La auditoría de seguridad en las empresas

Iniciado por KarlosVid(ÊÇ), 3 Agosto 2009, 22:09 PM

0 Miembros y 2 Visitantes están viendo este tema.

KarlosVid(ÊÇ)

La auditoría de seguridad en las empresas



Artículo sobre auditorías de seguridad.

La información es el activo mas importante para las empresas, lo cual se puede confirmar si consideramos el hecho de la perdida de información critica, y la post recuperación con la cual la entidad podría retomar sus operaciones normales en un menor tiempo, que si ocurre lo contrario. Por este motivo la información adquiere una gran importancia para la empresa moderna debido a su poder estratétigo y a que se invierten grandes cantidades de dinero en tiempo de proporcionar un buen sistema de información para tener una mayor productividad

La importancia en que radica auditoria de sistemas en las organizaciones son:

- Se puede difundir y utilizar resultados o información errónea si los datos son inexactos o los mismos son manipulados, lo cual abre la posibilidad de que afecte seriamente las operaciones, tomas de decisiones o la imagen de la empresa.

- Las computa, servidores y centros de base de datos se han convertido en blanco para fraudes, espionaje, delincuencia y terrorismo informático.

- La continuidad de las operación, administración y organización de la empresa no debe permanecer en un sistema mal diseñado, ya que podría convenirse en un serio peligro para la empresa.

- Existen grandes posibilidades de robo de secretos comerciales, información financiera, administrativa, la transferencia ilícita de tecnología y demás delitos informáticos.

- Mala imagen e insatisfacción de los usuarios  porque no reciben el soporte técnico adecuado o no se reparan los daños de hardware ni se resuelven los problemas en un lapso razonable, es decir, el usuario percibirá que está abandonado y desatendido permanentemente, esto dará una mala imagen de la organización.

- En el Departamento de Sistemas se observa un incremento de costos, inversiones injustificadas o desviaciones presupuestarias significativas.

- Evaluación de nivel de riesgos en lo que respecta a seguridad lógica, seguridad física y confidencialidad.

- Mantener la continuidad del servicio, la elaboración y la actualización de los planes de contingencia para lograr este objetivo.

- El inadecuado uso de la computadora para usos ajenos a la organización que puede llegar a producir problemas de infiltración, borrado de información y un mal rendimiento.

- Las comunicaciones es el principal medio de negocio de las organizaciones, una débil administración y seguridad podría lograr una mala imagen, retraso de negocios, falta de confianza para los clientes y una mala expectativa para la producción.

La Auditoria de la Seguridad Informática en la informática abarca el concepto de seguridad física y lógica. La seguridad física se refiere a la protección de hardware y los soportes de datos, así también como la seguridad del los edificios y las instalaciones que lo albergan. Esto mismo contempla situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc.

Por su parte la seguridad lógica se refiere a la seguridad del uso de software, protección de la información, procesos y programas, así como el acceso ordenado y autorizado de los usuarios a la información.

El auditar la seguridad de los sistemas, también implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión de virus.

En la auditoria para aplicaciones de internet se produce una verificación de los siguientes aspectos:

- Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así como su probabilidad de ocurrencia.

- Evaluación de vulnerabilidades y arquitectura de seguridad implementada.

- Verificar la confidencialidad e integridad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers.

Metodología de trabajo de Auditoria

El método del auditor pasa por las siguientes etapas:

- Alcances y Objetivos de la Auditoria Informática.

- Estudio inicial del entorno auditable.

- Determinación de los recursos necesarios para realizar la auditoria.

- Elaboración de Plan y de los Programas de trabajo.

- Actividades propiamente dichas de la auditoria.

- Confección y elaboración del informe final.

Como he dicho antes las comunicaciones son la base de los negocios modernos, pues sin las mismas ninguna empresa podría sobrevivir. Para esta razón, es necesario que las organizaciones mantengan a sus servidores, datos e instalaciones lejos de los hackers y piratas informáticos.

La privacidad de las redes es un factor muy importante ya que las empresas se sienten amenazadas por el crimen informático. El mantener una red segura fortalece la confianza entre los clientes de la organización y mejora su imagen corporativa, ya que muchos son los criminales informáticos que acechan día a día.

Por lo cual el auditor o consultor informático ayuda a mantener la privacidad de las redes, trabajando en los siguientes factores: Disponibilidad - Autentificación - Integridad - Confidencialidad

Es preciso tener en cuenta todos los factores que puedan amenazar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques intencionados. La seguridad de las redes y la información puede entenderse como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Las principales amenazas o riesgos que enfrentan las empresas que utilizan las redes son:

- Interceptación de las comunicaciones.

- Acceso no autorizado a ordenadores o Redes de ordenadores

- Perturbación de las redes.

- Ejecución de programas que modifiquen o dañen los datos.

- Declaración falsa.

- Accidentes no provocados.

- Robo de datos.

- Infiltración de datos críticos.

Los beneficios de un sistema de seguridad son:

- Aumento de la productividad

- Aumento de la motivación del personal

- Compromiso con la misión de la compañía

- Mejoras de las relaciones laborales

- Mejoras del rendimiento

- Mayor profesionalismo

- Ayuda a formar equipos competentes

- Mejora los climas laborares de los RR.HH

Desarrollar un sistema de seguridad significa "planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa".

Etapas para implementar un sistema de seguridad

- Introducir el tema de seguridad en la visión de la empresa.

- Definir los procesos de flujo de la información y sus riesgos en cuento a todos los recursos participantes.

- Capacitar a los gerentes y directivos, contemplando el enfoque global.

- Designar y capacitar supervisores de área.

- Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras en menor tiempo.

- Mejorar las comunicaciones internas

- Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel

- Capacitar a todos los trabajadores en los elementos de seguridad básica, riesgo de manejo de software y seguridad física.


KarlosVid(ÊÇ)

PROXIES EN UN ENTORNO LABORAL


Al hilo de este artículo, surgió un debate de cómo se configura y cómo se salta un proxy en un entorno empresarial. Dado que este trabajo tuve que hacerlo en uno de nuestros clientes (squid + dansguardian), voy a aprovechar un poco para explicar qué pretendíamos al instalar el proxy y cómo está configurado. No me voy a entretener explicando detalles de su instalación, ya que hay material más que suficiente tocando este tema.

También voy a aprovechar para comentar algunas cosas que deberíamos revisar en una auditoría de seguridad interna.

1. PROXIES Y SEGURIDAD EN LA EMPRESA.

Antes de nada, debemos entender cuál es el papel del proxy en nuestra empresa. ¿Queremos una navegación más rápida para los usuarios o incrementar la seguridad? Como auditores de seguridad, obviamente sólo nos importa lo segundo.

Una de las cosas que miran los auditores de seguridad en cuanto a reglas del firewall se refiere es que no se pueda salir directamente a internet desde ningún sitio, salvo que la operativa lo requiera. Esto incluye tanto a puestos de usuario como a servidores, aunque normalmente se tiene mucho más control de los primeros.

a) Servidores

Un servidor puede tener que salir a internet por muchas razones, por ejemplo para bajarse parches de seguridad de microsoft, pero esto no implica que le demos salida directa a internet, sino que debería salir vía proxy, por estas razones:

- no desvelar más IPs internas de las necesarias
- no permitir a un hacker establecer una shell inversa desde el servidor hasta él
- nadie desde la intranet puede salir a internet usando un servidor intermedio no controlado


Impedir estas cosas es esencial si queremos tener una red de servidores bien protegida y, en consecuencia, los firewall deben ser lo más restrictivos posibles con el tráfico de salida, lo cual significa un montón de trabajo.

Lo normal es que, con el paso del tiempo, se vayan cometiendo pequeños despistes que hagan que todo esto se descuide un poco. Una de las tareas del equipo de seguridad es cuidar que esto no suceda.

b) Puestos de trabajo

Hay varias clases de "usuarios" dentro de una empresa. Antes de restringir la salida a internet, hay que tener en cuenta que, según quién, es posible que lo necesite para realizar normalmente su trabajo, como pueda ser el caso de los administradores de la red, y que además es posible que sea necesario que baje archivos de todo tipo. Por lo tanto, según que usuarios deberían tener salida directa a internet, vía NAT, o bien estar en lista blanca dentro del proxy para que puedan hacer lo que quieran.

Sin embargo, salvo que esté justificado, un usuario "normal" jamás debería poder salir directamente a internet, ya que esto acarrearía riesgos innecesarios (un troyano podría establecer una shell inversa directamente desde el puesto del usuario hasta el atacante).

Además, querremos controlar el contenido al que acceden los usuarios navegando. No deberíamos permitir, ante todo, que visiten páginas de exploits, ni que descarguen archivos peligrosos, como puedan serlo archivos comprimidos o ejecutables.

2. ¿QUÉ DEBEMOS COMPROBAR?

Lo primero que haremos es comprobar que desde la DMZ no se sale a internet. En caso de que no sea así, deberá estar justificado por qué está permitido en el firewall.

Esto mismo lo comprobaremos desde un grupo de servidores elegidos al azar. Es muy típico que los servidores puedan acceder a internet para instalar parches de seguridad, pero esto debería hacerse vía proxy o bien restringir las IPs de salida a windowsupdate.com, etc.

A continuación, debemos controlar que tienen una lista de qué usuarios salen directamente a internet, por cuanto tiempo y, además, que está justificado que tengan estos permisos especiales.

Desde un puesto de usuario "normal", comprobaremos lo siguiente:

- no puede acceder a páginas con exploits o material de hacking, como puedan ser milworm o elhacker.net.
- no pueden bajar archivos .rar, .exe, .zip, ...
- no pueden conectarse a ningún proxy HTTPs, como por ejemplo btunnel.

Otras cosas, como que puedan ver porno o leer el periódico, no son de nuestra incumbencia, aunque sea común que esté cerrado todo lo que son chats, foros, porno y similares.

Finalmente, hay que comprobar que el proxy no puede ser usado para escanear la intranet. Es decir, hay que ver que no podemos, por ejemplo, usarlo para acceder a servidores FTP de la DMZ. Debería estar configurado de forma que sólo permita acceder a los puertos 80 y 443 (respect., http y https).

3. HEURÍSTICAS DEL PROXY.

Vamos a echarle un ojo a los principales archivos de configuración de dansguardian, para entender un poco mejor como bannea páginas. Para empezar, tenemos distintas listas negras, por ejemplo:

; sitios banneados
cat bannedsitelist
worldsbiggestchat.com
granchat.com

Además, tenemos listas blancas de IPs e usuarios desde lo que se puede acceder sin restricciones a través del proxy. Otra lista interesante es la de extensiones de archivos prohibidas:

#Banned extension list
# File extensions with executable code
# The following file extensions can contain executable code.
# This means they can potentially carry a virus to infect your computer.
.ade # Microsoft Access project extension
.adp # Microsoft Access project
.asx # Windows Media Audio / Video
.bas # Microsoft Visual Basic class module
.bat # Batch file

Aparte de todas estas listas negras, el proxy va a examinar el contenido de la página en busca de palabras y frases prohibidas. Cada una de ellas va a tener un "peso" y, una vez excedido un cierto peso máximo, la página es banneada. En estas listas están palabras como sex, porn, exploit, fuck, teen, chat, ...

Así pues, aunque nos saltemos el filtro por lista negra, tendremos que saltarnos también la heurística que examina el contenido, lo cual es más complicado.

4. VIGILANDO EL PROXY.

Para que nos hagamos una idea de qué se loggea en el proxy y qué tipo de información tienen disponible los admins, vamos a echarle un ojo al panel de control de webmin. En él, encontramos una búsqueda por fecha de inicio, fecha de fin y usuario de las URLs bloqueadas, que resulta bastante útil para ver quién está haciendo algo que no debe:

Normalmente, un usuario que intente saltarse el proxy hará varios intentos y aparecerá en los logs.

Así mismo, como administradores, podemos ver también las URL permitidas. Esta última vista nos permitirá buscar "cosas raras", como puedan ser IPs dinámicas (no-ip.com, dyndns.org, ...) y URL con pinta de ofuscadas. Por supuesto, leer todos los accesos de la gente es una pérdida de tiempo y no es normal hacerlo, salvo que se esté configurando el proxy por alguna razón.

5. COMO SALTARSE EL PROXY.

Este tema ya ha sido tratado hasta la saciedad, así que no me extenderé. Tenemos los siguientes métodos:

- tunel vía DNS
- tunel vía SMTP
- tunel vía SSH

De todos ellos, el mejor para usar en un entorno empresarial, porque no requiere instalar software salvo putty, que suele estar disponible, es el tercero, que consiste en montar en casa un servidor ssh escuchando en el puerto 443 y establecer un tunel a través de él. Este artículo los explica muy bien.

6. CONCLUSIONES.

En este artículo, le hemos dado un repaso a la auditoría de proxies en un entorno laboral. Como hemos visto, lo usamos principalmente para impedir que los usuarios bajen exploits u otro código malicioso y para impedir que un troyano pueda acceder directamente a internet, lo cual sería una catástrofe.

Los puntos a auditar pueden resumirse en dos:

- todo el mundo sale a través del proxy, salvo que se requiera (demostrado) lo contrario.
- el proxy no deja bajarse nada

Instalar o mantener un proxy no es complicado. Un simple script en bash puede encargarse de actualizar las listas negras. Por otro lado, el control de los usuarios no necesita hacerse mas que en los primeros días, mientras se corrigen las heurísticas del proxy.

También hemos visto que es relativamente fácil saltarse el proxy, y esto deben tenerlo en cuenta los admins, aunque requiere ciertos conocimientos y no debería ser una de las principales preocupaciones.

Fuente: http://hacking-avanzado.blogspot.com/2009/06/auditoria-de-seguridad-proxies-en-un.html

KarlosVid(ÊÇ)

Glosario de términos técnicos de auditoria en seguridad

El análisis de riesgo es un proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización o empresa.

Es la identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con un sistema de información (activos) para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede afectar a la organización.

Acorde al punto 5.4 de Magerit (España) es importante crear escenarios de ataque, imaginar amenazas a los activos, pensar cómo un atacante se enfrentaría a nuestros sistemas o activos.

Hay que ponerse en la piel del atacante e imaginar qué haría con sus conocimientos y recursos. Es importante plantear diferentes situaciones dependiendo del perfil técnico del atacante o de sus recursos técnicos y humanos. Estos escenarios de ataque o dramatizaciones son importantes para evaluar impactos y riesgos.

Consideraciones

Jamás olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal, creando normas basadas en standards, analizando brechas y puntos ciegos en la seguridad lógica y en la seguridad de sistemas de información.

Es fundamental la creación de escenarios de conflicto en forma continua participando la gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden lograrse medidas para evitar eventos de seguridad.

Anticiparse a los hechos

Imagínese el peor escenario posible. Piense cómo evitarlo. Existen normas, procedimientos, protocolos de seguridad existentes que pueden ayudar a crear y basar (valga la redundancia) sus procedimientos internos para alejar la posibilidad de riesgo.

Si su empresa opera a través de internet o telecomunicaciones no olvide que es más probable tener una fuga de información o problema interno de seguridad con su personal a que un hacker intente vulnerar sus sistemas, el fraude interno está a la orden del día.

Realice periódicamente perfiles socioeconómicos de su personal, tenga entrevistas con cada uno de sus empleados con una frecuencia trimestral contando con apoyo de un profesional en psicología laboral con experiencia previa y capacitado en PNL (nunca está de más que en estas entrevistas participe un auditor en seguridad, el auditor debe ser capaz de percibir a un "insider")

El siguiente glosario es un compendio de términos técnicos de auditoria en seguridad que le permitirá comprender diversos informes y graficar situaciones eventuales en que su empresa podría verse comprometida.

Ataque:
Cualquier acción deliberada con el objetivo de violar los mecanismos de seguridad de un sistema de información.

Auditoria de Seguridad:
Estudio y examen independiente de registros históricos y actividades de un sistema de información con el objetivo de comprobar la solidez de los controles del sistema, alinear los controles con la estructura de seguridad y procedimientos operativos establecidos a fin de detectar brechas en la seguridad y recomendar modificaciones en los procedimientos, controles y estructuras de seguridad.

Autenticidad:
Aseguramiento de la identidad u origen.

Certificación:Confirmación del resultado de una evaluación y de que los criterios de la evaluación utilizados fueron correctamente aplicados.

Confidencialidad:
Aseguramiento de que la información es accesible sólo por aquellos autorizados a tener acceso.

Degradación:
Pérdida de valor de un activo como consecuencia de la materialización de una amenaza

Disponibilidad:
Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y a sus activos asociados.

Estado de riesgo:
Caracterización de activos por riesgo residual. "Lo que puede pasar tomando en consideración que las salvaguardas han sido desplegadas".

Evento de seguridad:
Momento en que la amenaza existe y pone en riesgo activos, procedimientos o información.

Evaluación de Medidas de Seguridad:
Evaluación de las medidas de seguridad existentes con relación al riesgo que enfrentan.

Frecuencia:
Tasa de ocurrencia de una amenaza

Gestión de riesgos:
Selección de implementación de medidas de seguridad para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. La gestión de riesgos se basa en resultados obtenidos en el análisis de riesgos.

Impacto:
Consecuencia que sobre un activo tiene la materialización de una amenaza.

Impacto residual:
Impacto remanente en el sistema tras la implantación de las medidas de seguridad determinadas en el plan de seguridad de la información.

Insider:
Empleado desleal quien por motivos de desinterés, falta de capacidad intelectual y/o analítica, problemas psicológicos o psiquiátricos, corrupción, colusión u otros provoca daños en forma deliberada en la empresa en que trabaja, incumpliendo concientemente con normas y procedimientos establecidos, robando o hurtando activos (físicos o información) con objetivos económicos o simplemente de daño deliberado.

Integridad:
Garantía de la exactitud y completitud de la información y los métodos de su procesamiento.

Mapa de riesgos:
Relación de las amenazas a que están expuestos los activos.

Plan de seguridad:
Conjunto de programas de seguridad que permiten materializar las decisiones de gestión de riesgos.

Programa de seguridad:
Conjunto de tareas orientadas a afrontar el riesgo del sistema. Esta agrupación se debe a que en singular las tareas carecerían de eficacia ya que todas tienen un objetivo común y porque competen a una única unidad de acción.

Proyecto de seguridad:
Programa de seguridad cuya envergadura es tal que requiere una planificación específica.

Riesgo:
Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños y / o perjuicios a la Organización.

Riesgo acumulado:
Toma en consideración el valor propio de un activo y el valor de los activos que dependen de él. Este valor se combina con la degradación causada por una amenaza y la frecuencia estimada de la misma.

Riesgo repercutido:
Se calcula tomando el valor propio de un activo y combinándolo con la degradación causa por una amenaza y la frecuencia estimada de la misma.

Medida de seguridad:
Procedimiento o mecanismo tecnológico que reduce el riesgo.

Seguridad:
Capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Sistema de información:
Computadoras y redes de comunicaciones electrónicas, datos electrónicos almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento.
Conjunto de elementos físicos, lógicos, elementos de comunicación, datos y personal que permiten el almacenamiento, transmisión y proceso de la información.

Trazabilidad:
Aseguramiento de que en todo momento se podrá determinar quien hizo qué y en qué momento.

Valor de un activo:
Estimación del costo inducido por la materialización de una amenaza.

Valor acumulado:
Considera tanto el valor propio de un activo como el valor de los activos que dependen de él.

Vulnerabilidad:
Cálculo o estimación de la exposición efectiva de un activo a una amenaza. Se determina por dos medidas: frecuencia de ocurrencia y degradación causada.

El autor de este artículo, Luciano Salellas ( http://www.sr-hadden.com.ar ) es Auditor en Seguridad Informática.  :o

KarlosVid(ÊÇ)

INSTALANDO UN IDS PARA LOS TPV


Cada día se realizan cientos de miles de pagos en tiendas con tarjetas de crédito. El dependiente pasa la tarjeta por el TPV (terminal de pago), tú pones el PIN y ... ¿dónde va esto? ¿Es seguro?

En este artículo, voy a contar la instalación de un IPS que controla, entre otros ataques, la de denegación de servicio sobre los TPV. Un trabajo hecho para uno de nuestros clientes en substitución de un carísimo IPS comercial.

1. INTRODUCCIÓN.

Desde luego, uno de los servicios más críticos de los bancos es la venta en tiendas. Es crítico controlar posibles denegaciones de servicio, y hacerlo en tiempo real, para evitar que los pequeños comercios se den de baja y se pierdan millones de euros por mal funcionamiento.

En tiempos de "crisis", existe otra amenaza adicional sobre la seguridad de las empresas: la falta de presupuesto para invertir en IDS comerciales. Tras diversas consideraciones, decidimos instalar nosotros mismos el IDS y no renovar la licencia del que teníamos.

2. TAREAS DEL IDS.

Lo primero es decidir qué funciones va a tener nuestro IDS. En nuestro caso son las siguientes:

- controlar que no haya conexiones desde fuera de españa (no hay TPVs concedidos al extranjero)
- ataques por denegación de servicio, controlando el número de conexiones simultáneas desde la misma IP sobre el puerto al que conectan los TPVs.
- avisos en tiempo real (mail, SMS) ante posibles ataques.

Hay que tener en cuenta que las conexiones que hacen los TPV son en su mayoría desde IPs dinámicas. Cierto es que establecimientos como Erosky, Mercadona y otros grandes supermercados tienen rangos de IPs comprados, pero la consulta del dentista, la pequeña tienda de ropa, ... todos estos usan líneas ADSL para conectarse con el TPV. Por lo tanto, no podemos tener un criterio más ajustado que "la conexión viene de fuera de españa".

Por otro lado, se consideró el uso de la respuesta activa para bloquear posibles IPs atacantes. Sin embargo, ante la posibilidad de fallos y la pérdida de clientes por parte del banco que nos lo pidió, se decidió que no se tomarían estas medidas.

Con esto en mente, podemos decidir cómo lo vamos a implementar.

2. TOPOLOGÍA DE RED ASOCIADA.

Vamos a usar un servidor con varias tarjetas de red, de esta forma:

- una tarjeta de red, eth1, para administrar el servidor, con una IP de la intranet.
- dos tarjetas de red, eth0 y eth2, que estarán "enchufadas" a dos puertos mirror del dos switches distintos y recibirán TODO el tráfico de red de la instalación, tanto de entrada como de salida. Esto se decidió así pensando en futuras ampliaciones de la funcionalidad del IDS.

El IDS estará situado detrás del firewall, para que no reciba más tráfico del estrictamente necesario y para protegerlo de ataques directos sobre él.

Es importante notar que las tarjetas de red que sniffan el tráfico de red, eth0 y eth2, NO tienen una dirección IP asignada. Esto es así para evitar que un atacante consiga establecer una conexión inversa desde el IDS hasta el exterior.

4. HARDENING DEL IDS.

Para la instalación del IDS hemos usado un RHEL5 que hemos securizado quitando paquetes y servicios inútiles. El servidor cuenta con las siguientes medidas de seguridad:

- no puede hacerse loggin como root
- el único tráfico de entrada permitido es ssh desde la subred de los admins
- todos los logs se envían, de forma segura, a un servidor de logs remoto.
- todo el tráfico de salida está cortado, INCLUSO las consultas dns. La única excepción es el envío de logs y el de avisos (smtp) a un servidor que no puede salir a internet.
- está en una subred dedicada.
- el único servicio al que uno puede conectarse es SSH.
- OSSEC (detector de intrusos, anti-rootkit, etc) corre en local y envía los avisos a un servidor remoto


Me gustaría llamar la atención sobre la tercera de las medidas listadas, en particular sobre cortar las peticiones DNS desde el IDS. De no hacerlo así, sería posible establecer un tunel en caso de que el DNS que se consulta permita queries a internet. Y, dado que los DNS de la intranet salen a internet, este es el caso.

Echemos un vistazo a las reglas del firewall en local:


# Generated by iptables-save v1.3.5 on Mon May 4 12:18:12 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d $HOST -i eth0 -p tcp -m tcp --dport $PUERTO-TPV --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j ACCEPT
-A INPUT -s $ADMINS -i eth1 -p tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d $SERVIDOR_LOGS -p udp -m udp --dport 1514 -j ACCEPT
-A OUTPUT -d $SERVIDOR_MAILS -p tcp --dport 25 -m tcp --state NEW -j ACCEPT
COMMIT


Veamos, son varias cosas a comentar:

- el tráfico de salida está denegado con la única excepción del servidor de logs remoto y el dns, que no salen a internet. Por lo tanto es imposible establecer una shell inversa sin tirar IPTABLES. Aparte, hay un firewall (externo) que corta la salida de este servidor a internet y otro que impide que alcance cualquier servidor o puesto de la intranet. No tiene acceso a nada, salvo lo necesario para trabajar.
- todo el tráfico de entrada está cortado, salvo la administración del servidor por SSH (eth1) y los paquetes que vamos a analizar (eth0 y eth2). De esta forma evitamos una posible denegación de servicio sobre el IDS.

Son unas reglas muy restrictivas, pero un IDS mal configurado es un punto de ataque peligrosísimo.

5. HERRAMIENTAS USADAS.

Básicamente, usaremos dos herramientas:

- snort (IDS), una instancia corriendo en cada tarjeta de red en modo promiscuo.
- ossec (HIDS): encargado de recoger los logs de snort y enviarlos a un servidor seguro, donde los miro cada día.

Aparte, para revisar el hardening del servidor vamos a usar lynis, que nos ayudará a no olvidarnos ningun error en archivos de configuración, archivos setuidados, etc.

6. CONFIGURACIÓN DE SNORT.

Lo primero es tener en cuenta que vamos a tener una instancia de snort escuchando en cada tarjeta de red que ha sido puesta en modo promiscuo, eth0 y eth2. En lugar de duplicar todo, vamos a arrancar snort dos veces pasándole como parámetro cada una de nuestras tarjetas de red. Esto es:

/usr/sbin/snort -A fast -b -d -D -i eth0 -u snort -g snort -c /etc/snort/snort.conf -l /logs/snort/eth0/
/usr/sbin/snort -A fast -b -d -D -i eth2 -u snort -g snort -c /etc/snort/snort.conf -l /logs/snort/eth2/


Como podéis ver, necesitaremos definir los directorios de logs /logs/snort/eth0/ y /logs/snort/eth2 y hacer que el propiertario sea snort (chown -R snort.snort /logs/snort/eth?/)

Para parar snort, aunque sea un poco brusco, basta con hacer killall snort.

Y esto es lo que deberíamos obtener al hacer ps axfu|grep snort:

snort 30549 6.6 2.8 44372 28176 ? Ss 08:51 25:48 /usr/sbin/snort -A fast -b -d -D -i eth0 -u snort -g snort -c /etc/snort/snort.conf -l /logs/snort/eth0/
snort 30551 3.3 2.8 44636 28336 ? Ss 08:51 13:03 /usr/sbin/snort -A fast -b -d -D -i eth2 -u snort -g snort -c /etc/snort/snort.conf -l /logs/snort/eth2



Snort es muy fácil de instalar y configurar si no tienes que definir reglas raras, como es nuestro caso.
Dada la naturaleza de lo que queremos detectar, tan sólo necesitamos una regla que alerte de todos los TCP_SYN al puerto usado por los TPV, la siguiente.

alert tcp any any -> $HOST $PUERTO_TPV (msg:"conexion al HOST"; flow:stateless; flags:S; sid:9995; )

Esta regla la meteremos dentro del fichero de reglas locales, /etc/snort/rules/local.rules, que es dónde se meten las reglas definidas por el usuario.

Trabajando con snort, tan importante es meter tus propias reglas como quitar las reglas que no usas, que en este caso son todas las demás. Por lo tanto, dentro del archivo /etc/snort/snort.conf, vamos a "comentar" todas las reglas salvo las locales. Con lo cual, quedará tan sólo esta regla: include $RULE_PATH/local.rules

7. CONFIGURACIÓN DE OSSEC.

No voy a entrar en explicaciones de qué es OSSEC ni cómo se instala dado que, paralelamente, estoy preparando una serie de artículos sobre esto. Brevemente, diré que vamos a instalar el agente de ossec en local para que nos mande los logs a un servidor remoto, donde los procesamos, y para que chequee la integridad del sistema.

Para enviar los logs a remoto, aparte de abrir en el firewall las conexiones de salida (puerto 1514/UDP del servidor de logs), necesitaremos declarar en ossec.conf los archivos /logs/snort/eth0/alert y /logs/snort/eth2/alert como parte de los archivos de logs a ser procesados.

8. CONEXIONES DESDE FUERA DE ESPAÑA.

Como he dicho al principio, una de las cosas que se quiere saber es si hay o no conexiones desde IP de fuera de españa. De las posibles formas de implementarlo, se eligió una que no es bonita ni eficiente, pero hace todo lo que quiere nuestro cliente y se configura en 5 minutos: un script que recorra las conexiones y llame a geoiplookup para ver de dónde es la IP. Si se ha encontrado alguna de fuera de españa, manda inmediatamente un mail (sms) a los admins avisando para que se tomen las medidas oportunas. El script, que podemos ver a continuación, corre una vez al día.

#!/bin/bash

contador=0 # numero de conexiones al host desde fuera de españa

listadeips=`mktemp`; salida=`mktemp`; salida2=`mktemp`

cat /logs/snort/eth0/alert |grep HOST| awk '{ print $11 }'| cut -d: -f1 >$listadeips
cat /logs/snort/eth2/alert |grep HOST| awk '{ print $11 }'| cut -d: -f1 >>$listadeips


for direccion in `cat $listadeips`
do
geoiplookup $direccion >> $salida
done

cat $salida|grep -v Spain > $salida2
contador=`cat $salida |grep -v Spain | wc -l`

echo ataques encontrados $contador

if [ $contador -gt 0 ]; then
mail -s "conexion desde fuera de españa - $HOSTNAME $FECHA" admins@empresa.es < $salida2
fi

rm -f $salida $salida2 $listadeips


Tan simple como esto. Justo después de invocar este script, se hace la rotación de los ficheros de log del snort, para que no acumule registros y podamos examinarlos con este script de nuevo al día siguiente (es algo lento). NOTA: cuando se rotan los logs del snort, hay que reiniciar también el ossec, porque este último tira de esos logs.

9. REGLA EN EL SERVIDOR DE LOGS CENTRALIZADO PARA PREVENIR ATAQUES POR DENEGACIÓN DE SERVICIO (DoS)

Esto es ya lo último que nos queda. Debemos instalar, o re-aprovechar, como en nuestro caso, un servidor que reciba los avisos del snort, enviados por ossec, y que los procese en busca de ataques.

Lo que haremos será definir una regla en el ossec que coja los eventos enviados desde snort y los procese en busca de una denegación de servicio. Entre otras reglas, hemos puesto una con los siguientes parámetros:

frequency="15" timeframe="60": si tenemos 15 eventos en un minuto (60 segundos)
same_source_ip: si todos los eventos tienen la misma ip de origen, la del log de snort.
dstip: esta es la IP del HOST, que es la IP atacada

Como podemos ver, lo único que hacemos es contar el número de conexiones por segundo al host y, si es demasiado alto, avisar con un mail a los admins, dado que ossec está configurado para avisar con un mail en caso de alertas graves.

Al igual que esta regla, hemos añadido otras para controlar otros ataques similares.

10. CONCLUSIÓN.

En este artículo, hemos visto cómo instalar un IDS apropiado para un problema muy particular: pago con tarjetas de crédito desde tiendas. Las limitaciones asociadas a dicho caso han sido determinantes en la configuración del sistema.



KarlosVid(ÊÇ)

Si haxorcito, es el link  ::)




INTRODUCCIÓN

La administración de empresas en un proceso de funciones básicas diferentes cada una de las otras, tales como planificación, organización, dirección, ejecución y control. En el ámbito empresarial es una herramienta que permite enfrenta, los frecuentes retos encontrados en el mismo

En la teoría administrativa, el concepto de eficiencia ha sido heredado de la economía y se considera como un principio rector. La evaluación del desempeño organizacional es importante pues permite establecer en qué grado se han alcanzado los objetivos, que casi siempre se identifican con los de la dirección, además se valora la capacidad y lo pertinente a la practica administrativa. Sin embargo al llevar a cabo una evaluación simplemente a partir de los criterios de eficiencia clásico, se reduce el alcance y se sectoriza la concepción de la empresa, así como la potencialidad de la acción participativa humana, pues la evaluación se reduce a ser un instrumento de control coercitivo de la dirección para el resto de los integrantes de la organización y solo mide los fines que para aquélla son relevantes. Por tanto se hace necesario una recuperación crítica de perspectivas y técnicas que permiten una evaluación integral, es decir, que involucre los distintos procesos y propósitos que están presentes en las organizaciones.

En nuestro caso concreto, se tratará la técnica de la auditoria, así como también se desarrollaran a lo largo de tres capítulos lo concerniente a ésta.

En el capitulo I detallaremos la Auditoria, comenzando por los antecedentes históricos de ésta, algunas definiciones dadas por diferentes autores y la que desarrolla el grupo, su finalidad y la clasificacion.

El capitulo II se desarrollará de forma amplia y detallada, lo concerniente a la Auditoria Administrativa, los fines, principios, objetivos, alcance y los métodos.

El capitulo III se dedicara al desarrollo del Auditor, resaltando sus funciones, habilidades y destrezas y algo muy importante como lo es la responsabilidad profesional.



CAPITULO I

LA AUDITORIA

1.1. Antecedentes

La auditoria es una de las aplicaciones de los principios científicos de la contabilidad, basada en la verificación de los registros patrimoniales de las haciendas, para observar su exactitud; no obstante, este no es su único objetivo.

Su importancia es reconocida desde los tiempos más remotos, teniéndose conocimientos de su existencia ya en las lejanas épocas de la civilización sumeria.

Acreditase, todavía, que el termino auditor evidenciando el titulo del que practica esta técnica, apareció a finales del siglo XVIII, en Inglaterra durante el reinado de Eduardo I.

En diversos países de Europa, durante la edad media, muchas eran las asociaciones profesionales, que se encargaban de ejecuta funciones de auditorias, destacándose entre ellas los consejos Londineses (Inglaterra), en 1.310, el Colegio de Contadores, de Venecia (Italia), 1.581.

La revolución industrial llevada a cabo en la segunda mitad del siglo XVIII, imprimió nuevas direcciones a las técnicas contables, especialmente a la auditoria, pasando a atender las necesidades creadas por la aparición de las grandes empresas ( donde la naturaleza es el servicio es prácticamente obligatorio).

Se preanuncio en 1.845 o sea, poco después de penetrar la contabilidad de los dominios científicos y ya el "Railway Companies Consolidation Act" obligada la verificación anual de los balances que debían hacer los auditores.

También en los Estados Unidos de Norteamérica, una importante asociación cuida las normas de auditoria, la cual publicó diversos reglamentos, de los cuales el primero que conocemos data de octubre de 1.939, en tanto otros consolidaron las diversas normas en diciembre de 1.939, marzo de 1.941, junio de 1942 y diciembre de 1.943.

El futuro de nuestro país se prevé para la profesión contable en el sector auditoria es realmente muy grande, razón por la cual deben crearse, en nuestro circulo de enseñanza cátedra para el estudio de la materia, incentivando el aprendizaje y asimismo organizarse cursos similares a los que en otros países se realizan.

1.2. Definiciones

Inicialmente, la auditoria se limito a las verificaciones de los registros contables, dedicándose a observar si los mismos eran exactos.

Por lo tanto esta era la forma primaria: Confrontar lo escrito con las pruebas de lo acontecido y las respectivas referencias de los registros.

Con el tiempo, el campo de acción de la auditoria ha continuado extendiéndose; no obstante son muchos los que todavía la juzgan como portadora exclusiva de aquel objeto remoto, o sea, observar la veracidad y exactitud de los registros.

En forma sencilla y clara, escribe Holmes:

"... la auditoria es el examen de las demostraciones y registros administrativos. El auditor observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos."

Por otra parte tenemos la conceptuación sintética de un profesor de la universidad de Harvard el cual expresa lo siguiente:

"... el examen de todas las anotaciones contables a fin de comprobar su exactitud, así como la veracidad de los estados o situaciones que dichas anotaciones producen."

Tomando en cuenta los criterios anteriores podemos decir que la auditoria es la actividad por la cual se verifica la corrección contable de las cifras de los estados financieros; Es la revisión misma de los registros y fuentes de contabilidad para determinar la racionabilidad de las cifras que muestran los estados financieros emanados de ellos.

1.3. Objetivo

El objetivo de la Auditoria consiste en apoyar a los miembros de la empresa en el desempeño de sus actividades. Para ello la Auditoria les proporciona análisis, evaluaciones, recomendaciones, asesoría e información concerniente a las actividades revisadas.

Los miembros de la organización a quien Auditoria apoya, incluye a Directorio y las Gerencias.

1.4. Finalidad

Los fines de la auditoria son los aspectos bajo los cuales su objeto es observado. Podemos escribir los siguientes:

Indagaciones y determinaciones sobre el estado patrimonial

Indagaciones y determinaciones sobre los estados financieros.

Indagaciones y determinaciones sobre el estado reditual.

Descubrir errores y fraudes.

Prevenir los errores y fraudes

Estudios generales sobre casos especiales, tales como:

Exámenes de aspectos fiscales y legales

Examen para compra de una empresa( cesión patrimonial)

Examen para la determinación de bases de criterios de prorrateo, entre otros.

Los variadísimos fines de la auditoria muestran, por si solos, la utilidad de esta técnica.

Clasificación de la Auditoria

Auditoria Externa

Aplicando el concepto general, se puede decir que la auditoría Externa es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un Contador Público sin vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinión independiente tiene trascendencia a los terceros, pues da plena validez a la información generada por el sistema ya que se produce bajo la figura de la Fe Pública, que obliga a los mismos a tener plena credibilidad en la información examinada.

La Auditoría Externa examina y evalúa cualquiera de los sistemas de información de una organización y emite una opinión independiente sobre los mismos, pero las empresas generalmente requieren de la evaluación de su sistema de información financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el término Auditoría Externa a Auditoría de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir Auditoría Externa del Sistema de Información Tributario, Auditoría Externa del Sistema de Información Administrativo, Auditoría Externa del Sistema de Información Automático etc.

La Auditoría Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella información producida por los sistemas de la organización.

Una Auditoría Externa se lleva a cabo cuando se tiene la intención de publicar el producto del sistema de información examinado con el fin de acompañar al mismo una opinión independiente que le dé autenticidad y permita a los usuarios de dicha información tomar decisiones confiando en las declaraciones del Auditor.

  Una auditoría debe hacerla una persona o firma independiente de capacidad profesional reconocidas. Esta persona o firma debe ser capaz de ofrecer una opinión imparcial y profesionalmente experta a cerca de los resultados de auditoría, basándose en el hecho de que su opinión ha de acompañar el informe presentado al término del examen y concediendo que pueda expresarse una opinión basada en la veracidad de los documentos y de los estados financieros y en que no se imponga restricciones al auditor en su trabajo de investigación.

Bajo cualquier circunstancia, un Contador profesional acertado se distingue por una combinación de un conocimiento completo de los principios y procedimientos contables, juicio certero, estudios profesionales adecuados y una receptividad mental imparcial y razonable.

Auditoría Interna

La auditoría Interna es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un profesional con vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulación interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Publica.

  Las auditorías internas son hechas por personal de la empresa. Un auditor interno tiene a su cargo la evaluación permanente del control de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los métodos y procedimientos de control interno que redunden en una operación más eficiente y eficaz. Cuando la auditoría está dirigida por Contadores Públicos profesionales independientes, la opinión de un experto desinteresado e imparcial constituye una ventaja definida para la empresa y una garantía de protección para los intereses de los accionistas, los acreedores y el Público. La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno, puesto que no puede divorciarse completamente de la influencia de la alta administración, y aunque mantenga una actitud independiente como debe ser, esta puede ser cuestionada ante los ojos de los terceros. Por esto se puede afirmar que el Auditor no solamente debe ser independiente, sino parecerlo para así obtener la confianza del Público.

La auditoría interna es un servicio que reporta al más alto nivel de la dirección de la organización y tiene características de función asesora de control, por tanto no puede ni debe tener autoridad de línea sobre ningún funcionario de la empresa, a excepción de los que forman parte de la planta de la oficina de auditoría interna, ni debe en modo alguno involucrarse o comprometerse con las operaciones de los sistemas de la empresa, pues su función es evaluar y opinar sobre los mismos, para que la alta dirección toma las medidas necesarias para su mejor funcionamiento. La auditoría interna solo interviene en las operaciones y decisiones propias de su oficina, pero nunca en las operaciones y decisiones de la organización a la cual presta sus servicios, pues como se dijo es una función asesora.

  Diferencias entre auditoria interna y externa:

Existen diferencias substanciales entre la Auditoría Interna y la Auditoría Externa, algunas de las cuales se pueden detallar así:

En la Auditoría Interna existe un vínculo laboral entre el auditor y la empresa, mientras que en la Auditoría Externa la relación es de tipo civil.
En la Auditoría Interna el diagnóstico del auditor, esta destinado para la empresa; en el caso de la Auditoría Externa este dictamen se destina generalmente para terceras personas o sea ajena a la empresa.
La Auditoría Interna está inhabilitada para dar Fe Pública, debido a su vinculación contractual laboral, mientras la Auditoría Externa tiene la facultad legal de dar Fe Pública.


CAPITULO II
AUDITORIA ADMINISTRATIVA

2.1. Antecedentes

Con el propósito de ubicar como se ha ido enriqueciendo a través del tiempo, es conveniente revisar las contribuciones de los autores que han incidido de manera más significativa a lo largo de la historia de la administración.

En el año de 1935, James O. McKinsey, en el seno de la American Economic Association sentó las bases para lo que él llamó "auditoría administrativa", la cual, en sus palabras, consistía en "una evaluación de una empresa en todos sus aspectos, a la luz de su ambiente presente y futuro probable."

Más adelante, en 1953, George R. Terry, en Principios de Administración, señala que "La confrontación periódica de la planeación, organización, ejecución y control administrativos de una compañía, con lo que podría llamar el prototipo de una operación de éxito, es el significado esencial de la auditoría administrativa."

Dos años después, en 1955, Harold Koontz y Ciryl O´Donnell, también en sus Principios de Administración, proponen a la auto-auditoría, como una técnica de control del desempeño total, la cual estaría destinada a "evaluar la posición de la empresa para determinar dónde se encuentra, hacia dónde va con los programas presentes, cuáles deberían ser sus objetivos y si se necesitan planes revisados para alcanzar estos objetivos."

El interés por esta técnica llevan en 1958 a Alfred Klein y Nathan Grabinsky a preparar El Análisis Factorial, obra en cual abordan el estudio de "las causas de una baja productividad para establecer las bases para mejorarla" a través de un método que identifica y cuantifica los factores y funciones que intervienen en la operación de una organización.

Transcurrido un año, en 1959, ocurren dos hechos relevantes que contribuyen a la evolución de la auditoría administrativa: 1) Víctor Lazzaro publica su libro de Sistemas y Procedimientos, en el cual presenta la contribución de William P. Leonard con el nombre de auditoría administrativa y, 2) The American Institute of Management, en el Manual of Excellence Managements integra un método para auditar empresas con y sin fines de lucro, tomando en cuenta su función, estructura, crecimiento, políticas financieras, eficiencia operativa y evaluación administrativa.

El atractivo por el tema se extiende al ámbito académico y, en 1960, Alfonso Mejía Fernández, de la Escuela Nacional de Comercio y Administración de la Universidad Nacional Autónoma de México, en su tesis profesional La Auditoría de las Funciones de la Gerencia de las Empresas, realiza un recuento de los aspectos estructurales y funcionales que el nivel gerencial de las empresas debe contemplar para aplicar una auditoría administrativa.

Para 1962, Roberto Macías Pineda, de la Escuela Superior de Comercio y Administración del Instituto Politécnico Nacional, dentro del programa de doctorado en ciencias administrativas, en la asignatura Teoría de la Administración, destina un espacio para presentar un trabajo de auditoría administrativa.

Por otra parte, en 1964, Manuel D´Azaola S., de la Escuela Nacional de Comercio y Administración de la Universidad Nacional Autónoma de México, en su tesis profesional La Revisión del Proceso Administrativo, considera la necesidad de que las empresas analicen su comportamiento a partir de la revisión de las funciones de dirección, financiamiento, personal, producción, ventas y distribución, así como registro contable y estadístico.

A finales de 1965, Edward F. Norbeck da a conocer su libro Auditoria Administrativa, en donde define el concepto, contenido e instrumentos para aplicar la auditoría. Asimismo, precisa las diferencias entre la auditoría administrativa y la auditoría financiera, y desarrolla los criterios para la integración del equipo de auditores en sus diferentes modalidades.

En 1966, José Antonio Fernández Arena, presenta la primera versión de su texto La Auditoria Administrativa, en la cual desarrolla un marco comparativo entre diferentes enfoques de la auditoría administrativa, presentando una propuesta a partir de su propia visión de la técnica.

Más adelante, en 1971, se generan dos nuevas contribuciones: Agustín Reyes Ponce, en Administración de Personal, dedica un apartado para tratar el tema, ofreciendo una visión general de la auditoría administrativa, en tanto que William P. Leonard publica Auditoría Administrativa: Evaluación de los Métodos y Eficiencia Administrativos, en donde incorpora los conceptos fundamentales y programas para la ejecución de la auditoría administrativa.

Para 1977, se suman las aportaciones de dos autores en la materia. Patricia Diez de Bonilla en su Manual de Casos Prácticos sobre Auditoría Administrativa, propone aplicaciones viables de llevar a la práctica y, Jorge Álvarez Anguiano, en Apuntes de Auditoría Administrativa incluye un marco metodológico que permite entender la auditoría administrativa de manera por demás accesible.

En 1978, la Asociación Nacional de Licenciados en Administración, difunde el documento Auditoría Administrativa, el cual reúne las normas para su implementación en organizaciones públicas y privadas.

Poco después, en 1984, Robert J. Thierauf presenta Auditoría Administrativa con Cuestionarios de Trabajo, trabajo que introduce a la auditoría administrativa y a la forma de aplicarla sobre una base de preguntas para evaluar las áreas funcionales, ambiente de trabajo y sistemas de información.

En 1988, la oficina de la Contraloría General de los Estados Unidos de Norteamérica prepara las Normas de Auditoría Gubernamental, que son revisadas por la Contraloría Mayor de Hacienda (entidad de la Secretaría de Hacienda y Crédito Público), las cuales contienen los lineamientos generales para la ejecución de auditorias en las oficinas públicas.

Al iniciarse la década de los noventa, la Secretaría de la Contraloría General de la Federación se dio a la tarea de preparar y difundir normas, lineamientos, programas y marcos de actuación para las instituciones, trabajo que, en su situación actual, como Secretaría de Contraloría y Desarrollo Administrativo, continúa ampliando y enriqueciendo.

2.2. Definiciones

Podemos definir a la auditoría administrativa como el examen integral o parcial de una organización con el propósito de precisar su nivel de desempeño y oportunidades de mejora.

Según Williams P. Leonard la auditoria administrativa se define como:

" Un examen completo y constructivo de la estructura organizativa de la empresa, institución o departamento gubernamental; o de cualquier otra entidad y de sus métodos de control, medios de operación y empleo que de a sus recursos humanos y materiales".

Mientras que Fernández Arena J.A sostiene que es la revisión objetiva, metódica y completa, de la satisfacción de los objetivos institucionales, con base en los niveles jerárquicos de la empresa, en cuanto a si estructura, y a la participación individual de los integrantes de la institución.

El aspecto distintivo de estos diversos usos del termino, es que cada caso de auditoria se lleva a cabo según el sentido que tiene esta auditoria para la dirección superior. Otras definiciones de auditoria administrativa se han formulado en un contexto independiente de la dirección superior, a beneficio de terceras partes.

2.3. Necesidades de la auditoria administrativa

En las dos ultimas décadas hubo enormes progresos en la tecnología de la información, en la presente década parece ser muy probable que habrá una gran demanda de información respecto al desempeños de los organismos sociales. la auditoria tradicional( financiera) se ha preocupado históricamente por cumplir con los requisitos de reglamentos y de custodia, sobre todo se ha dedicado al control financiero. Este servicio ha sido, y continua siendo de gran significado y valor para nuestras comunidades industriales, comerciales y de servicios a fin de mantener la confinas en los informes financieros.

Con el desarrollo de la tecnología de sistemas de información ha crecido la necesidad de examinar y evaluar lo adecuado de la información administrativa, así como su exactitud. En la actualidad, es cada vez mayor la necesidad por parte de los funcionarios, de contar con alguien que sea capaz a de llevar a cabo el examen y evaluación de:

La calidad, tanto individual como colectiva, de los gerentes ( auditoria administrativa funcional)
La calidad de los procesos mediante los cuales opera un organismo ( auditoria analítica)
Lo que realmente interesa destacar, es que realmente existe una necesidad de examinar y evaluar los factores externos y internos de la empresa y ello debe hacerse de manera sistemática, abarcando la totalidad de la misma.

2.4. Objetivos de la auditoria administrativa

Entre los objetivos prioritarios para instrumentarla de manera consistente tenemos los siguientes:

De control.- Destinados a orientar los esfuerzos en su aplicación y poder evaluar el comportamiento organizacional en relación con estándares preestablecidos.

De productividad.- Encauzan las acciones para optimizar el aprovechamiento de los recursos de acuerdo con la dinámica administrativa instituida por la organización.

De organización.- Determinan que su curso apoye la definición de la estructura, competencia, funciones y procesos a través del manejo efectivo de la delegación de autoridad y el trabajo en equipo.

De servicio.- Representan la manera en que se puede constatar que la organización está inmersa en un proceso que la vincula cuantitativa y cualitativamente con las expectativas y satisfacción de sus clientes.

De calidad.- Disponen que tienda a elevar los niveles de actuación de la organización en todos sus contenidos y ámbitos, para que produzca bienes y servicios altamente competitivos.

De cambio.- La transforman en un instrumento que hace más permeable y receptiva a la organización.

De aprendizaje.- Permiten que se transforme en un mecanismo de aprendizaje institucional para que la organización pueda asimilar sus experiencias y las capitalice para convertirlas en oportunidades de mejora.

De toma de decisiones.- Traducen su puesta en práctica y resultados en un sólido instrumento de soporte al proceso de gestión de la organización.

2.5. Principios de auditoria administrativa

Es conveniente ahora tratar lo referente a los principios básicos en las auditorias administrativas, los cuales vienen a ser parte de la estructura teórica de ésta, por tanto debemos recalcar tres principios fundamentales que son los siguientes:

Sentido de la evaluación

La auditoria administrativa no intenta evaluar la capacidad técnica de ingenieros, contadores, abogados u otros especialistas, en la ejecución de sus respectivos trabajos. Mas bien se ocupa de llevara cabo un examen y evaluación de la calidad tanto individual como colectiva, de los gerentes, es decir, personas responsables de la administración de funciones operacionales y ver si han tomado modelos pertinentes que aseguren la implantación de controles administrativos adecuados, que asegures: que la calidad del trabajo sea de acuerdo con normas establecidas, que los planes y objetivos se cumplan y que los recursos se apliquen en forma económica.

Importancia del proceso de verificación

Una responsabilidad de la auditoria administrativa es determinar que es lo que sé esta haciendo realmente en los niveles directivos, administrativos y operativos; la practica nos indica que ello no siempre está de acuerdo con lo que él responsable del área o el supervisor piensan que esta ocurriendo. Los procedimientos de auditoria administrativa respaldan técnicamente la comprobación en la observación directa, la verificación de información de terrenos, y el análisis y confirmación de datos, los cuales son necesarios e imprescindibles.

Habilidad para pensar en términos administrativos

El auditor administrativo, deberá ubicarse en la posición de una administrador a quien se le responsabilice de una función operacional y pensar como este lo hace (o debería hacerlo). En sí, se trata de pensar en sentido administrativo, el cual es un atributo muy importante para el auditor administrativo.

2.6. Alcance

Por lo que se refiere a su área de influencia, comprende su estructura, niveles, relaciones y formas de actuación. Esta connotación incluye aspectos tales como:

Naturaleza jurídica
Criterios de funcionamiento
Estilo de administración
Proceso administrativo
Sector de actividad
Ámbito de operación
Número de empleados
Relaciones de coordinación
Desarrollo tecnológico
Sistemas de comunicación e información
Nivel de desempeño
Trato a clientes (internos y externos)
Entorno
Productos y/o servicios
Sistemas de calidad

2.7. Campo de Aplicación

En cuanto a su campo, la auditoría administrativa puede instrumentarse en todo tipo de organización, sea ésta pública, privada o social.

En el Sector Público se emplea en función de la figura jurídica, atribuciones, ámbito de operación, nivel de autoridad, relación de coordinación, sistema de trabajo y líneas generales de estrategia. Con base en esos criterios, las instituciones del sector se clasifican en:

1. Dependencia del Ejecutivo Federal (Secretaría de Estado)
2. Entidad Paraestatal
3. Organismos Autónomos
4. Gobiernos de los Estados (Entidades Federativas)
5. Comisiones Intersecretariales
6. Mecanismos Especiales

En el Sector Privado se utiliza tomando en cuenta la figura jurídica, objeto, tipo de estructura, elementos de coordinación y relación comercial de las empresas, sobre la base de las siguientes características:

1. Tamaño de la empresa
2. Sector de actividad
3. Naturaleza de sus operaciones

En lo relativo al tamaño, convencionalmente se las clasifica en:

1. Microempresa
2. Empresa pequeña
3. Empresa mediana
4. Empresa grande

Lo correspondiente al sector de actividad se refiere al ramo específico de la empresa, el cual puede quedar enmarcado básicamente en:

1. Telecomunicaciones
2. Transportes
3. Energía
4. Servicios
5. Construcción
6. Petroquímica
7. Turismo
8. Cinematografía
9. Banca
10. Seguros
11. Maquiladora
12. Electrónica
13. Automotriz
14. Editorial
15. Arte gráfico
16. Manufactura
17. Autocartera
18. Textil
19. Agrícola
20. Pesquera
21. Química
22. Forestal
23. Farmacéutica
24. Alimentos y Bebidas
25. Informática
26. Siderurgia
27. Publicidad
28. Comercio

En cuanto a la naturaleza de sus operaciones, las empresas pueden agruparse en:

1. Nacionales
2. Internacionales
3. Mixtas

También tomando en cuenta las modalidades de:

1. Exportación
2. Acuerdo de Licencia
3. Contratos de Administración
4. Sociedades en Participación y Alianzas Estratégicas
5. Subsidiarias

En el Sector Social, se aplica considerando dos factores:

1. Tipo de organización
2. Naturaleza de su función

Por su tipo de organización son:

Fundaciones
2. Agrupaciones
3. Asociaciones
4. Sociedades
5. Fondos
6. Empresas de solidaridad
7. Programas
8. Proyectos
9. Comisiones
10. Colegios

Por la naturaleza de su función se les ubica en las siguientes áreas:

1. Educación
2. Cultura
3. Salud y seguridad social
4. Política
- Obrero
- Campesino
- Popular
5. Empleo
6. Alimentación
7. Derechos humanos
8. Apoyo a marginados y discapacitados

Podemos concluir, que la aplicación de una auditoría administrativa en las organizaciones puede tomar diferentes cursos de acción, dependiendo de su estructura orgánica, objeto, giro, naturaleza de sus productos y servicios, nivel de desarrollo y, en particular, con el grado y forma de delegación de autoridad.

La conjunción de estos factores, tomando en cuenta los aspectos normativos y operativos, las relaciones con el entorno y la ubicación territorial de las áreas y mecanismos de control establecidos, constituyen la base para estructurar una línea de acción capaz de provocar y promover el cambio personal e institucional necesarios para que un estudio de auditoria se traduzca en un proyecto innovador sólido.

2.8. Factores y metodologías

1.- Planes y Objetivos.    

Examinar y dicutir con la dirección el estado actual de los planes y objetivos.

2.- Organización.

a)       Estudiar la estructura de la organización en el área que se valora.

b)       Comparar la estructura presente con la que aparece en la gráfica de organización de la empresa, (si es que la hay).

c)       Asegurarse de si se concede o no una plena estimación a los principios de una buena organización, funcionamiento y departamentalización.

3.- Políticas y Prácticas.   

Hacer un estudio para ver qué acción (en el caso de requerirse) debe ser emprendida para mejorar la eficacia de políticas y prácticas.

4.- Reglamentos.

  Determinar si la compañía se preocupa de cumplir con los reglamentos locales, estatales y federales.

5.- Sistemas y Procedimientos.

Estudiar los sistemas y procedimientos para ver si presentan deficiencias o irregularidades en sus elementos sujetos a examen e idear métodos para lograr mejorías.

6.- Controles.   

Determinar si los métodos de control son adecuados y eficaces.

7.- Operaciones.

  Evaluar las operaciones con objeto de precisar qué aspectos necesitan de un mejor control, comunicación, coordinación, a efecto de lograr mejores resultados.

8.- Personal.

Estudiar las necesidades generales de personal y su aplicación al trabajo en el área sujeta a evaluación.

9.- Equipo Físico y su Disposición. 

Determinar su podrían llevarse a cabo mejorías en la disposición del equipo para una mejor o más amplia utilidad del mismo.

10.- Informe.

  Preparar un informe de las deficiencias encontradas y consignar en él los remedios convenientes.


CAPITULO III

EL AUDITOR

3.1 Definición

Es aquella persona profesional, que se dedica a trabajos de auditoria habitualmente con libre ejercicio de una ocupación técnica.

3.2. Funciones generales

Para ordenar e imprimir cohesión a su labor, el auditor cuenta con un una serie de funciones tendientes a estudiar, analizar y diagnosticar la estructura y funcionamiento general de una organización.

Las funciones tipo del auditor son:

Estudiar la normatividad, misión, objetivos, políticas, estrategias, planes y programas de trabajo.
Desarrollar el programa de trabajo de una auditoria.
Definir los objetivos, alcance y metodología para instrumentar una auditoria.
Captar la información necesaria para evaluar la funcionalidad y efectividad de los procesos, funciones y sistemas utilizados.
Recabar y revisar estadísticas sobre volúmenes y cargas de trabajo.
Diagnosticar sobre los métodos de operación y los sistemas de información.
Detectar los hallazgos y evidencias e incorporarlos a los papeles de trabajo.
Respetar las normas de actuación dictadas por los grupos de filiación, corporativos, sectoriales e instancias normativas y, en su caso, globalizadoras.
Proponer los sistemas administrativos y/o las modificaciones que permitan elevar la efectividad de la organización
Analizar la estructura y funcionamiento de la organización en todos sus ámbitos y niveles
Revisar el flujo de datos y formas.
Considerar las variables ambientales y económicas que inciden en el funcionamiento de la organización.
Analizar la distribución del espacio y el empleo de equipos de oficina.
Evaluar los registros contables e información financiera.
Mantener el nivel de actuación a través de una interacción y revisión    continua de avances.
Proponer los elementos de tecnología de punta requeridos para impulsar el cambio organizacional.
Diseñar y preparar los reportes de avance e informes de una auditoria.

3.3. Conocimientos que debe poseer

Es conveniente que el equipo auditor tenga una preparación acorde con los requerimientos de una auditoria administrativa, ya que eso le permitirá interactuar de manera natural y congruente con los mecanismos de estudio que de una u otra manera se emplearán durante su desarrollo.

Atendiendo a éstas necesidades es recomendable apreciar los siguientes niveles de formación:

Académica

Estudios a nivel técnico, licenciatura o postgrado en administración, informática, comunicación, ciencias políticas, administración pública, relaciones industriales, ingeniería industrial, sicología, pedagogía, ingeniería en sistemas, contabilidad, derecho, relaciones internacionales y diseño gráfico.

Otras especialidades como actuaría, matemáticas, ingeniería y arquitectura, pueden contemplarse siempre y cuando hayan recibido una capacitación que les permita intervenir en el estudio.

Complementaria

Instrucción en la materia, obtenida a lo largo de la vida profesional por medio de diplomados, seminarios, foros y cursos, entre otros.

Empírica

Conocimiento resultante de la implementación de auditorías en diferentes instituciones sin contar con un grado académico.

Adicionalmente, deberá saber operar equipos de cómputo y de oficina, y dominar él ó los idiomas que sean parte de la dinámica de trabajo de la organización bajo examen. También tendrán que tener en cuenta y comprender el comportamiento organizacional cifrado en su cultura.

Una actualización continua de los conocimientos permitirá al auditor adquirir la madurez de juicio necesaria para el ejercicio de su función en forma prudente y justa.

3.4. Habilidades y destrezas

En forma complementaria a la formación profesional, teórica y/o práctica, el equipo auditor demanda de otro tipo de cualidades que son determinantes en su trabajo, referidas a recursos personales producto de su desenvolvimiento y dones intrínsecos a su carácter.

La expresión de éstos atributos puede variar de acuerdo con el modo de ser y el deber ser de cada caso en particular, sin embargo es conveniente que, quien se dé a la tarea de cumplir con el papel de auditor, sea poseedor de las siguientes características:

Actitud positiva.
Estabilidad emocional.
Objetividad.
Sentido institucional.
Saber escuchar.
Creatividad.
Respeto a las ideas de los demás.
Mente analítica.
Conciencia de los valores propios y de su entorno.
Capacidad de negociación.
Imaginación.
Claridad de expresión verbal y escrita.
Capacidad de observación.
Iniciativa.
Discreción.
Facilidad para trabajar en grupo.
Comportamiento ético.

3.5. Experiencia

Uno de los elementos fundamentales que se tiene que considerar en las características del equipo, es el relativo a su experiencia personal de sus integrantes, ya que de ello depende en gran medida el cuidado y diligencia profesionales que se emplean para determinar la profundidad de las observaciones.

Por la naturaleza de la función a desempeñar existen varios campos que se tienen que dominar:

Conocimiento de las áreas sustantivas de la organización.
Conocimiento de las áreas adjetivas de la organización.
Conocimiento de esfuerzos anteriores
Conocimiento de casos prácticos.
Conocimiento derivado de la implementación de estudios organizacionales de otra naturaleza.
Conocimiento personal basado en elementos diversos.

3.6. Responsabilidad profesional

El equipo auditor debe realizar su trabajo utilizando toda su capacidad, inteligencia y criterio para determinar el alcance, estrategia y técnicas que habrá de aplicar en una auditoría, así como evaluar los resultados y presentar los informes correspondientes.

Para éste efecto, debe de poner especial cuidado en :

Preservar la independencia mental
Realizar su trabajo sobre la base de conocimiento y capacidad profesional aquiridas
Cumplir con las normas o criterios que se le señalen
Capacitarse en forma continua
También es necesario que se mantenga libre de impedimentos que resten credibilidad a sus juicios, por que debe preservar su autonomía e imparcialidad al participar en una auditoría.

Es conveniente señalar, que los impedimentos a los que normalmente se puede enfrentar son: personales y externos.

Los primeros, corresponden a circunstancias que recaen específicamente en el auditor y que por su naturaleza pueden afectar su desempeño, destacando las siguientes:

Vínculos personales, profesionales, financieros u oficiales con la organización que se va a auditar
-Interés económico personal en la auditoría
-Corresponsabilidad en condiciones de funcionamiento incorrectas
-Relación con instituciones que interactúan con la organización
-Ventajas previas obtenidas en forma ilícita o antiética
Los segundos están relacionados con factores que limitan al auditor a llevar a cabo su función de manera puntual y objetiva como son:

Ingerencia externa en la selección o aplicación de técnicas o metodología para la ejecución de la auditoría.
Interferencia con los órganos internos de control
Recursos limitados para desvirtuar el alcance de la auditoría
Presión injustificada para propiciar errores inducidos
En éstos casos, tiene el deber de informar a la organización para que se tomen las providencias necesarias.

Finalmente, el equipo auditor no debe olvidar que la fortaleza de su función está sujeta a la medida en que afronte su compromiso con respeto y en apego a normas profesionales tales como:

Objetividad.- Mantener una visión independiente de los hechos, evitando formular juicios o caer en omisiones, que alteren de alguna manera los resultados que obtenga.
Responsabilidad.- Observar una conducta profesional, cumpliendo con sus encargos oportuna y eficientemente.
Integridad.- Preservar sus valores por encima de las presiones.
Confidencialidad.- Conservar en secreto la información y no utilizarla en beneficio propio o de intereses ajenos.
Compromiso.- Tener presente sus obligaciones para consigo mismo y la organización para la que presta sus servicios.
Equilibrio.- No perder la dimensión de la realidad y el significado de los hechos.
Honestidad.- Aceptar su condición y tratar de dar su mejor esfuerzo con sus propios recursos, evitando aceptar compromisos o tratos de cualquier tipo.
Institucionalidad.- No olvidar que su ética profesional lo obliga a respetar y obedecer a la organización a la que pertenece.
Criterio.- Emplear su capacidad de discernimiento en forma equilibrada.
Iniciativa.- Asumir una actitud y capacidad de respuesta ágil y efectiva.
Imparcialidad.- No involucrarse en forma personal en los hechos, conservando su objetividad al margen de preferencias personales.
Creatividad.- Ser propositivo e innovador en el desarrollo de su trabajo.


CONCLUSIÓN

El auditor es el proceso de acumular y evaluar evidencia, realizando por una persona independiente y competente acerca de la información cuantificable de una entidad económica especifica, con el propósito de determinar e informar sobre el grado de correspondencia existente entre la información cuantificable y los criterios establecidas.

Su importancia es reconocida desde los tiempos más remotos, teniéndose conocimientos de su existencia ya en las lejanas épocas de la civilización sumeria.

El factor tiempo obliga a cambiar muchas cosas, la industria, el comercio, los servicios públicos, entre otros. Al crecer las empresas, la administración se hace mas complicada, adoptando mayor importancia la comprobación y el control interno, debido a una mayor delegación de autoridades y responsabilidad de los funcionarios.

Debido a todos los problemas administrativos sé han presentado con el avance del tiempo nuevas dimensiones en el pensamiento administrativo. Una de estas dimensiones es la auditoria administrativa la cual es un examen detallado de la administración de un organismo social, realizado por un profesional (auditor), es decir, es una nueva herramienta de control y evaluación considerada como un servicio profesional para examinar integralmente un organismo social con el propósito de descubrir oportunidades para mejorar su administración.

Tomando en consideración todas las investigaciones realizadas, podemos concluir que la auditoria es dinámica, la cual debe aplicarse formalmente toda empresa, independientemente de su magnitud y objetivos; aun en empresas pequeñas, en donde se llega a considerar inoperante, su aplicación debe ser secuencial constatada para lograr eficiencia.


BIBLIOGRAFÍA

Alvin A. Arens. Año 1995. Auditoria Un enfoque Integral

Editorial Océano. Enciclopedia de la Auditoria.

Francisco Gómez Rondon. Auditoria Administrativa

Joaquín Rodríguez Valencia. Año 1997. Sinopsis de Auditoria Administrativa

Profesor A. López de SA. Año 1974. Curso de Auditoria

Víctor Lázzaro. Sistemas y Procedimientos

William P. Leonard. Auditoria Administrativa


Fuente: http://www.monografias.com/trabajos14/auditoria/auditoria.shtml


Jaixon Jax

 ::)
  Desde hace dis estaba aburrido por que no encontraba buena informacion jeje.
:¬¬

 


  KarlosViid(EC) Moderador jeje

KarlosVid(ÊÇ)

Auditoría de seguridad de sistemas de información

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Fases de una auditoría

Los servicios de auditoría constan de las siguientes fases:

    * Enumeración de redes, topologías y protocolos
    * Identificación de sistemas y dispositivos
    * Identificación de los sistemas operativos instalados
    * Análisis de servicios y aplicaciones
    * Detección, comprobación y evaluación de vulnerabilidades
    * Medidas específicas de corrección
    * Recomendaciones sobre implantación de medidas preventivas.

Tipos de auditoría

Los servicios de auditoría pueden ser de distinta índole:

    * Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno
    * Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores
    * Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.
    * Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem.
    * Auditoría de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
    * Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado

Realizar auditorías con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de los softwares y la adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente verificados mediante auditoría.

Estándares de Auditoría Informática y de Seguridad

Una auditoría se realiza con base a un patron o conjunto de directrices o buenas practicas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el standard ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001 analizado por maritee.

Fuente:http://es.wikipedia.org/wiki/Auditor%C3%ADa_de_seguridad_de_sistemas_de_informaci%C3%B3n

KarlosVid(ÊÇ)

Auditoría de los Sistemas de Información


INTRODUCCION

La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren el desarrollo y la promulgación de Normas Generales para la auditoria de los Sistemas de Información.
La auditoria de los sistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.
A continuación, la descripción de los dos principales objetivos de una auditoria de sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de cómputo, con controles, tipos y seguridad.

¿QUE ES AUDITORIA DE SISTEMAS?

La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

La auditoria en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

La auditoria en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).

PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA

Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

INVESTIGACIÓN PRELIMINAR

Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos:

ADMINISTRACIÓN

Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.

Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de informática

Objetivos a corto y largo plazo.

Recursos materiales y técnicos

Solicitar documentos sobre los equipos, número de ellos, localización y características.

Estudios de viabilidad.

Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)

Fechas de instalación de los equipos y planes de instalación.

Contratos vigentes de compra, renta y servicio de mantenimiento.

Contratos de seguros.

Convenios que se tienen con otras instalaciones.

Configuración de los equipos y capacidades actuales y máximas.

Planes de expansión.

Ubicación general de los equipos.

Políticas de operación.

Políticas de uso de los equipos.

SISTEMAS

Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.

Manual de formas.

Manual de procedimientos de los sistemas.

Descripción genérica.

Diagramas de entrada, archivos, salida.

Salidas.

Fecha de instalación de los sistemas.

Proyecto de instalación de nuevos sistemas.

En el momento de hacer la planeación de la auditoria o bien su realización, debemos evaluar que pueden presentarse las siguientes situaciones.

Se solicita la información y se ve que:

No tiene y se necesita.

No se tiene y no se necesita.

Se tiene la información pero:

No se usa.

Es incompleta.

No esta actualizada.

No es la adecuada.

Se usa, está actualizada, es la adecuada y está completa.

En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la información pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está completa.

El éxito del análisis crítico depende de las consideraciones siguientes:

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento)

Investigar las causas, no los efectos.

Atender razones, no excusas.

No confiar en la memoria, preguntar constantemente.

Criticar objetivamente y a fondo todos los informes y los datos recabados.

PERSONAL PARTICIPANTE

Una de las partes más importantes dentro de la planeación de la auditoria en informática es el personal que deberá participar y sus características.

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoria. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas.

Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible obtener información en el momento y con las características deseadas.

También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema.

Para completar el grupo, como colaboradores directos en la realización de la auditoria se deben tener personas con las siguientes características:

Técnico en informática.

Experiencia en el área de informática.

Experiencia en operación y análisis de sistemas.

Conocimientos de los sistemas más importantes.

En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características apuntadas.

Una vez que se ha hecho la planeación, se puede utilizar el formato señalado en el anexo 1, el figura el organismo, las fases y subfases que comprenden la descripción de la actividad, el número de personas participantes, las fechas estimadas de inicio y terminación, el número de días hábiles y el número de días/hombre estimado. El control del avance de la auditoria lo podemos llevar mediante el anexo 2, el cual nos permite cumplir con los procedimientos de control y asegurarnos que el trabajo se está llevando a cabo de acuerdo con el programa de auditoria, con los recursos estimados y en el tiempo señalado en la planeación.

El hecho de contar con la información del avance nos permite revisar el trabajo elaborado por cualquiera de los asistentes.

PASOS A SEGUIR

Se requieren varios pasos para realizar una auditoria. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoria además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.

INFORME


En si todos los encuestados respondieron la totalidad de las preguntas. Todos tienen la misma respuesta en la pregunta sobre la inteligencia artificial, todos dicen prácticamente lo mismo acerca de lo que es la auditoria de sistemas en que es un sistema de revisión, evaluación, verificación y evalúa la eficiencia y eficacia con que se está operando los sistemas y corregir los errores de dicho sistema. Todos los encuestados mostraron una características muy similares de las personas que van a realizan la auditoria; debe haber un contador, un ingeniero de sistemas, un técnico y que debe tener conocimientos, práctica profesional y capacitación para poder realizar la auditoria.

Todos los encuestados conocen los mismos tipos de auditoria, Económica, Sistemas, Fiscal, Administrativa.

Para los encuestados el principal objetivo de la auditoria de sistemas es Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.

Mirando en general a todos los encuestados se puede ver que para ellos la auditoria de sistemas es muy importante porque en los sistemas esta toda la información de la empresa y del buen funcionamiento de esta depende gran parte del funcionamiento de una empresa y que no solo se debe comprender los equipos de computo sino también todos los sistemas de información desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

La auditoria de los sistemas de informática es de mucha importancia ya que para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.

Encuesta No 1

Hotel Nutibara

Auditora

5115111

¿Sabe usted que es la inteligencia artificial?

Creo que la Inteligencia Artificial es una ciencia que intenta la creación de programas para máquinas que imiten el comportamiento y la comprensión humana, que sea capaz de aprender, reconocer y pensar.

¿Que sabe usted de la Auditoria de sistemas?

La auditoria de sistemas es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para

Una adecuada toma de decisiones.

¿Cree usted que el personal participante en la auditoria es importante si o no?

Si por que una de las partes más importantes dentro de la planeación de la auditoria sistemas es el personal que deberá participar y sus características.

¿Qué características cree usted que debe tener estas personas?

Se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoria. En primer lugar se debe pensar que hay personal asignado por la empresa. Como el ingeniero en sistemas y Técnicos

¿Como planificaría usted una auditoria de sistemas?

Yo la haría siguiendo una serie de pasos previos que me permitan dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

¿Que haría Usted para que la planeación de los sistemas de auditoria fueran cada vez mejor?

Pues yo haría una planeación cada vez mejor y eficaz.

¿Haría usted antes de cada auditoria de sistemas una investigación preliminar si o no y como la haría?

Si la haría observando el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

¿que diferencia y semejanza ve usted en la auditoria de sistemas y la auditoria financiera?

Que la financiera se enfoca en la Veracidad de estados financieros preparación de informes de acuerdo a principios contables, evalúa la eficiencia, operacional y Eficacia y la de sistemas Se preocupa de la función informática.

¿Como seria una Evaluación de Sistemas?

La evaluación debe ser con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos.

¿Cree usted que debería haber un control de proyectos en la auditoria de sistemas?

Si debe haber un control ya que debido a las características propias del análisis y la programación, es muy frecuente que la implantación de los sistemas se retrase y se llegue a suceder que una persona lleva trabajando varios años dentro de un sistema o bien que se presenten irregularidades en las que los programadores se ponen a realizar actividades ajenas a la dirección de sistemas. Para poder controlar el avance de los sistemas, ya que ésta es una actividad de difícil evaluación.

¿Que clases de auditoria conoce?

Financiera, Económica, Sistemas, Fiscal, Administrativa.

¿Cuales cree usted que son los objetivos principales de una auditoria de sistemas?

Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD
Incrementar la satisfacción de los usuarios de los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones
Apoyo de función informática a las metas y objetivos de la organización.

Encuesta No 2

Hotel Nutibara

Marta

Contadora

5115111

1. ¿Sabe usted que es la inteligencia artificial?

Es un programa por lo cual los aparatos tecnológicos pueden pensar por si mismos.

2. ¿Que sabe usted de la Auditoria de sistemas?

Es la verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.

¿Cree usted que el personal participante en la auditoria es importante si o no?

Si por que dentro de la planeación de la auditoria de sistemas hay personal idóneo para desarrollar y orientar en esta tarea.

3. ¿Qué características cree usted que debe tener estas personas?

Debe tener conocimientos, práctica profesional y capacitación.

¿Como planificaría usted una auditoria de sistemas?

Pues yo la Planificaría con Controles Preventivos, Controles detectivos, y Controles Correctivos.

¿Que haría Usted para que la planeación de los sistemas de auditoria fueran cada vez mejor?

Yo haría una mejor planeación o una planeación con mas tiempo, haría una mejor investigación de la empresa, trataría que todo lo planificado para la auditoria fuese lo mas eficiente posible

¿Haría usted antes de cada auditoria de sistemas una investigación preliminar si o no y como la haría?

Si la haría para saber bien la Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.

¿Que diferencia y ve usted el la auditoria de sistemas y la auditoria financiera?

Que La financiera se audita es los estados financieros y la de sistemas se preocupa es por la parte de informática.

¿Como seria una Evaluación de Sistemas?

Se haría teniendo en cuenta Cuáles son servicios que se implementarán, Cuándo se pondrán a disposición de los usuarios, Qué características tendrán, cuántos recursos se requerirán en la evaluación.

¿Cree usted que debería haber un control de proyectos en la auditoria de sistemas?

Si por que cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.

¿Que clases de auditoria conoce?

Financiera, Económica, Sistemas, Fiscal, Administrativa.

¿Cuales cree usted que son los objetivos principales de una auditoria de sistemas?

Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD
Incrementar la satisfacción de los usuarios de los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
Creo que estos serian los más importantes.

Encuesta No 3

Intimidades Nataniela

Sergio García

Contador

5121034

1. ¿Sabe usted que es la inteligencia artificial?

Es el sistema por lo cual una maquina piensa.

¿Que sabe usted de la Auditoria de sistemas?

La auditoria de sistemas es evaluar la eficiencia y eficacia con que se está operando para que se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.

¿Cree usted que el personal participante en la auditoria es importante si o no?

Si por que pienso que más que un trabajo del auditor es un trabajo del jefe de sistemas.

¿Qué características cree usted que debe tener estas personas?

Personal idóneo independiente expertos en área de sistemas.

¿Como planificaría usted una auditoria de sistemas?

Pues yo en el caso de la auditoria en sistemas, lo haría mediante la evaluación de los sistemas y procedimientos y evaluación de los equipos de cómputo.

¿Que haría Usted para que la planeación de los sistemas de auditoria fueran cada vez mejor?

La haría mediante la investigación preliminar solicitando y revisando la información de cada una de las áreas de sistemas.

¿Haría usted antes de cada auditoria de sistemas una investigación preliminar si o no y como la haría?

Si la haría entraría en un conocimiento más profundo del tema y un conocimiento más que todo en que es lo que quiere o busca la empresa.

¿que diferencia ve usted el la auditoria de sistemas y la auditoria financiera?

Pues la diferencia que yo veo es que la auditoria de sistemas no tiene nada que ver con la parte financiera o estados financieros.

¿Como seria una Evaluación de Sistemas?

Yo la haría revisando primero si existen realmente sistemas entrelazados como un todo o bien segundo existen programas aislados y tercero evaluando es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos.

¿Cree usted que debería haber un control de proyectos en la auditoria de sistemas?

Si por que el fin de la auditoria de sistemas es controlar y vigilar que todo se este haciendo correctamente.

¿Que clases de auditoria conoce?

Financiera, Sistemas, Fiscal, Administrativa.

¿Cuales cree usted que son los objetivos principales de una auditoria de sistemas?

Asegurar una mayor integridad, confidencialidad y confiabilidad de la información.
Seguridad del personal, los datos, el hardware, el software y las instalaciones.
Minimizar existencias de riesgos en el uso de Tecnología de información
Conocer la situación actual del área informática para lograr los objetivos.

Encuesta No 4

Accesorias contables

Nelson Cardona

Contador Público

3103955407

1. ¿Sabe usted que es la inteligencia artificial?

Es un emulador que trata de imitar la inteligencia humana.

¿Que sabe usted de la Auditoria de sistemas?

Pues la auditoria de sistemas es evaluar la eficiencia y corregir los errores, en caso de que existan, en los sistemas de la empresa.

¿Cree usted que el personal participante en la auditoria es importante si o no?

Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible obtener información en el momento y con las características deseadas.

¿Qué características cree usted que debe tener estas personas?

Se deben tener personas con las siguientes características:

Técnico en informática.

Experiencia en el área de informática.

Experiencia en operación y análisis de sistemas.

¿Como planificaría usted una auditoria de sistemas?

Se Planificaría en base del conocimiento que se tenga de la empresa a auditar.

¿Que haría Usted para que la planeación de los sistemas de auditoria fueran cada vez mejor?

Investigaría más sobre el tema y así haría una buena auditoria de sistemas.

¿Haría usted antes de cada auditoria de sistemas una investigación preliminar si o no y como la haría?

Si la haría identificaría primero los recursos y destrezas que necesitara para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar.

¿que diferencia ve usted el la auditoria de sistemas y la auditoria financiera?

La auditoria de sistemas vela por el buen manejo de los equipos y software de la compañía mediante que la financiera vela es controla los estados financieros de la empresa.

¿Como seria una Evaluación de Sistemas?

Yo la haría mediante lo que se va auditor o lo auditado

¿Cree usted que debería haber un control de proyectos en la auditoria de sistemas?
Si por que así habrá mayor control y eficiencia.

¿Que clases de auditoria conoce?

Financiera, Sistemas, Fiscal, Administrativa.

¿Cuales cree usted que son los objetivos principales de una auditoria de sistemas?

Apoyo de función informática a las metas y objetivos de la organización.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.
Incrementar la satisfacción de los usuarios de los sistemas informáticos.
Capacitación y educación sobre controles en los Sistemas de Información.

Conclusión


La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
La auditoria en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
La auditoria en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).


KarlosVid(ÊÇ)

AUDITORIA DE SISTEMAS DE INFORMACIÓN


Definición de auditoría:

Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carácter económico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas.

La auditoría se clasifica en Auditoría Financiera y Operativa.

La auditoría financiera efectúa un examen sistemático de los estados financieros, los registros y las operaciones correspondientes, para determinar la observancia de los principios de contabilidad generalmente aceptados, de las políticas de la administración y de la planificación

La auditoría operativa cae dentro de la definición general de auditoría y se define:

"un examen sistemático de las actividades de una organización (ó de un segmento estipulado de las mismas) en relación con objetivos específicos, a fin de evaluar el comportamiento, señalar oportunidades de mejorar y generar recomendaciones para el mejoramiento o para potenciar el logro de objetivos".

Auditoría de Sistemas:

Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa

OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS:

1. Participación en el desarrollo de nuevos sistemas:

evaluación de controles

cumplimiento de la metodología.

2. Evaluación de la seguridad en el área informática.

3. Evaluación de suficiencia en los planes de contingencia.

respaldos, preveer qué va a pasar si se presentan fallas.

4. Opinión de la utilización de los recursos informáticos.

resguardo y protección de activos.

5. Control de modificación a las aplicaciones existentes.

fraudes

control a las modificaciones de los programas.

6. Participación en la negociación de contratos con los proveedores.

7. Revisión de la utilización del sistema operativo y los programas

utilitarios.

control sobre la utilización de los sistemas operativos

programas utilitarios.

8. Auditoría de la base de datos.

estructura sobre la cual se desarrollan las aplicaciones...

9. Auditoría de la red de teleprocesos.

10. Desarrollo de software de auditoría.

Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.

FINES DE LA AUDITORIA DE SISTEMAS:

1. Fundamentar la opinión del auditor interno (externo) sobre la confiabilidad de los sistemas de información. 

2. Expresar la opinión sobre la eficiencia de las operaciones en el área de TI.

Similitudes y diferencias con la auditoría tradicional:

Similitudes:

No se requieren nuevas normas de auditoría, son las mismas.

Los elementos básicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregación de funciones.

Los propósitos principales del estudio y la evaluación del control contable interno son la obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y extensión de las pruebas futuras de auditoría.

Diferencias:

Se establecen algunos nuevos procedimientos de auditoría.

Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable.

Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas.

El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno.

ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA Y SUS PROCEDIMIENTOS.

Complejidad de los sistemas.

uso de lenguajes.

metodologías, son parte de las personas y su experiencia.

Centralización.

departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del área de sistemas.

Controles del computador.

Controles manuales, hoy automatizados (procedimientos programados) .

Confiabilidad electrónica.

debilidades de las máquinas y tecnología.

Transmisión y registro de la información en medios magnéticos, óptico y otros.

almacenamiento en medios que deben acceder a través del computador mismo.

Centros externos de procesamiento de datos.

Dependencia externa.

RAZONES PARA LA EXISTENCIA DE LA FUNCION DE A.S.

1. La información es un recurso clave en la empresa para:

Planear el futuro, controlar el presente y evaluar el pasado.

2. Las operaciones de la empresa dependen cada vez más de la sistematización.

3. Los riesgos tienden a aumentar, debido a:

Pérdida de información

Pérdida de activos.

Pérdida de servicios/ventas.

4. La sistematización representa un costo significativo para

la empresa en cuanto a: hardware, software y personal.

5. Los problemas se identifican sólo al final.

6. El permanente avance tecnológico.

REQUERIMIENTOS DEL AUDITOR DE SISTEMAS

1. Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político.

2. Entendimiento del efecto de los sistemas en la organización.

3. Entendimiento de los objetivos de la auditoría.

4. Conocimiento de los recursos de computación de la empresa.

5. Conocimiento de los proyectos de sistemas.

RIESGOS ASOCIADOS AL AREA DE TI:

Hardware
- Descuido o falta de protección: Condiciones inapropiadas, mal
manejo, no observancia de las normas.
- Destrucción.

Software:
- uso o acceso,
- copia,
- modificación,
- destrucción,
- hurto,
- errores u omisiones.

Archivos:
- Usos o acceso,
- copia, modificación, destrucción, hurto.

Organización:
- Inadecuada: no funcional, sin división de funciones.
- Falta de seguridad,
- Falta de políticas y planes.

Personal:
- Deshonesto, incompetente y descontento.

Usuarios:
- Enmascaramiento, falta de autorización, falta de conocimiento de su función.