Fundamentos de la Auditoría de Sistemas: Seguridad, Redes y Estándares COBIT

Ingeniería informática, , , , , ,

Auditoría de Sistemas Informáticos: Preguntas Clave y Conceptos

1. Fases de Evaluación y Detección de Áreas Críticas

1. ¿En qué fase se descubren áreas críticas y sensibles en el proceso de evaluación?

R: Fase de estudio preliminar.

2. Herramientas de Ejecución en la Auditoría de Sistemas

2. Durante la ejecución de una auditoría de sistemas, se pueden utilizar diferentes herramientas. Desarrolle dos de ellas:

  • Cuestionario

    Las auditorías informáticas recopilan información y documentación de todo tipo. El trabajo de campo del auditor consiste en obtener la información necesaria mediante cuestionarios estructurados.

  • Entrevista

    El auditor comienza a entrevistarse con el personal involucrado en el área de sistemas o con el personal auditado para obtener información cualitativa y validar procesos.

3. Objetivos y Debilidades en la Auditoría de Sistemas de Comunicación y Redes

3. Mencione tres observaciones o debilidades frecuentes dentro de una auditoría de sistemas con un enfoque a los sistemas de comunicación y redes:

  • La desactualización de la documentación, lo cual significaría una grave debilidad.
  • Las debilidades más frecuentes e importantes en la informática de comunicaciones.
  • Personal con acceso inadecuado a tarjetas de comunicaciones, impresoras, etc.

4. Definiciones Clave en Seguridad Informática y Administración de Sistemas

4. En un proceso de evaluación de Control Interno (C.I.) sobre los requisitos mínimos de seguridad informática para la administración de sistemas informáticos y tecnologías, se encuentran las siguientes definiciones:

  • Encriptación

    Es una manera de codificar la información para protegerla frente a terceros. Es la codificación de la información de archivos para que no pueda ser descifrada por usuarios no autorizados.

  • Hosting

    Es un servicio al que se puede asociar un dominio. Se utiliza principalmente para obtener servicios de alojamiento web o correo electrónico.

  • Pista de Auditoría (Audit Trail)

    Una pista de auditoría permite al auditor rastrear los datos financieros relacionados, llegando así al documento de origen y verificando la trazabilidad de las transacciones.

5. Áreas Objeto de Evaluación en Auditoría

5. Mencione y comente dos de las diez áreas objeto de evaluación:

  • Infraestructura o instalaciones mínimas.
  • Seguridad física.
  • Normas y procedimientos (Gestión).
  • Normas y procedimientos (Operaciones).

6. Estructura de una Auditoría de Seguridad de Redes (Caso Práctico)

6. La empresa E-Commerce S.A. quiere saber si su sistema de comunicación y redes brinda toda la seguridad necesaria para realizar transacciones y transferencias de información.

La auditoría se estructura en:

  • Enfoque: Determinar la perspectiva de la auditoría.
  • Objetivo: Determinar la seguridad necesaria para transacciones y transferencias.
  • Alcance: Definir los límites del sistema a auditar.
  • Normativa a utilizar: Estándares aplicables (ej. ISO 27001, COBIT).

Fases de la Auditoría:

  • Planificación
  • Ejecución
  • Comunicación de resultados

Actividades y Documentación:

Las actividades son los procedimientos que se van a realizar.

Detalles de las actividades:

  • MPA (Memorándum de Planificación de Auditoría)
  • Programa de trabajo
  • Cuestionario
  • PIT (Papeles de Trabajo)
  • Deficiencias encontradas

7. Estructura Documental y Metodología de la Auditoría

7. La estructura de la auditoría se realiza mediante la planificación, ejecución y comunicación de resultados. En estas fases se gestionan los siguientes legajos:

Legajo Permanente

  • Antecedentes institucionales
  • Contrato de servicios
  • Manual del SINCOM
  • COBIT 4.1
  • ISO 27002

Legajo Corriente

  • MPA (Memorándum de Planificación de Auditoría)
  • Programa de trabajo
  • Cuestionario de control interno
  • Planillas de deficiencias
  • Carta del control interno
  • Informe del control interno
  • Análisis técnico
  • Carta de gerencia
  • Informe de auditoría

De ahí se revisan los comprobantes y detalles para la comunicación de resultados.

8. Estándares y Conceptos Adicionales de Sistemas

8. Comparativa de Estándares

¿Alguna diferencia entre COBIT 4.1 y COBIT 5.0?

Conceptos de Bases de Datos y Software

a. Sistema de gestión de bases de datos, ¿es un conjunto de información estructurado de forma coherente?

FALSO / VERDADERO

b. ¿Cuál es el software que sirve como herramienta para elevar la productividad de los usuarios?

DESARROLLO GENERAL / APLICACIÓN / BASE / NINGUNO / TODOS

c. Relacione los niveles de visión con los usuarios de una base de datos.

R: El nivel Interno es solo para el diseñador de la base de datos, y el nivel Externo es el más cercano a los usuarios finales.

d. Los sistemas de comunicación se pueden desarrollar a través de redes, con el fin de:

R: Aumentar la eficiencia y la efectividad de la interacción.

e. Los canales de transmisión de información pueden ser:

R: Tangibles, intangibles y por satélites.

f. Mencione y describa tres objetivos que se persiguen en una auditoría de sistemas con un enfoque a nivel de bases de datos.

  1. Evitar acciones criminales.
  2. Satisfacer los requerimientos de los auditores.
  3. Evitar multas por incumplimientos normativos.

g. Una base de datos es un conjunto estructurado de datos coherentes.

h. ¿Cuáles son los componentes del sistema operativo?

R: Son los residentes y los transientes.

i. Mencione y describa tres objetivos que se persiguen en una auditoría de sistemas con un enfoque a nivel de software.

  1. Comprobar la seguridad de datos y ficheros: Se refiere a la seguridad que tiene nuestro software al usar los datos y ficheros adecuados.

  2. Revisar las previsiones y procedimientos de backup: Se refiere a revisar todos los procedimientos anteriores y durante la copia de seguridad.

  3. Examinar que los programas realizan lo que realmente se espera de ellos: Se refiere a que los programas no hayan sido alterados y realicen la función para la que realmente fueron diseñados.

j. Una forma de reducir el riesgo de violaciones a la seguridad consiste en la aplicación de restricciones de acceso físico (a nivel de usuarios). Mencione tres tipos de restricciones:

  1. Algo que tiene: Una llave, una tarjeta de identificación con fotografía, una tarjeta inteligente con una identificación codificada digitalmente.

  2. Algo acerca del usuario (Biometría): Su voz, huellas dactilares, lecturas retinales u otras mediciones de las características corporales de un individuo.

  3. Algo que hace: Su firma o su velocidad para teclear y sus patrones de errores.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.