Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería de Sistemas de Información

Maestría en Seguridad de Sistemas de Información

Auditoria informática

Ing. BEISY GABRIELA GARCIA CORADO

Grupo #3

Plan Sábado

Sección “B”

MADELIN RUT MONZON FUENTES 1693-16-7765

PABLO JAVIER MIRANDA GODINEZ 1693-16-11875

ROBERTO JULIÁN GUTIÉRREZ TZUNUN 1693-16-7462

ELIAS ANGEL LÓPEZ LÓPEZ 1693-17-23821

VICTOR MANUEL GONZÁLEZ CUMATZ 1693-16-11138

06 de febrero de 2023
CASO DE ESTUDIO

Se ha pedido al auditor de SI que realice un trabajo preliminar que evaluará el grado de preparación
de la organización para que una revisión mida el cumplimiento de los nuevos requerimientos
regulatorios. Estos requerimientos están diseñados para asegurar que la gerencia esté asumiendo
un papel activo en establecer y mantener un ambiente bien controlado y, en consecuencia, evaluará
la revisión de la gerencia y las pruebas del ambiente general de control de TI. Las áreas que deben
ser evaluadas incluyen seguridad física y lógica, gestión de cambios, controles en producción y la
gestión de la red, el gobierno de TI y la computación de usuario final. Al auditor de SI se le han dado
seis meses para realizar este trabajo preliminar, de modo que debe haber disponible tiempo
suficiente. Se debe señalar que, en años anteriores, se han identificado reiterados problemas en las
áreas de seguridad lógica y gestión de cambios, de modo que estas áreas muy probablemente
requerirán algún grado de remediación. Se ha notado que las deficiencias de la seguridad lógica
incluyen que se comparten las cuentas del administrador y se falla en reforzar un adecuado control
sobre las claves de acceso.

Las deficiencias en la gestión de cambios incluyen la inadecuada o incompatible segregación de

funciones y se falla al documentar todos los cambios. Además, se encontró que el proceso para
desplegar las actualizaciones del SO a los servidores era sólo parcialmente efectivo. Con anticipación
a la realización del trabajo del auditor, el gerente de TI (CIO) solicitó directamente reportes sobre el
desarrollo de las narrativas del flujo de procesos describiendo las más grandes actividades de las
cuales TI es responsable. Estas fueron completadas, aprobadas por varios dueños de proceso y el
CIO y entonces remitidas al auditor de Si para su examen.

Preguntas

¿Qué debería hacer PRIMERO el auditor de SI?

A. Efectuar una evaluación del riesgo de TI.

B. Realizar una auditoría de inspección de los controles de acceso lógico.

C. Revisar el plan de auditoria para concentrarse en la auditoría basada en el riesgo.

D. A probar los controles que el auditor de Si estima que son los más críticos.

- Se debe realizar una evaluación del riesgo TI para determinar qué áreas son las que presentan los
mayores riesgos y que controles permitan mitigar dichos riesgos, teniendo en cuenta que se han
efectuado narrativas y se tiene un flujo de procesos, se debe de establecer según la organización
cuales son los controles críticos que se han determinado; de igual forma emprender todas las
opciones luego de efectuar con éxito la evaluación del riesgo de TI.
Cuando se prueba la gestión de cambios de programas, ¿cómo se debe seleccionar la muestra?

A. Los documentos de gestión de cambios deben ser seleccionados al azar y examinados para
verificar si son apropiados.

B. Se deben sacar muestras de los cambios al código de producción y éstos deben ser rastreados
hasta la documentación apropiada que los autorizó.

C. Los documentos de gestión de cambios deben ser seleccionados en base a la criticidad del sistema
y deben ser examinados para verificar si son apropiados.

D. A los cambios al código de producción se les debe sacar una muestra y se les debe rastrear hasta
los registros (logs) producidos por el sistema que indiquen la fecha y la hora del cambio.

- Desde el comienzo que se realiza una evaluación a un control se debe efectuar desde el objetivo
que se está evaluando o estudiando hasta llegar al punto de documentación del control que se está
investigando; por lo tanto, es preferible escoger una muestra entre el conjunto de documentación
para asegurar que cada cambio estuvo acompañado por documentación apropiada de control. En
consecuencia, se pueden presentar cambios drásticos tanto los cambios al código de producción
que provee la base más apropiada para seleccionar una muestra. Estos cambios muestreados deben
entonces ser rastreados hasta la documentación apropiada que los autoriza. De lo contrario,
seleccionar desde la población de los documentos de gestión de cambios no revelaran ningún
cambio que haya evadido la aprobación normal y el proceso de documentación. De manera similar
se debe de comparar los cambios al código de producción con los registros de producción ya que el
sistema no proveerá evidencia de una aprobación debida de los cambios antes de que sean
migrados a producción.