Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CASOS DE ESTUDIO
CURSO AUDITORIA DE SISTEMAS DE INFORMACIÓN
Estuardo Alegría
ESTUDIO DE CASO A
Se ha pedido al auditor de SI que realice un trabajo preliminar que evaluará el grado de preparación
de la organización para que una revisión mida el cumplimiento de los nuevos requerimientos
regulatorios. Estos requerimientos están diseñados para asegurar que la gerencia este asumiendo
un papel activo en establecer y mantener un ambiente bien controlado y, en consecuencia, evaluará
la revisión de la gerencia y las pruebas del ambiente general de control de TI.
Las áreas a ser evaluadas incluyen seguridad lógica y física, gestión de cambios, control de
producción y gestión de redes, gobierno de TI, y computación de usuario final. Al auditor de SI se le
han dado seis meses para realizar este trabajo preliminar, de modo que debe haber disponible
suficiente tiempo. Se debe señalar que en años anteriores se han identificado retirados problemas
en las áreas de seguridad lógica y gestión de cambios, de modo que estas áreas muy probamente
requerirán algún grado de rectificación. Las deficiencias de seguridad lógica notada incluyeron
compartir las cuentas de administrador y no ejecutar los controles adecuados sobre las contraseñas.
Las deficiencias de gestión de cambios incluyeron indebida segregación de funciones incompatibles
y no documentar todos los cambios. Adicionalmente, el proceso para desplegar las actualizaciones
del sistema operativo a los servidores se encontró que era sólo parcialmente efectivo. En
anticipación del trabajo a ser realizado por el auditor de SI, el director de información (CIO) solicitó
reportes directos para desarrollar narrativas y flujos de proceso que describieran las principales
actividades de las que TI es responsable. Estos se llevaron a cabo, fueron aprobados por los
diferentes dueños de proceso y por el CIO, y fueron luego enviados al auditor de SI para examen.
A2. Cuando se prueba la gestión de cambios de programas, ¿cómo se debe seleccionar la muestra?
A. Los documentos de gestión de cambios deben ser seleccionados al azar y examinados para
verificar si son apropiados.
B. Se deben sacar muestras de los cambios al código de producción y éstos deben ser rastrados
hasta la documentación apropiada que los autorizó.
C. Los documentos de gestión de cambios deben ser seleccionados en base a la criticidad del
sistema y deben ser examinados para verificar si son apropiados.
D. A los cambios al código de producción se le debe sacar una muestra y se les debe rastrear
hasta los registros (logs) producidos por el sistema que indiquen la fecha y la hora del
cambio.
UNIVERSIDAD MARIANO GALVEZ
CASOS DE ESTUDIO
CURSO AUDITORIA DE SISTEMAS DE INFORMACIÓN
Estuardo Alegría
ESTUDIO DE CASO B
Un auditor de SI está planificando revisar la seguridad de una aplicación financiera para una gran
compañía con varios lugares en todo el mundo. El sistema de aplicación está constituido por una
interfaz web, una capa lógica de negocio y una capa de base de datos. Se accede a la aplicación
localmente a través de internet mediante una conexión de redes virtuales privadas VPN
B1. El tipo MÁS apropiado de herramienta de CAATS que el auditor debe usar para probar los
parámetros de configuración de seguridad para todo el sistema de aplicación es:
B2. Dado que se accede a la aplicación a través de Internet, ¿Cómo debe el auditor determinar si
debe revisar detalladamente las reglas del cortafuego (firewall) y los parámetros de configuración
de VPN?
ESTUDIO DE CASO C
Un auditor de SI ha sido designado para llevar a cabo auditorias de SI en una entidad por un periodo
de 2 años. Después de aceptar la designación, el auditor de SI noto que:
▪ La entidad tiene un estatuto de auditoria que detalla, entre otras cosas, el alcance y las
responsabilidades de la función de auditoria de SI y especifica al comité de auditoría como
el organismo de supervisión para la actividad de auditoría.
▪ La entidad está planificando un aumento importante en la inversión de TI, principalmente a
cuenta de la implementación de una nueva aplicación ERP, integrando los procesos del
negocio en todas las unidades dispersas geográficamente.
La implementación de ERP se espera que esté en operación dentro de los próximos 90 días.
Los servidores que soportan las aplicaciones del negocio están alojados fuera de las
instalaciones por un tercero proveedor de servicios.
▪ La entidad está sujeta a requerimientos regulatorios de cumplimiento que obligan a su
gerencia a certificar la eficacia del sistema de control interno cuando éste se relaciona con
el reporte financiero. La entidad ha estado registrando crecimiento al doble del promedio
de la industria consistentemente por los últimos dos años. Sin embargo, la entidad ha visto
también aumentada su rotación de empleados.
C2. ¿Cómo debe el auditor de SI evaluar el respaldo y el procesamiento de lotes dentro de las
operaciones de computadora?