AYUDANTIA

FEN
AUDITORIA INFORMATICA
2018
CASO 1
UNA EMPRESA CUENTA CON UN AREA DE INFORMATICA QUE TIENE EXTERNALIZADO EL SERVICIO
DE DESARROLLO DE APLICACIONES
PARA LA ADMINSTRACIÒN DE LAS BASES DE DATOS Y SERVIDORES CUENTA CON UNA PERSONA
RESPONSABLE, QUIEN A SU VEZ REALIZA LOS CAMBIOS EN PRODUCCIÒN.
SE HA DETECTADO QUE INFORMACIÒN SENSIBLE DE LOS CLIENTES SE HA FILTRADO EN LA
REDES SOCIALES ASPECTO QUE ESTÀ GENERANDO DAÑO REPUTACIONAL IMPORTANTE Y DE
CONFIANZA EN LA EMPRESA.
POR OTRA PARTE INDICAR QUE LA GENTE DE DESARROLLO NECESITA UTILIZAR DATOS DE
PRODUCCIÒN PARA REALIZAR LA PRUEBAS SOBRE LOS SISTEMAS EN DESARROLLO. DATOS QUE
LES PROVEE EL ADMINISTRADOR DE BASES DATOS
LA EMPRESA NO CUENTA AÙN CON UN OFICIAL DE SEGURIDAD. POR OTRA PARTE, NO HAY LOGS
DE ACTIVIDAD DE LAS BASES DE DATOS.
PREGUNTAS

■ CUALES SON LAS DEBILIDADES DE CONTROL INTERNO IDENTIFICADAS

■ COMO LA EMPRESA PODRÌA MEJORAR EL CONTROL Y GESTIÒN DEL RIESGO
TECNOLÒGICO.
■ COMO AUDITOR QUE PRUEBAS REALIZARÌA
■ QUE OBSERVACIONES DEJARIA EN SU INFORME
CASO 2

■ SE HA DIVULGADO EN LA PRENSA QUE LA EMPRESA “INVERSIONES LA CAYANA LTDA”

QUE REALIZA TRANSACCIONES DE INVERSIONES EN MERCADO FOREX POR CUENTA DE
CLIENTES, HA TENDIO FALLOS EN SUS SISTEMAS QUE HAN AFECTADO A UN GRUPO DE
CLIENTES
■ ESTE FALLO SUPONE QUE EN DETERMINADOS INSTANTES DE TIEMPO, LOS CLIENTES
HAN QUERIDO LIQUIDAR OPERACIONES DADO CONDICIONES FAVORABLES DEL
MERCADO Y EL SISTEMA INFORMATICO EN LINEA SE INDISPONIBILIZA. (ESTA CAIDO EL
SISTEMA)
■ LA EMPRESA INDICA QUE ES UN FALLO EN EL SISTEMA PRINCIPAL AL CUAL SE
CONEXTAN TODAS LAS EMPRESAS INTERMEDIARIAS, Y NO EL SISTEMA COMPUTACIONAL
QUE “LA CAYANA” DISPONIBILIZA PARA SUS CLIENTES.
■ POR SU PARTE UNOS CLIENTES HAN DEMANDADO A LA EMPRESA YA QUE INDICAN QUE
LA CAIDA DEL SISTEMA SE PRODUCE CUANDO LAS CONDICIONES DE LA INVERSIÒN
FAVORCEN LAS POSICIONES DE LOS CLIENTES AFECTADOS, PERO QUE NO PUEDE
LIQUIDAR.
■ LA EMPRESA NO CUENTA CON UN OFICIAL DE SEGURIDAD.
PREGUNTAS

■ DE CONTAR CON UN OFICIAL DE SEGURIDAD DE LA EMPRESA, ESTE PODRÌA

APOYAR EN ESTA SITUACIÒN?. COMO?

■ LO DESIGNAN COMO AUDITOR DE LA EMPRESA. QUE PRUEBAS DE AUDITORÌA

REALIZARÌA USTED.

■ QUE OBSERVACIONES DEJARÌA.

CASO 3
■ USTED ES AUDITOR INFORMATICO EXTERNO PARA UNA EMPRESA DEL RUBRO DE LOS
SEGUROS.
■ LA EMPRESA CUENTA CON UNOS SISTEMAS DE SEGUROS EN LOS CUALES SE HA OBSERVADO
QUE SE HAN GENERADO POLIZAS QUE SE ESTAN FINANCIANDO UTILIZANDO UNA CUENTA
CONTABLE MANUAL QUE CONTIENE REMESAS DE DINEROS DE OTROS CONCEPTOS.
■ LAS APLICACIONES TIENEN UN PERFIL GENERICO QUE PERMITE REALIZAR TANTO LAS
ACTIVIDADES DE CONSULTAS, INGRESO Y MODIFICACIÒN DE TRANSACCIONES.
■ LA ADMINISTRACIÒN DE LA BASE DE DATOS LA REALIZA PERSONAL DE SISTEMAS PERO LAS
BASES DE DATOS NO TIENEN MONITORIZACIÒN DE ACTIVIDAD NI SE ALMACENAN LOGS.
■ USTED COMO AUDITOR, SE DA CUENTA ADEMAS QUE LOS EMPLEADOS SUELEN COMPARTIR
LAS CONTRASEÑAS YA QUE A VECES SE LES OLVIDAN SUS CLAVES.
■ EL SISTEMA DE CONTRATACIÒN TAMBIEN TIENE UNA PARTE QUE ESTA EXPUESTA A INTERNET.
SIN EMBARGO, CARECEN DE FIRWALLS, IPS Y SIEM.
■ EXISTE UN OFICIAL DE SEGURIDAD QUE FUE NOMBRADO RECIENTEMENTE PERO NO ES
EXPERTO EN LA MATERIA. NO HAY UN PLAN DE CONCIENZACION DE SEGURIDAD DE LA
INFORMACION.
PREGUNTAS

■ CUALES SON LOS RIESGOS TECNOLOGICOS MAS IMPORTANTES

■ QUE LE RECOMENDARÌA A LA ORGANIZACIÒN
■ QUE RECOMENDARIA RESPECTO DEL OFICIAL DE SEGURIDAD
CASO 4

■ UNA EMPRESA DEL RUBRO DE ATENCION MEDICA QUE TIENE TODA SU

OPERACIONES EN LINEA BASADO EN SISTEMAS DE LA NUBE, CUYOS SERVIDORES
SE ENCUENTRAN EN ESTAMBUL.
■ USTED ES NOMBRADO AUDITOR INTERNO DE LA COMPAÑÍA Y OBSERVA QUE EL
CONTRATO NO GARNTIZA NI CONFIDENCIALIDAD NI DISPONIBILIDAD.
■ ADEMÀS, EL CONTRATO VENCE EN DOS MESES Y LA INFORMACION NO SE HA
RESPALDADO.
PREGUNTAS

■ CUALES SON LOS RIESGOS MAS RELEVANTES.

■ QUE RECOMENDACIONES DEJARIA COMO AUDITOR INTERNO.
■ PIENSA QUE LAS APLICACIONES EN LA NUBE SON SEGURAS.
CASO 5

EN UNA PEQUEÑA EMPRESA LAS BASES DE DATOS SON ADMINSTRADAS POR

PERSONAL DE DESARROLLO DEBIDO AL TAMAÑO DE LA EMPRESA. ASIMISMO,
UTILIZAN EL MISMO SERVIDOR PARA DESARROLLAR, PRUEBAS Y EXPLOTACIÒN.
AUNQUE HAY UN RESPONSABLE DE LA PRODUCCIÒN ESTE SE ENFOCA EN LA
DISPONIBLIDAD DEL SERVICIO PARA LOS CLIENTES Y LOS EMPELADOS QUE LO
UTILIZAN PERMANENTEMENTE.
SIN EMBARGO, SE HAN OBSERVADO INCONSISTENCIAS EN LA INFORMACIÒN QUE
PRESENTAN LAS APLICACIONES EN EL CUADRE OPERATIVO-CONTABLE.
LOS CLIENTES SE HAN QUEJADO QUE SUS ESTADOS DE CUENTA NO ESTÀN
CONSISTENTES.
PREGUNTAS

■ QUE DEBILIDADES OBSERVA COMO AUDITOR DE RIESGOS TECNOLOGICOS

■ QUE RECOMENDARIA COMO AUDITOR DE RIESGOS TECNOLOGICOS.
CASO 6

■ ES AUDITOR EXTERNO Y LE TOCA REVISAR UNA CLINICA QUE TIENE PROCESO DE

CRM EN UN LAGO DE INFORMACION (CON HADOOP, HBASE, YARN).
■ LA REVISAR EL LAGO DE INFORMACIÒN OBSERVA QUE ESTE CONTIENE
INFORMACIÒN TANTO DE FACTURACIÒN DE CLIENTES, PROVEEDORES E HISTORIAL
MEDICO.
■ LA CLINICA TIENE VARIOS JUICIO EN CURSO POR QUE LOS PACIENTES INDICAN QUE
SUS DATOS DE ENFEREMADADES FUERON DIVULGADAS EN LA REDES SOCIALES.
PREGUNTAS

■ CUALES SON LOS RESGOS TECNOLOGICOS MAS IMPORTANTES.

■ DE QUE FORMA SE PODRIA MITIGAR
■ CUAL ES LA RECOMENDACIÒN QUE DEJARIA USTED COMO AUDITOR.