AUDITORIA DE SISTEMAS

LUIS GONZALO PRADO

VERUSKA MUÑOZ RAMÍREZFEIBERT ALIRIO GUZMÁN PÉREZ

AUDITORÍA A LAS APLICACIONES EN FUNCIONAMIENTO

VILLAVICENCIO2012

CORPORACIÓN UNIVERSITARIA REMINGTON

Auditar consiste principalmente en estudiar los mecanismos de controlque están implantados en una empresa u organización, determinando silos mismos son adecuados y cumplen unos determinados objetivos oestrategias, estableciendo los cambios que se deberían realizar para laconsecución de los mismos.

La auditoría permite verificar si se están aplicando las medidasde control más apropiadas para la salvaguarda e integridad de lainformación y de los sistemas en prevención de riesgos de fraude,pérdida, manipulación, fallos de servicio, etc

AUDITORÍA

AUDITORÍA A LAS APLICACIONES EN

FUNCIONAMIENTO

ENFOQUES

Auditoría alrededor del computador

Auditoría a través del

computador

Auditoría con el computador

OBJETIVOS DE LOS ENFOQUES

Auditoría alrededor del computador

* Verificar la segregación de funciones

* Asegurar que los datos enviados al proceso estén debidamente autorizados.

* Comprobar que los datos autorizados sean procesados.

* Asegurar que los procesos se hagan con exactitud

* Verificar las pistas de auditoría.

* Asegurar que los procesos se hagan con exactitud

* Verificar las pistas de auditoría

Auditoría a través del computador

* Asegurar que los programas cumplan con las necesidades de los usuarios.

* Verificar las modificaciones autorizadas.

* Comprobar que no existan rutinas fraudulentas.

* Asegurar los programas autorizados.

* Verificar la existencia de los controles en los programas.

* Comprobar que los datos sean validados antes de ser procesados.

Auditoría con el computador

* Examinar los archivos a niveles detallados.

* Verificar la existencia de controles que garanticen la protección de datos.

* Verificar la existencia de controles que garanticen la confiabilidad de la información.

* Hacer proyecciones con cambios de alternativas.

• AUDITORIA

DE

SISTEMAS

Es una disciplina encargada de

aplicar un conjunto de técnicas y

procedimientos con el fin de evaluar

la seguridad, confiabilidad y

eficiencia de los sistemas de

información.

Adicionalmente se encarga de evaluar la

seguridad en los departamentos de

sistemas, la eficiencia de los procesos

administrativos y la privacidad de la

información.

Revisión Hardware

obsolescencia tecnológica

equipo instalado.

Plazo de las Adquisiciones

Preparar cronograma

cambios en configuración de software o Hardware

Solicitudes de adquisición

análisis costo /beneficio

Política de Procedimiento

Uso microcomputadoras

formularios

VerificarDesarrollo y ejecución de

cronogramas

Verificar la documentación

cambios de hardware

Justo a tiempo

Conejos

No dañan al sistema, sino que se limitan a copiarse, generalmente de forma exponencial, hasta que la cantidad de recursos consumidos

(procesador, memoria, disco...) se convierte en una negación de servicio para el sistema afectado.

Revisión sistema

operativo

Mantenimiento

Costo Entrenamiento Servicio técnico

Requerimientos hardware Capacidad

Impacto Seguridad en datos

Implementación

Cambios de software programados.

pruebaProblemas resueltos

Autorizado

Seguridad y control

Datos compartidos

Pistas de auditoria

Documentar

Pruebas del sistema

cambios efectuados al sistema

Superzapping Una utilidad de los antiguosmainframes de IBM que permitía aquién lo ejecutaba pasar por alto todoslos controles de seguridad para realizarcierta tareaadministrativa, presumiblementeurgente, que estos sistemas poseían, o de unallave maestra capaz de abrir todas las puertas.

SALAMI

Se presenta en entidades financieras.

Revisión Base de Datos

Diseño

Entidad

Claves primarias y secundarias

Nombres específicos y coherentes

Tablas

Relación

Índices ,frecuencia de acceso y norma

Acceso Uso correcto de los tipos de

índicesReduzca tiempo

AdministraciónNiveles de Seguridad Usuario y/o grupos

Copias de seguridad y recuperaciónInterfaz

Confidencialidad e integridad

Importar y exportar

Otros sistemas

PortabilidadLenguaje estructurado de

consulta

Ejemplo: Diccionario de Datos

• Modulo De Clientes (Índice)• Este modulo cuenta con las opciones de inclusión, bajas, consulta y

modificar. Los campos que maneja son los siguientes:• Código • Nombre • Dirección • Ciudad • Estado • Código Postal • Ultima compra • Situación • Teléfono y clave lada • RFC

• Pantalla General De Los Módulos

Para el sistema informático que se presenta, se tuvo que seleccionar un lenguaje que permitiera trabajar bajo ambienteWindows,

Revisión LAN’S

controles

Llaves servidor de archivos

asignaradministrador personal de

soporte

El servidor de archivos LAN

Asegurado robo de tarjetas chips

o a la computadora

Extintores de Incendio

Protección

electricidad estática Alfombra

subidas de voltaje

protector

Aire acondicionado

control de humedad

suministro de energía

Especificaciones del fabricante

libre de polvo, humo y otros objetos (alimentos)

Disquetes y cintas de seguridad

daño ambiente

efectos de campo magnético

Acceso remoto

ProhibidoSolo una persona

Canales ocultoses un cauce de comunicación que

permite a un proceso receptor y a un emisor intercambiar información de

forma que viole la política de seguridad del sistema

Caballos de Troya

Troya actual es un programa que aparentemente

realiza una función útil para quién lo ejecuta, pero

que en realidad - o aparte - realiza una función que

el usuario desconoce, generalmente dañina

Revisión LAN’S

controles

Manual de operación y documentación del LAN

Acceso autorizada por escrito

base de saber/hacer

Entrevista con usuarios

conocimiento admón de seguridad

confidencialidad

Sesión de ingreso automáticamenteperiodo de inactividad

usuarioscontraseñas únicas

encriptadas

cambiarlas periódicamente.

Revisiones Control Operativo de Redes

Las personas

acceso a las aplicaciones

procesadores de transacciones

conjunto de datos autorizados

una persona autorizada con control general de red

autorización de seguridad

Encripción en red para datos sensitivos

Implementación de políticas y procedimientos de seguridad

Desarrollo de planes de prueba , conversión y aceptación para red

procesamiento de datos distribuido en la organización

Redes de procesamiento que asegure la consistencia con las leyes y reglamentos de transmisión de datos

Revisiones de las operaciones SI

Operaciones de computo

Restringir el acceso a bibliotecas de archivos, datos , documentación y

procedimientos de operación

Restringir la corrección a programas y problemas de datos

Limitar acceso a código de fuente de producción

Elaborar cronograma de trabajos para procesar

Inventariar el sistema para cintas locales y ubicación especifica de almacenamiento

Control Entrada de datos

Autorización de documentos de entrada

Acatar pólizas establecidas

Producción, manteniendo y revisión de reportes de control

Revisiones de las operaciones SI Operaciones

Automatizadas no asistidas

Pruebas de software periódicas

Errores ocultos en el software y notificados por el operador.

Plan de eventualidad de un desastre que sea automática

documentados y aprobados

Revisión Reporte de Problemas por la gerencia

Entrevistas con operadores de SI

Revisar procedimientos para registrar evaluar y

resolver problemas

operativos o de procesamiento

Registro de desempeño

Causas- Problemas registrados para buscar solución

prevenir la repetición

A su debido tiempo

Revisiones Disponibilidad

Hardware y Reporte de utilización

plan de monitoreo desempeño de

hardware

registro de problemas

cronograma de procesamiento

frecuencia del mantenimiento

reportes contabilidad de trabajos

reportes validez del proceso

Revisión de Cronograma volumen de trabajo y

del personal

Aplicación programas, fecha de entrada, tiempo de preparación

datos, tiempo procesamiento, fechas salida

Registro de consola para verificar trabajos

programados terminados

Prioridades de procesamiento de la

aplicaciónAplicaciones criticas

haber escasez de recurso /capacidad

Elaboración de cronogramas para requerimientos de

servicio

Cantidad de personal asignado en turno soporta

la carga de trabajo

Programa diario de trabajos baja prioridad

final turno pasar al planificador de trabajos

trabajos terminados y motivos de no terminar

FRAUDE

POR COMPUTADOR

Alteraciones de la información antes de ingresar al sistema

Puede suceder porque al momento de elaborar los

documentos fuentes, consignan información que

no corresponde a la realidad.

Incluir documentos que no forman parte de la información que se esta

procesando.

MODIFICACIONES AL CAPTURAR LA INFORMACION

RIESGO DE ERROR DIGITACION DE LA INFORMACION

Error humano.

•Falta de controles en los programas.

•Malas intenciones de las personas que participan en los procesos.

PUERTAS TRAMPA

En este tipo de fraude, se utiliza el sistema operacional paraentrar por puntos vulnerables de los programas y modificar lainformación.

LAS ESCOBILLAS

Pretende conseguir información de cierto grado de privacidadpara hacer espionaje o cometer ilícitos.