Sunteți pe pagina 1din 6

Principales áreas de la auditoría informática.

Patricio Astorga Vega

AUDITORÍA INFORMÁTICA

Instituto IACC

30 octubre 2017
INSTRUCCIONES: Responda a los planteamientos que se exponen a continuación:

En una bodega se lleva un control de inventario almacenando la información de los

productos en una base de datos Oracle. Periódicamente se generan reportes de cuadraturas

de los productos en stock y los que han entrado y salido de la bodega, sin embargo, en los

últimos dos meses se han encontrado diferencias entre el reporte que entrega la base de

datos y el inventario manual.

De acuerdo a lo anterior, usted es contratado para conducir una auditoría sobre la base de

datos para revisar si el problema de inconsistencia en los informes automáticos

corresponde a la base de datos o no.

1) ¿Qué tipo de auditoría es necesaria en este caso?

Aunque existen distintas metodologías que se aplican en auditoria informática (prácticamente

cada firma de auditores y cada institución desarrolla la suya propia). En este caso utilizaremos la

metodología tradicional, es acá donde como auditor revisaremos el entorno con ayuda de una

lista de control (checklist), que consta de una serie de cosas a verificar donde con una

metodología de diseño de base de datos como ejemplo (si S es si, N no y Na no aplicable),

debiendo registrar como auditor el resultado de la investigación.

Este tipo de técnica será aplicada a la auditoria de productos de base de datos, específicos en la

lista de control de todos los aspectos a tener en cuentas.


¿Es necesario incluir el sistema operativo sobre el que opera la base de datos y la aplicación

que maneja los datos?

Justifique su análisis.

Creo que es necesario ya que el sistema operativo trabaja a nivel de objetos y realiza funciones

en base a este concepto. Por esta razón, las tareas que realiza son claramente diferentes a las

efectuadas por un sistema operativo clásico (gestión de procesos, memoria, e/s, ficheros, etc.).

Por otra parte, hay que tener en cuenta que éste se ejecuta sobre la máquina abstracta orientada a

objetos.

Los sistemas que aglutinan los elementos que intervienen para gestionar la información que

manejan los subsistemas empresariales es lo que se conoce como Sistemas de Información. Se

suele utilizar las siglas SI o IS (de Information Server) para referirse a ello). Realmente un

sistema de información sólo incluye la información que nos interesa de la empresa y los

elementos necesarios para gestionar esa información.

Sistemas Gestores de Bases de Datos La gestión de los datos A estos sistemas se les llama

sistemas de ficheros. Se consideran también así a los sistemas que utilizan programas ofimáticos

(como Word y Excel) para gestionar sus datos. De hecho estos sistemas producen los mismos (si

no más) problemas. Sistemas de información orientados a los datos. Bases de datos En este tipo

de sistemas los datos se centralizan en una base de datos común a todas las aplicaciones.

La manipulación de los datos involucra tanto la definición de estructuras para el almacenamiento

de la información como la provisión de mecanismos para el manejo de la información.

Además un sistema de base de datos debe de tener implementados mecanismos de seguridad que

garanticen la integridad de la información, a pesar de caídas del sistema o intentos de accesos no

autorizados. Los sistemas de bases de datos requieren que la institución reconozca el papel
estratégico de la información y comience activamente a administrar y planear la información

como recurso corporativo.

De forma sencilla podemos indicar que una base de datos no es más que un conjunto de

información relacionada que se encuentra agrupada o estructurada.

Las bases de datos requieren de nuevo software y de un nuevo personal capacitado especialmente

en las técnicas del Sistema de Gestión de Base de Datos, así como las nuevas estructuras

administrativas.

Desaparecen por completo en este sistema operativo conceptos como el de espacio de

direcciones y el de proceso. En cuanto al primero, dado que el único concepto soportado es el de

objeto, podría decirse que éstos integran el espacio de direcciones necesario para almacenar su

información. En cuanto al segundo, desaparece como tal porque el flujo de ejecución va asociado

a cada objeto. En este" sentido se consideran los objetos "activos", cuando se invoca un método

de un objeto es éste el que se activa y se procede a ejecutar la parte del código correspondiente,

teniendo en cuenta que esta ejecución depende exclusivamente del propio objeto.

2) Proporcione una lista de todos los aspectos auditables (a nivel de base de datos y/o

sistema operativo) que incluiría en su auditoría. Justifique su elección.

Lista a nivel de base de datos:

 Incremento de la dependencia del servicio informático debido a la concentración de datos.

 Mayores posibilidades de acceso en la figura del administrador de la base de dato.

 Incompatibilidad entre sistemas de seguridad de acceso propios del SGBD y el general de

la instalación.

 Mayor impacto de los errores en datos o programas que en los sistemas tradicionales.

 Ruptura de enlaces o cadenas por fallos del software o de los programas de aplicación.
 Mayor impacto de accesos no autorizados al diccionario de la base de datos que a un

fichero tradicional.

 Mayor dependencia del nivel de conocimientos técnicos del personal que realice tareas

relacionadas con el software de base de datos (administrador, programadores, etc.).

Lista a nivel de Sistema operativo:

 Procedimientos de selección de software del sistema

 Estudio de viabilidad/factibilidad

 Proceso de selección

 Software de seguridad del sistema

 Implementación de software del sistema

 Documentación de autorizaciones de accesos

 Documentación del sistema

 Actividades de mantenimiento de software del sistema

 Controles de cambios al software del sistema


Bibliografía

 Contenido Semana 7 Iacc.