Casos de Estudio

ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS INGENIERÍA EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN Tema: Casos de Estudio. Objetivo: Responder las preguntas de cada caso de estudio con su respectiva justificación.

Caso A Escenario Se ha pedido al auditor de SI que realice un trabajo preliminar que evaluará el alistamiento de la organización para que una revisión mida el cumplimiento de los nuevos requisitos regulatorios. Estos requisitos están diseñados para asegurar que la gerencia esté asumiendo un papel activo en establecer y mantener un entorno bien controlado y, en consecuencia, evaluará la revisión de la gerencia y las pruebas del entorno general de control de TI. Las áreas a ser evaluadas incluyen seguridad lógica y física, administración de cambios, control de producción y administración de redes, gobierno de TI, y computación de usuario final, Al auditor de SI se le han dado seis meses para realizar este trabajo preliminar, de modo que debe haber disponible suficiente tiempo. Se debe señalar que en años anteriores, se han identificado reiterados problemas en las áreas de seguridad lógica y administración de cambios, de modo que estas áreas muy probablemente requerirán algún grado de rectificación. Las deficiencias de seguridad lógica notadas incluyeron compartir las cuentas de administrador y no ejecutar los controles adecuados sobre las contraseñas. Las deficiencias de administración de cambios incluyeron indebida segregación de funciones incompatibles y no documentar todos los cambios, Adicionalmente, el proceso para desplegar las actualizaciones del sistema operativo a los servidores se encontró que era sólo parcialmente efectivo. En anticipación del trabajo a ser realizado por el auditor de SI, el director de información (CIO) solicitó reportes directos para desarrollar narrativas y flujos de proceso que describieran las principales actividades de las que TI es responsable. Estos se llevaron a cabo, fueron aprobados por los diferentes dueños de proceso y por el CIO, y fueron luego enviados al auditor de SI para examen. Preguntas del Estudio de Caso A 1. ¿Qué debería hacer PRIMERO el auditor de SI? A. Efectuar una evaluación del riesgo de TI. B. Realizar una auditoría de inspección de los controles de acceso lógico. C. Revisar el plan de auditoría para concentrarse en la auditoría basada en el riesgo. D. Comenzar a probar los controles que el auditor de SI estima que son los más críticos.

2. Cuando se prueba la administración de cambios de programas, ¿Cómo se debe seleccionar la muestra? A. Los documentos de administración de cambios deben ser seleccionados al azar y examinados para verificar si son apropiados. B. Se deben sacar muestras de los cambios al código de producción y éstos deben ser rastreados hasta la documentación apropiada que autorizó. C. Los documentos de administración de cambios deben ser seleccionados en base a la criticidad del sistema y deben ser examinados para verificar si son apropiados. D. A los cambios al código de producción se les debe sacar una muestra y se les debe rastrear hasta los registros (logs) producidos por el sistema que indiquen la fecha y la hora del cambio. CASO B Escenario Un auditor de SI está planeando revisar la seguridad de una aplicación financiera para una gran compañía con varios lugares en todo el mundo. El sistema de aplicación está constituido por una interfaz web, una capa lógica de negocio y una capa de base de datos. La aplicación es accedida localmente a través de una LAN y remotamente a través de la Internet mediante una conexión VPN. Preguntas del Estudio de Caso B 1. Dado que la aplicación es accedida a través de la Internet ¿cómo debe el auditor determinar si debe revisar las reglas del firewall y los parámetros de configuración de VPN? A. B. C. D.

Análisis documentado del riesgo Disponibilidad de experiencia y conocimientos técnicos Método usado en la auditoría anterior Directrices y mejores prácticas de auditoría de SI

2. Durante la revisión, si el auditor detecta que el objetivo de control de autorización de transacciones no puede cumplirse debido a una ausencia de roles y privilegios claramente definidos en la aplicación, el auditor debe PRIMERO: A. Revisar la autorización en una muestra de transacciones B. Reportar inmediatamente este hallazgo a la gerencia superior C. Solicitar que la gerencia del auditado revise si los derechos de acceso para todos los usuarios son apropiados D. Usar un software generalizado de auditoría para verificar la integridad de la base de datos.