SOFTWARE ESPECIAL DE AUDITORIA / SOFTWARE DE DISEÑO Y DESARROLLO

AUDITORIA DE SISTEMAS

El software de auditoria de Sistemas tiene como propósito y objetivo principal identificar las tendencias, señalar excepciones y áreas que requieren atención, localiza errores y posibilidades irregularidades, comparando y analizando los archivos según los criterios especificados por los usuarios. Cuando nos referimos a Software de Auditoria nos referimos a programas computacionales sofisticados que tienen la capacidad de realizar diferentes plataformas y formatos. Además estos formatos permiten extraer información para su revisión comparando y así obtener resultados previos al análisis realizado; estos productos utilizados habitualmente por los auditores operativos o financieros, permiten extraer datos concretos o en base a muestras estadísticas.

Tipos de software de auditoria:

Para este resumen mencionaremos algunos de los sistemas de auditoria utilizados y que facilitan el trabajo al auditor:

Audicontrol:

Es la metodología asistida por computador, desarrollada por AUDISIS para evaluar riesgos, diseñar y documentar controles en ambientes automatizados.

ACL

Es un software para análisis y extracción de datos más usado en la actualidad. Con ACL los auditores y profesionales de los negocios pueden transformar grandes cantidades de datos electrónicos en un conocimiento comercial de valor. Es un software, poderoso y fácil de usar, le permite convertir datos en información significativa, lo cual le ayuda a alcanzar sus objetivos de negocios y agregar valor a su organización.

Algunas características de ACL:

• Análisis interactivo obteniendo resultados inmediatos.
• Fácil acceso de datos de distintos ambientes y sistemas, logrando el auditor independencia de las funciones de procesamiento de datos y reducción del tiempo en que tiene disponible la información.
• Rapidez y facilidad de uso, lo que permite el análisis de grandes volúmenes de información, cubriendo el 100% de los datos.
• Funciones propias de auditoría listas para su uso: estratificación, identificación de duplicados, faltantes, muestreo estadístico, comparaciones, cálculos, etc.
• Automatización de tareas repetitivas.
• Resultados gráficos y en reportes.
• Protección de los datos originales.
• Procesos de autodocumentación.

IDEA

IDEA es un software que presenta facilidad de uso, por esta razón se convirtió en una herramienta de un gran número de profesionales en auditoria, Contadores y Gerentes Financieros quienes lo utilizan para resolver problemas complejos de negocios. 

El software de análisis general requiere bastante codificación o generación de reportes para satisfacer los objetivos de auditoria. IDEA esta funcionalmente pro codificado para hacer esto como una solución más segura y eficiente que las hojas electrónicas o que el software de base de datos utilizado para análisis general. 

AutoAudit:

Es un sistema completo para la automatización de la función de Auditoría, soportando todo el proceso y flujo de trabajo, desde la fase de planificación, pasando por el trabajo de campo, hasta la preparación del informe final.

HERRAMIENTAS DEL AUDITOR DE SISTEMAS

AUDITORIA DE SISTEMAS

HERRAMIENTAS DE AUDITORIA DE SISTEMAS

Las auditorías informáticas se materializan recabando información y documentación de todo tipo. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Entre las herramientas de las que se sirve un auditor de sistemas están: entrevistas y cuestionarios, entre otros. Con el propósito de recoger, agrupar y evaluar evidencias para determinar si un sistema de información:  

• Salvaguarda el activo empresarial.
• Mantiene la integridad de los datos.
•  Lleva a cabo eficazmente los fines de la organización.
•  Utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.

A continuación se detallan algunas herramientas:

Entrevistas:

La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Esto se debe a que el auditor durante una entrevista no sólo capta las palabras del auditado, sino que además puede captar las reacciones del auditado; que pueden observarse fácilmente en los gestos y cambios en el tono de la voz. Se deberá interrumpir lo menos posible al auditado durante la entrevista y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta.

Se debe tener presente que según la claridad de las preguntas y talante del auditor de sistemas el auditado responderá desde posiciones muy distintas y con disposición muy variable. Por esta razón el auditor procurará mantener un ambiente lo menos tenso posible durante la entrevista.

Cuestionarios: 

Los cuestionarios son un conjunto de preguntas concernientes al sistema u organización a auditar. Las preguntas pueden estar dirigidas a departamentos o personas concretas de la organización. La respuesta al cuestionario constituye la materia prima que necesita el auditor de sistemas para poder obtener la información que le permita luego emitir una opinión profesional del sistema u organización informática que está auditando.

Estos cuestionarios no pueden ni deben ser repetidos para organizaciones distintas a auditar, por el contrario, se recomienda que sean diferentes y muy específicos para cada situación.

Los cuestionarios de selección simple o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación:

Ø  CHECKLIST DE RANGO

Ø  CHECKLIST BINARIA

Trazas y/o Huellas: 

Comprobación en digital de las preguntas congruentes que se le han hecho a cada empleado.

En pocas palabras es el cálculo de validez de datos personales  esta  Herramienta se diferencia de las otras porque  su forma es digital.

ALGUNAS HERRAMIENTAS DE SEGURIDAD INFORMÁTICA:

1. Nmap

Nmap (“Network Mapper”) es una herramienta gratuita de código abierto para la exploración de la red o la auditoría de seguridad. Fue diseñado para analizar rápidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP para determinar qué hosts están disponibles en la red, qué servicios (nombre de la aplicación y la versión) estos equipos ofrecen, qué sistemas operativos (y versiones del sistema operativo) se están ejecutando, qué tipo de filtros de paquetes o cortafuegos están en uso, y docenas de otras características. Nmap se ejecuta en la mayoría de los ordenadores y la consola y versiones gráficas están disponibles. Nmap es libre y de código abierto.

2. Nessus

Nessus es el escáner de vulnerabilidades más popular y es utilizado en más de 75.000 organizaciones en todo el mundo. Muchas organizaciones alrededor del mundo están dando cuenta de los importantes ahorros de costes que estas reciben mediante el uso de Nessus como herramienta de auditoría de sistemas de información para la búsqueda de fallas críticas de seguridad.

3. John the Ripper

John the Ripper es esencialmente una herramienta de descifrado de contraseñas que se desarrolló para sistemas tipo UNIX. También sus desarrolladores han extendido su apoyo a los sistemas Windows y MAC.

El software es utilizado por muchos usuarios para probar la fortaleza de la contraseña elegida. Obviamente, esta herramienta también puede ser usada para descifrar las contraseñas y entrar en un sistema. Es compatible tanto con ataque de diccionario (probando todas las palabras en el diccionario, de ahí que nunca se debe elegir una palabra que se ha encontrado en el diccionario) y ataque de fuerza bruta (en este caso todas las posibles combinaciones son juzgados – por lo tanto, si usted elige una contraseña que es alfanumérico y largo plazo, será difícil romperlo).

4. Nikto

Nikto es un software de código abierto (GPL) para escanear vulnerabilidades en los servidores web. Esta herramienta tiene el potencial de detectar más de 3200 archivos potencialmente peligrosos / CGIs, versiones sobre más de 625 servidores, y los problemas específicos de la versión de más de 230 servidores. Los elementos de exploración y plugins pueden ser actualizado automáticamente (si se desea).

5. Wireshark

Wireshark es un programa analizador de protocolos de red o sniffer, que le permite capturar y navegar de forma interactiva por los contenidos de los paquetes capturados en la red. El objetivo del proyecto fue crear un analizador de calidad comercial para Unix. Funciona muy bien en Linux y Windows (con una interfaz gráfica de usuario), fácil de utilizar y puede reconstruir flujos TCP / IP y VoIP!

6. Putty

PuTTY es una implementación libre de Telnet y SSH para Win32 y Unix, junto con un emulador de terminal xterm.

7. NetStumbler

NetStumbler es una herramienta de detección de redes inalámbricas para Windows. NetStumbler es una herramienta para Windows que permite detectar redes de área local (WLAN), usando 802.11b, 802.11ay 802.11g.

Algunos de los usos de esta herramienta son:

• Verificar que su red esta configurada de la manera segura.
• Buscar lugares con baja cobertura en su WLAN.
• Detectar otras redes que puedan estar causando interferencias en la red.
• Detectar AP no autorizados “rogue” en su lugar de trabajo.
• Ayudar a apuntar antenas direccionales para enlaces de larga distancia WLAN.

8. Metasploit

El Proyecto Metasploit es un proyecto de seguridad informática que proporciona información sobre las vulnerabilidades, ayuda en las pruebas de penetración y en la ejecución de la explotación de vulnerabilidades de seguridad. Metasploit representa un conjunto de herramientas que ayuda a los profesionales de seguridad y hacker a llevar a cabo ataques informáticos de manera sistematizada y automatizada.

Para más iformación visita: http://blog.capacityacademy.com/2012/07/11/las-8-mejores-herramientas-de-seguridad-y-hacking/

INFORME DE AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS

   1. DEFINICIÓN:

La elaboración del informe de auditoría sistemas es el punto final del proceso de captación y tratamiento de la información obtenida del sistema  auditado. Esta información ha de ser suficiente para que el auditor, con su experiencia y conocimiento, sea capaz de realizar un diagnóstico y realizar unas recomendaciones.

   2. CARACTERÍSTICAS DEL INFORME DE AUDITORIA DE SISTEMAS

En la relación del informe ,el auditor señala los resultados  de su investigación ,sus evaluaciones, hallazgos, aportaciones  y conclusiones sobre el trabajo realizado; también ,también señala las técnicas ,herramientas ,métodos y procedimientos que utilizo en la obtención de  datos ,las observaciones e interpretaciones de los fenómenos y hecho evaluados que le sirvieron de sustento en la elaboración de documentos  de situaciones encontradas o relevantes que informa, así como todas las demás aportaciones con las cuales da su sello personal al informe presentado .

Evidentemente ,el informe de una auditoria de sistemas computacionales es producto de la experiencia  y conocimientos  del auditor que lo presenta ;por esta razón, además de servir  para señalar las observaciones, desviaciones y resultados encontrados ,este documento también sirve para que el auditor exhiba los conocimientos ,técnicas y procedimientos que utilizo para evaluar el área de sistemas ,asimismo, en su redacción muestra su forma de ser y de actuar profesionalmente ,así como su cultura .

De hecho, esto también se juzga en la presentación del informe de auditoría; no solo el resultado, sino quien y como lo presenta .por eso es muy importante conocer las características fundamentales de la elaboración del informe de la auditoria.

Para contribuir a incrementar la calidad en la presentación del informe de auditoría ,misma que se puede hacer  extensiva a cualquier  otro tipos de trabajo profesionales ,e incluso personales  o escolares ,a continuación presentamos  algunas de la principales características de la redacción del informe de auditoría ,las cuales ayudaran al auditor de sistemas computacionales  a mejorar su elaboración .

   3. PROCEDIMIENTOS PARA ELABORAR EL INFORME DE AUDITORIA DE SISTEMAS

En el informe de auditoría  se reportan las situaciones encontradas durante la evaluación pero también se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados.

Sin embargo la elaboración del informe, el cual es el punto más importante  de la auditoria de sistemas, es uno de los aspectos más difíciles  para  los auditores debido a que requiere procedimientos complicados, propios de las auditorias  los cuales se tienen que llevar a cabo mediante una secuencia como lo que se propone en la figura.

En ella se describe  un ordenamiento general  de realización del informe el cual va desde la aplicación de los instrumentos de recopilación hasta la presentación del informe a los directivos de la empresa.

Está claro que el producto final y el más importante de  una auditoria de sistemas es la elaboración correcta del informe, ya que en este se presentan los resultados  obtenidos durante la evolución de la gestión administrativa del centro de cómputo o de cualquier otro aspecto relacionado con los sistemas.

   4. ESTRUCTURA DEL INFORME DE AUDITORIA DE SISTEMAS

Aunque hay muchas formas de presentar el siguiente informe de auditoría de sistemas, de acuerdo con las preferencias de la empresa o del auditor que realiza la auditoria.

Este es el documento final, de carácter formal, en el que se presentan por escrito todos los aspectos importantes que fueron catalogados como deficiencias de las operaciones auditadas, así como el cumplimiento de las funciones y de los resultados obtenidos con las actividades evaluadas durante la auditoria. El auditor plasma su dictamen y opinión personal en este documento y lo sustenta con documentos de apoyo y los papeles de trabajo en los que va haciendo las anotaciones de las técnicas, métodos y procedimientos que utilizo durante el desarrollo del trabajo.

En el informe de auditoría, el cual es un documento en el que se hace la presentación formal de los resultados obtenidos durante la auditoria, debe contener como mínimo lo siguiente:

• Oficio de Presentación
• Introducción
• Dictamen de la auditoria
• Situaciones relevantes
• Situaciones detectadas
• Anexos
• Confirmaciones en papeles de trabajo

METODOLOGIAS, PROCEDIMIENTOS, TÉCNICAS DE AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS

METODOLOGÍA DE UNA AUDITORÍA DE SISTEMAS

Existen algunas metodologías de Auditorías de Sistemas y todas depende de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:

• Estudio preliminar.
• Revisión y evaluación de controles y seguridades.
• Examen detallado de áreas criticas.
• Comunicación de resultados.

Estudio preliminar.-

Incluye definir el grupo de trabajo, el Programa de Auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios del PAD.

Revisión y evaluación de controles y seguridades.-

Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.

Examen detallado de áreas criticas.-

Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la Auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto.

Comunicación de resultados.-

Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente en forma de matriz, cuadros o redacción  simple y concisa que destaque los problemas encontrados , los efectos y las recomendaciones de la Auditoría.

El informe debe contener lo siguiente:

• Motivos de la Auditoría.
• Objetivos.
• Alcance.
• Estructura Orgánico-Funcional del área Informática.
• Configuración del Hardware y Software instalado.
• Control Interno.
• Resultados de la Auditoría.

PROCEDIMIENTOS Y TÉCNICAS DE AUDITORIA DE SISTEMAS

• Cuestionarios
• Entrevistas
• Checklist
• Trazas y huellas

CUESTIONARIOS

Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.

ENTREVISTAS

La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.

El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas.

CHECKLISTS

El auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklist.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.

TRAZAS Y/O HUELLAS

Estas Trazas se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.

La auditoría financiero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los cálculos de nóminas, primas, etc.