“PRÁCTICA UNIDAD 3 AUDITORIA DE SEGURIDAD A UN SISTEMA CRÍTICO DE BASE DE DATOS”
Enviado por Laura Vital • 27 de Noviembre de 2017 • Práctica o problema • 5.510 Palabras (23 Páginas) • 553 Visitas
INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES
MATERIA: SEGURIDAD EN TECNOLOGÍAS DE LA INFORMACIÓN
“PRÁCTICA UNIDAD 3 AUDITORIA DE SEGURIDAD A UN SISTEMA CRÍTICO DE BASE DE DATOS”
PRESENTAN:
ACUÑA HERNÁNDEZ DANIEL
GÓMEZ MARTÍNEZ JESÚS ALBERTO
LÓPEZ SÁNCHEZ ANTONIO
ZAMORA VITAL LAURA JANET
DOCENTE:
DR. DAVID GONZÁLEZ MARRÓN
Pachuca de Soto, Hidalgo; 19 de noviembre de 2017.
ÍNDICE
Objetivos 1
1 Desarrollo 3
2. Planeación 10
3. Riesgos involucrados en la auditoria 15
4. Identificación de controles del marco de referencia COBIT………….19
5 Estrategia para "Garantizar la Seguridad de los Sistemas"……………23
6 Conclusiones personales del trabajo.…………………..………………………..25
Objetivo: Realizar el procedimiento basado en COBIT para auditar la seguridad de un sistema crítico de la organización.
Conocer la secuencia lógica establecida por la documentación oficial de COBIT “Normas Generales para la auditoria de sistemas de información”.
Se requiere de la documentación básica del COBIT 4.0 o Superior, así como acceso a los documentos adicionales del portal ISACA.
Descripción:
Suponga el siguiente escenario, usted ha sido recientemente asignado a la tarea de auditar la seguridad de un sistema crítico de su Organización, este sistema es considerado un activo ya que maneja las bases de datos que son utilizadas para generar la nómina de la Institución.
Este sistema cuenta con las siguientes características técnicas:
- Sistema operativo: Debian 5.0
- Plataforma: Servidor HP Proliant
- DMBS: Informix 11.7
- Aplicación principal Web: Java+PHP
Para este caso se asume que el marco de referencia COBIT, es conocido y aplicado por el personal de TI responsable del sistema en cuestión.
Por la naturaleza de la práctica de auditoria asumimos que existe una independencia para llevar a cabo la auditoria sin presentar conflicto de intereses, en tu caso particular:
- ¿Identificas sobre que sistemas críticos de la organización tu participación como auditor podría presentar un conflicto de intereses?
Si, considerando que un sistema crítico es un sistema que debe ser muy seguro porque un error puede tener consecuencias graves en el entorno en el que está trabajando, tanto humanas como materiales, en el caso del departamento de recursos financieros del Instituto Tecnológico de Pachuca, teniendo en cuenta que se manejan tres áreas: contabilidad, tesorería y administración; un ejemplo de sistema crítico es el sistema de cobro, el sistema de nóminas, etc.
- En caso afirmativo ¿Por qué se presentaría esta problemática?
En el caso del sistema de cobro, este es un sistema muy importante, debido a que a pesar de que a los alumnos hacen sus depósitos en la cuenta bancaria de la institución, al no controlar las cuentas por cobrar de la forma debida, estas pueden afectar el flujo de efectivo de la institución.
- DESARROLLO
- Elabore una carta compromiso de acuerdo al estatuto de auditoría S1, que cumpla el estándar del COBIT elaborado para estas tareas, considerando propósito, autoridad y audibilidad, además de que sea factible su operación en el nivel apropiado de la organización:
[pic 1]
2. Según el alcance de la carta compromiso de auditoria de seguridad que se ha elaborado y las características técnicas de la plataforma a auditar, responda:
a. ¿Cuentas con los conocimientos técnicos suficientes para abordar cada uno de los componentes a ser auditados en el sistema en cuestión?
Como en todo trabajo de alto nivel, es preciso la contratación y /o participación de profesionales, la auditoria no es la excepción, y es que en un trabajo de esta magnitud se requiere la participación del personal calificado, que genere la confianza del trabajo que realiza en aquellos quienes son revisados en procesos de auditoria.
Es de vital importancia el contar con un equipo de auditores enfocados a temas de la índole económico-administrativo, esto sin dejar de lado el entorno de las TI, que como se sabe, estas forman parte vital en casi la totalidad de los departamentos esenciales de una organización por muy pequeña que esta sea, por este simple hecho, dentro de los especialistas de una auditoria, se deberá contar con un profesional como mínimo, lo suficientemente capacitado en temas de Tecnologías de la Información o similares.
Aun enfocando todo el tiempo disponible, el conocimiento y la experiencia adquiridas durante el presente proyecto escolar, no se compararía con el trabajo de un profesional, sin embargo cada uno de los integrantes del proyecto fungiría con la mayor profesionalidad posible con las actividades mencionadas en la carta compromiso, llegando a la conclusión de que los conocimientos por parte de los integrantes no es el óptimo, no en una organización de este nivel, para realizar la auditoria en su totalidad.
b. ¿Requieres del apoyo de especialistas que te auxilien en la tarea de auditoria que se te asignó? En caso de requerirse apoyo de especialistas, ¿Qué perfil estarías solicitando de este personal?
Como proyecto estudiantil se considera que el trabajo no requiere el apoyo de especialistas, sin embargo la presencia o asesoramiento de estos serían de gran ayuda especialmente en al ámbito económico-administrativo, área donde en nuestra formación académica fue visto de manera muy general, es por eso que a continuación se describe el perfil, no solo de aun auditor orientado a la administración y/o economía, sino un perfil en general, capacidades que son requisito en un profesional de auditoria.
...