Principales áreas de la auditoría informática. Eduardo Andrés Flores Sepúlveda Auditoria Informática Instituto IACC 31 de Marzo 2019
Desarrollo. 1. En una bodega se lleva un control de inventario almacenando la información de los productos en una base de datos Oracle. Periódicamente se generan reportes de cuadraturas de los productos en stock y los que han entrado y salido de la bodega, sin embargo, en los últimos dos meses se han encontrado diferencias entre el reporte que entrega la base de datos y el inventario manual.
De acuerdo a lo anterior, usted es contratado para conducir una auditoría sobre la base de datos para revisar si el problema de inconsistencia en los informes automáticos corresponde a la base de datos o no.
¿Qué tipo de auditoría es necesaria en este caso? ¿Es necesario incluir el sistema operativo sobre el que opera la base de datos y la aplicación que maneja los datos? Justifique su análisis.
Luego de analizado el planteamiento de este caso, lo más óptimo sería la utilización de un sistema de auditoría, la cual nos permita verificar los usuarios y roles que cada uno de ellos tienen, en cuanto al acceso al sistema de control. Puesto que es una práctica muy común dentro de las organizaciones, que los trabajadores que manejan sistemas compartan sus claves, especialmente cuando ciertas claves tienen un mayor rango de roles, en cuanto a la manipulación de la información, se hace imperante que solo tengan acceso aquellos trabajadores que se desempeñan en esa unidad específica de negocio,
mantener mayor control del inventario, pues de no ser así, la mala
manipulación de los datos, pueden perjudicar y distorsionar los reportes que se obtienen de manera periódica, con información errónea. Por lo tanto, primeramente, se realiza un examen de los accesos a los datos almacenados en las bases de datos, con el objetivo de medir, monitorear y tener constancia real de los accesos a la información almacenada en las mismas. Y si bien es cierto, el objetivo puede variar en función de cada caso particular, en todos los casos, nuestro objetivo final, es la seguridad organizacional. Esta auditoría de base de datos, es una herramienta facilitadora y eficaz para conocer de manera estricta cuál es la relación de los usuarios a la hora de acceder a las bases de
datos, incluyendo las actuaciones de éstos, lo cual deriva a generar, modificar o eliminar datos. Cabe señalar que este tipo de auditoría aplicada sobre una base de datos, a su vez requiere que de forma conjunta se audite el sistema operativo, puesto que de esta forma se pueden detectar anomalías presentes en el sistema, que pudieran afectar la operatividad de la base de datos, de igual forma, podrá detectar anomalías el nivel de seguridad, que se pueda dar por medio del sistema, que
pudieran repercutir
notoriamente en la manipulación de la base de datos.
Proporcione una lista de todos los aspectos auditables (a nivel de base de datos y/o sistema operativo) que incluiría en su auditoría. Justifique su elección.
Lista de aspectos que serán auditados:
Auditoria.
Justificación
Roles de los Puesto que cada usuario tiene un rol específico, lo que le permite usar una base de datos, donde la seguridad y la veracidad de los datos, son la
usuarios.
fuente principal que, son la base de la información obtenida. Claves
de Puesto que cada una de las claves, nos permite el acceso, tanto
accesos
controlado, como libre en la plataforma operativa, por lo tanto existe riesgo de darse una incorrecta manipulación de los datos, lo que puede alterar la información.
Las cuentas Puesto que durante el uso de la base de datos, se van creando una serie por defecto
de usuarios y con ello contraseñas, las que están deshabilitadas, pues solo un usuario con el rol de administrador, tiene la facultad de poder activarla o desactivarlas, puesto que, algunos de estos cuentan con roles más específicos, y al ser utilizados con intenciones poco éticas pueden afectar la operatividad de la organización.
Los links
Por último, este enlace que une la base de datos, es importante auditar, puesto que, pueden causar serias distorsiones, al ser utilizadas con fines que no son propios de la organización.
2. Lea atentamente las situaciones planteadas y responda según lo solicitado.
En una empresa dedicada al desarrollo de software existen tres áreas bien definidas para el ciclo de desarrollo de aplicaciones, estas son: desarrollo, certificación y producción. Por normativas de seguridad no deben existir conexiones entre las distintas áreas. El ciclo de desarrollo se compone de lo siguiente: Desarrollo: diseña y programa una aplicación. Certificación: toma el diseño y realiza pruebas funcionales (que la aplicación haga lo que se supone debe hacer). Producción: en esta área se disponibiliza la aplicación para ser utilizada con fines productivos y por lo tanto está expuesta a usuarios y/o internet.
Usted debe auditar las tres áreas, por ello, se le solicita que prepare un documento que incluya:
Un cuadro en el que se incorporen las pruebas de auditoría que es posible realizar en cada área. Considere una descripción breve de todas las pruebas seleccionadas.
Cuadro de pruebas de auditoría.
Pruebas para las Áreas auditadas
Descripción
Desarrollo: se realizará una prueba, Puesto que cada software que se desarrolla con el objetivo de revisar los primeros debe estar alineado, con el propósito de parámetros de actividad en términos creación y el uso que tendrá, de tal manera que de funcionalidad de cada software que por medio de la revisión será verificado que se desarrolla.
su utilización, es acorde al propósito por el cual se creó.
Certificación: se realizará una prueba Por lo que, se chequearan las claves de acceso, de
accesibilidad,
a
través
de con el objetivo de contrarrestar la existencia de
establecer una contraseña y verificar vulnerabilidad en el acceso. los bloqueos ante errores de escritura que se puedan presentar. Producción: se realizará una prueba
Por lo que, se ingresaran distintas claves, con
en el sistema, con el objetivo de el objetivo de poder probar los roles que constatar su funcionamiento y acceso tendrá cada a la plataforma de manera adecuada.
usuario, y así poder tener el
control de los distintos roles relacionados con cada usuario.
Una justificación sobre si corresponde o no auditar el uso de buenas prácticas SSL/TSL, vulnerabilidades de servidor, autentificación, etc.
El SSL, es el acrónimo de Secure Sockets Layer (capa de sockets seguros), es una tecnología estándar, que mantiene segura la conexión a Internet, por lo que, protege cualquier información confidencial enviada entre dos sistemas, y a su vez impide que delincuentes tengan acceso a cualquier dato transferido, incluso si esta información sea personal. Su principal beneficio, es la protección que da a los datos de la aplicación web, en cuanto a la divulgación y/o modificación no autorizada cuando se transmite entre los clientes al navegar por la web, y a su vez protege los servidores de aplicaciones web y entre éste y otros servidores o componentes empresariales. La seguridad de los sistemas informáticos es de alta importancia para cada organización, por lo tanto, es sumamente necesario aplicar medidas de seguridad, las que junto a sus correspondientes pruebas sobre los sistema SSL y TTS, cumplen la función de barreras de protección ante una eventual amenaza, que pueda vulnerar los sistemas. Puesto que la información que navega debe contar con la protección adecuada, frenando fugas y/o ataques que tengan por objetivo robar información.
Bibliografía. IACC (2016). Principales áreas de la auditoría informática. Auditoría Informática. Contenidos de la Semana 7.