AUDITORIA DE SISTEMAS DE INFORMACION NOMBERTO PAIRAZAMAN EDUARDO

NRC: ID: 000137823

LABORATORIO 11: “AUDITORIA BD” 16/07/2020

INFORME DE CONFIDENCIALIDAD DE LA BASE DE DATOS

De 47 pregunta del Checklist, Se obtienen los datos que fueron nulos, NO, N/A
para ver los puntos débiles, para reforzar.

CHECKLIST AUDITORIA DE BASE DE DATOS

Controles críticos del checklist realizados a la base de datos:
1. NO CUENTAN con un administrador de sistemas en la empresa que
lleve un control de los usuarios
2. NO Son gestionados los perfiles de estos usuarios por el administrador
3. Nulo, NO tiene valoración Las instancias que contienen el repositorio,
tienen acceso restringido
4. No renuevan las claves de los usuarios de la Base de Datos
5. No obligan a realizar el cambio de la contraseña de forma automática
6. No encuentran con listados de todos aquellos intentos de accesos no
satisfactorios o denegados a estructuras, tablas físicas y lógicas del
repositorio
7. Nulo, No tienen valoración con Poseer la base de datos un diseño físico
y lógico
8. No restringen el acceso al entorno de desarrollo
9. No tiene datos utilizados en el entorno de desarrollo, ni tampoco son
reales
10. No tiene valoración Si llevan a cabo copias de seguridad del repositorio
11. Nulo, No tiene valoración en Las copias de seguridad se efectúan
diariamente
12. No tienen copias de seguridad son encriptada
13. No tienen dispositivos que tienen las copias de seguridad, son
almacenados fuera del edificio de la empresa
14. Nulo, no tiene valoración En caso de que el equipo principal sufra una
avería, existen equipos auxiliares
15. No tiene La comunicación se establece de forma escrita
16. No Es eliminada la cuenta del usuario en dicho procedimiento
17. No cuenta con niveles de seguridad para el acceso a la Base de Datos
AUDITORIA DE SISTEMAS DE INFORMACION NOMBERTO PAIRAZAMAN EDUARDO
NRC: ID: 000137823
LABORATORIO 11: “AUDITORIA BD” 16/07/2020

18. No se encuentra la Base de Datos actualizada con el último Set de

Parches de Seguridad
19. No Existe algún plan de contingencia ante alguna situación no deseada
en la Base de Datos
20. No Se usan los generados por el Sistema Operativo
21. No Se han configurado estos logs para que sólo almacenan la
información relevante
22. No tienen un sistema de registro de acciones propio, con fines de
auditoría
23. No Las instalaciones del centro de cómputo no son resistentes a
potenciales daños causados por agua
24. No Las instalaciones del centro de cómputo no son resistentes a
potenciales daños causados por el fuego
25. No Existe y tampoco es conocido un plan de actuación para el personal
del centro de cómputo, en caso de incidentes naturales u otros que
involucren gravemente la instalación
26. No La información que poseen en la base de datos es real
27. No Se notifican las acciones realizadas a nivel de mantenimiento de
hardware
Conclusiones:
Se obtuvo como resultado de la aplicación del checklist de la base de datos de
la empresa se encontró que no se aplica la confidenciada de los datos debido a
que no se tiene bien definido la seguridad y es muy vulnerable ante ataques
interno como externo, se tiene como evidencia el checklist por lo cual se
verifica que N/A son los más riesgosos ya que al realizar el checklist se ve
cuando se verifica que no cuenta con confidencialidad ya que no cuenta con un
administrador que controle la seguridad.

De las 47 preguntas se obtiene 27 repuesta que son criticas ya que fueron

Respondidas como nulas, NO, N/A afectando en la confidencialidad de la base
de datos.

La confidencialidad consiste en la capacidad de garantizar que la información,

almacenada en el sistema informático o transmitida por la red, solamente va a
AUDITORIA DE SISTEMAS DE INFORMACION NOMBERTO PAIRAZAMAN EDUARDO
NRC: ID: 000137823
LABORATORIO 11: “AUDITORIA BD” 16/07/2020

estar disponible para aquellas personas autorizadas a acceder a dicha

información para ello debemos cumplir políticas en base a la normal 20071.

Riesgos:
Por no contar con la seguridad adecuada se podrían ocasionar ataques más
comunes:

 Alteración en los registros originales.

modificadas por los involucrados no autorizados de la empresa
Realizados por los usuarios intentos o externos

 Virus. El virus permanece inactivo hasta que un usuario lo ejecuta. En

este momento el virus comienza a infectar los archivos extendiéndose
por todo el equipo.

 Worms (gusanos). El objetivo de los gusanos informáticos es infectar los

archivos del equipo para difundirlos. Tienen la capacidad de extenderse
a otros equipos sin necesidad de que un usuario los ejecute.

 Troyanos. Los troyanos muestran la apariencia de un programa fiable,

pero esconden otro tipo de malware que es instalado automáticamente
con el objetivo de tomar el control del equipo.

 Keyloggers. Son capaces de registrar todas las pulsaciones del teclado.

Esta información es utilizada para conseguir contraseñas y datos de la
víctima.

 Spyware. El objetivo principal de este malware es el robo de

información.

 Adware. El adware se encarga de mostrar publicidad al usuario a través

de banners, pop-ups, nuevas ventanas en el explorador… En muchos
casos, el objetivo secundario también es obtener información sobre la
actividad del usuario en la red.

 Ransomware. Es el tipo de ataque más común en la actualidad. Se basa

en el cifrado de los datos, restringiendo el acceso a los archivos del
equipo para pedir un pago por el rescate de los mismos. En la mayoría
de los casos en bitcoins
AUDITORIA DE SISTEMAS DE INFORMACION NOMBERTO PAIRAZAMAN EDUARDO
NRC: ID: 000137823
LABORATORIO 11: “AUDITORIA BD” 16/07/2020

Sugerencias:
Para conseguir una mejor seguridad se utilizan los siguientes mecanismos:

 Autenticación

 Token

 Encriptación 

 Realización de copias de seguridad

 Antivirus

 Firewall

 Servidores proxy

 Firma electrónica
 Reglamento de control

Se implementarían para evitar los diferentes tipos de vulnerabilidades.

 Se recomienda tener el control de la autenticación de los usuarios al

registrarse para generar seguimientos de los cambios realizados
 Se recomienda priorizar el nivel de permisos al acceso de la información.
 Re recomienda contar con un encargado y equipo que conforme un área
de sistemas de información que controle la seguridad de la empresa
 Se recomienda contar con copias de seguridad internas y externas para
poder tener base de datos a salvo y disponible las 24/7
 Se debe contar una base de datos estructurada, relacionada.
 Se recomienda contar con un plan de contingencia para poder tener un
respaldo por algún daño critico de la base de datos actual.
AUDITORIA DE SISTEMAS DE INFORMACION NOMBERTO PAIRAZAMAN EDUARDO
NRC: ID: 000137823
LABORATORIO 11: “AUDITORIA BD” 16/07/2020

Bibliografia
Auditool- Red Global de conocimiento en auditoria y control interno 6 enero
2011
https://www.auditool.org/blog/auditoria-externa/271-el-informe-de-auditoria
CCJCC ESTRUCTURA Y CONTENIDO DEL INFORME DE AUDITORIA
https://www.auditorscensors.com/uploads/20181207/Informe_Auditoria.pdf
Sicrom - Tipos de ataques
https://sicrom.com/blog/tipos-ataques-informaticos/