Download - Enfoque de auditoria veru y feibert
![Page 1: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/1.jpg)
AUDITORIA DE SISTEMAS
LUIS GONZALO PRADO
VERUSKA MUÑOZ RAMÍREZFEIBERT ALIRIO GUZMÁN PÉREZ
AUDITORÍA A LAS APLICACIONES EN FUNCIONAMIENTO
VILLAVICENCIO2012
CORPORACIÓN UNIVERSITARIA REMINGTON
![Page 2: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/2.jpg)
Auditar consiste principalmente en estudiar los mecanismos de controlque están implantados en una empresa u organización, determinando silos mismos son adecuados y cumplen unos determinados objetivos oestrategias, estableciendo los cambios que se deberían realizar para laconsecución de los mismos.
La auditoría permite verificar si se están aplicando las medidasde control más apropiadas para la salvaguarda e integridad de lainformación y de los sistemas en prevención de riesgos de fraude,pérdida, manipulación, fallos de servicio, etc
AUDITORÍA
![Page 3: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/3.jpg)
AUDITORÍA A LAS APLICACIONES EN
FUNCIONAMIENTO
ENFOQUES
Auditoría alrededor del computador
Auditoría a través del
computador
Auditoría con el computador
![Page 4: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/4.jpg)
OBJETIVOS DE LOS ENFOQUES
Auditoría alrededor del computador
* Verificar la segregación de funciones
* Asegurar que los datos enviados al proceso estén debidamente autorizados.
* Comprobar que los datos autorizados sean procesados.
* Asegurar que los procesos se hagan con exactitud
* Verificar las pistas de auditoría.
* Asegurar que los procesos se hagan con exactitud
* Verificar las pistas de auditoría
Auditoría a través del computador
* Asegurar que los programas cumplan con las necesidades de los usuarios.
* Verificar las modificaciones autorizadas.
* Comprobar que no existan rutinas fraudulentas.
* Asegurar los programas autorizados.
* Verificar la existencia de los controles en los programas.
* Comprobar que los datos sean validados antes de ser procesados.
Auditoría con el computador
* Examinar los archivos a niveles detallados.
* Verificar la existencia de controles que garanticen la protección de datos.
* Verificar la existencia de controles que garanticen la confiabilidad de la información.
* Hacer proyecciones con cambios de alternativas.
![Page 5: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/5.jpg)
• AUDITORIA
DE
SISTEMAS
Es una disciplina encargada de
aplicar un conjunto de técnicas y
procedimientos con el fin de evaluar
la seguridad, confiabilidad y
eficiencia de los sistemas de
información.
Adicionalmente se encarga de evaluar la
seguridad en los departamentos de
sistemas, la eficiencia de los procesos
administrativos y la privacidad de la
información.
![Page 6: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/6.jpg)
Revisión Hardware
obsolescencia tecnológica
equipo instalado.
Plazo de las Adquisiciones
Preparar cronograma
cambios en configuración de software o Hardware
Solicitudes de adquisición
análisis costo /beneficio
Política de Procedimiento
Uso microcomputadoras
formularios
VerificarDesarrollo y ejecución de
cronogramas
Verificar la documentación
cambios de hardware
Justo a tiempo
![Page 7: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/7.jpg)
Conejos
No dañan al sistema, sino que se limitan a copiarse, generalmente de forma exponencial, hasta que la cantidad de recursos consumidos
(procesador, memoria, disco...) se convierte en una negación de servicio para el sistema afectado.
![Page 8: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/8.jpg)
Revisión sistema
operativo
Mantenimiento
Costo Entrenamiento Servicio técnico
Requerimientos hardware Capacidad
Impacto Seguridad en datos
Implementación
Cambios de software programados.
pruebaProblemas resueltos
Autorizado
Seguridad y control
Datos compartidos
Pistas de auditoria
Documentar
Pruebas del sistema
cambios efectuados al sistema
![Page 9: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/9.jpg)
Superzapping Una utilidad de los antiguosmainframes de IBM que permitía aquién lo ejecutaba pasar por alto todoslos controles de seguridad para realizarcierta tareaadministrativa, presumiblementeurgente, que estos sistemas poseían, o de unallave maestra capaz de abrir todas las puertas.
SALAMI
Se presenta en entidades financieras.
![Page 10: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/10.jpg)
Revisión Base de Datos
Diseño
Entidad
Claves primarias y secundarias
Nombres específicos y coherentes
Tablas
Relación
Índices ,frecuencia de acceso y norma
Acceso Uso correcto de los tipos de
índicesReduzca tiempo
AdministraciónNiveles de Seguridad Usuario y/o grupos
Copias de seguridad y recuperaciónInterfaz
Confidencialidad e integridad
Importar y exportar
Otros sistemas
PortabilidadLenguaje estructurado de
consulta
![Page 11: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/11.jpg)
Ejemplo: Diccionario de Datos
• Modulo De Clientes (Índice)• Este modulo cuenta con las opciones de inclusión, bajas, consulta y
modificar. Los campos que maneja son los siguientes:• Código • Nombre • Dirección • Ciudad • Estado • Código Postal • Ultima compra • Situación • Teléfono y clave lada • RFC
![Page 12: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/12.jpg)
• Pantalla General De Los Módulos
Para el sistema informático que se presenta, se tuvo que seleccionar un lenguaje que permitiera trabajar bajo ambienteWindows,
![Page 13: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/13.jpg)
Revisión LAN’S
controles
Llaves servidor de archivos
asignaradministrador personal de
soporte
El servidor de archivos LAN
Asegurado robo de tarjetas chips
o a la computadora
Extintores de Incendio
Protección
electricidad estática Alfombra
subidas de voltaje
protector
Aire acondicionado
control de humedad
suministro de energía
Especificaciones del fabricante
libre de polvo, humo y otros objetos (alimentos)
Disquetes y cintas de seguridad
daño ambiente
efectos de campo magnético
Acceso remoto
ProhibidoSolo una persona
![Page 14: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/14.jpg)
Canales ocultoses un cauce de comunicación que
permite a un proceso receptor y a un emisor intercambiar información de
forma que viole la política de seguridad del sistema
Caballos de Troya
Troya actual es un programa que aparentemente
realiza una función útil para quién lo ejecuta, pero
que en realidad - o aparte - realiza una función que
el usuario desconoce, generalmente dañina
![Page 15: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/15.jpg)
Revisión LAN’S
controles
Manual de operación y documentación del LAN
Acceso autorizada por escrito
base de saber/hacer
Entrevista con usuarios
conocimiento admón de seguridad
confidencialidad
Sesión de ingreso automáticamenteperiodo de inactividad
usuarioscontraseñas únicas
encriptadas
cambiarlas periódicamente.
![Page 16: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/16.jpg)
Revisiones Control Operativo de Redes
Las personas
acceso a las aplicaciones
procesadores de transacciones
conjunto de datos autorizados
una persona autorizada con control general de red
autorización de seguridad
Encripción en red para datos sensitivos
Implementación de políticas y procedimientos de seguridad
Desarrollo de planes de prueba , conversión y aceptación para red
procesamiento de datos distribuido en la organización
Redes de procesamiento que asegure la consistencia con las leyes y reglamentos de transmisión de datos
![Page 17: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/17.jpg)
Revisiones de las operaciones SI
Operaciones de computo
Restringir el acceso a bibliotecas de archivos, datos , documentación y
procedimientos de operación
Restringir la corrección a programas y problemas de datos
Limitar acceso a código de fuente de producción
Elaborar cronograma de trabajos para procesar
Inventariar el sistema para cintas locales y ubicación especifica de almacenamiento
Control Entrada de datos
Autorización de documentos de entrada
Acatar pólizas establecidas
Producción, manteniendo y revisión de reportes de control
![Page 18: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/18.jpg)
Revisiones de las operaciones SI Operaciones
Automatizadas no asistidas
Pruebas de software periódicas
Errores ocultos en el software y notificados por el operador.
Plan de eventualidad de un desastre que sea automática
documentados y aprobados
![Page 19: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/19.jpg)
Revisión Reporte de Problemas por la gerencia
Entrevistas con operadores de SI
Revisar procedimientos para registrar evaluar y
resolver problemas
operativos o de procesamiento
Registro de desempeño
Causas- Problemas registrados para buscar solución
prevenir la repetición
A su debido tiempo
![Page 20: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/20.jpg)
Revisiones Disponibilidad
Hardware y Reporte de utilización
plan de monitoreo desempeño de
hardware
registro de problemas
cronograma de procesamiento
frecuencia del mantenimiento
reportes contabilidad de trabajos
reportes validez del proceso
![Page 21: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/21.jpg)
Revisión de Cronograma volumen de trabajo y
del personal
Aplicación programas, fecha de entrada, tiempo de preparación
datos, tiempo procesamiento, fechas salida
Registro de consola para verificar trabajos
programados terminados
Prioridades de procesamiento de la
aplicaciónAplicaciones criticas
haber escasez de recurso /capacidad
Elaboración de cronogramas para requerimientos de
servicio
Cantidad de personal asignado en turno soporta
la carga de trabajo
Programa diario de trabajos baja prioridad
final turno pasar al planificador de trabajos
trabajos terminados y motivos de no terminar
![Page 22: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/22.jpg)
FRAUDE
POR COMPUTADOR
![Page 23: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/23.jpg)
Alteraciones de la información antes de ingresar al sistema
Puede suceder porque al momento de elaborar los
documentos fuentes, consignan información que
no corresponde a la realidad.
Incluir documentos que no forman parte de la información que se esta
procesando.
![Page 24: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/24.jpg)
MODIFICACIONES AL CAPTURAR LA INFORMACION
RIESGO DE ERROR DIGITACION DE LA INFORMACION
Error humano.
•Falta de controles en los programas.
•Malas intenciones de las personas que participan en los procesos.
![Page 25: Enfoque de auditoria veru y feibert](https://reader034.vdocuments.mx/reader034/viewer/2022052304/5599229b1a28ab2f5e8b45ff/html5/thumbnails/25.jpg)
PUERTAS TRAMPA
En este tipo de fraude, se utiliza el sistema operacional paraentrar por puntos vulnerables de los programas y modificar lainformación.
LAS ESCOBILLAS
Pretende conseguir información de cierto grado de privacidadpara hacer espionaje o cometer ilícitos.