Solicitud de acción correctiva

 Solicitud de acción correctiva

1. Encabezado

  • Número de Solicitud: AC‑2025‑0XX

  • Fecha de Emisión: _____20/6/2025__________

  • Proyecto / Área Auditada: _______Direccion de informatica___________________

2. Datos del Responsable

  • Solicitante (Auditor): ________Zunilda Murillo__________________

  • Cargo: ______Auditor Líder de Seguridad Información

  • Correo / Extensión: _zunim11@gmail.com______________________

3. Descripción de la No Conformidad

  • Control / Proceso Auditados: Gestión de Activos de TI - Inventario de hardware y software___

  • Hallazgo (código WT‑X): db.query("SELECT * FROM users WHERE username = '" + user + "' AND password = '" + pass + "'");

  • Descripción: Se identificó una vulnerabilidad de inyección SQL en la función de login: los parámetros de usuario se concatenan directamente en la consulta sin validación ni parametrización.

4. Acción Correctiva Requerida

Acción CorrectivaResponsable de ImplementaciónFecha LímiteComentarios Adicionales
1.            Implementar consultas parametrizadas _____________________________________________________________Equipo de Desarrollo Backend//2025Bajo la coordinación de su líder, Roberto Ortega— como responsable de la corrección de la vulnerabilidad, se garantiza que quien posee el conocimiento técnico y el acceso al código sea quien ejecute las mejoras. Este equipo debe:_Coordinar y participar en la capacitación sobre inyección SQL y codificación segura._____________________________________
2.       Capacitación al equipo de desarrollo _________________________________________________________________Carlos Arauz__________//2025________________________________________
3. Verificación y cierre_____________________________Roberto Ortega//2025________________________________________

Comentarios

Publicar un comentario

Entradas populares de este blog

hoja de presentación

Imagen
                                                                                        UNIVERSIDAD DE PANAMÁ CENTRO REGIONAL UNIVERSITARIO DE SAN MIGUELITO FACULTAD INFORMÁTICA ELECTRÓNICA Y LA COMUNICACIÓN    LICENCIATURA EN INFORMÁTICA EDUCATIVA       ASIGNATURA EVALUACIÓN Y AUDITORIA EN SISTEMA Crear blog - Proyecto semestral         FACILITADORA PROFESORA; NORIS LAY     INTEGRANTE ZUNILDA MURILLO C. 8-702-23     VIERNES, 20 DE JUNIO DE 2025  
Leer más

Casos

Imagen
  Caso 1: Auditoría Financiera versus la Auditoría de Sistemas (Giscard Bernal) Análisis: Una empresa detecta inconsistencias en sus estados financieros. El departamento de TI sospecha que el sistema ERP tiene errores en los cálculos automáticos. 1.      ¿Qué tipo de auditoría priorizarías: financiera o de sistemas? ¿Por qué? R: Si el equipo de TI tiene sospechas de que el error proviene del sistema ERP, se debe priorizar la auditoria de sistemas, porque si el problema viene del sistema que hace los cálculos, de nada me sirve revisar los números a mano si la fuente de esos números está mal, primero hay que ir a la raíz del problema. 2.      ¿Cómo se relacionan ambas auditorías en este caso? R: Pues en este caso ambas auditorias están súper relacionadas. La auditoría de sistemas sería como el "diagnóstico" para ver si el ERP está funcionando bien, si encontramos errores ahí, entonces esos errores son los que están causando las in...
Leer más