Control Nº 7

Auditoria Informática

IACC

11/06/2018
 Desarrollo.

1. En una bodega se lleva un control de inventario almacenando la información de

los productos en una base de datos Oracle. Periódicamente se generan reportes de
cuadraturas de los productos en stock y los que han entrado y salido de la bodega,
sin embargo, en los últimos dos meses se han encontrado diferencias entre el
reporte que entrega la base de datos y el inventario manual.

De acuerdo a lo anterior, usted es contratado para conducir una auditoría sobre la

base de datos para revisar si el problema de inconsistencia en los informes
automáticos corresponde a la base de datos o no.

¿Qué tipo de auditoría es necesaria en este caso? ¿Es necesario incluir el sistema
operativo sobre el que opera la base de datos y la aplicación que maneja los datos?
Justifique su análisis.

Para este caso es optimo la utilización de un sistema de auditoría que permita

verificas los usuarios y roles que tienen acceso al sistema de control. Es muy común
en las empresas que los trabajadores que manejar sistemas se compartan sus
claves y en especial cuando ciertas de estas tienen un mayor rango de roles para
manipular información, razón por la que se requiere que solo tengan acceso los
trabajadores que se desempeñan en esa unidad de negocio, (control de inventario),
puesto que la manipulación de datos puede afectar y distorsionar los reportes que
se obtienen de manera periódica.

En concreto, se realiza un examen de los accesos a los datos almacenados en las bases
de datos con el fin de poder medir, monitorear y tener constancia de los accesos a la
información almacenada en las mismas. Si bien el objetivo puede variar en función de
la casuística, en todos los casos el fin último persigue, de uno u otro modo,
la seguridad corporativa.

Una auditoría de base de datos, por lo tanto, facilita herramientas eficaces para
conocer de forma exacta cuál es la relación de los usuarios a la hora de acceder a las
bases de datos, incluyendo las actuaciones que deriven en una generación,
modificación o eliminación de datos.

Este tipo de auditoría aplicada sobre una base de datos requiere que de forma
conjunta se audite el sistema operativo, la razón fundamental es que se pueden
detectar ciertas anomalías que el sistema este presentando lo que afectara la
operatividad de esta base de datos, asimismo, el nivel de seguridad que se pueda
dar por medio del sistema y que puedan repercutir notoriamente en la
manipulación de la base de datos.
 Proporcione una lista de todos los aspectos auditables (a nivel de base de datos y/o
sistema operativo) que incluiría en su auditoría. Justifique su elección.

Lista de aspectos que serán auditados.

Auditoria. Justificación
Claves de Cada una de las claves permite el acceso ya sea controlado o libre
accesos en la plataforma operativa, por ende existe el riesgo de una
incorrecta manipulación de las datos que puede alterar la
información.
Roles de los Cada usuario tiene un rol especifico que le permite usar una base
usuarios. de datos, la seguridad y la veracidad de los datos son la fuente
principal que dan sustento a la información obtenida.
Los links Este enlace que une base de datos puede provocar serias
distorsiones y ser usado para fines que no son los propios de la
empresa.
Las cuentas Durante el uso de la base de datos se van creando una serie de
por defecto usuarios y contraseñas que están deshabilitadas, solo un usuario
con el rol de administrador tiene la capacidad de poder activarla o
desactivarlas, ya que algunos de estos pueden estar con roles más
específicos que al ser usado con intenciones poco éticas pueden
afectar la operatividad del negocio.

2. Lea atentamente las situaciones planteadas y responda según lo solicitado.

En una empresa dedicada al desarrollo de software existen tres áreas bien definidas
para el ciclo de desarrollo de aplicaciones, estas son: desarrollo, certificación y
producción.
Por normativas de seguridad no deben existir conexiones entre las distintas áreas. El
ciclo de desarrollo se compone de lo siguiente:
Desarrollo: diseña y programa una aplicación.
Certificación: toma el diseño y realiza pruebas funcionales (que la aplicación haga lo
que se supone debe hacer).
Producción: en esta área se disponibiliza la aplicación para ser utilizada con fines
productivos y por lo tanto está expuesta a usuarios y/o internet.
Usted debe auditar las tres áreas, por ello, se le solicita que prepare un documento
que incluya:

Un cuadro en el que se incorporen las pruebas de auditoría que es posible realizar en

cada área. Considere una descripción breve de todas las pruebas seleccionadas.

Cuadro de pruebas de auditoría.

Pruebas para las Áreas auditadas Descripción

Desarrollo; se efectuara una prueba
que para revisar los primeros
parámetros de funcionamiento en
términos de funcionalidad de cada
software que se desarrolla.
Certificación; prueba de accesibilidad
por medio de contraseña y contrarrestar si hay vulnerabilidad en el
verificación de bloqueos ante errores
de escritura.
Producción; el sistema será probado
para constata su funcionamiento y
acceso a la plataforma.
Cada software que se desarrolla debe estar
alineado con el propósito de creación y el
uso que tendrá, de esta forma por medio de
la revisión se estará verificando que su uso
se acorde al propósito de su creación.
Se deberá probar las claves de acceso para
acceso.
Se ingresaran con distintas claves que
permitirán que se prueben los roles que
tendrá cada usuario y así tener el control
de los distintos roles que deberán estar
relacionados con cada usuario.

Una justificación sobre si corresponde o no auditar el uso de buenas prácticas

SSL/TSL, vulnerabilidades de servidor, autentificación, etc.

SSL es el acrónimo de Secure Sockets Layer (capa de sockets seguros), la tecnología

estándar para mantener segura una conexión a Internet, así como para proteger
cualquier información confidencial que se envía entre dos sistemas e impedir que los
delincuentes lean y modifiquen cualquier dato que se transfiera, incluida información
que pudiera considerarse personal. El principal beneficio de la seguridad de la capa de
transporte es la protección de los datos de la aplicación web de la divulgación y
modificación no autorizada cuando se transmite entre clientes (navegadores web) y el
servidor de aplicaciones web y entre el servidor de aplicaciones web y otros servidores
o componentes empresariales.

La seguridad de los sistemas informáticos tiene un alto nivel de implicancia para

cada empresa, por tal motivo, es necesario que se apliquen las medidas de
seguridad junto a las correspondientes pruebas sobre los sistema SSL y TTS que
sirven como barreras de protección ante amenazas que puedan afectar la
vulnerabilidad de los sistemas. La información que viaja debe contar con la
protección adecuada que frene fugas o ataques que tengan por objetivo robal
información.
 Bibliografía.

IACC (2016). Principales áreas de la auditoría informática. Parte I. Auditoría

Informática. Semana 7.

Fuente de internet:

https://blog.powerdata.es/el-valor-de-la-gestion-de-datos/que-es-la-auditoria-
de-base-de-datos

https://ciberseguridad.blog/buenas-practicas-tls-ssl/