METODOLOGIA DE LA

AUDITORIA DE
SISTEMAS
Integrantes:
Paula Andrea Márquez Bernal ID: 743132
Juan Esteban Vargas Ruiz ID: 756398
Sebastian Eduardo Pinzon Castañeda ID: 757212
Karen Yurley Agudelo González ID:742264
Jhon Alexander Cristancho Aguilar ID:761410
Andres Felipe Fernandez Mora ID: 752985
CONTENIDO
1. Introducción
2. Planeación
3. Conocimiento del sistema
4. Identificación de los riesgos
5. Evaluación del control
a. Puntos fuertes
b. Puntos débiles
c. Recomendaciones
d. Seguimiento de la
auditoria
INTRODUCCIÓN
FASE DE PLANEACIÓN
Importancia de la fase de Se establecen objetivos
planeación y herramientas

Prueba de permanencia de
puntos fuertes y débiles del
control interno
Investigación previa

Evaluación teórica
AUDITORIA DE SISTEMAS
 PLANEACIÓN
RECURSOS Y
OBJETIVOS Y EQUIPO CRONOGRAMA Y
ALCANCE Asignar recursos humanos y PLAN DE AUDITORIA
tecnológicos necesarios,
Evaluar la seguridad de Establecer un
como auditores con
un sistema de gestión de cronograma detallado
experiencia en bases de
bases de datos datos y herramientas de
que incluya fechas
auditoría especializadas. clave, actividades y
responsabilidades.

Uso de software de
Revisión de accesos, auditoría especializado
controles de seguridad y
Preparación de
gestión de parches
informe de auditoria
 CONOCIMIENTO DEL
SISTEMA
Arquitectura y Componentes: Obtener
información sobre la arquitectura del sistema de
bases de datos, incluyendo servidores,
almacenamiento y sistemas operativos
utilizados.

Aplicaciones y Datos Sensibles: Se identifican las

aplicaciones críticas que interactúan con la base
de datos, como el sistema de carrito de compras y
el portal de pago. Los datos sensibles incluyen
información de tarjetas de crédito y datos
personales de los clientes.
 IDENTIFICACIÓN DE LOS RIESGOS
AMANAZAS Y
VULNERABILIDADES
Se identifican amenazas como
ataques de inyección SQL, y
vulnerabilidades como
contraseñas débiles y falta de
parcheo en el servidor SQL
EVALUACIÓN DE
RIESGOS
Se califica el riesgo de
una vulnerabilidad
crítica de inyección
SQL como alta, ya
que podría permitir el
acceso no autorizado
a datos de clientes.
EVALUACIÓN DEL
CONTROL
Puntos fuertes del control:

Identificar que la base de datos utiliza autenticación de

dos factores para los administradores, lo que reduce el
riesgo de acceso no autorizado.

Se puede realizar:

- Prueba de Permanencia de Puntos Fuertes: Verificar

que la autenticación de dos factores siga en
funcionamiento y sea efectiva, por ejemplo, probando el
acceso a la base de datos sin los factores de autenticación.
EVALUACIÓN DEL
CONTROL
Puntos débiles del control:

Encontrar que no se han aplicado parches de seguridad

críticos en la base de datos, lo que podría exponerla a
vulnerabilidades conocidas.

Se puede realizar:

- Debilidad del Control: Documentar la falta de parcheo

como una debilidad que requiere atención.
RECOMENDACIONES AL
SISTEMA
Se recomienda implementar un
programa de gestión de
parches proactivo para
garantizar que las
actualizaciones críticas se
apliquen de manera oportuna
IMPLEMENTACIÓN
Se sugiere revisar y mejoras
las políticas de contraseñas
POLÍTICA DE
CONTRASEÑAS
Se establece un plan de
acción que incluye la
programación de parches y
la implementación de una
política de contraseñas más
solida. Las fechas límite y
los responsables se
especifican claramente
PLAN DE ACCIÓN
 SEGUIMIENTO DE
AUDITORIA

Documentación Informe de
Seguimiento
de progreso Auditoria