herramientas y técnicas de auditoria de sistema for ucc

HERRAMIENTAS Y TÉCNICAS DE LA AUDITORIA INFORMÁTICAÓscar Martínez Zuluaga

IntroducciónEs fundamental mencionar que para el auditor en informática, conoce los productos de software que han sido creados para apoyar su función aparte de los componentes de la propia computadora resulta esencial, esto por razones económicas y para facilitar el manejo de la información.

El auditor desempeña sus labores mediante la aplicación de una serie de conocimientos especializados que vienen a formar el cuerpo técnico de su actividad.

Técnicas Y Herramientas Auditoría Informática

TécnicasPodemos definir las técnicas de auditoría como los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones.

-Las técnicas y los procedimientos están estrechamente relacionados.

Para tener en cuenta:Las técnicas se clasifican generalmente con base en la acción que se va a efectuar. Estas acciones verificadoras pueden ser oculares, verbales, por escrito, por revisión del contenido de documentos y por inspección física.

ProcedimientosSon el conjunto de técnicas de investigación aplicables a una partida o a un grupo de hechos y circunstancias.

Es la combinación de dos o más técnicas, mientras que la conjugación de dos o más procedimientos de auditoria originan los programas de auditoria, y al conjunto de programas de auditoria se le denomina plan de auditoría.

Técnicas Auditoría Informática• EvaluaciónConsiste en analizar mediante pruebas la calidad y cumplimiento de funciones, actividades y procedimientos que se realizan en una organización o área.

• InspecciónLa inspección permite evaluar la eficiencia y eficacia del sistema, en cuanto a operación y procesamiento de datos para reducir los riesgos y unificar el trabajo hasta finalizarlo.

• Comparación: es la comparación de los datos obtenidos en un área o en toda la organización y cotejando esa información con los datos similares o iguales de otra organización con características semejantes.

• Revisión Documental: para recopilar información relacionada con la actividad, operación o función que se realiza en el área informática, así como también se puede observar anticipadamente su cumplimiento

Técnicas Auditoría Informática

Técnicas Auditoría Informática• ConfirmaciónEl aspecto más importante en la auditoria es la confirmación de los hechos y la certificación de los datos que se obtienen en la revisión, ya que el resultado final de la auditoria• Matriz DOFAAquí se evalúan los factores internos y externos, para que el auditor puede evaluar el cumplimiento de la misión y objetivo general del área de informática de la organización.

0Recolección de información para auditoría informática y de sistemas

0 Observación: Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el funcionamiento del área informática y los sistemas software.

Herramientas Auditoría Informática

0Cuestionarios:Son preguntas impresas en formatos o fichas en que el auditado responde de acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede clasificar e interpretar por medio de tabulación y análisis.

El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables llamados evidencias.

Herramientas Auditoría Informática

Herramientas Auditoría Informática0 Entrevistas:De esta se obtiene información sobre lo que se esta auditando, además de tips que permitirán conocer más sobre los puntos a evaluar o analizar. Se hace de tres formas:

1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.

2. Mediante “Entrevistas” en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.

3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.

Herramientas Auditoría Informática• Checklist:• es un cuestionario ordenado y estructurado por materias auditadas.• Ha de contener preguntas idénticas formuladas en términos

aparentemente distintos. El cruzamiento de las respuestas permite aumentar el rigor del análisis.

• La motivación de su uso es clara. Para auditar cualquier aspecto de una empresa

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una lista de preguntas recitadas de memoria o leidas en voz alta descalifica al auditor informático.

Herramientas Auditoría InformáticaTipo de Checklist:• RangoPermiten mayor precisión si el criterio de la Auditoría es uniforme. Indicado para revisiones pequeñas. Depende excesivamente de la buena formación y competencia de cada persona que conforman la entidad.

• BinariaEs la constituida por preguntas con respuesta única y excluyente: Si o No. Aritméticamente equivalen a 1(uno) ó 0 (Cero)

NOTA:No existen CheckList’s standard para cualquier instalación. Las listas deben retocarse y adaptarse a cada organización.

Herramientas Auditoría Informática• Trazas y/o Huellas:Se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el sistema.

Con frecuencia, el auditor debe verificar que los programas, tanto de los sistema como de usuarios, realizan exactamente las funciones previstas, y no otras. Para ello se apoyan en productos software muy potentes y modulares que, rastrean los caminos que siguen los datos a través del programa.

Herramientas Auditoría Informática

• Análisis De Bitácoras:Existen varios tipos de bitácoras que pueden ser analizadas por el auditor, ya sea de forma manual o por medio de programas especializados, tales como bitácoras de fallas del equipo, bitácoras de accesos no autorizados, bitácoras de uso de recursos.

• Software de Auditoria:Software especiales para la auditoria informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos.

DIAGRAMA ESPINA DEL PESCADO

• El Diagrama Causa-Efecto es llamado usualmente Diagrama de “Ishikawa” porque fue creado por Kaoru Ishikawa

• También es llamado “Diagrama Espina de Pescado” por que su forma es similar al esqueleto de un pez

• Está compuesto por un recuadro (cabeza)• Una línea principal (columna vertebral)• y 4 o más líneas que apuntan a la línea principal formando un ángulo

aproximado de 70º (espinas principales)

Estas últimas poseen a su vez dos o tres líneas inclinadas (espinas), y así sucesivamente (espinas menores), según sea necesario.

PASOS PARA CONSTRUIR UN DIAGRAMA CAUSA-EFECTO

1. IDENTIFICAR EL PROBLEMA

2. IDENTIFICAR LAS PRINCIPALES CATEGORÍAS DENTRO DE LAS CUALES PUEDEN CLASIFICARSE LAS CAUSAS DEL PROBLEMA.

3. IDENTIFICAR LAS CAUSAS

4. ANALIZAR Y DISCUTIR EL DIAGRAMACuando el Diagrama ya esté finalizado, los estudiantes pueden discutirlo, analizarlo y, si se requiere, realizarle modificaciones. La discusión debe estar dirigida a identificar la(s) causa(s) más probable(s), y a generar, si es necesario, posibles planes de acción.

Diagrama del TrébolEstá compuesta en forma de un trébol: • la primera hoja, llamada núcleo profesional está formada por los trabajadores

profesionales técnicos y administradores esenciales en la organización.• La segunda hoja el margen contractual, estaría compuesta por aquellas

personas u organizaciones cuyo trabajo no constituye la esencia de las operaciones de la empresa para aumentar la eficiencia y reducir rigideces, tales operaciones se subcontratan o se ceden a unidades externas.

• La tercera hoja está integrada por la fuerza de trabajo flexible, es decir aquellos trabajadores a tiempo parcial o temporal que se relaciona de manera eventual.

Características principales•Es la representación del máximo aplanamiento de una organización. Los niveles jerárquicos desaparecen y la organización se configura como un trébol de cuatro hojas con un tallo.

•El objetivo es la búsqueda de la máxima flexibilidad

Quién? Emisor Dice qué? Mensaje En qué forma? MedioA quién? ReceptorCon qué efecto? Información de retorno

Plan de Mejora

Tipos de Hallazgos

Para el plan de mejora tener en cuenta

Corto resumen

Corto resumen

Corto resumen

Herramientas para la auditoria

• Backup y copias espejos de discos duros y medios removibles. - Software de búsqueda de archivos.

• - Google Desktop. • - Software de Recuperación de archivos borrados. • - Análisis de la memoria Ram. • - Análisis de la red.• - Actividad del equipo. • - Borrado definitivo • - Búsqueda de mails, historial de internet, chats. • - Otros: Encase Forensic, CondorLinux, Maltego, impresiones.

Auditoria Con el Computador (CAAT)(técnicas de auditoria asistidas por computadoras)

Las CAAT son un conjunto de técnicas y herramientas utilizados en el desarrollo de las auditorias informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los análisis efectuados por el auditor, a los sistemas y los datos de la entidad auditada. Incluyen métodos y procedimientos empleados por el auditor para efectuar su trabajo y que pueden ser administrativos, analíticos, informáticos entre otros; y los cuales son de suma importancia para el auditor informático cuando este realizando una auditoria.

El uso de las CAAT le permite al auditor obtener suficiente evidencia confiable sobre el cual, sustentar sus observaciones y recomendaciones, lo que obliga al auditor a desarrollar destrezas especiales en el uso de técnicas, como: mayores conocimientos informáticos, etc.

Utilización De Técnicas CAAT• Generador de datos de prueba: para preparar un lote de prueba para

verificar la lógica de los programas de aplicación

• Sistemas expertos: aplicaciones desarrolladas a fin de contener una base de conocimiento experto y lógica provista por expertos en determinado campo.

UTILITARIOS ESTÁNDARES

• PAQUETES DE BIBLIOTECA DE SOFTWARE: para verificar la integridad y corrección de cambios a programas

• INSTALACIONES DE PRUEBA INTEGRADAS: consiste en crear entidades en un sistema de aplicación y procesar datos de prueba o producción sobre la entidad a fin de verificar la exactitud de procesamiento.

Utilización De Técnicas CAAT• Instantánea: consiste en tomar fotografías de una transacción a medida

que recorre el sistema computadorizado

• Archivo de revisión de auditoría de control del sistema: consiste en integrar módulos de auditoría en un sistema de aplicación para realizar un monitoreo continuo de las transacciones del sistema.

• Software especializado de auditoría: para que el auditor realice diversa tareas tales como muestreo y comparaciones

Ventajas De Las Técnicas CAAT

• Reducen el nivel de riesgo de auditoría.• Mayor independencia respecto del auditado.• Cobertura más amplia y coherente de la auditoría.• Mayor disponibilidad de información.• Mejor identificación de excepciones.• Mayor flexibilidad de tiempos de ejecución.• Mayores oportunidades de cuantificar las debilidades

de control interno.• Mejor muestreo.• Ahorro de tiempo con el transcurso del tiempo.

El Auditor Debe Sopesar Los Costos y Beneficios de las Técnicas CAAT. Ha de tener en cuenta:

• Facilidad de utilización• Requisitos de capacitación• Complejidad de codificación y mantenimiento• Flexibilidad de uso• Requisitos de instalación• Eficiencia de procesamiento• Esfuerzo que se requiere para llevar al información fuente al CAAT para su auditoría

Cuando se Desarrolla un CAAT Debe Conservarse la siguiente documentación:

0 Listados de los programas0 Flujo gramas, tanto detallados como generales0 Informes de muestras0 Diseños de registros y archivos0 Definiciones de campos0 Instrucciones de operación0 Descripción de los documentos fuentes

Muestreo Estadístico

El muestreo es una técnica de auditoria muy útil que el auditor puede usar para obtener evidencia que le dé mayor satisfacción de auditoria.Es aquel donde el auditor utiliza sustento matemáticos para determinar, los puntos a auditar, el tamaño de la muestra, grados de confianza y márgenes de error administrativos. No aplica la no utilización del criterio del auditor sino más bien que constituye una herramienta para mejorarlo.

Métodos De Muestreo Utilizados por los Auditores:

• Muestreo de atributos: también denominado muestreo estimativo, es la técnica utilizada para estimar el valor de ocurrencia de un control.

• Muestreo de variables: también denominado estimación dólar o muestreo de estimación media, es la técnica que se utiliza para estimar el valor del dólar u alguna otra unidad de medida.

Términos de Muestreo Estadístico• Coeficiente de Confianza: Se expresa como un porcentaje de la

probabilidad de que las características de la muestra sea una veraz representación del universo.

• Nivel de Riesgo: Esta cifra es 1 menos el nivel de confiabilidad.

• Precisión: La fija el auditor y representa el rango de diferencia entre la muestra y el universo real de la muestra.

• Tasa de error esperada: Se expresa como un porcentaje y es el valor estimado de los errores que pueden presentarse.

• Media de la muestra: Es la suma de todos los valores de la muestra dividido por el tamaño de la muestra.

• Desviación Estándar: Calcula la varianza de los valores de la muestra respecto de la mediana de la muestra .c

Pasos Claves en la Selección de la Muestra

•Determinar los objetivos de la prueba.•Definir la población a ser muestreada.•Determinar el método de muestre, tales como el muestreo de atributos o muestre de variables.

•Calcular el tamaño de la muestra.•Seleccionar la muestra.•Evaluar la muestra desde una perspectiva de auditoria.

LogEl log vendría a ser un historial que informa que fue cambiando y cómo fue cambiando (información). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atómicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transacción, y todo lo que va haciendo la Aplicación (grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log. Si en el medio de la transacción se cortó por x razón, lo que se hace es volver atrás. El log te permite analizar cronológicamente que es lo que sucedió con la información que está en el Sistema o que existe dentro de la base de datos.

…