Validación

Auditoría de Sistemas

Presentado por

Javier Arturo Florián Franco

54988

Materia

Auditoría de Sistemas

Profesor

Ángel Rafael Reyes Sanchez

Universidad Escuela Colombiana de Carreras Industriales

Facultad de Ingeniería
Programa Ingeniería de Sistemas

2018
1. Mapa mental sobre Auditoria de Sistemas
2. Resumen Lectura Una Visión sistemática de la Auditoria Informática

¿Qué es Auditoria Informática? Es la investigación y control que se le hace a una empresa con el fin de evaluar su efectividad y de brindar recomendaciones a la
gerencia.

La auditoría informática consiste en la revisión, evaluación y valoración sistémica de la aplicabilidad de controles generales y específicos, que procuran la
protección de los recursos informáticos de la organización.

El objetivo del rol de auditor es minimizar los riesgos de fraude en la información y del mal uso de los recursos y hacer de estos menos probables.

Es un ejercicio delicado, técnico y riesgoso

 Delicado, ya que los escenarios que categorizan el orden, la infraestructura son bastantes amplios y complejos

 Técnico porque al evaluar los entornos requiere de una metodología, valoración y documentación especificado, especializada y eficaz.

 Riesgoso debido a que obliga a la actualización y adaptación constante.

La responsabilidad del auditor es determinar si los sistemas de contabilidad del cliente están informatizados, comprender las aplicaciones del ordenador y
evaluar las características individuales.
 3.
SITUACIONES
HALLAZGOS
La base de datos no tiene documentación
No hay control en el acceso a base de datos
No hay un estándar en la base de datos
EFECTOS
IMPLICANCIAS PROBABLES
RIESGOS
Al no tener la base de datos documentada, esto
puede generar inconvenientes a futuro puesto
que cuando el ingeniero o DBA que haya realizado
el diseño de base de datos, se vaya de la empresa,
esto generaría un retroceso enorme, ya que,
tocaría volver a identificar los requerimientos
para entender el origen de la base de datos, así
mismo sus diferentes procedimientos
almacenados, tablas vistas etc… Es muy
importante que la base de datos este
documentado, no solo en el código sino con un
documento específico para la base de datos
Al no tener definido los roles de quienes pueden y
deben acceder al motor de base de datos o al
menos tener restricciones de las mismas es un
punto de riesgo, debido a que cualquier persona
dentro de la empresa, puede eliminar tablas etc..
Al no tener un estándar definido puede llegar a
generar varias confusiones y mucho desorden al
momento de leer, o implementar los es quemas
de base de datos o nuevas bases de datos,
haciendo que el desarrollo de la base de datos sea
lento, y hasta del rendimiento sea lento, debido a
que, si se tiene una arquitectura o estándar
definido, esto permite tener una visión mas clara
de como se debe diseñar las base de datos de los
proyectos de la empresa.
Al no tener una copia de seguridad de las bases de
datos, esto hace que haya una vulnerabilidad
INDICE DE SUGERENCIAS
IMPORTANCIA RECOMENDACIONES
CALIFICACION
PONDERACIÓN
1 Se sugiere un formato de documentación para la
base de datos ya sea una plantilla creada por la
empresa, o una de internet, además de que hay
programas que le ayudan a documentar la base
de datos, y también por parte de DBA verificar
que el código de la base de datos este
documentado
0 Se sugiere que el DBA implemente los roles con
los perfiles correspondientes a las base de datos,
es decir, los desarrollador de software, solo
podrán tener acceso a lectura “SELECT”, y
quienes tendrán permiso de DELETE, UPDATE y
demás serán los encargados de las bases de
datos.
1 Se sugiere que el DBA implemente una
arquitectura de nomenclatura para el diseño de
la base de datos futuras.
0 Se sugiere que el DBA realice copias de
seguridad de las bases de datos que maneje la

No hay un Buck up
No tiene servidores independientes
CALIFICACION: Índice de importancia establecida. Indica con una calificación del 0 al 3 el grado crítico del problema y la oportunidad en que se deben tomar las
acciones correctivas del caso.
gigante, ya que, si se llega a dañar el motor de compañía ya se mensual o quincenal, esto ya
base de datos, o perder la información por X o Y será definición del DBA.
motivo no habrá forma de recuperar la
información tanto de la empresa como de los
clientes de la misma, y esto ya causa muchos
problemas ya legales
Al no tener servidores independientes esto hace 1 Se sugiere que se tenga varios servidores con
que se generé una alta vulnerabilidad ya que todo buena capacidad para alojar allí las bases de
esta en un mismo ambiente. datos, además que también sean aparte de los
servidores de aplicaciones para que allá mejor
rendimiento, se sugiere además tener un
ambiente de pruebas y un ambiente de
producción, esto para poder tener un mejor
control en las revisiones de las pruebas
0 = Alto (Acciones correctivas inmediatas)
1 = Alto ( Acciones preventivas inmediatas)
2 = Medio (Acciones diferidas correctivas)
3 = Bajo ( Acciones diferidas preventivas).