Casos de estudio
7
Estudio de Gaso A ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS INGENIERÍA EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN PERÍODO ACADÉMICO: 2015-A ASIGNATURA: SIC816 – Auditoria y Evaluación de Sistemas Computacionales PROFESOR: Ing. Doris Tutillo TIPO DE INSTRUMENTO: Deber FECHA DE APLICACIÓN: 26/04/2015 NOMBRE: Jonathan Fernando Imbaquingo Castillo Tema: Casos de Estudio. Objetivo: Responder las siguientes preguntas a cada caso de estudio.
-
Upload
jonathan-imbaquingo-castillo -
Category
Documents
-
view
804 -
download
0
Transcript of Casos de estudio
Estudio de Easo A
ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS
INGENIERÍA EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN
PERÍODO ACADÉMICO: 2015-A
ASIGNATURA: SIC816 – Auditoria y Evaluación de Sistemas Computacionales
PROFESOR: Ing. Doris Tutillo
TIPO DE INSTRUMENTO: Deber
FECHA DE APLICACIÓN: 26/04/2015
NOMBRE: Jonathan Fernando Imbaquingo Castillo
Tema:Casos de Estudio.
Objetivo:Responder las siguientes preguntas a cada caso de estudio.
1.9.1
Escenario de Estudio de Caso A
Se ha pedido al auditor de SI que realice un trabajo preliminar que evaluará el alistamiento de la organización para que una revisión mida el cumplimiento de los nuevos requisitos regulatorios. Estos requisitos están diseñados para asegurar que la gerencia esté asumiendo un papel activo en establecer y mantener un entorno bien controlado y, en consecuencia, evaluará la revisión de la gerencia y las pruebas del entorno general de control de TI. Las áreas a ser evaluadas incluyen seguridad lógica y física, administración de cambios, control de producción y administración de redes, gobierno de TI, y
Estudio de Easo Bcomputación de usuario final, Al auditor de SI se le han dado seis meses para realizar este trabajo preliminar, de modo que debe haber disponible suficiente tiempo. Se debe señalar que en años anteriores, se han identificado reiterados problemas en las áreas de seguridad lógica y administración de cambios, de modo que estas áreas muy probablemente requerirán algún grado de rectificación. Las deficiencias de seguridad lógica notadas incluyeron compartir las cuentas de administrador y no ejecutar los controles adecuados sobre las contraseñas. Las deficiencias de administración de cambios incluyeron indebida segregación de funciones incompatibles y no documentar todos los cambios, Adicionalmente, el proceso para desplegar las actualizaciones del sistema operativo a los servidores se encontró que era sólo parcialmente efectivo. En anticipación del trabajo a ser realizado por el auditor de SI, el director de información (CIO) solicitó reportes directos para desarrollar narrativas y flujos de proceso que describieran las principales actividades de las que TI es responsable. Estos se llevaron a cabo, fueron aprobados por los diferentes dueños de proceso y por el CIO, y fueron luego enviados al auditor de SI para examen.
Preguntas del Estudio de Caso A
Al. ¿Qué debería hacer PRIMERO el auditor de SI?
Efectuar una evaluación del riesgo de TI.B. Realizar una auditoría de inspección de los controles de acceso lógico.C. Revisar el plan de auditoría para concentrarse en la auditoría basada en el riesgo.D. Comenzar a probar los controles que el auditor de SI estima que son los más críticos.
Razón: Ya que los procedimientos de auditoria son: El entendimiento de negocio, Evaluación de riesgos, Planificación de la auditoria.
A2. Cuando se prueba la administración de cambios de programas, ¿Cómo se debe seleccionar la muestra?
A. Los documentos de administración de cambios deben ser seleccionados al azar y examinados para verificar si son apropiados.
B. Se deben sacar muestras de los cambios al código de producción y éstos deben ser rastreados hasta la documentación apropiada que autorizó.
C. LOS documentos de administración de cambios deben ser seleccionados en base a la criticidad del sistema y deben ser examinados para verificar si son apropiados.
D. A los cambios al código de producción se les debe sacar una muestra y se les debe rastrear hasta los registros (102$) producidos por el sistema que indiquen la fecha y la hora del cambio.
Razón: Cuando éste se lleva a cabo, se hace de la forma más eficiente, siguiendo los procedimientos establecidos y asegurando en todo momento la calidad y continuidad del servicio TI.
Estudio de Easo C1.9.2
Escenario de Estudio de Caso B
Un auditor de SI está planeando revisar la seguridad de una aplicación financiera para una gran compañía con varios lugares en todo el mundo. El sistema de aplicación está constituido por una interfaz web, una capa lógica de negocio y una capa de base de datos. La aplicación es accedida localmente a través de una LAN y remotamente a través de la Internet mediante una conexión VPN.
Preguntas del Estudio de Caso B
B I.- El tipo MÁS apropiado de herramienta de CAATs que el auditor debe usar para probar los parámetros de configuración de seguridad para todo el sistema de aplicación es:
A. software generalizado de auditoría B. datos de prueba C. software de utileríaD sistema experto
Razón: El software de auditoría generalizado, también conocidos como paquetes de auditoría son programas de computadora diseñados para desempeñar funciones de procesamiento de datos que incluyen leer archivos de computadora, seleccionar información, realizar cálculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor.
B2.- Dado que la aplicación es accedida a través de la Internet» ¿cómo debe el auditor determinar si debe revisar las reglas del firewall y los parámetros de configuración de VPN?
A. Análisis documentado del riesgoB. Disponibilidad de experiencia y conocimientos técnicos C. Método usado en la auditoría anteriorD. Directrices y mejores prácticas de auditoría de SI
Razón: El auditor de sistema de información debe de tener un conocimiento técnico y experiencia para poder analizar el protocolo y el control de la conexión entre la configuración del firewall y la configuración del VPN que servirá de forma remota para las conexiones.
B3.- Durante la revisión, si el auditor detecta que el objetivo de control de autorización de transacciones no puede cumplirse debido a una ausencia de roles y privilegios claramente definidos en la aplicación, el auditor debe PRIMERO:
Estudio de Easo DA. Revisar la autorimción en una muestra de transaccionesB. Reportar inmediatamente este hallazgo a la gerencia superior C. Solicitar que la gerencia del auditado revise si los derechos de acceso para todos los usuarios son
apropiadosD. Usar un software generalizado de auditoría para verificar la integridad de la base de datos.
Razón: El auditor tendrá como primordial acto reportar de forma detallada y minuciosa para descartar cualquier mal entendido en la empresa o lugar en donde se llevará acabo la auditoria.
1.9.3
Escenario del Estudio de Caso C
Un auditor de SI ha sido designado para llevar a cabo auditorías de SI en una entidad por un período de 2 años. Después de aceptar la designación el auditor de SI notó que:
- La entidad tiene un estatuto de auditoría que detalla, entre otras cosas,s el alcance y las responsabilidades de la función de auditoría de SI y especifica al comité de auditoría como el organismo de supervisión para la actividad de auditoría;- La entidad está planeando un aumento importante en la inversión de TI, principalmente a cuenta de la implementación de una nueva aplicación de ERP, integrando los procesos del negocio en todas las unidades despersas geográficamente. La implementación de ERP se espera que esté en operación dentro de los próximos 90 días. Los servidores que soportan las aplicaciones del negocio están alojadas fuera de las instalaciones por un tercero proveedor de servicios.- La entidad tiene un nuevo colaborador como Director de Seguridad de Información (CISO), quien se reporta al Director de Finanzas (CFO).- La entidad está sujeta a requerimientos regulatorios de cumplimiento que obligan a su gerencia a certificar la eficacia del sistema de control interno cuando éste se relaciona con el reporte financiero. La entidad ha estado registrando crecimiento al doble del promedio de la industria consistentemente por los últimos dos años. Sin embargo, la entidad ha visto también aumentada su rotacion de empleados.
Preguntas de Estudio de Caso C
CI.- La PRIMERA prioridad del auditor de SI en el Año 1 debe ser estudiar:
A. Los reportes de auditorías de SI anteriores y planear el cronograma de auditoríaB. auditar el estatuto y planear el cronograma de auditoríaC. el impacto del nuevo colaborador como CISO
Estudio de Easo ED. el impacto de la implementación del nuevo ERP en el entorno de TI y planear el
cronograma de auditoría
Razón: Ya que, un ERP es un sistema integral de gestión empresarial que está diseñado para modelar y automatizar la mayoría de procesos en la empresa y facilitar la planificación de todos los recursos de la empresa.
C2.- ¿Cómo debe el auditor de SI evaluar el respaldo y el procesamiento de lotes dentro de las operaciones de computadora?
A. Planear y llevar a cabo una revisión independiente de las operaciones de computadoraB. Basarse en el informe del auditor de servicio del proveedor de servicio C. Estudiar el
contrato entre la entidad y el proveedor de servicioC. Comparar el informe de entrega del servicio con el contrato de nivel de servicio.
Razón: Un contrato de nivel de servicio es un contrato entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio; mientras que el informe de entrega de servicio son las pautas en las que se va a dar el contrato y sus respectivas directrices.
