Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Queremos solicitar, realice la investigación y sugerencias pertinentes para dar solución a esta
situación y evitar que vuelva a suceder. ¿Podríamos reunirnos para dar más detalles de lo
anterior?
------------------------------------------------------------------------------------------------------------------------
(N) Posterior a la llamada, el auditor de sistemas llega a la empresa, y se reúne con el director
de tecnología para discutir la problemática presente
------------------------------------------------------------------------------------------------------------------------
Director. Buenas Tardes (-NOMBRE AUDITOR-), pasa adelante, soy el director de tecnología de
la Gobernación (-NOMBRE DIRECTOR-)
Auditor. Bien inicialmente, necesito saber de qué se encargan y cómo funciona esta dirección.
En otras palabras ¿Cuál es su misión?
Director. Nos encargamos del manteamiento de sistemas anteriores y del desarrollo de nuevos
sistemas, que conlleven a agilizar la toma de decisiones, también garantizar la administración,
funcionamiento y operación de los mismos, así como dar soporte a los equipos
computacionales de la institución.
Auditor. Muy bien, respecto a la situación de la que me habló vía telefónica tengo algunas
preguntas
Director. Adelante.
Auditor: Principalmente quisiera saber ¿cuántos usuarios tienen acceso a este servidor?
Director. Pues, 6 usuarios tienen acceso al servidor. Los cuales serian los programadores con
los que contamos así como los desarrolladores de bd.
Auditor. Perfecto. ¿Y todos ellos pueden realizar las mismas funciones?
------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------
Auditor. Buenas tardes. Ya culminé con la evaluación y entrevista con los programadores.
Director. Perfecto, entonces cualquier información que requieras hazme saberla. Muchas
gracias por tu trabajo y pronta respuesta. Nos vemos el próximo lunes.
(N) El Auditor realiza el informe de auditoría en donde describe de forma objetiva los hechos o
situaciones detectadas, de tal manera que se expongan en el las observaciones y hallazgos de
acuerdo al objetivo principal de la auditoría.
Se presenta el día de reunión del auditor con el director para realizar entrega del informe.
------------------------------------------------------------------------------------------------------------------------
Auditor. Esta situación se presentó debido a que no existen medidas de seguridad al no contar
con ellas, un atacante puede aprovecharse de esta gran vulnerabilidad para obtener privilegios
administrativos, permitiendo así al acceso no autorizado a la información y la corrupción de la
misma. Como también enviar consultas, por medio de ataques de inyección SQL. De acuerdo a
las observaciones realizadas y a la problemática. Inicialmente se sugiere contar con
parámetros de seguridad. Como un sistema de bitácora que registre los cambios realizados
por el usuario con el fin de que ustedes puedan monitorear cada modificación, eliminación o
creación en las bases de datos y los sistemas pertenecientes a esta entidad. De igual manera,
restringir el acceso libre al servidor, establecer a un encargado que sea el responsable de
acuerdo a la solicitud de ustedes de crear los usuarios que podrán acceder a las bases de datos
y darles permisos de las tareas que puedan realizar dentro de la misma. Estos usuarios
deberían ser individuales (Con su usuario y contraseña), para facilitar el monitoreo de las
actividades. Es importante realizar estos cambios lo antes posible para atacar esta situación de
manera rápida, también se recomienda realizar el respectivo respaldo de las bases de datos
periódicamente. Si se toman las medidas correctivas y preventivas pertinentes, realizando la
revisión y seguimiento necesarios se contribuirá a un trabajo eficiente y una oportuna toma de
decisiones. De igual forma, en el informe se plantea con más detalle cómo cumplir con estas
sugerencias a cabalidad.