UNIVERSIDAD CIENTIFICA DEL UNIVERSIDAD CIENTIFICA DEL PERUPERU

Trabajo Práctico de Auditoria de Trabajo Práctico de Auditoria de SistemasSistemas

Integrantes:Integrantes:RIOS RIOS, EdgardRIOS RIOS, Edgard

PEZO VILLACORTA, Augusto PEZO VILLACORTA, Augusto MANUYAMA CUBAS, Luigi MANUYAMA CUBAS, Luigi

INTRODUCCIÓN INTRODUCCIÓN Las herramientas por evolución, innovación, Las herramientas por evolución, innovación,

complejidad y especialización han tomado complejidad y especialización han tomado parte a lo largo de la historiaparte a lo largo de la historia

En la antigüedad el hombre se ha valido de En la antigüedad el hombre se ha valido de herramientas los cuales fueron utiles para su herramientas los cuales fueron utiles para su supervivencia.supervivencia.

Las herramientas pueden ser especificas, Las herramientas pueden ser especificas, sustitutivas o multipropósito.sustitutivas o multipropósito.

Pero la mejor performance se obtiene si Pero la mejor performance se obtiene si usamos las de tipo especificas usamos las de tipo especificas

INTRODUCCIÓN INTRODUCCIÓN   El Auditor de Sistemas de Información y de

Tecnologías de la Información y las Comunicaciones (ASITIC) es el que escoge el tipo de herramientas a utilizar

No existe la herramienta perfecta, optima; todo va depender del enfoque especifico con el que se va a enfrentar su uso.

Toda herramienta tiene sus ventajas e inconvenientes.

IMPORTANCIAIMPORTANCIA  Las herramientas SITIC hacen viable,

llevadera y económica la auditoria de ciertos objetos o campos a auditar

en un mundo plegado de dudas, sospechas y quejas sobre la auditoria, hacer posibles o simplificar ciertas comprobaciones es de una gran trascendencia

TIPOSTIPOS   A continuación tenemos varias herramientas

según los siguientes aspectos:

1. Procedencia

2. Función

3. Uso o propósito

4. Ubicación

5. Productividad

6. Cobertura

1-HERRAMIENTAS DE AUDITORIA 1-HERRAMIENTAS DE AUDITORIA SEGÚN SU PROCEDENCIASEGÚN SU PROCEDENCIA

  Según sus diversos conocimientos y habilidades los ASITIC con habilidades informáticas pueden recurrir a utilizar:

Herramientas del entorno adquisición-construcción

Herramientas de prueba(ITF: empresa falsa)

Herramientas del entorno explotación-operación

Herramientas del SW de Sistema(SO, SW de red)

Utilidades

Herramientas de Internet(hacking ético)

Herramientas del entorno adquisicion-construccionHerramientas del entorno adquisicion-construccion

Los sistemas de informacion han sido Los sistemas de informacion han sido construidos con leguajes de programacion, construidos con leguajes de programacion, analizadores de path, por lo tanto con estas analizadores de path, por lo tanto con estas mismas herramientas se pueden auditar mismas herramientas se pueden auditar dichos sistemasdichos sistemas

Herramientas de pruebaHerramientas de prueba

Estas herramientas son utilizadas como Estas herramientas son utilizadas como mecanismos de vigilancia auditoria mecanismos de vigilancia auditoria continuada(en especial las ITF)continuada(en especial las ITF)

Herramientas del entorno explotacion-operacionHerramientas del entorno explotacion-operacion

En el entorno explotacion.operacion estan En el entorno explotacion.operacion estan los datos vivos, los cuales tenemos acceso a los datos vivos, los cuales tenemos acceso a través de los ASITIC. Este tipo de acceso través de los ASITIC. Este tipo de acceso debe ser controlado y supervisado, pues el debe ser controlado y supervisado, pues el riesgo de acceso de un intruso es muy altoriesgo de acceso de un intruso es muy alto

Herramientas del SW de SistemaHerramientas del SW de Sistema

El ASITIC es capaz de lograr acceso El ASITIC es capaz de lograr acceso privilegiado al Sistema operativo, software privilegiado al Sistema operativo, software de red, etc., su capacidad de explotación es de red, etc., su capacidad de explotación es enormeenorme

La complejidad del acceso es directamente La complejidad del acceso es directamente proporcional a su criticidad, ya que las proporcional a su criticidad, ya que las herramientas del sistema se ejecutan en herramientas del sistema se ejecutan en modo privilegiadomodo privilegiado

Utilidades Utilidades

Son herramientas potentes fundamentalmente Son herramientas potentes fundamentalmente en la extracción de datos, pero no cualquiera en la extracción de datos, pero no cualquiera debe usar esta herramienta.debe usar esta herramienta.

Herramientas de TCP/IP e InternetHerramientas de TCP/IP e Internet

Esta herrameinta tiene que ver con los Esta herrameinta tiene que ver con los hacking y crackers; sean buenos o malos, hacking y crackers; sean buenos o malos, blancos-eticosblancos-eticos

Los crackers sin tener grandes Los crackers sin tener grandes conocimientos en sistemas de informacion, conocimientos en sistemas de informacion, son muy habiles en cuanto a la generacion son muy habiles en cuanto a la generacion de malwares y capaces de crear en tiempo de malwares y capaces de crear en tiempo record pequeños programas capaces de record pequeños programas capaces de buscar y atacar sistemasbuscar y atacar sistemas

2-HERRAMIENTAS DE AUDITORIA 2-HERRAMIENTAS DE AUDITORIA SEGÚN SU FUNCIÓNSEGÚN SU FUNCIÓN

  La auditoria es una actividad profesional tan amplia y compleja, por lo tanto su uso es de acuerdo a lo siguiente:

Captura de datos

Análisis de datos

Combinaciones de captura y análisis

Captura de datosCaptura de datos

Aquí se recoge información, se captura Aquí se recoge información, se captura datos, éstos serán analizados, interpretados, datos, éstos serán analizados, interpretados, los cuales funcionaran como disparadores , los cuales funcionaran como disparadores , desencadenantes de acciones en una fase desencadenantes de acciones en una fase superior o simultánea superior o simultánea

MuestrasMuestras

Nos va servir para sacar muestras de una Nos va servir para sacar muestras de una población de datos . Es una técnica población de datos . Es una técnica estadística muy útil lo cual nos facilitara el estadística muy útil lo cual nos facilitara el trabajo.trabajo.

Las herramientas para obtener muestras Las herramientas para obtener muestras pueden ser de procedencia , naturaleza, pueden ser de procedencia , naturaleza, complejidad o ubicación muy diversacomplejidad o ubicación muy diversa

3-HERRAMIENTAS DE AUDITORIA 3-HERRAMIENTAS DE AUDITORIA SEGÚN SU USO O PROPOSITOSEGÚN SU USO O PROPOSITO

 Las herramientas de Auditoria pueden usarse para:

Auditoria SITIC

Otros usos, sean legítimos o ilegítimos

Otras auditoriasOtras auditorias

Aquí vemos a las auditorias internas o Aquí vemos a las auditorias internas o externas, auditoria operativa, de cuentas, externas, auditoria operativa, de cuentas, auditoria ISO 9001, 2000, 27001 Y 14000, auditoria ISO 9001, 2000, 27001 Y 14000, muy aparte del control del supervisor o muy aparte del control del supervisor o directivodirectivo

Otros usosOtros usos

Como por ejemplo:Como por ejemplo: Legítimos; pero ajenos a la auditoriaLegítimos; pero ajenos a la auditoria Ilegítimos; realizados por empresas Ilegítimos; realizados por empresas

aparentemente correctas, o los comúnmente aparentemente correctas, o los comúnmente llamados malwarellamados malware

4-HERRAMIENTAS DE AUDITORIA 4-HERRAMIENTAS DE AUDITORIA SEGÚN SU UBICACIONSEGÚN SU UBICACION

  Trata las herramientas de auditoria en función de su ubicación o integración mayor o menor en las aplicaciones o sistemas auditados.

Se clasifica en dos categorias:

Embebidas, como módulo de una aplicación o sistema

Exentas, interactuando sincrónicamente o no, con elementos de una aplicación o sistema

Herramientas embebidasHerramientas embebidas

Se trata por lo general de herramientas Se trata por lo general de herramientas construidas o adquiridas ya sea por la orden construidas o adquiridas ya sea por la orden de un ASITIC o por el buen hacer de los de un ASITIC o por el buen hacer de los desarrolladoresdesarrolladores

Herramientas Intrusivas y no IntrusivasHerramientas Intrusivas y no Intrusivas

Intrusivas; éstos insertan en el sistema Intrusivas; éstos insertan en el sistema algun servicio para generar logs.algun servicio para generar logs.

No Intrusivas; estos solo se limitan a leer y No Intrusivas; estos solo se limitan a leer y procesarprocesar

5-HERRAMIENTAS DE AUDITORIA 5-HERRAMIENTAS DE AUDITORIA SEGÚN SU PRODUCTIVIDADSEGÚN SU PRODUCTIVIDAD

 La naturaleza recurrente, generalmente cíclica de la auditoria y el peso relativo de las labores administrativas y de gestión, aconsejan cautela en la evaluación de herramientas técnicas no integradas o fácilmente integrables en paquetes de gestión

El director ejecutivo de auditoria debe asegurar que los recursos de auditoria interna sean adecuados, suficientes y efectivamente asignados para cumplir con el plan aprobado.

6-HERRAMIENTAS DE AUDITORIA 6-HERRAMIENTAS DE AUDITORIA SEGÚN SU COBERTURASEGÚN SU COBERTURA

 Aquí se refiere al alcance, ámbito o cobertura de casos, archivos, registros, etc

Claramente es deseable una gran cobertura coste-eficacia, y a veces se considera necesaria.