lunes, 18 de abril de 2016

Herramientas y Técnicas de Auditoria de Sistemas



Auditoria Informática:
Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información:

·         Salvaguarda el activo empresarial,
·         Mantiene la integridad de los datos,
·         Lleva a cabo eficazmente los fines de la organización,
·         Utiliza eficientemente los recursos,
·         Y cumple con las leyes y regulaciones establecidas.

Objetivos: los objetivos de la auditoria informática son:

·         El control de la función informática,
·         El análisis de la eficiencia de los sistemas informáticos,
·         La verificación del cumplimiento de la Normativa en este ámbito,
·         La revisión de la eficaz gestión de los recursos informáticos.

Cuestionarios: Las auditorias informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos.
El trabajo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.
Se suele solicitar la complementación,  de cuestionarios que se envían a las personas concretas que el auditor cree adecuadas.
Estos cuestionarios deben ser específicos para cada situación y muy cuidados en su fondo y su forma.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medio la información que aquellos pre-impresos hubieran proporcionado.


Entrevistas: el auditor comienza a continuación las relaciones personales con el auditado.
La entrevista es una de las actividades personales más importantes del auditor, recoge más información, y mejor matizada, que la proporcionada por medios propios
Puramente técnicos o por las respuestas escritas a cuestionarios.
Interrogatorio, es lo que hace un auditor, interroga y se interroga a sí mismo.

Checklist: tener claro lo que se necesita saber, y por qué.
Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior.


Trazas y/o Huellas: Con frecuencia, el auditor debe verificar que los programas, tanto de los sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos software muy potente y modular que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.


Herramientas De Seguridad

Nmap

Nessus

John the Ripper

Nikto

Wireshark

NetStumbler

Metasploit 

 














Publicado por en No hay comentarios:

martes, 12 de abril de 2016

INFORMES DE AUDITORIA DE SISTEMAS COMPUTACIONALES



El procedimiento para elaborar dicho informe se compone de:


Características del informe de auditoría de sistemas computacionales: En la redacción del informe, el auditor señala los resultados de su investigación, sus evaluaciones, hallazgos, aportaciones y conclusiones sobre el trabajo realizado, también señala las técnicas, herramientas, métodos y procedimientos que utilizo en la obtención de datos, las observaciones, interpretaciones de los fenómenos y hechos evaluados que le sirvieron de sustento en la elaboración del documento de situaciones encontradas o relevantes que informa, así como todas las demás aportaciones con las cuales da su sello personal al informe presentado.

Características fundamentales: Se pueden identificar dos características fundamentales en los informes de auditoría de sistemas, las cuales siempre se refieren al contenido del informe y a la forma de presentarlo, dichas características son las siguientes:
  1. Características de fondo: se refiere al cuidado que debe tener el auditor de sistemas al revisar que el contenido total del dictamen de auditoria sea acorde con lo que realmente tiene que señalar acerca de la revisión efectuada.
  2.  Características de forma: Se refiere a la manera en que el auditor debe presentar el informe, en cuanto al estilo de redacción, el contenido en partes, apartados, apéndices, tipo y tamaño de las hojas y el tipo de letra; también en lo relativo a la forma de utilizar la redacción, ortografía, sintaxis, gramática y demás componentes del lenguaje, y en sí de todo lo relacionado con la presentación del documento.
  3. Características de la presentación del informe: se deberá toma en cuenta las características siguientes para la buena presentación de dicho informe:
  •   Claridad
  •   Confiabilidad
  •   Exactitud
  •   Imparcialidad
  •   Objetividad
  •   Familiaridad
  •   Congruencia
  •   Efectividad
  •  Oportunidad
  •   Precisión
  •   Sintaxis 




Publicado por en No hay comentarios:

miércoles, 6 de abril de 2016

Metodologia de Auditoria de Sistemas


METODOLOGIAS DE AUDITORIA DE SISTEMAS

Existen algunas metodologías de Auditorias de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:
  •         Estudio preliminar
  •         Revisión y evaluación de controles y seguridades.
  •        Examen detallado de áreas criticas
  •    Comunicación de resultados


Estudio Preliminar: incluye definir el grupo de trabajo, el Programa de Auditoria, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos.

Revisión y Evaluación de Controles y seguridades: consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, revisión de procesos históricos (backups), revisión de documentación y archivos entre otras actividades.

Examen detallado de áreas críticas: con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance recursos que usara, definirá la metodología de trabajo, la duración de la Auditoria, Presentara el plan de trabajo y analizara detalladamente cada problema encontrado.

Comunicación de Resultado: Se elaborad el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoria.

El informe debe contener lo siguiente:

  •     Motivos de la Auditoria
  •     Objetivos
  •         Alcance
  •         Estructura Orgánico-funcional del área informática
  •         Configuración del Hardware y Software instalado
  •         Control Interno
  •         Resultados de la Auditoria.






















Publicado por en 1 comentario:
Suscribirse a: Entradas (Atom)