Universidad Tecnolgica de Panam

Facultad de ingeniera de sistemas computacionales

Departamento de arquitectura y redes de computadoras
Arquitectura de protocolos
Jess Contreras 8-887-960
Yessibel Tejada 8-859-2075
11R132

Auditoria en redes
Caso de estudio
Se ha pedido al auditor de SI que realice un trabajo preliminar que evaluar el
grado de preparacin de la organizacin para que una revisin mida el
cumplimiento de los nuevos requerimientos regulatorios. Estos requerimientos
estn diseados para asegurar que la gerencia est asumiendo un papel activo
en establecer y mantener un ambiente bien controlado y, en consecuencia,
evaluar la revisin de la gerencia y las pruebas del ambiente general de control
de TI. Las reas a ser evaluadas incluyen seguridad lgica y fsica, gestin de
cambios, control de produccin y gestin de redes, gobierno de TI, y
computacin de usuario final. Al auditor de SI se le han dado seis meses para
realizar este trabajo preliminar, de modo que debe haber disponible suficiente
tiempo. Se debe sealar que en aos anteriores, se han identificado reiterados
problemas en las reas de seguridad lgica y gestin de cambios, de modo que
estas reas muy probablemente requerirn algn grado de rectificacin. Las
deficiencias de gestin de cambios incluyeron indebida segregacin de
funciones incompatibles y no documentar todos los cambios. Adicionalmente, el
proceso para desplegar las actualizaciones del sistema operativo a los
servidores se encontr que era slo parcialmente efectivo. En anticipacin del
trabajo a ser realizado por el auditor de SI, el director de informacin (CIO)
solicit reportes directos para desarrollar narrativas y flujos de proceso que
describieran las principales actividades de las que TI es responsable. Estos se
llevaron a cabo, fueron aprobados por los diferentes dueos de proceso y por el
CIO, y fueron luego enviados al auditor de SI para examen.
Preguntas de caso de estudio A
A1. Qu debera hacer primero el auditor de SI?

A. Efectuar una evaluacin del riesgo de TI.

B. Realizar una auditora de inspeccin de los controles de acceso lgico.
C. Revisar el plan de auditora para concentrarse en la auditora basada en el
riesgo.
D. Aprobar los controles que el auditor de SI estima que son los ms crticos.
R= Debera efectuar una evaluacin para saber qu reas son las ms
vulnerables en cuanto a la seguridad para as comenzar desde estas reas que
pueden presentar gran riesgo para la organizacin.
A2. Cuando se prueba la gestin de cambios de programas, Cmo se
debe seleccionar la muestra?
A. Los documentos de gestin de cambios deben ser seleccionados al azar y
examinados para verificar si son apropiados.
B. Se deben sacar muestras de los cambios al cdigo de produccin y stos
deben ser rastreados hasta la documentacin apropiada que los autoriz.
C. Los documentos de gestin de cambios deben ser seleccionados en
base a la criticidad del sistema y deben ser examinados para verificar si
son apropiados.
D. A los cambios al cdigo de produccin se les debe sacar una muestra y se les
debe rastrear hasta los registros (logs) producidos por el sistema que indiquen la
fecha y la hora del cambio.
R= Esto es debido a que debemos comenzar primero por las reas de mayor
riesgo para la organizacin puesto que en estos lugares es que presenta
mayores amenazas y son las que deben ser tratadas con mayor prioridad.
Caso de Estudio B
Un auditor de SI est planeando revisar la seguridad de una aplicacin
financiera para una gran compaa con varias localidades en todo el mundo. El
sistema aplicativo est constituido por una interfaz web, una capa lgica de
negocio y una capa de base de datos. La aplicacin es accedida localmente a
travs de una LAN y remotamente a travs de la Internet mediante una conexin
VPN.
Preguntas del caso de estudio B
B1. La herramienta CAAT MS apropiada que el auditor debe usar para
probar los parmetros de configuracin de seguridad para todo sistema de
aplicacin es:
A. software generalizado de auditora

B. datos de prueba
C. Software utilitario
D. sistemas expertos
R= Cuando el auditor prueba la seguridad de todo el sistema de una
organizacin sus redes, su base de datos entre otras cosas perteneciente a la
empresa el auditor utilizara un software de utilidad que lo ayuda a observar la
configuracin del sistema.

B2. Dado que la aplicacin es accedida a travs de la Internet, cmo debe

el auditor determinar si se debe realizar un examen detallado de los ajustes
de configuracin de las reglas del firewall y de la red privada virtual (VPN)?
A. Anlisis documentado del riesgo
B. Disponibilidad de experiencia y conocimientos tcnicos
C. Mtodo usado en auditorias previas
D. Directrices y mejores prcticas de auditora de SI
R= El auditor en este caso debe hacer un anlisis del riesgo e ir documentando
todo esto para determinar secciones con mayor riesgo dentro de la organizacin.
B3. Durante la revisin, si el auditor detecta que el objetivo de control de
autorizacin de transacciones no puede cumplirse debido a una ausencia
de roles y privilegios claramente definidos en la aplicacin, el auditor debe
PRIMERO:
A. Revisar la autorizacin en una muestra de transacciones
B. Reportar inmediatamente este hallazgo a la gerencia superior
C. Solicitar que la gerencia del auditado revise si los derechos de acceso para
todos los usuarios son apropiados
D. Usar un software generalizado de auditora para verificar la integridad de la
base de datos
R= El auditor debe primero revisar la autorizacin en una muestra de
transacciones para determinar y poder informar el impacto y la materialidad de
este problema

Caso de Estudio C
Preguntas de caso de estudio C

C1. La PRIMERA prioridad del auditor de SI en el Ao 1 debe ser estudiar:

A. Los informes de auditoras de SI anteriores y planificar el cronograma de
auditora.
B. Auditar el estatuto y planificar el cronograma de auditora.
C. El impacto del nuevo colaborador como CISO.
D. El impacto de la implementacin del nuevo ERP en el ambiente de TI y
planificar el cronograma de auditora.
R= El auditor debe estudiar el impacto de ERP y hacer la planificacin en la
organizacin para los momentos que sern auditadas.

C2. Cmo debe el auditor de SI evaluar el respaldo y el procesamiento de

lotes dentro de las operaciones de computadora?
A. Planificar y llevar a cabo una revisin independiente de las operaciones de
computadora
B. Basarse en el informe del auditor de servicio del proveedor de servicio.
C. Estudiar el contrato entre la entidad y el proveedor de servicio.
D. Comparar el informe de entrega del servicio con el contrato de nivel de
servicio.
R= En este caso el auditor debe comparar el informe de entrega de servicio con
el desempeo real que en este momento tiene el proveedor de servicio para as
poder observar si est cumpliendo con el contrato actual.