditadas Descripción

Desarrollo: se realizará una prueba, Puesto que cada software que se desarrolla
con el objetivo de revisar los primeros debe estar alineado, con el propósito de
parámetros de actividad en términos creación y el uso que tendrá, de tal manera que
de funcionalidad de cada software que por medio de la revisión será verificado que
se desarrolla. su utilización, es acorde al propósito por el
cual se creó.
Certificación: se realizará una prueba Por lo que, se chequearan las claves de acceso,
de accesibilidad, a través de con el objetivo de contrarrestar la existencia de
establecer una contraseña y verificar vulnerabilidad en el acceso.
los bloqueos ante errores de escritura
que se puedan presentar.
Producción: se realizará una prueba Por lo que, se ingresaran distintas claves, con
en el sistema, con el objetivo de el objetivo de poder probar los roles que
constatar su funcionamiento y acceso tendrá cada usuario, y así poder tener el
a la plataforma de manera adecuada. control de los distintos roles relacionados con
cada usuario.

Una justificación sobre si corresponde o no auditar el uso de buenas prácticas

SSL/TSL, vulnerabilidades de servidor, autentificación, etc.

El SSL, es el acrónimo de Secure Sockets Layer (capa de sockets seguros), es una

tecnología estándar, que mantiene segura la conexión a Internet, por lo que, protege
cualquier información confidencial enviada entre dos sistemas, y a su vez impide que
delincuentes tengan acceso a cualquier dato transferido, incluso si esta información sea
personal. Su principal beneficio, es la protección que da a los datos de la aplicación
web, en cuanto a la divulgación y/o modificación no autorizada cuando se transmite
entre los clientes al navegar por la web, y a su vez protege los servidores de
aplicaciones web y entre éste y otros servidores o componentes empresariales.

La seguridad de los sistemas informáticos es de alta importancia para cada

organización, por lo tanto, es sumamente necesario aplicar medidas de seguridad, las
que junto a sus correspondientes pruebas sobre los sistema SSL y TTS, cumplen la
función de barreras de protección ante una eventual amenaza, que pueda vulnerar los
sistemas. Puesto que la información que navega debe contar con la protección adecuada,
frenando fugas y/o ataques que tengan por objetivo robar información.
 Bibliografía.

IACC (2016). Principales áreas de la auditoría informática. Auditoría Informática.

Contenidos de la Semana 7.