Control 7

Jorge Olguín Leiva

Auditoria Informática

Instituto IACC

03/06/2018
 Desarrollo

1. En una bodega se lleva un control de inventario almacenando la información de los productos en

una base de datos Oracle. Periódicamente se generan reportes de cuadraturas de los productos
en stock y los que han entrado y salido de la bodega, sin embargo, en los últimos dos meses se
han encontrado diferencias entre el reporte que entrega la base de datos y el inventario manual.
De acuerdo a lo anterior, usted es contratado para conducir una auditoría sobre la base de datos
para revisar si el problema de inconsistencia en los informes automáticos corresponde a la base de
datos o no.
 ¿Qué tipo de auditoría es necesaria en este caso?
Teniendo en cuenta que la auditoría de bases de datos (Bd), es un proceso implementado por los
auditores de sistemas con el fin de auditar los accesos a los datos
Lo primero es y como en material entregado se detalla, extraer información de roles. El listado
completo de los usuarios y sus roles en la base de datos. Identificar los usuarios con privilegios.
Seguido a esto se debe realizar una evaluación del sistema de inventario, flujo de información,
procedimientos, documentación, reportes, organización de archivos, controles y utilización del
sistema.
Dentro del análisis se debe auditar las tres áreas de las Bd; DDL, DML y System event.
La Auditoría Logística para evaluar el nivel de la gestión de inventarios en empresas. Según Igor
Lopez y Martha Gómez del Instituto Superior Politécnico José Antonio Echeverria de la facultad
de Ingeniería Industrial de la Habana, Cuba.
La gestión de inventarios tiene una incidencia directa en el retorno de la inversión de recursos y la
disponibilidad de productos y servicios a los clientes. Siendo necesario medir la efectividad de la
misma y acciones de mejoras adecuadas a implementar.

¿Es necesario incluir el sistema operativo sobre el que opera la base de datos y la aplicación
que maneja los datos? Justifique su análisis.
Es necesario, ya que como se detalla en material entregado, la auditoria de bases de datos y
aplicaciones tiene un componente base que es el servidor donde se encuentran instaladas. Por
razones obvias, este servidor también posee vulnerabilidades y elementos a auditar que son
complementarios, los cuales dependen del sistema operativo instalado.
  Proporcione una lista de todos los aspectos auditables (a nivel de base de datos y/o sistema
operativo) que incluiría en su auditoría. Justifique su elección.
Base de datos:
o Mayor impacto de acceso no autorizado al fichero de la Bd que a un fichero tradicional.
o Mayor impacto de los errores en datos o programas que en los sistemas tradicionales.
o Ruptura de enlace por fallos del software o programas de aplicación.
o Incompatibilidad entre sistemas de seguridad de acceso propios del sistema de gestión de
bases de datos y el sistema general.
o Incremento de la dependencia del servicio informático, de acuerdo a la concentración de
datos.
o Mayores posibilidades de acceso a la figura del administrador de la Bd.
o Mayores dependencias del nivel de conocimientos técnicos del personal que realice tareas
relacionadas con el software de Bd.
Sistema Operativo:
o Software de seguridad del sistema.
o Controles de cambios al software de sistema.
o Procesos de selección de software de sistema.
o Estudio de viabilidad y factibilidad.
o Documentación del sistema.
o Documentación de autorizaciones de acceso.
o Actividades de mantenimiento de software del sistema.

2. Lea atentamente las situaciones planteadas y responda según lo solicitado.

En una empresa dedicada al desarrollo de software existen tres áreas bien definidas para el ciclo de
desarrollo de aplicaciones, estas son: desarrollo, certificación y producción.
Por normativas de seguridad no deben existir conexiones entre las distintas áreas. El ciclo de
desarrollo se compone de lo siguiente:
 Desarrollo: diseña y programa una aplicación.
 Certificación: toma el diseño y realiza pruebas funcionales (que la aplicación haga lo que se
supone debe hacer).
 Producción: en esta área se disponibiliza la aplicación para ser utilizada con fines
productivos y por lo tanto está expuesta a usuarios y/o internet.
Usted debe auditar las tres áreas, por ello, se le solicita que prepare un documento que incluya:
- Un cuadro en el que se incorporen las pruebas de auditoría que es posible realizar en cada
área. Considere una descripción breve de todas las pruebas seleccionadas.
Desarrollo:
o Es importante visualizar los comandos necesarios para la correcta auditoría en esta área.
o Los datos pueden ser verificados según norma SQL, y así obtener datos de seguridad y si
es necesario su modificación entre sí.
o Los puntos a auditar en esta área serán los códigos o los permisos de seguridad, en la cual
se procederá a realizar una muy completa revisión de las conexiones y las viabilidades de
la aplicación.
o Para el desarrollo del software será preciso implementar criterios de chequeo de acuerdo
a los requerimientos de la aplicación. De esta forma se diseña una plataforma que sea
adaptable a lo solicitado por el cliente, así todas las pruebas serán aplicables a esta
aplicación y no a otra de diferente comportamiento.
o Lo que se busca en si es recabar información de la consistencia de dicha aplicación, los
errores, falencias y así corregirlos.
Certificación:
o Lo más relevante en esta sección, es la realización de pruebas constantes para determinar
la fiabilidad y factibilidad del buen funcionamiento del software.
o Anteriormente, en el área de Desarrollo, se probaban los módulos del software en forma
individual. Acá se integran y es un todo, el software completo, y se debe analizar esta
integración, se debe estar seguro que todos los módulos se complementan.
o Revisar que la interfaz sea la correcta y no tenga errores.
Producción:
En esta sección o área, la preocupación es el usuario final, es donde se enfocan las pruebas
pertinentes, las cuales son:
o Prueba de sistema; se busca la apropiada incursión o navegación dentro del sistema, el
ingreso de datos, el procesamiento y la recuperación.
o También se mide la usabilidad de la aplicación

Es difícil realizar un cuadro con esta información, ya que a medida que el programa, aplicación o
software, va cumpliendo las etapas y pasando al siguiente nivel, las características de los
chequeos, cuidados, o etapas de este va en crecimiento y los procesos de un área no se repiten en
otra con exactitud.
- Una justificación sobre si corresponde o no auditar el uso de buenas prácticas SSL/TSL,
vulnerabilidades de servidor, autentificación, etc.
Efectivamente y más aun cuando hoy en día toda la información viaja a través de la red, es
necesario en este tipo de auditorías, incorporar el uso de buenas prácticas SSL/TSL,
vulnerabilidades de servidor, autentificación y también la accesibilidad de usuarios, midiendo la
seguridad de este. Todo software debe ser completamente accesible al usuario, y es misión del
auditor del sistema, el descifrar la usabilidad de estos programas, siempre es recomendable el
incluir las buenas prácticas de los procesos de auditoría o revisión de mecanismos o accesibilidad
del desarrollo de los software.
No olvidar que con SSL/TSL los datos están cifrados solamente mientras van en tránsito.
 Bibliografía

1.- Link1

2.- Link2

3.- Material entregado