“PRÁCTICA UNIDAD 3 AUDITORIA DE SEGURIDAD A UN SISTEMA CRÍTICO DE BASE DE DATOS”

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES

MATERIA: SEGURIDAD EN TECNOLOGÍAS DE LA INFORMACIÓN

“PRÁCTICA UNIDAD 3 AUDITORIA DE SEGURIDAD A UN SISTEMA CRÍTICO DE BASE DE DATOS”

PRESENTAN:

ACUÑA HERNÁNDEZ DANIEL

GÓMEZ MARTÍNEZ JESÚS ALBERTO

LÓPEZ SÁNCHEZ ANTONIO

ZAMORA VITAL LAURA JANET

DOCENTE:

DR. DAVID GONZÁLEZ MARRÓN

Pachuca de Soto, Hidalgo; 19 de noviembre de 2017.

ÍNDICE

Objetivos        1

1 Desarrollo        3

2. Planeación         10

3. Riesgos involucrados en la auditoria        15

4. Identificación de controles del marco de referencia COBIT………….19

5 Estrategia para "Garantizar la Seguridad de los Sistemas"……………23

6 Conclusiones personales del trabajo.…………………..………………………..25

Objetivo: Realizar el procedimiento basado en COBIT para auditar la seguridad de un sistema crítico de la organización.

Conocer la secuencia lógica establecida por la documentación oficial de COBIT “Normas Generales para la auditoria de sistemas de información”.

Se requiere de la documentación básica del COBIT 4.0 o Superior, así como acceso a los documentos adicionales del portal ISACA.

Descripción:

Suponga el siguiente escenario, usted ha sido recientemente asignado a la tarea de auditar la seguridad de un sistema crítico de su Organización, este sistema es considerado un activo ya que maneja las bases de datos que son utilizadas para generar la nómina de la Institución.

Este sistema cuenta con las siguientes características técnicas:

• Sistema operativo: Debian 5.0
• Plataforma: Servidor HP Proliant
• DMBS: Informix 11.7
• Aplicación principal Web: Java+PHP

Para este caso se asume que el marco de referencia COBIT, es conocido y aplicado por el personal de TI responsable del sistema en cuestión.

Por la naturaleza de la práctica de auditoria asumimos que existe una independencia para llevar a cabo la auditoria sin presentar conflicto de intereses, en tu caso particular:

1. ¿Identificas sobre que sistemas críticos de la organización tu participación como auditor podría presentar un conflicto de intereses?

Si, considerando que un sistema crítico es un sistema que debe ser muy seguro porque un error puede tener consecuencias graves en el entorno en el que está trabajando, tanto humanas como materiales, en el caso del departamento de recursos financieros del Instituto Tecnológico de Pachuca, teniendo en cuenta que se manejan tres áreas: contabilidad, tesorería y administración; un ejemplo de sistema crítico es el sistema de cobro, el sistema de nóminas, etc.

1. En caso afirmativo ¿Por qué se presentaría esta problemática?

En el caso del sistema de cobro, este es un sistema muy importante, debido a que a pesar de que a los alumnos hacen sus depósitos en la cuenta bancaria de la institución, al no controlar las cuentas por cobrar de la forma debida, estas pueden afectar el flujo de efectivo de la institución.

1. DESARROLLO

1. Elabore una carta compromiso de acuerdo al estatuto de auditoría S1, que cumpla el estándar del COBIT elaborado para estas tareas, considerando propósito, autoridad y audibilidad, además de que sea factible su operación en el nivel apropiado de la organización:

[pic 1]

2. Según el alcance de la carta compromiso de auditoria de seguridad que se ha elaborado y las características técnicas de la plataforma a auditar, responda:

a. ¿Cuentas con los conocimientos técnicos suficientes para abordar cada uno de los componentes a ser auditados en el sistema en cuestión?

Como en todo trabajo de alto nivel, es preciso la contratación y /o participación de profesionales, la auditoria no es la excepción, y es que en un trabajo de esta magnitud se requiere la participación del personal calificado, que genere la confianza del trabajo que realiza en aquellos quienes son revisados en procesos de auditoria.

Es de vital importancia el contar con un equipo de auditores enfocados a temas de la índole económico-administrativo, esto sin dejar de lado el entorno de las TI, que como se sabe, estas forman parte vital en casi la totalidad de los departamentos esenciales de una organización por muy pequeña que esta sea, por este simple hecho, dentro de los especialistas de una auditoria, se deberá contar con un profesional como mínimo, lo suficientemente capacitado en temas de Tecnologías de la Información o similares.

Aun enfocando todo el tiempo disponible, el conocimiento y la experiencia adquiridas durante el presente proyecto escolar, no se compararía con el trabajo de un profesional, sin embargo cada uno de los integrantes del proyecto fungiría con la mayor profesionalidad posible con las actividades mencionadas en la carta compromiso, llegando a la conclusión de que los conocimientos por parte de los integrantes no es el óptimo, no en una organización de este nivel, para realizar la auditoria en su totalidad.

b.        ¿Requieres del apoyo de especialistas que te auxilien en la tarea de auditoria que se te asignó? En caso de requerirse apoyo de especialistas, ¿Qué perfil estarías solicitando de este personal?

Como proyecto estudiantil se considera que el trabajo no requiere el apoyo de especialistas, sin embargo la presencia o asesoramiento de  estos serían de gran ayuda especialmente en al ámbito económico-administrativo, área donde en nuestra formación académica fue visto de manera muy general, es por eso que a continuación se describe el perfil, no solo de aun auditor orientado a la administración y/o economía, sino un perfil en general, capacidades que son requisito en un profesional de auditoria.

• Título profesional y conocimientos en áreas afines a los procesos misionales y apoyo de las organizaciones.

• Reconocida experiencia en la metodología y normas aplicables en el proceso auditor, con especial entrenamiento en el manejo de procesos operativos, administrativos, legales, financieros contables y de gestión a través de perfiles interdisciplinarios.

• Visión global del negocio objeto de auditoría, con tacto para fijarse tareas en lo material, relevante e importante.

• Conocimiento en normas legales de la organización y sus procesos.

• Concebir la planeación como una cultura para lograr los resultados y poder administrar la auditoria con calidad.

• Capacidad de manejar excelentes condiciones de trabajo en equipo para encarar eficientemente relaciones interpersonales con el grupo de auditoría y la organización auditada.

• Poseer habilidades y capacidad técnica, para realizar su labor.

• Ser analítico, creativo, buen observador y sensato al momento de generar juicios.

• Independencia de criterios frente al organismo auditado, reconociendo e informando las inhabilidades e incompatibilidades que se presente.

• Capacitarse en forma continua, en temas inherentes a la auditoria y lo relacionado con las organizaciones, competencias y procesos.

• Tener la capacidad de comprender la realidad social que lo rodea, como el de anticiparse a los hechos y dar las soluciones planteadas en un momento determinado.

• Capacidad de análisis y visualización sobre las consecuencias de las actuaciones presentes, con el ánimo de tomar una decisión acertada sobre las diferentes situaciones y que le corresponda intervenir.

• Poseer valores frente a la dignidad humana, la solidaridad y el sentido de pertenencia, como también el de conciencia social que le desarrolla el conocimiento de la Auditoria y sus resultados.

• Capacidad de afrontar los retos que se le presente en el ejercicio de su función de auditor.

• Contar con la suficiente capacidad y destreza para comunicarse de manera oral y escrita como fundamento, rigor y clave de todas sus actuaciones.

c. ¿Conoces a detalle los procesos que implican la operación de un sistema como la nómina de tu organización?, En caso de no conocer estos procesos ¿De qué recursos te valdrías para obtener el conocimiento para auditar estos procesos y sistemas?

De manera específica se desconoce todos y cada uno de los actividades que conlleva determinados procesos, tomando como ejemplo un sistema de nómina, el cual representa todo lo relacionados con los pagos al personal que labora dentro de una empresa, en este caso el Instituto Tecnológico de Pachuca, cabe mencionar que dentro del departamento de recursos financieros no se lleva únicamente este proceso, sino una serie de actividades específicas en el ámbito económico-administrativo, que engloba tanto al personal que labora como a los estudiantes pertenecientes a la institución.

...