UNIVERSIDAD COOPERATIVA DE COLOMBIA

AUDITORIA DE SISTEMAS

RAFAEL HORACIO GARCIA NOVOA

79830913

BOGOTA MAYO 12 DE 2011

1 – Como ayuda la tecnología para ocasionar riesgos en el internet.

RIESGOS CON EL PROVEEDOR DE SERVICIO

El crecimiento de los
servicios de banda ancha
(ADSL)
Miles de computadores conectados a
Internet, en promedio varias horas por día,
con velocidades importantes y con
capacidades de procesamiento apreciables.

RIESGOS EN LAS CASA DE LOS USUARIOS

 No es prioridad
 Se actúa solo en el Momento de la
anomalía.
 Los sistemas operativos carecen de
seguridad más aun cuando muchos no
tienen licencias si no son manipulados
previamente por proveedores piratas.
 Los parches de seguridad ante
amenazas son desarrollados mucho
tiempo después de presentarse el
ataque.
 RIESGOS EN LAS CASA DE LOS USUARIOS

 Virus Robo de identidad

 Spyware
 Phishing
 Malware
 Bot Nets  Pharming

Bot Nets

1- El Operador Infecta los Pc de los

usuarios.
2- Los bots se conectan a una red IRC u
otro canal de comunicaciones.
3- Un spammer compra acceso a la
botnet para enviar correos
4- El spammer envía comandos via IRC
5- El ataque llega a otros sistemas
 RIESGOS EN LAS EMPRESAS

EN ALGUNAS
 Uso inadecuado COMPANIAS SE DEJA LA
de conexión tipo CONFIGURACION
WIFI.
INTALACION Y SOPORTE
 Seguridad en WIFI
A PERSONAL EXTERNO
QUE TIENE TODOS LOS
ACCESOS A LA
INFORMACION DE LA
Intalacion Internet
EMPRESA Y NO SE
 Contrasenas de acceso. LLEVA UN CONTROL DE
 Configuracion insegura
por parte del ISP
ESTO , EL USO DE
SOPORTE VIA REMOTA,
INTALACION DE
APLICATIVOS DE
Servidor CONTROL EXTERNO
 Accesos no Utorizados PERMITEN UNA
 Escritorio Remoto VULNERABILIDAD A LOS
 Ataques Informaticos
 No protocolos de Back
SITEMAS DE
Up INFRMACION DE LA
EMPRESA
 2 – Como ayuda la tecnología para Corregir estos riesgos.

MECANISMOS DE SEGURIDAD INFORMATICA

PREVENTIVOS DETECTIVOS

Actúan antes de que un Actúan antes d e que un

hecho ocurra y su función hecho ocurra y su labor
es detener agentes no es revelar la presencia de
deseados agentes no autorizados
en algún componente del
sistema y registran una
incidencia y envían un
aviso

 Encriptacion de datos
Este proceso se sigue para
enmascarar códigos fuente del
sistema operativo con el fin de
que sean incomprensivos para
cualquier agente no autorizado
CORRECTIVOS
Actúan luego de ocurrido
un hecho y su función es
corregir las consecuencias  Software Antivirus
 Softwae Firewall
 Sincronizaon de transacciones

PLANES DE RECUPERACION O PLANES DE CONTINGENCIA

Es un esquema de especifica los pasoso a seguir en caso de que se interrumpa la actividad del sistema, con el fin de
recuperar la funcionalidad, dependiendo del tipo de contingencia, estos pasos pueden ejecutarse por personas
entrenadas, sistemas informáticos especialmente programados o una combinación de ambos elementos.

RESPALDO DE DATOS

Es el proceso de copiar elementos de información recibidos transmitidos almacenados, procesados y o generados por el
sistema, copias de información en dispositivos de almacenamiento secundario, computadores paralelos ejecutando las
mismas transacciones,etc.
 TECNICAS DE AUDITORIA ASISTIDA POR COMPUTADOR

(TAAC)

Norma:

“Normas Internacionales de Auditoria emitidas por IFAC (International Federation of Accountants) en la NIA (Norma Internacional de
Auditoria o International Standards on Auditing, ISA) 15 y 16, donde se contempla la necesidad de utilizar otras técnicas además de las
manuales.

Norma ISA 401, sobre Sistemas de Información por Computadora.

SAS No. 94 (The Effect of Information Technology on the Auditor's Consideration of Internal Control in a Financial Statement audit) dice que
en una organización que usa Tecnologías de Información IT, se puede ver afectada en uno de los siguientes cinco componentes del control
interno: El ambiente de control, evaluacion de riesgos, actividades de control, información, comunicación y monitoreo ademas de la forma
en que se inicializan, registran, procesan y reporta las transacciones.
La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques (CAATs) o Técnicas de Auditoria
Asistidas por Computador (TAACs), plantea la importancia del uso de TAACs en auditorías en un entorno de sistemas de información por
computadora”

Tomado de:”teoría de Auditoria de Sistemas II” Universidad Nacional de Colombia

Son un conjunto de técnicas y herramientas utilizadas en el desarrollo de las

Auditorias Informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad
de los análisis efectuados por el auditor , a los sistemas y los datos de la entidad
auditada.

Incluyen métodos y procedimientos empleados por el auditor para efectuar su

trabajo y que pueden ser administrativos, analíticos informáticos, entre otros; y los
cuales, son de suma importancia para el auditor informático cuando este realiza
una auditoria

Operaciones en Paralelo:

Confrontación de resultados, mediante el proceso de los mismos datos reales,

entre un sistema nuevo que sustituye a uno ya auditado. Los programas y
procedimientos actuales no se abandonarán hasta cuando los nuevos arrojen los
resultados esperados.

Se puede simular en paralelo los procedimientos a partir de los mismos datos de

entrada, para comparar los resultados obtenidos con los ficheros de salida de la
aplicación auditada.
Evaluación de un Sistema con datos de Prueba:

Comúnmente llamada lotes de prueba. Se ensaya la aplicación con datos de prueba contra
resultados obtenidos inicialmente en las pruebas del programa para detectar resultados no
válidos. Los datos de prueba deben representar la aplicación que se examina con todas las
posibles combinaciones de transacciones que se lleven a cabo en situaciones reales. Esta
técnica se utiliza en la fase de prueba del programa, antes de ser enviada a producción y
cuando se llevan a cabo modificaciones a un programa, por tanto, los programas utilizados
para digitar los datos de prueba deben ser los mismos que se encuentran en producción y
que se utilizan para procesar los movimientos diarios. Cuando esta técnica se mantiene en
el tiempo para ser, consistente y cotidianamente, aplicada al sistema en producción

Se alimenta la aplicación con datos Uso: - Evaluación de controles específicos.

preparados por el auditor y de los cuales - Verificación de validaciones
conoce los resultados luego de procesarlos. - Prueba de perfiles de acceso
El objetivo es conocer que hace el programa - Prueba a transacciones seleccionadas
y la acción de los controles implementados
 su ausencia. Anotaciones:
- Un elemento de gran importancia en esta
técnica es el diseño de los datos de prueba,
lo que en últimas determinara la efectividad
de esta técnica. Es recomendable
seleccionar datos normales, ilógicos,
imposibles, con valores extremos, etc.
- Es necesario para el funcionamiento de la
actividad normal, pues se corre el riesgo de
mezclar la información.
- Es sencillo su uso, pero debe tenerse claro
su objetivo.

Pruebas Integrales

Permite examinar el proceso de la aplicación en su ambiente normal de producción, pues se

procesan datos de prueba en la misma aplicación en producción junto con los datos reales,
para lo cual se crea una compañía de prueba con fines de auditoría dentro de la aplicación,
lo cual permite disponer de los mismos archivos maestros. Los resultados de la prueba se
comparan contra resultados precalculados o predeterminados para examinar la lógica y
precisión de los procesos. Se presenta un proceso de información simultáneo para comparar
contra resultados predeterminados.

Su objetivo y uso es similar al caso anterior pero su gran diferencia principal radica en su
implementación sin detener el funcionamiento normal de la instalación, mezclando los
datos de prueba con los datos reales, en la misma aplicación.
 Simulación

Se desarrolla un programa de aplicación para determinada prueba y se compara el resultado

con los arrojados por la aplicación real.

Revisiones de Acceso

Consiste en conservar un registro computarizado de todos los accesos a determinados

archivos (información del usuario y terminal)

Registros Extendidos

Agregar un campo de control a un registro, Se incluye en algún tipo de registro información

significativa sobre las transacciones o el sistema, que luego pude ser consultada por el
auditor, Técnica muy particular y útil para los auditores que han desarrollado ciertas
destrezas en el análisis de datos; y, consiste en la conservación histórica de todos los
cambios que haya sufrido una transacción en particular, convirtiéndose en un LOG de
auditoría.

Se incluye en algún tipo de registro información significativa sobre las transacciones o el

sistema, que luego puede ser consultada por el auditor.
 Totales Aleatorios de Ciertos Programas

Consiste en obtener totales de datos en alguna parte del sistema, para verificar su
exactitud en forma parcial

Resultados de Ciertos Cálculos

para Comparaciones
Posteriores

Con el fin de comparar en el

SOFTWAR DE AUDITORIA futuro los totales en diferentes
fechas

Selección de determinado tipo de transacciones como auxiliar en el análisis de un archivo

histórico:

Con el fin de analizar en forma parcial el archivo histórico de un sistema, el cual sería casi imposible
verificar en forma total