1. CORPORACIÓN UNIVERSITARIA REMINGTON
AUDITORIA DE SISTEMAS
LUIS GONZALO PRADO
VERUSKA MUÑOZ RAMÍREZ
FEIBERT ALIRIO GUZMÁN PÉREZ
AUDITORÍA A LAS APLICACIONES EN
FUNCIONAMIENTO
VILLAVICENCIO
2012
2. AUDITORÍA
Auditar consiste principalmente en estudiar los mecanismos de control
que están implantados en una empresa u organización, determinando si
los mismos son adecuados y cumplen unos determinados objetivos o
estrategias, estableciendo los cambios que se deberían realizar para la
consecución de los mismos.
La auditoría permite verificar si se están aplicando las medidas
de control más apropiadas para la salvaguarda e integridad de la
información y de los sistemas en prevención de riesgos de fraude,
pérdida, manipulación, fallos de servicio, etc
3. AUDITORÍA A LAS
APLICACIONES EN
FUNCIONAMIENTO
ENFOQUES
Auditoría Auditoría a
Auditoría con el
alrededor del través del
computador
computador computador
4. OBJETIVOS DE LOS ENFOQUES
Auditoría alrededor Auditoría a través Auditoría con el
del computador del computador computador
* Asegurar que los programas
* Verificar la segregación de
cumplan con las necesidades de los
funciones * Examinar los archivos a
usuarios.
* Asegurar que los datos niveles detallados.
* Verificar las modificaciones
enviados al proceso estén
autorizadas.
debidamente autorizados.
* Comprobar que no existan * Verificar la existencia de
* Comprobar que los datos controles que garanticen la
rutinas fraudulentas.
autorizados sean procesados. protección de datos.
* Asegurar los programas
* Asegurar que los procesos se
autorizados.
hagan con exactitud
* Verificar la existencia de los * Verificar la existencia de
* Verificar las pistas de auditoría. controles que garanticen la
controles en los programas.
* Asegurar que los procesos se confiabilidad de la información.
* Comprobar que los datos sean
hagan con exactitud
validados antes de ser procesados.
* Verificar las pistas de auditoría * Hacer proyecciones con
cambios de alternativas.
5. • AUDITORIA Es una disciplina encargada de
aplicar un conjunto de técnicas y
DE procedimientos con el fin de evaluar
la seguridad, confiabilidad y
SISTEMAS eficiencia de los sistemas de
información.
Adicionalmente se encarga de evaluar la
seguridad en los departamentos de
sistemas, la eficiencia de los procesos
administrativos y la privacidad de la
información.
6. equipo instalado.
Plazo de las
Adquisiciones
obsolescencia Preparar cambios en configuración de
tecnológica cronograma software o Hardware
Solicitudes de análisis costo /beneficio
Revisión adquisición
Hardware
Uso
microcomputadoras
formularios
Política de Desarrollo y ejecución de
Procedimiento Verificar cronogramas
Verificar la cambios de Justo a
documentación hardware tiempo
7. Conejos
No dañan al sistema, sino que se limitan a copiarse, generalmente de
forma exponencial, hasta que la cantidad de recursos consumidos
(procesador, memoria, disco...) se convierte en una negación de servicio
para el sistema afectado.
8. Costo Entrenamiento Servicio técnico
Mantenimiento hardware
Requerimientos Capacidad
Impacto Seguridad
en datos
Cambios de software
programados.
Revisión Implementación Problemas
sistema prueba
resueltos
operativo Autorizado
Seguridad y Datos compartidos
control Pistas de auditoria
Pruebas del
sistema
Documentar
cambios efectuados al sistema
9. Superzapping
Una utilidad de los antiguos
mainframes de IBM que permitía a
quién lo ejecutaba pasar por alto todos
los controles de seguridad para realizar
cierta tarea
administrativa, presumiblemente
urgente, que estos sistemas poseían, o de una
llave maestra capaz de abrir todas las puertas.
SALAMI
Se presenta en entidades financieras.
10. Claves primarias y secundarias
Entidad Nombres específicos y
coherentes
Tablas
Diseño Relación
Índices ,frecuencia de acceso
y norma
Uso correcto de los tipos de Reduzca tiempo
Acceso índices
Revisión
Base de Niveles de
Administración Seguridad Usuario y/o grupos
Datos
Copias de seguridad y
Interfaz recuperación
Importar y Otros
exportar sistemas
Confidencialidad e integridad
Portabilidad
Lenguaje estructurado de
consulta
11. Ejemplo: Diccionario de Datos
• Modulo De Clientes (Índice)
• Este modulo cuenta con las opciones de inclusión, bajas, consulta y
modificar. Los campos que maneja son los siguientes:
• Código
• Nombre
• Dirección
• Ciudad
• Estado
• Código Postal
• Ultima compra
• Situación
• Teléfono y clave lada
• RFC
12. • Pantalla General De Los Módulos
Para el sistema informático que se
presenta, se tuvo que seleccionar un lenguaje
que permitiera trabajar bajo ambiente
Windows,
13. administrador personal de
asignar soporte
Llaves servidor de
archivos
robo de tarjetas chips
El servidor de Asegurado o a la computadora
archivos LAN
Revisión LAN’S
Extintores de
Incendio electricidad
estática Alfombra
controles
subidas de protector
voltaje
Aire control de suministro de Especificaciones del
Protección acondicionado humedad energía fabricante
libre de polvo, humo y
otros objetos (alimentos)
Disquetes y cintas de daño
seguridad ambiente
efectos de campo
magnético
Acceso
remoto Solo una
Prohibido persona
14. Canales ocultos
es un cauce de comunicación que
permite a un proceso receptor y a un
emisor intercambiar información de
forma que viole la política de seguridad
del sistema
Caballos de Troya
Troya actual es un programa que aparentemente
realiza una función útil para quién lo ejecuta, pero
que en realidad - o aparte - realiza una función que
el usuario desconoce, generalmente dañina
15. Manual de operación y documentación del
LAN
base de
Acceso autorizada saber/hacer
por escrito
controles admón de
Entrevista con conocimiento confidencialidad
Revisión usuarios seguridad
LAN’S
periodo de
Sesión de ingreso automáticamente inactividad
contraseñas únicas cambiarlas
usuarios encriptadas periódicamente.
16. acceso a las aplicaciones
Las personas
procesadores de transacciones
conjunto de datos autorizados
una persona autorizada con
autorización de seguridad
control general de red
Revisiones Control Encripción en red para datos sensitivos
Operativo de Redes
Implementación de políticas y
procedimientos de seguridad
Desarrollo de planes de prueba , conversión y
aceptación para red
procesamiento de datos distribuido en la
organización
Redes de procesamiento que asegure la consistencia con las
leyes y reglamentos de transmisión de datos
17. Restringir el acceso a bibliotecas de
Operaciones de archivos, datos , documentación y
computo procedimientos de operación
Restringir la corrección a
programas y problemas de datos
Revisiones de las Limitar acceso a código de fuente
operaciones SI de producción
Elaborar cronograma de trabajos
para procesar
Inventariar el sistema para cintas locales y ubicación
especifica de almacenamiento
Autorización de documentos de
entrada
Control Entrada de
datos Acatar pólizas establecidas
Producción, manteniendo y revisión de reportes de
control
18. Pruebas de software periódicas
Revisiones de las
operaciones SI Operaciones Errores ocultos en el software y
Automatizadas no notificados por el operador.
asistidas
Plan de eventualidad de un desastre
que sea automática
documentados y aprobados
19. Revisar procedimientos operativos o de
para registrar evaluar y procesamiento
resolver problemas
Entrevistas con
operadores de SI
Registro de desempeño
Causas- Problemas registrados
Revisión Reporte para buscar solución
de Problemas
por la gerencia
prevenir la
repetición
A su debido
tiempo
20. registro de problemas
plan de monitoreo
desempeño de
hardware cronograma de
procesamiento
Revisiones
Disponibilidad
Hardware y Reporte
frecuencia del reportes contabilidad
de utilización mantenimiento de trabajos
reportes validez del
proceso
21. Aplicación programas, fecha de Registro de consola para
entrada, tiempo de preparación verificar trabajos
datos, tiempo procesamiento, fechas salida programados
terminados
Prioridades de
Aplicaciones criticas procesamiento de la
haber escasez de aplicación
recurso /capacidad
Revisión de Cronograma
volumen de trabajo y Elaboración de
del personal Cantidad de personal cronogramas para
asignado en turno soporta requerimientos de
la carga de trabajo servicio
Programa diario de
trabajos baja prioridad
final turno pasar al
planificador de trabajos
trabajos terminados y
motivos de no terminar
23. Alteraciones de la información antes
de ingresar al sistema
Puede suceder porque al
momento de elaborar los
documentos fuentes,
consignan información que
no corresponde a la
realidad.
Incluir documentos que no forman
parte de la información que se esta
procesando.
24. MODIFICACIONES AL CAPTURAR
LA INFORMACION
RIESGO DE ERROR DIGITACION DE LA INFORMACION
Error humano.
•Falta de controles en los programas.
•Malas intenciones de las personas que participan en los procesos.
25. PUERTAS TRAMPA
En este tipo de fraude, se utiliza el sistema operacional para
entrar por puntos vulnerables de los programas y modificar la
información.
LAS ESCOBILLAS
Pretende conseguir información de cierto grado de privacidad
para hacer espionaje o cometer ilícitos.