enfoque de auditoria veru y feibert
TRANSCRIPT
AUDITORIA DE SISTEMAS
LUIS GONZALO PRADO
VERUSKA MUÑOZ RAMÍREZFEIBERT ALIRIO GUZMÁN PÉREZ
AUDITORÍA A LAS APLICACIONES EN FUNCIONAMIENTO
VILLAVICENCIO2012
CORPORACIÓN UNIVERSITARIA REMINGTON
Auditar consiste principalmente en estudiar los mecanismos de controlque están implantados en una empresa u organización, determinando silos mismos son adecuados y cumplen unos determinados objetivos oestrategias, estableciendo los cambios que se deberían realizar para laconsecución de los mismos.
La auditoría permite verificar si se están aplicando las medidasde control más apropiadas para la salvaguarda e integridad de lainformación y de los sistemas en prevención de riesgos de fraude,pérdida, manipulación, fallos de servicio, etc
AUDITORÍA
AUDITORÍA A LAS APLICACIONES EN
FUNCIONAMIENTO
ENFOQUES
Auditoría alrededor del computador
Auditoría a través del
computador
Auditoría con el computador
OBJETIVOS DE LOS ENFOQUES
Auditoría alrededor del computador
* Verificar la segregación de funciones
* Asegurar que los datos enviados al proceso estén debidamente autorizados.
* Comprobar que los datos autorizados sean procesados.
* Asegurar que los procesos se hagan con exactitud
* Verificar las pistas de auditoría.
* Asegurar que los procesos se hagan con exactitud
* Verificar las pistas de auditoría
Auditoría a través del computador
* Asegurar que los programas cumplan con las necesidades de los usuarios.
* Verificar las modificaciones autorizadas.
* Comprobar que no existan rutinas fraudulentas.
* Asegurar los programas autorizados.
* Verificar la existencia de los controles en los programas.
* Comprobar que los datos sean validados antes de ser procesados.
Auditoría con el computador
* Examinar los archivos a niveles detallados.
* Verificar la existencia de controles que garanticen la protección de datos.
* Verificar la existencia de controles que garanticen la confiabilidad de la información.
* Hacer proyecciones con cambios de alternativas.
• AUDITORIA
DE
SISTEMAS
Es una disciplina encargada de
aplicar un conjunto de técnicas y
procedimientos con el fin de evaluar
la seguridad, confiabilidad y
eficiencia de los sistemas de
información.
Adicionalmente se encarga de evaluar la
seguridad en los departamentos de
sistemas, la eficiencia de los procesos
administrativos y la privacidad de la
información.
Revisión Hardware
obsolescencia tecnológica
equipo instalado.
Plazo de las Adquisiciones
Preparar cronograma
cambios en configuración de software o Hardware
Solicitudes de adquisición
análisis costo /beneficio
Política de Procedimiento
Uso microcomputadoras
formularios
VerificarDesarrollo y ejecución de
cronogramas
Verificar la documentación
cambios de hardware
Justo a tiempo
Conejos
No dañan al sistema, sino que se limitan a copiarse, generalmente de forma exponencial, hasta que la cantidad de recursos consumidos
(procesador, memoria, disco...) se convierte en una negación de servicio para el sistema afectado.
Revisión sistema
operativo
Mantenimiento
Costo Entrenamiento Servicio técnico
Requerimientos hardware Capacidad
Impacto Seguridad en datos
Implementación
Cambios de software programados.
pruebaProblemas resueltos
Autorizado
Seguridad y control
Datos compartidos
Pistas de auditoria
Documentar
Pruebas del sistema
cambios efectuados al sistema
Superzapping Una utilidad de los antiguosmainframes de IBM que permitía aquién lo ejecutaba pasar por alto todoslos controles de seguridad para realizarcierta tareaadministrativa, presumiblementeurgente, que estos sistemas poseían, o de unallave maestra capaz de abrir todas las puertas.
SALAMI
Se presenta en entidades financieras.
Revisión Base de Datos
Diseño
Entidad
Claves primarias y secundarias
Nombres específicos y coherentes
Tablas
Relación
Índices ,frecuencia de acceso y norma
Acceso Uso correcto de los tipos de
índicesReduzca tiempo
AdministraciónNiveles de Seguridad Usuario y/o grupos
Copias de seguridad y recuperaciónInterfaz
Confidencialidad e integridad
Importar y exportar
Otros sistemas
PortabilidadLenguaje estructurado de
consulta
Ejemplo: Diccionario de Datos
• Modulo De Clientes (Índice)• Este modulo cuenta con las opciones de inclusión, bajas, consulta y
modificar. Los campos que maneja son los siguientes:• Código • Nombre • Dirección • Ciudad • Estado • Código Postal • Ultima compra • Situación • Teléfono y clave lada • RFC
• Pantalla General De Los Módulos
Para el sistema informático que se presenta, se tuvo que seleccionar un lenguaje que permitiera trabajar bajo ambienteWindows,
Revisión LAN’S
controles
Llaves servidor de archivos
asignaradministrador personal de
soporte
El servidor de archivos LAN
Asegurado robo de tarjetas chips
o a la computadora
Extintores de Incendio
Protección
electricidad estática Alfombra
subidas de voltaje
protector
Aire acondicionado
control de humedad
suministro de energía
Especificaciones del fabricante
libre de polvo, humo y otros objetos (alimentos)
Disquetes y cintas de seguridad
daño ambiente
efectos de campo magnético
Acceso remoto
ProhibidoSolo una persona
Canales ocultoses un cauce de comunicación que
permite a un proceso receptor y a un emisor intercambiar información de
forma que viole la política de seguridad del sistema
Caballos de Troya
Troya actual es un programa que aparentemente
realiza una función útil para quién lo ejecuta, pero
que en realidad - o aparte - realiza una función que
el usuario desconoce, generalmente dañina
Revisión LAN’S
controles
Manual de operación y documentación del LAN
Acceso autorizada por escrito
base de saber/hacer
Entrevista con usuarios
conocimiento admón de seguridad
confidencialidad
Sesión de ingreso automáticamenteperiodo de inactividad
usuarioscontraseñas únicas
encriptadas
cambiarlas periódicamente.
Revisiones Control Operativo de Redes
Las personas
acceso a las aplicaciones
procesadores de transacciones
conjunto de datos autorizados
una persona autorizada con control general de red
autorización de seguridad
Encripción en red para datos sensitivos
Implementación de políticas y procedimientos de seguridad
Desarrollo de planes de prueba , conversión y aceptación para red
procesamiento de datos distribuido en la organización
Redes de procesamiento que asegure la consistencia con las leyes y reglamentos de transmisión de datos
Revisiones de las operaciones SI
Operaciones de computo
Restringir el acceso a bibliotecas de archivos, datos , documentación y
procedimientos de operación
Restringir la corrección a programas y problemas de datos
Limitar acceso a código de fuente de producción
Elaborar cronograma de trabajos para procesar
Inventariar el sistema para cintas locales y ubicación especifica de almacenamiento
Control Entrada de datos
Autorización de documentos de entrada
Acatar pólizas establecidas
Producción, manteniendo y revisión de reportes de control
Revisiones de las operaciones SI Operaciones
Automatizadas no asistidas
Pruebas de software periódicas
Errores ocultos en el software y notificados por el operador.
Plan de eventualidad de un desastre que sea automática
documentados y aprobados
Revisión Reporte de Problemas por la gerencia
Entrevistas con operadores de SI
Revisar procedimientos para registrar evaluar y
resolver problemas
operativos o de procesamiento
Registro de desempeño
Causas- Problemas registrados para buscar solución
prevenir la repetición
A su debido tiempo
Revisiones Disponibilidad
Hardware y Reporte de utilización
plan de monitoreo desempeño de
hardware
registro de problemas
cronograma de procesamiento
frecuencia del mantenimiento
reportes contabilidad de trabajos
reportes validez del proceso
Revisión de Cronograma volumen de trabajo y
del personal
Aplicación programas, fecha de entrada, tiempo de preparación
datos, tiempo procesamiento, fechas salida
Registro de consola para verificar trabajos
programados terminados
Prioridades de procesamiento de la
aplicaciónAplicaciones criticas
haber escasez de recurso /capacidad
Elaboración de cronogramas para requerimientos de
servicio
Cantidad de personal asignado en turno soporta
la carga de trabajo
Programa diario de trabajos baja prioridad
final turno pasar al planificador de trabajos
trabajos terminados y motivos de no terminar
FRAUDE
POR COMPUTADOR
Alteraciones de la información antes de ingresar al sistema
Puede suceder porque al momento de elaborar los
documentos fuentes, consignan información que
no corresponde a la realidad.
Incluir documentos que no forman parte de la información que se esta
procesando.
MODIFICACIONES AL CAPTURAR LA INFORMACION
RIESGO DE ERROR DIGITACION DE LA INFORMACION
Error humano.
•Falta de controles en los programas.
•Malas intenciones de las personas que participan en los procesos.
PUERTAS TRAMPA
En este tipo de fraude, se utiliza el sistema operacional paraentrar por puntos vulnerables de los programas y modificar lainformación.
LAS ESCOBILLAS
Pretende conseguir información de cierto grado de privacidadpara hacer espionaje o cometer ilícitos.