COBIT

AUDITORIA DE SISTEMAS (FINAL)

¿Qué es el Modelo COBIT?

Sus siglas se definen así: Control Objectives for Information Systems and related Technology. Modelo para evaluar y/o auditar la gestión y control de los de Sistemas de Información y Tecnología relacionada (IT):

COBIT es el resultado de una investigación con expertos de varios paises, desarrollada por la “Information, Systems Audit and Control Association  “ISACA”.  Esta asociación se ha constituido en el  organismo normalizador y orientador en el control y la auditoría de los sistemas de Información y Tecnología (IT).  El modelo CobIT ha sido aceptado y adoptado por organizaciones en el ámbito mundial.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización

Objetivos y Beneficios

Proveer un marco único reconocido a nivel mundial de las “mejores prácticas” de control y seguridad de TI

• Consolidar y armonizar estándares originados en diferentes países desarrollados.
• Concientizar a la comunidad sobre importancia del control y la auditoría de TI.
• Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito
• Aplica a todo tipo de organizaciones independiente de sus plataformas de TI.
• Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa.
• A fin, de proveer la información que la organización requiere para lograr sus  objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y normalmente aceptada.

Principios de COBIT y Requerimientos

• Satisfacer las necesidades de los colaboradores. Es crítico definir y vincular los objetivos empresariales y los objetivos relacionados con TI.
• Cubrir la empresa de extremo a extremo. Las compañías deben cambiar de visión, con el objetivo de considerar el área de TI como un activo y no un costo. Los directivos deben tomar la responsabilidad de gobernar y gestionar los activos relacionados con TI dentro de sus propias funciones.
• Aplicar un solo marco integrado. Usar un solo marco de gobierno integrado puede ayudar a las organizaciones a brindar valor óptimo de sus activos y recursos de TI.
• Habilitar un enfoque holístico. El gobierno de TI empresarial (GEIT) requiere de un enfoque holístico que tome en cuenta muchos componentes, también conocidos como habilitadores. Los habilitadores influyen en si algo va a funcionar o no. COBIT  incluye siete habilitadores para mejorar el GEIT, como los principios, las políticas y marcos; los procesos; la cultura; la información y la gente.
• Separar al gobierno de la administración. Los procesos de gobierno aseguran que los objetivos se alcancen mediante la evaluación de las necesidades de los interesados, el establecimiento de la dirección a través de la priorización y la toma de decisiones; y el monitoreo del desempeño, el cumplimiento y el progreso. De acuerdo con los resultados de las actividades de gobierno, la administración de la empresa y de TI entonces debe planear, crear, realizar y monitorear las actividades para asegurar el alineamiento con la dirección que se estableció.
• Con base a lo mencionado en los párrafos anteriores describimos cada uno de los requerimientos de COBIT.

Orientación de COBIT

COBIT está alineado con los Objetivos del Negocio. Los Objetivos de Control muestran una relación clara y distintiva con los objetivos del negocio con el fin de apoyar su uso en forma significativa fuera de las fronteras de la comunidad de auditoría. Los Objetivos de Control están definidos con una orientación a los procesos, siguiendo el principio de reingeniería de negocios. En dominios y procesos identificados, se identifica también un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. Adicionalmente, se establecen consideraciones y guías para definir e implementar el Objetivo de Control de TI.

La clasificación de los dominios a los que se aplican los objetivos de control de alto nivel (dominios y procesos); una indicación de los requerimientos de negocio para la información en ese dominio, así como los recursos de TI que reciben un impacto primario por parte del objetivo del control, forman conjuntamente el Marco de Referencia de COBIT. El Marco de Referencia toma como base las actividades de investigación que han identificado 34 objetivos de alto nivel y 318 objetivos de control detallados.

El 9 de abril de 2012 fue publicado oficialmente por ISACA el marco de referencia COBIT 5.   Es la evolución de la familia COBIT, aprovechando las       versiones anteriores y las practicas actuales.  Está apoyado en más de 15 años de experiencia global. Es resultado del trabajo de expertos de los 5 continentes y de la retroalimentación de cientos de miembros de ISACA.

VÍDEO: COBIT 5

Estándares y Metodologías Internacionales (ISO)

AUDITORIA DE SISTEMAS

INTRODUCCIÓN:

ISO en breve ISO es la Organización Internacional de Normalización. Los 159* miembros que la componente son los organismos nacionales de normalización de países industrializados, en desarrollo y en transición, de todos los tamaños y de todas las regiones del mundo. El portafolio de ISO, con más de 18 100* normas, provee de herramientas prácticas a las empresas, los gobiernos y la sociedad, para el desarrollo sostenible de las variables económicas, ambientales y sociales. Las Normas Internacionales ISO aportan una contribución positiva al mundo en que vivimos. Facilitan el comercio, la difusión del conocimiento, diseminan los avances innovadores en tecnología, y comparten buenas prácticas de gestión y evaluación de la conformidad.

Las normas ISO proporcionan soluciones y beneficios para casi todos los sectores de actividad, incluida la agricultura, construcción, ingeniería mecánica, fabricación, distribución, transporte, dispositivos médicos, tecnologías de la información y comunicación, medio ambiente, energía, gestión de la calidad, evaluación de la conformidad y servicios. ISO hace uso óptimo de los recursos que le son asignados por partes interesadas elaborando solo aquellas normas para las cuales existe una clara necesidad en el mercado. Esta labor es llevada a cabo por el aporte de expertos provenientes de los sectores industriales, técnicos y empresariales que han solicitado las normas, y que posteriormente las ponen en uso. A estos expertos se les pueden unir otros con conocimientos relevantes, tales como los representantes de las agencias gubernamentales, laboratorios de ensayos, asociaciones de consumidores y la academia, y por las organizaciones internacionales gubernamentales y no gubernamentales. Las Normas Internacionales ISO representan un consenso global sobre el estado del arte en la tecnología o las buenas prácticas en estudio.

Mencionaremos algunas ISO relacionadas a una Auditoria de Sistemas

ISO 27001 Sistema de Gestión de Seguridad de la Información

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.

ISO 27000: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.

ISO 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. Desde el 28 de Noviembre de 2007, esta norma está publicada en España como UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR.

ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita). 

ISO 27003: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

ISO 27004: En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. El conocimiento de los conceptos, modelos, procesos y términos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información. Su publicación revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. En España, esta norma aún no está traducida. 

ISO 27006: Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Es una versión revisada de EA-7/03 (Requisitos para la acreditación de entidades que operan certificación/registro de SGSIs) que añade a ISO/IEC 17021 (Requisitos para las entidades de auditoría y certificación de sistemas de gestión) los requisitos específicos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma. En España, esta norma aún no está traducida. El original en inglés puede adquirirse en ISO.org.

ISO 27007: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de auditoría de un SGSI.

ISO 27011: En fase de desarrollo; su fecha prevista de publicación es finales de 2008. Consistirá en una guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones).

ISO 27031: En fase de desarrollo; su fecha prevista de publicación es Mayo de 2010. Consistirá en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.

ISO 27032: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía relativa a la ciberseguridad.

ISO 27033: En fase de desarrollo; su fecha prevista de publicación es entre 2010 y 2011. Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes. Provendrá de la revisión, ampliación y renumeración de ISO 18028.

ISO 27034: En fase de desarrollo; su fecha prevista de publicación es Febrero de 2009. Consistirá en una guía de seguridad en aplicaciones.

ISO 27799: Publicada el 12 de Junio de 2008. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las anteriores, no la desarrolla el subcomité JTC1/SC27, sino el comité técnico TC 215. ISO 27799:2008 define directrices para apoyar la interpretación y aplicación en la salud informática de la norma ISO / IEC 27002 y es un complemento de esa norma. ISO 27799:2008 especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la salud y la seguridad de la información por organizaciones sanitarias y otros custodios de la información sanitaria en base a garantizar un mínimo nivel necesario de seguridad apropiado para la organización y circunstancias que van a mantener la confidencialidad, integridad y disponibilidad de información personal de salud. ISO 27799:2008 se aplica a la información en salud en todos sus aspectos y en cualquiera de sus formas, toma la información (palabras y números, grabaciones sonoras, dibujos, vídeos y imágenes médicas), sea cual fuere el medio utilizado para almacenar (de impresión o de escritura en papel o electrónicos de almacenamiento ) y sea cual fuere el medio utilizado para transmitirlo (a mano, por fax, por redes informáticas o por correo), ya que la información siempre debe estar adecuadamente protegida. El original en inglés o francés puede adquirirse en ISO.org.

ESTÁNDARES Y METODOLOGÍAS INTERNACIONALES DE AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS

¿Qué es la metodología de Auditoria de SI?

Un camino estructurado de forma lógica para asegurar el éxito de proyectos de auditoría de informática. Un grupo de etapas que pueden adaptarse a empresas pequeñas, medianas y grandes de cualquier giro para planear y desarrollar proyectos de auditoría en informática.

Metodología y Estándares

Utilización de metodologías, instrumentos y procedimientos operativos propios. En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control. En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas.

Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares: 

1. COBIT investiga, desarrolla, publica y promueve un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.
2. ISO  Organización Internacional para la estandarización. 
3. COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control.

1. COBIT:

La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores". Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información.

• COBIT es un framework de Gobierno de TI y un conjunto de herramientas de soporte  para el gobierno de T.I.   que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio.
• COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. a través de las organizaciones.
• COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.

2. ISO

¿Qué es ISO?

La Organización Internacional para la Estandarización (ISO) es una federación de alcance mundial integrada por cuerpos de estandarización nacionales de 130 países, uno por cada país.

La ISO es una organización no gubernamental establecida en 1947. La misión de la ISO es promover el desarrollo de la estandarización y las actividades con ella relacionada en el mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la cooperación en la esfera de lo intelectual, científico, tecnológico y económico.

Todos los trabajos realizados por la ISO resultan en acuerdos internacionales los cuales son publicados como Estándares Internacionales.

¿De dónde proviene el nombre ISO?

Muchas personas habrán advertido la falta de correspondencia entre el supuesto acrónimo en inglés de la Organización y la palabra “ISO”. Así sería, pero ISO no es el acrónimo.

En efecto, “ISO” es una palabra, que deriva del Griego “isos”, que significa “igual”, el cual es la raíz del prefijo “iso” el cual aparece en infinidad de términos. Desde “igual” a “estándar” es fácil seguir por esta línea de pensamiento que fue lo que condujo a elegir “ISO” como nombre de la Organización.

ISO Estándares

¿Cómo desarrolla la ISO sus estándares?

La Organización Internacional para la Estandarización estipula que sus estándares son producidos de acuerdo a los siguientes principios:

1) Consenso: Son tenidos en cuenta los puntos de vistas de todos los interesados: fabricantes, vendedores, usuarios, grupos de consumidores, laboratorios de análisis, gobiernos, especialistas y organizaciones de investigación.

2) Aplicación Industrial Global: Soluciones globales para satisfacer a las industrias y a los clientes mundiales.

3) Voluntario: La estandarización internacional es conducida por el mercado y por consiguiente basada en el compromiso voluntario de todos los interesados del mercado

3. COSO

Que es COSO?

 

El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control. Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en el estándar de referencia.

Existen en la actualidad 2 versiones del Informe COSO. La versión del 1992 y la versión del 2004, que incorpora las exigencias de ley Sarbanes Oxley a su modelo.

Es un medio para un fin, no un fin en sí mismo. Efectuado por la junta directiva, gerencia u otro personal. No es sólo normas, procedimientos y formas involucra gente. Aplicado en la definición de la estrategia y aplicado a través de la organización en cada nivel y unidad Diseñado para identificar los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos, proveer seguridad razonable para la administración y para la junta directiva de la organización orientada al logro de los objetivos del negocio.

SEGURIDAD INFORMÁTICA - continuación-

AUDITORIA DE SISTEMAS

Administración de la seguridad informática:

Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesari9o realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos e los usuarios de los sistemas.

La política de seguridad que se desarrolle respecto a la seguridad lógica debe guiar la las decisiones referidas a la administración de los controles de accesos y especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios.

Entonces podemos decir que la administración de seguridad informática s el conjunto de aspectos interrelacionados que incluye:

• Estructura organizacional
• Análisis de riesgos
• Propiedad de los recursos
• Políticas
• Guías y estándares.

Políticas de seguridad informática

Las políticas de seguri9dad informática tienen por objeto establecer las medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnológicas de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de computo de las empresas.

Cada empresa tiene sus propios intereses de seguridad, nos encontramos con que no aplican las mismas restricciones de seguridad con la información en empresas como Google y Microsoft, tomando en cuenta que son reconocidas por sus altos niveles d seguridad interna. A continuación se mencionan algunas políticas de seguridad informática:

• Realizar respaldo de la información cada día, semana o mes
• No descargar música, películas u otros archivos no legales.
• No proporcionar datos personales a desconocidos por teléfono o e-mail.
• Entre otros.

Criptografía:

Tradicionalmente se ha definido como el ámbito de la cristología el que se ocupa de las técnicas de cifrado o codificado destinadas a alterar las representaciones lingüísticas de ciertos mensajes con el fin de hacerlos ininteligibles a receptores no autorizados.

SEGURIDAD INFORMATICA

AUDITORIA DE SISTEMAS

Definimos la seguridad de información como la protección de ventajas de información de la revelación no autorizada, de la modificación, o de la destrucción, o accidental o intencional, o la incapacidad para proteger una red del acceso no autorizado, interferencia accidental o intencionada con operaciones normales, o con la destrucción, inclusive la protección de facilidades físicas, del software, y de la seguridad del personal.

Objetivos de la seguridad:

Seguridad informática es el conjunto de procedimientos, estrategias y herramientas que permitan garantizar la integridad, la disponibilidad y la confidencialidad de la información de una entidad.

Integridad: es necesario asegurar que los datos no sufran cambios no autorizados, la pérdida de integridad puede acabar en fraudes, decisiones erróneas o como paso a otros ataques.

Disponibilidad: se refiere a la continuidad operativa de la entidad, la pérdida de disponibilidad puede implicar, la pérdida de productividad o de credibilidad de la entidad. El sistema contiene información o proporciona servicios que deben estar disponibles a tiempo para satisfacer requisitos o evitar pérdidas importantes, como sistemas esenciales de seguridad y protección de la vida.

Confidencialidad: se refiere a la protección de datos frente a la difusión no autorizada, la perdida de confidencialidad puede resultar en problemas legales, pérdida del negocio o de credibilidad. El sistema contiene información que necesita protección contra la divulgación no autorizada, como información parcial de informes, información personal o información comercial patentada.

Amenazas a la seguridad de la información

Los tres elementos principales  a proteger en cualquier sistema informático son el software, el hardware y los datos. Contra cualquiera de los tres elementos dichos anteriormente pero principalmente sobre los datos) se pueden realizar multitud de ataques o, dicho de otra forma, están expuestos a diferentes amenazas. Generalmente, la taxonomía más elemental de estas amenazas las divide en cuatro grandes grupos: interrupción, interceptación, modificación y fabricación. Un ataque se clasifica como interrupción si hace que un objeto del sistema se pierda, quede inutilizable o no disponible. Se tratará de una intercepción si un elemento no autorizado consigue un acceso a un determinado objeto del sistema, y de una modificación si además de conseguir el acceso consigue modificar el objeto; la destrucción entendiéndola como una modificación que inutiliza el objeto afectado. Por último, se dice que un ataque es una fabricación si se trata de una modificación destinada a conseguir un objeto similar al atacado de forma que sea difícil distinguir entre el objeto original y el fabricado. Quien amenaza un sistema:

1. Personas

2. Amenazas lógicas

• Software incorrecto
• Herramientas de seguridad
• Bombas lógicas
• Virus
• Gusanos
• Caballos de trolla

3. Amenazas físicas

1 Personas:

• Personal (se pasa por alto el hecho de la persona de la organización incluso a la persona ajeno a la estructura informática, puede comprometer la seguridad de los equipos)
• Ex-empleados (generalmente se trata de personas descontentas con la organización que pueden aprovechar debilidades de un sistema del que conocen perfectamente, pueden insertar troyanos, bombas lógicas, virus o simplemente conectarse al sistema como si aún trabajaran en la organización)
• Curiosos (son los atacantes juntos con los crackers los que más se dan en un sistema)
• Hackers (una persona que intenta tener acceso no autorizado a los recursos de la red con intención maliciosa aunque no siempre tiende a ser esa su finalidad)
• Crackers(es un término más preciso para describir una persona que intenta obtener acceso no autorizado a los recursos de la red con intención maliciosa)
• Intrusos remunerados (se trata de personas con gran experiencia en problemas de seguridad y un amplio conocimiento del sistema que son pagados por una tercera parte generalmente para robar secretos o simplemente para dañar la imagen de la organización)

2 Amenazas lógicas:

• Software incorrecto(a los errores de programación se les llama Bugs y a los programas para aprovechar uno de estos fallos se les llama Exploits.)
• Herramientas de seguridad (cualquier herramienta de seguridad representa un arma de doble filo de la misma forma que un administrador las utiliza para detectar y solucionar fallos en sus sistemas o la subred completa un intruso las puede utilizar para detectar esos mismos fallos y aprovecharlos para atacar los equipos, herramientas como NESUS,SAINT o SATAN pasa de ser útiles a peligrosas cuando la utilizan Crackers.)
• Puertas traseras (durante el desarrollo de aplicaciones grandes o sistemas operativos es habitual que entre los programadores insertar atajos en los sistemas habituales de autenticación del programa o núcleo de sistema que se está diseñando.) Son parte de código de ciertos programas que permanecen sin hacer ninguna función hasta que son activadas en ese punto la función que realizan no es la original del programa si no una acción perjudicial.)
• Canales cubiertos (son canales de comunicación que permiten a un proceso trasferir información de forma que viole la política de seguridad del sistema.)
• Virus (un virus es una secuencia de código que se inserta en un fichero ejecutable denominado huésped de forma que cuando el archivo se ejecuta el virus también lo hace insertándose a si mismo en otros programas.)
• Gusanos(es un programa capaz de ejecutarse y propagarse por si mismo a través de redes en ocasiones portando virus o aprovechando bugs de los sistemas a los que se conecta para dañarlos a ser difíciles de programar su número no es muy elevado pero el daño que causa es muy grave.)
• Caballos de Troya (son instrucciones escondidas en un programa de forma que este parezca realizar las tareas que un usuario espera de él pero que realmente ejecuta funciones ocultas.), Programas conejo o bacterias (bajo este nombre se conoce a este programa que no hace nada útil si no que simplemente se delimitan a reproducirse hasta que el número de copias acaba con los recursos del sistema produciendo una negación del servicio.

3 Amenazas Físicas: 

Robos, sabotajes, destrucción de sistemas. Suministro eléctrico. Condiciones atmosféricas. Catástrofes naturales.

SOFTWARE ESPECIAL DE AUDITORIA / SOFTWARE DE DISEÑO Y DESARROLLO

AUDITORIA DE SISTEMAS

El software de auditoria de Sistemas tiene como propósito y objetivo principal identificar las tendencias, señalar excepciones y áreas que requieren atención, localiza errores y posibilidades irregularidades, comparando y analizando los archivos según los criterios especificados por los usuarios. Cuando nos referimos a Software de Auditoria nos referimos a programas computacionales sofisticados que tienen la capacidad de realizar diferentes plataformas y formatos. Además estos formatos permiten extraer información para su revisión comparando y así obtener resultados previos al análisis realizado; estos productos utilizados habitualmente por los auditores operativos o financieros, permiten extraer datos concretos o en base a muestras estadísticas.

Tipos de software de auditoria:

Para este resumen mencionaremos algunos de los sistemas de auditoria utilizados y que facilitan el trabajo al auditor:

Audicontrol:

Es la metodología asistida por computador, desarrollada por AUDISIS para evaluar riesgos, diseñar y documentar controles en ambientes automatizados.

ACL

Es un software para análisis y extracción de datos más usado en la actualidad. Con ACL los auditores y profesionales de los negocios pueden transformar grandes cantidades de datos electrónicos en un conocimiento comercial de valor. Es un software, poderoso y fácil de usar, le permite convertir datos en información significativa, lo cual le ayuda a alcanzar sus objetivos de negocios y agregar valor a su organización.

Algunas características de ACL:

• Análisis interactivo obteniendo resultados inmediatos.
• Fácil acceso de datos de distintos ambientes y sistemas, logrando el auditor independencia de las funciones de procesamiento de datos y reducción del tiempo en que tiene disponible la información.
• Rapidez y facilidad de uso, lo que permite el análisis de grandes volúmenes de información, cubriendo el 100% de los datos.
• Funciones propias de auditoría listas para su uso: estratificación, identificación de duplicados, faltantes, muestreo estadístico, comparaciones, cálculos, etc.
• Automatización de tareas repetitivas.
• Resultados gráficos y en reportes.
• Protección de los datos originales.
• Procesos de autodocumentación.

IDEA

IDEA es un software que presenta facilidad de uso, por esta razón se convirtió en una herramienta de un gran número de profesionales en auditoria, Contadores y Gerentes Financieros quienes lo utilizan para resolver problemas complejos de negocios. 

El software de análisis general requiere bastante codificación o generación de reportes para satisfacer los objetivos de auditoria. IDEA esta funcionalmente pro codificado para hacer esto como una solución más segura y eficiente que las hojas electrónicas o que el software de base de datos utilizado para análisis general. 

AutoAudit:

Es un sistema completo para la automatización de la función de Auditoría, soportando todo el proceso y flujo de trabajo, desde la fase de planificación, pasando por el trabajo de campo, hasta la preparación del informe final.