PRIMERA ESCENA - LLAMADA AL AUDITOR

Director. Buenas tardes, (-NOMBRE AUDITOR-). Me llamo (-NOMBRE DIRECTOR-), Realizamos

está llamada con el fin de plantearte la situación que se ha presentado en el ente, se debe a un
problema de seguridad de los datos, nuestro servidor 38 fue violentado por un usuario
desconocido el cual borro gran parte de las bases de datos almacenadas las cuales tienen
información confidencial de esta dirección e incluso de los sistemas del Estado.

Queremos solicitar, realice la investigación y sugerencias pertinentes para dar solución a esta
situación y evitar que vuelva a suceder. ¿Podríamos reunirnos para dar más detalles de lo
anterior?

Auditor. Bien. Sí podríamos reunirnos y así entender a cabalidad la problemática y a partir de

allí evaluar la situación.

Director. Perfecto, te parece el día miércoles a las 2:00pm.

Auditor. Okey, muchas gracias. Allí estaré.

------------------------------------------------------------------------------------------------------------------------

(N) Posterior a la llamada, el auditor de sistemas llega a la empresa, y se reúne con el director
de tecnología para discutir la problemática presente

------------------------------------------------------------------------------------------------------------------------

SEGUNDA ESCENA - ENTREVISTA

Auditor. Buenas Tardes, Soy el auditor de sistemas, (-NOMBRE AUDITOR-)

Director. Buenas Tardes (-NOMBRE AUDITOR-), pasa adelante, soy el director de tecnología de
la Gobernación (-NOMBRE DIRECTOR-)

Auditor. Bien inicialmente, necesito saber de qué se encargan y cómo funciona esta dirección.
En otras palabras ¿Cuál es su misión?

Director. Nos encargamos del manteamiento de sistemas anteriores y del desarrollo de nuevos
sistemas, que conlleven a agilizar la toma de decisiones, también garantizar la administración,
funcionamiento y operación de los mismos, así como dar soporte a los equipos
computacionales de la institución.

Auditor. Muy bien, respecto a la situación de la que me habló vía telefónica tengo algunas
preguntas

Director. Adelante.

Auditor: Principalmente quisiera saber ¿cuántos usuarios tienen acceso a este servidor?

Director. Pues, 6 usuarios tienen acceso al servidor. Los cuales serian los programadores con
los que contamos así como los desarrolladores de bd.
Auditor. Perfecto. ¿Y todos ellos pueden realizar las mismas funciones?

Director. Sí, no tienen restricciones.

Auditor. Vaya. ¿Y cuentan con usuario de acceso asignado?

Director. No, todos tienen el mismo usuario y contraseña

Auditor. De acuerdo a lo que me plantea, quisiera realizar la evaluación de los procesos

mediante la observación del trabajo de los programadores y los desarrolladores de bases de
datos, para conocer de forma integral la organización y así estudiar la problemática y realizar
entrega del informe en donde describa las recomendaciones y posibles soluciones a esta
situación.

Director. Correcto. ¿Qué día puede realizarla?

Auditor. El lunes a la misma hora del día de hoy.

Director. Okey, lo espero el lunes. Muchas gracias, (-NOMBRE DIRECTOR-)

Auditor. Perfecto aquí estaré.

------------------------------------------------------------------------------------------------------------------------

(N) Luego de la entrevista ya conociendo con más detalle la problemática en la institución el

Auditor organiza el proceso de actividades a cumplir para estudiar la situación y proceder a
realizar el informe. El auditor se presenta en la empresa para evaluar la forma de trabajo de los
programadores y los dba, además de realizarle preguntas de cómo llevan a cabo sus tareas, y
se percata que no existe un proceso que permita medir, asegurar y monitorear el acceso a la
información almacenada en bases de datos, por lo que no se tiene la capacidad de determinar
quién accede a la información y cuando lo hace, así como que sentencias ejecuta, ya sea una
generación, modificación o eliminación de datos ni el resultado que esto genera. Una vez
realizada la observación el auditor, se dirige a la oficina del director y le plantea el día de
reunión para hacer entrega del informe de auditoría.

------------------------------------------------------------------------------------------------------------------------

TERCERA ESCENA – AUDICION A LA EMPRESA

Auditor. Buenas tardes. Ya culminé con la evaluación y entrevista con los programadores.

Director. Qué bueno, (-NOMBRE AUDITOR-). ¿Necesitas alguna otra información?

Auditor. No tranquilo, ya he recaudado la información necesaria, en el transcurso de esta

semana finiquitare el informe para hacer la entrega del mismo el próximo lunes.

Director. Perfecto, entonces cualquier información que requieras hazme saberla. Muchas
gracias por tu trabajo y pronta respuesta. Nos vemos el próximo lunes.

Auditor. Está bien. Gracias.

 ------------------------------------------------------------------------------------------------------------------------

(N) El Auditor realiza el informe de auditoría en donde describe de forma objetiva los hechos o
situaciones detectadas, de tal manera que se expongan en el las observaciones y hallazgos de
acuerdo al objetivo principal de la auditoría.

Se presenta el día de reunión del auditor con el director para realizar entrega del informe.

------------------------------------------------------------------------------------------------------------------------

CUARTA ESCENA – ENTREGA DEL INFORME

Director. Hola (-NOMBRE AUDITOR-), cuéntame que sugerencias nos traes.

Auditor. Esta situación se presentó debido a que no existen medidas de seguridad al no contar
con ellas, un atacante puede aprovecharse de esta gran vulnerabilidad para obtener privilegios
administrativos, permitiendo así al acceso no autorizado a la información y la corrupción de la
misma. Como también enviar consultas, por medio de ataques de inyección SQL. De acuerdo a
las observaciones realizadas y a la problemática. Inicialmente se sugiere contar con
parámetros de seguridad. Como un sistema de bitácora que registre los cambios realizados
por el usuario con el fin de que ustedes puedan monitorear cada modificación, eliminación o
creación en las bases de datos y los sistemas pertenecientes a esta entidad. De igual manera,
restringir el acceso libre al servidor, establecer a un encargado que sea el responsable de
acuerdo a la solicitud de ustedes de crear los usuarios que podrán acceder a las bases de datos
y darles permisos de las tareas que puedan realizar dentro de la misma. Estos usuarios
deberían ser individuales (Con su usuario y contraseña), para facilitar el monitoreo de las
actividades. Es importante realizar estos cambios lo antes posible para atacar esta situación de
manera rápida, también se recomienda realizar el respectivo respaldo de las bases de datos
periódicamente. Si se toman las medidas correctivas y preventivas pertinentes, realizando la
revisión y seguimiento necesarios se contribuirá a un trabajo eficiente y una oportuna toma de
decisiones. De igual forma, en el informe se plantea con más detalle cómo cumplir con estas
sugerencias a cabalidad.

Director. Muchas Gracias (-NOMBRE AUDITOR-), por tu trabajo, objetividad y desempeño al

realizar esta auditoría. Haremos los que nos indica, para solventar esta falla y prevenir algunas
mayores.

Auditor. Muy bien. Gracias por la oportunidad.