Herramientas Para Auditoria de SI
-
Upload
claumerrom -
Category
Documents
-
view
50 -
download
0
Transcript of Herramientas Para Auditoria de SI
![Page 1: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/1.jpg)
UNIVERSIDAD CIENTIFICA DEL UNIVERSIDAD CIENTIFICA DEL PERUPERU
Trabajo Práctico de Auditoria de Trabajo Práctico de Auditoria de SistemasSistemas
Integrantes:Integrantes:RIOS RIOS, EdgardRIOS RIOS, Edgard
PEZO VILLACORTA, Augusto PEZO VILLACORTA, Augusto MANUYAMA CUBAS, Luigi MANUYAMA CUBAS, Luigi
![Page 2: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/2.jpg)
INTRODUCCIÓN INTRODUCCIÓN Las herramientas por evolución, innovación, Las herramientas por evolución, innovación,
complejidad y especialización han tomado complejidad y especialización han tomado parte a lo largo de la historiaparte a lo largo de la historia
En la antigüedad el hombre se ha valido de En la antigüedad el hombre se ha valido de herramientas los cuales fueron utiles para su herramientas los cuales fueron utiles para su supervivencia.supervivencia.
Las herramientas pueden ser especificas, Las herramientas pueden ser especificas, sustitutivas o multipropósito.sustitutivas o multipropósito.
Pero la mejor performance se obtiene si Pero la mejor performance se obtiene si usamos las de tipo especificas usamos las de tipo especificas
![Page 3: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/3.jpg)
INTRODUCCIÓN INTRODUCCIÓN El Auditor de Sistemas de Información y de
Tecnologías de la Información y las Comunicaciones (ASITIC) es el que escoge el tipo de herramientas a utilizar
No existe la herramienta perfecta, optima; todo va depender del enfoque especifico con el que se va a enfrentar su uso.
Toda herramienta tiene sus ventajas e inconvenientes.
![Page 4: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/4.jpg)
IMPORTANCIAIMPORTANCIA Las herramientas SITIC hacen viable,
llevadera y económica la auditoria de ciertos objetos o campos a auditar
en un mundo plegado de dudas, sospechas y quejas sobre la auditoria, hacer posibles o simplificar ciertas comprobaciones es de una gran trascendencia
![Page 5: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/5.jpg)
TIPOSTIPOS A continuación tenemos varias herramientas
según los siguientes aspectos:
1. Procedencia
2. Función
3. Uso o propósito
4. Ubicación
5. Productividad
6. Cobertura
![Page 6: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/6.jpg)
1-HERRAMIENTAS DE AUDITORIA 1-HERRAMIENTAS DE AUDITORIA SEGÚN SU PROCEDENCIASEGÚN SU PROCEDENCIA
Según sus diversos conocimientos y habilidades los ASITIC con habilidades informáticas pueden recurrir a utilizar:
Herramientas del entorno adquisición-construcción
Herramientas de prueba(ITF: empresa falsa)
Herramientas del entorno explotación-operación
Herramientas del SW de Sistema(SO, SW de red)
Utilidades
Herramientas de Internet(hacking ético)
![Page 7: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/7.jpg)
Herramientas del entorno adquisicion-construccionHerramientas del entorno adquisicion-construccion
Los sistemas de informacion han sido Los sistemas de informacion han sido construidos con leguajes de programacion, construidos con leguajes de programacion, analizadores de path, por lo tanto con estas analizadores de path, por lo tanto con estas mismas herramientas se pueden auditar mismas herramientas se pueden auditar dichos sistemasdichos sistemas
![Page 8: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/8.jpg)
Herramientas de pruebaHerramientas de prueba
Estas herramientas son utilizadas como Estas herramientas son utilizadas como mecanismos de vigilancia auditoria mecanismos de vigilancia auditoria continuada(en especial las ITF)continuada(en especial las ITF)
![Page 9: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/9.jpg)
Herramientas del entorno explotacion-operacionHerramientas del entorno explotacion-operacion
En el entorno explotacion.operacion estan En el entorno explotacion.operacion estan los datos vivos, los cuales tenemos acceso a los datos vivos, los cuales tenemos acceso a través de los ASITIC. Este tipo de acceso través de los ASITIC. Este tipo de acceso debe ser controlado y supervisado, pues el debe ser controlado y supervisado, pues el riesgo de acceso de un intruso es muy altoriesgo de acceso de un intruso es muy alto
![Page 10: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/10.jpg)
Herramientas del SW de SistemaHerramientas del SW de Sistema
El ASITIC es capaz de lograr acceso El ASITIC es capaz de lograr acceso privilegiado al Sistema operativo, software privilegiado al Sistema operativo, software de red, etc., su capacidad de explotación es de red, etc., su capacidad de explotación es enormeenorme
La complejidad del acceso es directamente La complejidad del acceso es directamente proporcional a su criticidad, ya que las proporcional a su criticidad, ya que las herramientas del sistema se ejecutan en herramientas del sistema se ejecutan en modo privilegiadomodo privilegiado
![Page 11: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/11.jpg)
Utilidades Utilidades
Son herramientas potentes fundamentalmente Son herramientas potentes fundamentalmente en la extracción de datos, pero no cualquiera en la extracción de datos, pero no cualquiera debe usar esta herramienta.debe usar esta herramienta.
![Page 12: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/12.jpg)
Herramientas de TCP/IP e InternetHerramientas de TCP/IP e Internet
Esta herrameinta tiene que ver con los Esta herrameinta tiene que ver con los hacking y crackers; sean buenos o malos, hacking y crackers; sean buenos o malos, blancos-eticosblancos-eticos
Los crackers sin tener grandes Los crackers sin tener grandes conocimientos en sistemas de informacion, conocimientos en sistemas de informacion, son muy habiles en cuanto a la generacion son muy habiles en cuanto a la generacion de malwares y capaces de crear en tiempo de malwares y capaces de crear en tiempo record pequeños programas capaces de record pequeños programas capaces de buscar y atacar sistemasbuscar y atacar sistemas
![Page 13: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/13.jpg)
2-HERRAMIENTAS DE AUDITORIA 2-HERRAMIENTAS DE AUDITORIA SEGÚN SU FUNCIÓNSEGÚN SU FUNCIÓN
La auditoria es una actividad profesional tan amplia y compleja, por lo tanto su uso es de acuerdo a lo siguiente:
Captura de datos
Análisis de datos
Combinaciones de captura y análisis
![Page 14: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/14.jpg)
Captura de datosCaptura de datos
Aquí se recoge información, se captura Aquí se recoge información, se captura datos, éstos serán analizados, interpretados, datos, éstos serán analizados, interpretados, los cuales funcionaran como disparadores , los cuales funcionaran como disparadores , desencadenantes de acciones en una fase desencadenantes de acciones en una fase superior o simultánea superior o simultánea
![Page 15: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/15.jpg)
MuestrasMuestras
Nos va servir para sacar muestras de una Nos va servir para sacar muestras de una población de datos . Es una técnica población de datos . Es una técnica estadística muy útil lo cual nos facilitara el estadística muy útil lo cual nos facilitara el trabajo.trabajo.
Las herramientas para obtener muestras Las herramientas para obtener muestras pueden ser de procedencia , naturaleza, pueden ser de procedencia , naturaleza, complejidad o ubicación muy diversacomplejidad o ubicación muy diversa
![Page 16: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/16.jpg)
3-HERRAMIENTAS DE AUDITORIA 3-HERRAMIENTAS DE AUDITORIA SEGÚN SU USO O PROPOSITOSEGÚN SU USO O PROPOSITO
Las herramientas de Auditoria pueden usarse para:
Auditoria SITIC
Otros usos, sean legítimos o ilegítimos
![Page 17: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/17.jpg)
Otras auditoriasOtras auditorias
Aquí vemos a las auditorias internas o Aquí vemos a las auditorias internas o externas, auditoria operativa, de cuentas, externas, auditoria operativa, de cuentas, auditoria ISO 9001, 2000, 27001 Y 14000, auditoria ISO 9001, 2000, 27001 Y 14000, muy aparte del control del supervisor o muy aparte del control del supervisor o directivodirectivo
![Page 18: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/18.jpg)
Otros usosOtros usos
Como por ejemplo:Como por ejemplo: Legítimos; pero ajenos a la auditoriaLegítimos; pero ajenos a la auditoria Ilegítimos; realizados por empresas Ilegítimos; realizados por empresas
aparentemente correctas, o los comúnmente aparentemente correctas, o los comúnmente llamados malwarellamados malware
![Page 19: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/19.jpg)
4-HERRAMIENTAS DE AUDITORIA 4-HERRAMIENTAS DE AUDITORIA SEGÚN SU UBICACIONSEGÚN SU UBICACION
Trata las herramientas de auditoria en función de su ubicación o integración mayor o menor en las aplicaciones o sistemas auditados.
Se clasifica en dos categorias:
Embebidas, como módulo de una aplicación o sistema
Exentas, interactuando sincrónicamente o no, con elementos de una aplicación o sistema
![Page 20: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/20.jpg)
Herramientas embebidasHerramientas embebidas
Se trata por lo general de herramientas Se trata por lo general de herramientas construidas o adquiridas ya sea por la orden construidas o adquiridas ya sea por la orden de un ASITIC o por el buen hacer de los de un ASITIC o por el buen hacer de los desarrolladoresdesarrolladores
![Page 21: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/21.jpg)
Herramientas Intrusivas y no IntrusivasHerramientas Intrusivas y no Intrusivas
Intrusivas; éstos insertan en el sistema Intrusivas; éstos insertan en el sistema algun servicio para generar logs.algun servicio para generar logs.
No Intrusivas; estos solo se limitan a leer y No Intrusivas; estos solo se limitan a leer y procesarprocesar
![Page 22: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/22.jpg)
5-HERRAMIENTAS DE AUDITORIA 5-HERRAMIENTAS DE AUDITORIA SEGÚN SU PRODUCTIVIDADSEGÚN SU PRODUCTIVIDAD
La naturaleza recurrente, generalmente cíclica de la auditoria y el peso relativo de las labores administrativas y de gestión, aconsejan cautela en la evaluación de herramientas técnicas no integradas o fácilmente integrables en paquetes de gestión
El director ejecutivo de auditoria debe asegurar que los recursos de auditoria interna sean adecuados, suficientes y efectivamente asignados para cumplir con el plan aprobado.
![Page 23: Herramientas Para Auditoria de SI](https://reader035.fdocuments.ec/reader035/viewer/2022062419/55721189497959fc0b8f1ced/html5/thumbnails/23.jpg)
6-HERRAMIENTAS DE AUDITORIA 6-HERRAMIENTAS DE AUDITORIA SEGÚN SU COBERTURASEGÚN SU COBERTURA
Aquí se refiere al alcance, ámbito o cobertura de casos, archivos, registros, etc
Claramente es deseable una gran cobertura coste-eficacia, y a veces se considera necesaria.