Herramientas Para Auditoria de SI

5/10/2018 Herramientas Para Auditoria de SI - slidepdf.com

http://slidepdf.com/reader/full/herramientas-para-auditoria-de-si 1/34

HERRAMfENTAS P'AR,A LA AUDITORIA DE

LOSSI

Manuel Peleo Garcia Suenc

8.1 RESUMEN

L a aud itoria y la auditoria informatica tienen una dernanda cnxi~nte!

crecientes exigencias r d e cobertura y granularidad, EI auditor ' es un I~':Y;~i

limitado, escaso, relativamente care.

Hay gran varledad de herram ientas de auditorla --nllis 'I} ~

elementales 0 s of is tic adas , e sp ec ia liz adas 0 multip ropo siro , a is la da s O c tntegr~~~

que el auditor puede utilizer para posibilitar/facilitar su tsrea, Illejo clmdro ~ ,

p roductiv id ad , a umcn tando =-si c ou vicn e-c - la co bertu ra de su estudio, rWu'Cimdo

e t rie sg ole rro r~ c on rn ayore s posibilldades de uutolUtltizad6n1ult-tQnl:cior.;.

E sa gran varicdad adrnite m uchos m odes de. cl.asH1tadun. EI1~ l~tip;~s,

p rin cip ales cab e d esta car las herramientus "ern bc bid as'' (EAM ). hkS"'\1trtk~.(llei •

g t'S ti6 n (d e la uudito ria )" , Iu s GAT (CAAT -cuyos referentes son U1EA tACL ....Ja~muchas de hacking cticoy lo s de compliance. , ,,',.'" ' ,

.:', ::;: , 5- ~

Las hcrram ientas descritas cn"d p a I T d 1 0 :tinttJ,~'~eOlf'tZ~~aproximadamentecon las que Gartner recoge.en.su e$tl,~.nllde·,m~~~u,d~.G'R(:



206 AU DlTO RiA D E TECNOLOGiAS Y SISTEMAS D E INFORJl.1AC10N~~~~~~~~~~~~~~------------------~

(Governance, Risk and Compliances de 2 006 92 . Dicho informe vaticina lin CA

(Compound Annual Growth Rate, Tasa Cornpensada de Crecimiento Anu al) ~ ~

23.8% en e l p e riodo 2005-20 1 0. e

Aparte de esc vertig inoso crecim iento cuantitativo,' deb e esperarse

tendencia hacia m a s herramientas embebidas, automaticas, integradas C o n CA~~a

haciendo tcleauditoria; con m ayor cobertura ym enor granularidad, en tiempo real ~periodos cad a vez m as cortos.

,8.2 INTRODUCCION

8.2.1 Herramientas, maquinas, sistemas, demonios

La voz "herram ientas" que titu la este capitu lo debe entenderse en un

sentido tan vago camp 10 entienden lo s diccionarios generales.

1 . f. In strum en to , p or 1 0 comun de hierro a accro, con que trabajan losartesanos.

2 . f. Conjunto de e sto s in str umen to s. P

1 a: a handheld device that aids in accompllshino a task b

(I) .' the cutting or shaping part in a machine or machine tool.

(2) : a m ach in e fo: sh ap in g J ue ((1 1.94

. Las herram ientas -par cvolucion, innavaci6n, complejidad Y

"~~especializaci6n- se han tr an sf orm ado en el continuo ' Im as b ien ; popurri) d e

nforme GOOl44520 d e 29 de n o vie rn brc d e 2 00 6:

. , ga rt ncL com /i tJ con tc nt J4 983 00/ 498 33 4 /r is k_ re sc ar ch .p d f

; IUlp:l lhuscon. rac .csJdrncI lSrvltConsul ta?TJPO _BUS=3&LEMA =hcrrnmicntl1

. cr riam-Wcbstcr: ht lp:IJwww.m-w.comJdictioimry/tool

" . ' " " ... ,.'



I~ - - - - - - - - - - - - C _ A _ P I _ · T _ U _ L _ O ~ 8 ~ , ] ~ - r = E ~ R r ~ t A ~. .~ I I ~ I E ~ ' N ~ T ~ A ~ S ~ I ' ~ A ~ R ~ A ~ L ~ A ~ A ~ U ~ I ~ ) J ~ T ~ O ~ R ~ f A ~ D ~ E ! L 2 0 ~ S ~ S J ~ 2 ~ . O ~ 7

"artefacta~ te,c~o16g.i~os~'de ~que ~os ,servim o~ para hacer (entre otras cosas)e stfO tr . .b ajo : herrarn ientas - lndqumas - SIstemas - demonios _ .. .. _

nu '" . . .. aranasequipos. Denotnmare genencamente a todos cstos "herrmnientas".

Auuque yo 110 estaba alii -_pesc a la creencia de algunos colegas- tengo

enlendido que :1 . hombre se ha ~ahdo de h erram ie nta s (c asc an uec es, ra sc ad ores)

desde el Palcolitico, haee 2 ,5 millones de aii0595, Previa y concurrentemente han

usado hen'amientas pa~a ayudars e en su activ idad los cuervos", nutrias", simiosprim ates Y grandes snm os (orangutan , gorila, chirnpance, adem a s d el h omb re )" ,

Par 1 0 que no tiene mucho de particular que tambien las u sern os alg un os

Auditores de S istemas de Inform acion y Tecnologias de la Inform acion y la s

C om unicacianes (A uditores de SIT [C , A SlT IC ).

C uando se hab la de herram ientas (no s6 1 0 de ASIT IC ) hay que tener m uy

presente el "principia ternario" esquernatizado en la figura 8.1 , pero

rrecuentem ente conculcado . E l ASIT IC escoge la herrarnienta, en funci6 n dela

disponib ilidad de la m isma, de la adecuaci6 n de esta al ob jeto (ob jetivo y entomo)

de la auditoria y del conocim iento-hab llldar] del auditor con ella ,

8.2.2 Herramientas especificas, substitutivas y multlproprislto

-L as herrarn ientas suelen ser especificas, pueden ser sustitu tivas (com o dijo

el b ru to : "tarnb ien un Stradivarius puede servir de m aza") e incluso ser

multiproposito (l,quien no ha tenido 0 en vid iad o u na n av aja swiss army?).

Sin embargo, generalm ente, el m ejor coste-eficiencia se ob tiene con

herramientas especificas, no multiprop6 sito . Salvo , claro esta, que los costes de

fo rm a ci6 n, su fre cu en cia e in tensidad de lISO y el propio coste directq de cada

herram ienra aconsejen una multiproposito.

Los gran des m aestros y 105 artesanos de pro , tradicionalmente, handedicado la m ayoria de su tiem po con sus aprendices a: 1 ) evitar que se dafiaran con

91 hlfp:llcn,wikipedia.orgfwiki/Paleolilhic

% . .

La fam iiia d e los CUcr\'os (Corvidac), hltp:llcll,wikipedia,org/wiki/Corvidae

~'EsPcCjalll1cnlcla nutr ia mari na (EnhYd ra l ut ri s) . hUP:!f t:n .wiki~Cdi~,org/ \~iki/SCa_O\ler .

~hUp;J /cn \ '; I 'k l 'p d i ~I i k i . r' , e 13,or!:lwl'l(foo

X" , ..



208 AU DtTO RIA D E TECNO LO GiAS Y SISTEMAS D r: INFORMACION

l as he rramientas y ii) evitar que dafiaran la ob ra con las herram ientas, Q u e p r i m " bI. , u a

mas no esta suficienternente docum entado. En ella quiercaso, el ob jetivo er. . . . a

ensenarles una tecnica; porque una herram ienta sin tecruca es com o un ordenadors in s of twa re .

---_/

-:.~~

El obieto ~(objetlvo y entornoj/

,

.:' - - - - - d - e - t e - r - m - in a I a \

herramientaen funcion deobjeto y su

I dominic de

I\,---h~~m_~nt~

'\,J.~~

[

debe'dom.inau'(metodologia)

la herramienta,-, (no al reves)---"'--~--,_., . . . .----......_.I sujeto

(quien la usa)

~ "

~ /

Figura 8.1. Principio ternario de las herramientas

8.2.3 La herrarnienta "perfecta"

No existe la h erram ienta "perfecta", "optima". Depende del cristal con q u e

sc m ire: depende de cada enfoqueespecifico con el que se enfrente su USD .

Toda herrarnienta tiene sus ventajas e inconven ien tes, posib ilidades Y

limitaciones, f0I111aS de usa norm ales y excepcionales.

l a sLos grandcs artistas y cientificos, en ocasiones, han L lsado /usan

herram ientas de m od o anorm al, con resultados revolucionarios 99 y 100 .

"'IMarie y P ierre C urie. "B ut M arie lost n early 2 0 p ou nd s w hile d oin g h er d octo ral rese arc h, a nd P it:rT C\ ' i 1 > . O ! : C J '

e xh au ste da nd in p ain ,' hl tp:Jlwww.nip;org/hisloryicurie/brierJ03 _ ra di um / ra di um_ 4 .h tm l .

, , , ' t n " q u e , ' "

1 00 P or ejcrn plo , e l P rof. Jose Ma ria U re na frances, de In lJ C LM , p ub lic () en 19S1 lInl'lodes\(~ art[:u~ ~ A r J O 'docum entab a un uso revolucionario de D EL PH I (la conocidatecnien de couvergencia prospC(tlva d\; ,"



i ' RA·MA- CAPil1JLO 8, H ER RA i\1 [EN TA S PA RA LA A UD ITO RiA DE LOS SI209

8.2.4 Herramientas de Auditoria (solamente) SITIC

Aunque el titu lo del cap itulo reza "Herramientas de Auditoria", voy a

intentar cefiirm e a las de A udito ria SIT IC .

Aunque este sera lin em pefio m eram ente form al, ya que la Audito ria SITfC

iiene mucho de cornun con otras Auditorias (Fiuanciera, Operativa, d e P ro ce so s,

e tc .) [v er 8.5.2], y mas que 10 tendr a, con el inexorable tsunami de la i nf ormat ic a.

(A lg ill1 lector reco rdara qu iza la exp resion "au ditar en to rno al ordcn ador")'? ',

N o se puede ignorar la que parece irreversib le ten dencia a la "in tegracio nd· . ,.10) (v e I fi 8)de la au itoria" - vease a rgura .2 .

8.2.5 Enfoque de este capitulo

A I redactar este capitulo m e cab ia la operon de optar en tre el sen tido

estricto de las "herram ientas especializadas de auditoria inform atica" (C AA T, para

ser mas estrictos -tratadas mas adelante-) U optar par una presentaci6 n en sen tido

lata (todas las herrarnientas usadas frecuentemente por los ASITIC y otros

auditores).

AI considerar que este capitu lo, en el contexto del lib ro, es la (m ica

cob ertura de estos ternas, y par tanto no puede -PO' su extension prcvista+- pasar

de ser una intrcduccion, m e he inclinado por presentar toda la panoplia.,t~

It~I

[

!l

~

tI'

ti.

r <~ . 1 0 1 .

" . :, ., . h llp:JI"" I s J . I .?) I . & - -01.E 2'U 8 0019Ca··udl · t .LA-und+lhc+computer '%E2%80%9D&bti lG;;: iSuScar&· . .. ,y \V , go ogc ,e s c ar cl .l ;eS q-"'Q~;tO ;<0 - :;<UU . ,

t meta=lr%3Dlang_en

t

f.:

i t ':

C orporation) para explorar las d ivcrgencias de los votantes m inor~ larios en ~ucstiones de O rdcnacidn d ;'

Territorio. 1 . M . U rena y M . Palao: "Propuesta de modijicacf(Jll del metoda Delphipara 51 4 USOen la ordenacion

dd territorio ", Revista de Ob r as P u blic as , julio) 981 .

102 h!tpcf/www.theiia,brg/lTAudit i indcx.c fm7act=itaudit .atchi vc&fid0:46

~

1' , · · ·...

~". '

, g..:.. ::. . . . .

jI

http://h%21tpcf/www.theiia,brg/lTAuditiindcx.c

http://h%21tpcf/www.theiia,brg/lTAuditiindcx.c



· - - ' . . : "

'_ i.' :"X_"f._,

.: '. '~?~,~. . . . . · 1

Auditoria

Operatlva. . . . . . . . . . . . . . . ~~,,_ .. ""-~, ,

A.··.d ito r ..las "-\de 'Sistemas V

f " .[.,.] .deGes ron '.

Nucleo cornuncreciente

AudltonaFinanciera .

I"JI~() '1001:XX}() Gu\h6n Cuhdad

ISo :>l(lOl SCl~! liSil.\'.;}

1\0 140C, I 0 Ce\i!(\n Mcdli()ornblonlol

Figura 8.2. Integracion de ia auditorla

8.2.6 Tipos

M e referire, pues, a una gran variedad de herramientas de Aud ito ria SIne.

Las tratare

comprcnsion:

I

segun diversos criterios que creo pueden facilitar s u

• procedencia

• funcion

• usa 0proposito

• ub icacion

• productiv idad. ,

• ' cobertura

', II

I



l'·

.

. .

...

CAPiTULO 8, HERRAMIENTAS PARA LA AtJD lTO RiA D E r.os SI211

Esta r ip if ic ac ion p re tcn de se r in tro du cto ria y util si bien no' es una buena

c3tegorizaci6n (deja solapes y l~~lInas), Para aligerar 'la presen tacion [nten tare

dcsarro lla~ ?ada concep to en OC()SlOn de su p rim era aparicicn, lim itandorne luego ahacer remlSlones a ella.

8.2.7 Importancia

Las herrarnientas de A uditoria srnc _.como he dicho mas arriba de todas

la s he rr am i cn ta s- hacen viable y mas llevadera y cconornica la auditoria de

dertos objetos 0 campos a auditar.

En un m undo plagado de dudas, sospechas, quejas (algunas justificadasJ yescandalos lOJ sab re la auditoria, haeer posibles 0 slmplificar-abarater ciertas

com pro baeiones es d e una gran trascen den cia.

En ello rad ica fundam entalm ente la importancla de las herramientas de

Auditoria SIIIe. En el a pa rta do s ig u ie nte ofrezco algunos datos del m ercado de la s

mas verticales 0 especificas (terminos que -cs de esperar+- quedaran mejor

d elin ea do s m a s a ba jo ).

8.2.7.1 DATOS DE MERCADO

Los datos que propone Gartner (ver notas 92 y 1 29 ) en su esrudio de

mercado de GRe (Governance! Risk and Compliance) de 2006 pueden ser una

buena estim aci6 n de la parte de herram ientas m as cspccificas de las que trato en

este capitulo.

Dichas estimaciones de Gartner para el"gasto to tal en softw are" son del

orden de 500 M USD para 2007 Y de 86 0 M USD para 20 1 0 .

Sab re el m ercado m as especifico y reducido de las CAA T -ymas en

con creto lo s de ACL e fDEA- hay poca in fo rma cio n in dep en die nte (ya que susemprcsas no cotizan en B alsa). S i rccurrirnos a las F uentes de d ichas em presas,

vemos como am bas se declaran lideres en el secto r (siguiente tab la). ID EA parece

h ace rlo d e forma alzo menostriunfalista Y agresivn que ACL. La verdad: cuando se

pub liq ue n d ato s in d~p endie nte s..:~

j- ~_(-

"'; -: '"; . . . . . .

1 ~ IA F lNSA ,E nro n, F o rum F ila iC iic o. P arm a la l, S he l'· O il, WorldCOIll .• ".:.~ • • ' . I

_, :

".- ...;.



, ,.. • j, ' 'S ISTEMAS D E INFORMACi6N2'~12~A~l~.lD~r~ln~f~tll~\!D~E~1~h~tN~O~I~~O~G~A~Sl'~'~·~~~~~~----------I{~.\ •.

- = ~

I·r'· IDE ' , I j'7C 'is the developer and slobot distrib'"Case, at e , .II J.' , Ilfol'

I I dir I I ' analysis software used by accountants, aUe/ito; o fi DEA , tne eo, mg, aa a , , . , 111 " W or ld " rs c l n d

i ~ . I . ,r, . '1'("~1'11saroU!1( U; H,U • Isystems anc.jlI1anclG p ' oJe,~s ", , .

http: / /www.casewarc-idea;com/fsr .asp?surl=/aboutus/com pany . asp

' , 'C,L S ,"e Ltd is th e lea d in g g lo ba l P I , 'o v id e r , o f, Bu '• I "erVlC S <"", ' • S l n e s s

, J -di t c " I io n tro ls professions an d th ' f i "Assurance Analytics to t ie au, I am c 'e lnancial

management comntun i ty .

Our international cus tomer base i nc ludes 70 percent ~)f{he F o r t u n e

500 companies and over two- th irds oj t ,he Global,500, the Big Four publ ic

accounting firms, and hundreds of na t I ona l " slate, and lo~al governments.ACL software solutions are delivered in mul t ip le languages in m ore tha n J 30

countries to over 170,000 licensed us er s through a global ne two rk o j ACL

offices and c h an n el d is tr ib utio n p a rtn e rs ",

ht tp: / /www.acl .com/company/

Tabla 1 . Au to desc r ip c io n d e ID E A y A CL

8.3 HERRAMIENTASDE AUDITORIA SEGUN SUPROCEDENCIA

N o puede sorprender-en un mund o p ostin du stria l, d ig ita l, v irtu al, wired»

"wifed", en el que recurrimos a la in form atica para reservar nuestras vacac iones ~

buscar pareja- que el ASITIC , ademas de eso, recurra a la Inform atica paraayudarse en su trab ajo .

Un num ero irnportante aunque decreciente '" de ASIT fC son profesionales

de 1 a Informatica, por 1 0 que sus opciones de herram ien tas sonvnormalmente.Jasm a s am plias, C om o dijo el escolastico haec casi 8 'siglos: "Outen puede / 0 m a spued e 1 0 m eno s ".

Segun sus diversos conocim ien tos y hab ilidades, los ASIT [C c o n

hab i1 idad es in forrnaticas pueden recurrir a u sar:

lilJ E n E sp afia , g~cias, sob re todo, al creciem e num cro de abogados Y otros profesionalcs n O j n f o m u i l h : O S ~

odgen,que han dccididosuperur el tabu, ' .

'" - .: ;< .':: v

.r

http://www.acl.com/company/

http://www.acl.com/company/



~ ~ } A ~ - - - - ~ - - - - _ C _ A _ p _ i · _ r U _ L _ O _ 8 ~ . ~ H = E ~ R R A ~ _ ~ M ~ I E ~ N ~ T ~ A ~ S ~ P A ~ _ I ~ ~ ~ . - - ~ L A ~ A ~ U ~ D ~ f 1 ~ ' O ~ R ~ f A ~ . ~ D ~ E ~ L O £ S ~

• Herramie ntas d el en to rn o ad qu isici6 n~ co nstru cci6 n

• Herram ientas de prueba (lTF: empresa falsa)105

• Herramie ntas d el en to rn o exp lo ta cj6 n~ op erac i6 n

• Herramientas del SW de Sistenta(SO, SW de red, logs)

Utilidades•

• H erram ientas de Internet (hacking etico)

8.3.1 Herramientas del entornoadquisici6n-construcci6n

C an lenguajes de programacion, debuggers, analizadores de path ... , sc han

construido todos los Sistemas de Informacion, C on las m ism as h erramien tas se

pueden aud ita r dichos sistemas. Cl,Con que productividad?).

8.3.2 Herramientas de prueba

Las herramientas de prueba pue de n c on sid era rse a caballo de lo s en tomos

de adquisicion-construccion y exp lo ta cion -opera cion (man tenir nie nto ).

Las herram ientas de prueba -ymas particularm ente las ITF (Integrated

Test Facililies)I06 [empresas falsas, para pruebas]- pueden usarse, y se usan

ampliamente, c omo mecanismos de vigilancia y auditoria "continuada" [ver mas

adelanto].

8.3.3 Herramientas del entorno explotaci6n-operaci6n

Pero, donde estan los "datos vivos" es en e I -entom o explotacicn-operacion.L a cual puedc explotar el A SITIC que sea capaz de m anejar -yograr acceso a--'

JCL, SMFtlogs, etc. (i,Con que productividad?). Este tipo de. acceso (por

c,~ alq uiera: A SIT IC , ern plea do , in tru so ) debe ser contro lado y sup~~tsado, pues el

ncsgo de im pacto de un acceso intrusive en un entorno de produccion es muy alto.

lei [Gallegos 20041~p. 104.

- . l ll ll hUp:J/~n,wikipcdia;org!wiki/l n t e g r a l e d _ ; _ l e - s t ; . _ f a c i l i l Y

h·· .. :;;.

~~:,;~~(,},, -

<



...~............• ~~

. .~

. .

'_1 4 A .UD .IT OR iA DE TECNOLOGiAS Y . SISTEM AS D H INFORMACI6N o · .~~~~~~~~~~~~~~~~---------------~

8.3.4 Herramientas del SW de Sistema

Aunque, clare, todo esta en ciS? (0 por cncima). Lo que el AS.IT1C c n p a z

de lograr acceso privilcgiado a SO, Software de red, logs, etc, pucde cxplotar e s

enorme.

La com plejidad del acceso cs d ir cc tamen te prop?r?iol~al a su critieidad, y a

que las herram ientas del sistema se ejecutan en m o(~o privilegiado. Por cllo , Y p a r a

evitar un descenso de la productividad de In auditorla, se pucden segrcgar d o s

cnfoques:

• lntentos de intrusion, en modo privilegiado .

• A partir de un usuario auditor con acceso privilegiado de ic ctu ra , se

audita el SW del sistema, (i,Con que p roduc tividad?) .

8.3.4.1 UTILIDADES

Las utilidades (program as de utilidadlutililies) m erecen resefia explicita

Son una potente herram ienta ._ . fundam ental m ente de extraccion de datos= - . p a r a e !

ASITIC de formacion Jnfonnatica, pero sab re todo, son la "bestia negra" d e

cualquier ASITIC. quien debe comprobar que el acceso a utilidades por cl p e r s o n a l

a ud ita do e sta re str in gid o al maximo, y tatalmente trazado, cuando se usan.

8.3.5Herramientas deTCP/IP e Internet

Las herrarnientas de TCP/IP e Internet, lamentablemente, merecerian-de

haecr caso a 1 3 moda- un capitulo del doble de extcnsi6n que este,

M e refiero a las herram ientas para el hacking "blanco" 0 "etico", conceplo

ta n equivoco como invasive y acaparador del propio concepto de auditoria: h o y dla

rnuchas herram icntas, em prcsas y servicios de hacking "etico" se denominan d e"auditoria": proponen laparte coma el todo.

Se sabe que la accion (to hack) y su sujeto (the hacker), cuandose .

empezaron aap l i ca r (en el M assachusetts I nsti tute of Techno logy-MIT -, e n las.

decadas de 1 950 y 1960 ) tenian exc]usivam ente connotaciones favorab les d e

"habilidad", "indagacion" y "vocacion" (incluso "obsesion") por la i n f o n n a t i c - a { Y .

otras tecnologias: previa y destacadam ente,Ja telefonia analogica), -.

• ~.:." P.

y .~

'< ."



~ _ _ - - C _ A _ P l_ T _ U _ L O . , . _ _ ;_ S ': . . . : I . . : . . : I I . : . : . m : . : . . R : : : . . . : A : . : . . : M . : . : n ~ ~ N : 2 .· ~ r l \ ~ S ~ p : : : A ~ . t v ~ \~ J ~ ,A : . . : . I \ ~ U :! . ! D ~ I ~ T O ~ 1 ~ d ~ A _ !D ~ E 1 L ~ O ~ S ~ S ~ 1~ 1 ~ 5

Con ~I ,ticm po ~ el desarro,llo explosive de Ia Inform atica y de Internet, esa

a c e p c i 6 n ?OSltiva ha VI~-a?o) parcial pero acus~dal1 1entelO \ a otra, peyorativa, de

intruSO mas 0 m cnos m alevolo (con toda In pleyade de crackers, phreakers, ctc.),

La nueva "horna~al' de ha.ckers. la ,cohorle de los SCl' ipf-kiddies lO 8 campa a SllS

has por e I ciberespacio, blandiendo script gener(llorsIO ? y. sin grandesa o C • d' r . • ' ,

conocim ientos de sistemas e 1I11,OrmaclOn, so n proli ficos en la generacion de

m a l w a r e y capa~es de crear en tiempo record pequenos program as capaces de

b u s c ..u Y atacar Sistemas.

El hacking "blanco" 0 "etico'" IU [en lugar de csa expresion cquivoca

sugiero: auditor, investigador'! '] tieue a su d ispo s ic ion las m ism as hcrram ientas y

tc;nicas que eI hacking de "som brero negro" icrackersv: todo el caralogo de

software y de malware. Q uiza la diferencia esta en la autolim itacion, par el

"sombrero b lanco", de la "carga de pago": al investigador 0 mero curioso Ie

inleresa mas identificar las v uln erab ilid ad es q ue e xp lo ta rla s en los diversos modos

posiblcs (b asta evidcnciar el datto que se podria haber heche)' 12, Pero "de noche

to dos los gatos SOI7 pardos' y hay una irnportante comunidad de "sombreros

grises" que unas veces se c omporta n Iic itam en te y otras no 1\3. En m i opinion existe

1

1

1a1I'orque a accpcion original po sitive co existc con la peyorativa,

I~\http://cn.wikipcdia.orghviki/Hacker

http://en.wikipedia.orglwiki/H ackcr j lc l in i ti on _con I r ove rsys .l ar gon ; File _ defin ilion I

I\I

hllp:llcn.wikiedia.org/wi ki/Scri pt _ k i dd le

1 1 ) 1 hup;!lw'\\,w.google. csl sea rch ' 1h1" 'c s&q =%22sc ri p I +gcne r< .l lo rs%22&b tnG= B usc ar& me ta= I 1 "%30 la ng_en

tiD (\111C first u se o f th e te rm "ethical hackers" appears (0 have b Cl:n in (111 Interview w i t h John P a t r i c k of1~M b yG . , J 1995 · -ISSU' of Cornputcrwor ld».':\r)' Anthem thai appeared II) a line I;

http://lI'wl\' .rcsearch. ibm .co rn/ ] ou rna II sj /403/pal mer .h tm I

ill L I· '. . I ' ,'. . . I r · e rs id ad d e ju risd ic cio nc s) im po rta a qu !a rC llud (pcse a la s d ific uh ad es q ue p lan tea n la g lo ba rzacron y ,1 a ( 1\1; , ~ , • ..

ntl! h' . , . . ' J. I ,f· nicntras que en EEUU cs un 'acccso nocomas que la cnca, EI mero cscanco de pucrtos cs IIC1(O en a It ra, I ,

3utoti,.ado"ilicito, http://www.askmlaws.org/cyberlaw/library/ccfptsc;mning.htlll

I I: O il ]TI " . '. ' I ' ab )ut the same as that betw een a locksm ith.•. 1C d ifferen ce b etw een a p e ne tr at io n t es te r an d a cnmrna IS at .':. ". '." S ,.. R· ., ,

und a .. I ', k " . ;. .1·1·"-" ., •n apphC3110n and tnlCgnt). le'l:n O:\S,, sa I;Cr:lC .er. 1 h I, ; skills are the sam e, II IS Just a vi .ierencc 1 .. -

Pellc/rating Q i te sl io Jl .l nf on n at ;o n Sy st ems Con tr ol Journal, volumen <I,200 t. . '

III

. http://cn,Wikipctlia.org/wiki/Grcy_hal

1 1 1tP : !l en \ 'iki ...• ~ 1 . lpedm.orglwik i /Hackcr _def in i t ion_controversy

.:' .~- ..

. ,.:~

, .

http://cn.wikipcdia.orghviki/Hacker

http://en.wikipedia.orglwiki/H

http://www.askmlaws.org/cyberlaw/library/ccfptsc;mning.htlll

http://cn%2Cwikipctlia.org/wiki/Grcy_hal

http://cn%2Cwikipctlia.org/wiki/Grcy_hal

http://www.askmlaws.org/cyberlaw/library/ccfptsc;mning.htlll

http://en.wikipedia.orglwiki/H

http://cn.wikipcdia.orghviki/Hacker



216 AlJD lTO RL\ DE TI~C NOLO GiAS Y SISTEMAS ()E [NFORMAClON

un p aralelismo macabro con los plratas Y los "corsarios'' es decir, .m llas tn;..

"patente de corso". lj

Las herramientas _illdepcndicnlcmcntc del color del hacker- c -. ,.. Ir I " . . J .• o n Iii"ml,sn~as. La tabI. 8 .1 (vcr "agll'" 217) rcsefia .• 'aJellca~nentc (O S ~~nlcnarcs de I •

~nas im portantcs (he proclIraJu cxclll,r Ulg('~'lmos Y metouos. gencncos, a u n q u e ~

IIICIUido aigullos c"nlOlldos ,I p ro10<0105 " ,I andu r, C"'"O WIllits). e

Las prucbas de pcnct rndbn (p,-,"I(}'\ '/8"'I) de I httcki "K .. e t i co" in 1 > -

I I• I I I " 1 . ' I " ' I ' J e n r a n

emu at ' as mctor os l C os pntlclpa cs al:lt]UC!'l connell O S , . a cs mctodns ~

estan en continua cvo Iucion, 10 que d il ic ll it a 01 in te 0 1 " de rcsc nurlo'! en II~ libr;~

suelen proponerse subrcpt icium cntc ob jcti vos que, simpl ificadameme, Son; ,

• ldenti ficar:

o aplicaciones

o sistemas operatives

o SGBD (Sistem as de Gesti6 n de B ases de D atos)

o Topologia de re d

• Explorar:

a contrasefias

o servicios

• versiones y su s exploits

• Adquirir

o privilegios

• informacion

• control

IJJ at os t \. (cuferni'.' r", cml.J~Jo._5 cu,cmlsn,lOs) .cqulvalcntcs 11 ... prueba de l :- .....ev a lua cio n d e nc sg o tCCJ10r6g1co", "e va lu ac io n tic segurldad", u pcn etm clon ": · '.m Jitorla d e \· I1 ~n cr.wH lo ,.. ,'9 '

hllpJ/www.penelralion-!CSling.coml

: : ' > - . : " . i : -

http://hllpj/www.penelralion-!CSling.coml

http://hllpj/www.penelralion-!CSling.coml



ri,r

1 \ CAPillJLO 8. HERRAM IENTAS PARA LA AUDITOR!A D E L OS SI21 7~ - - - - - - - - - - - - - - - - - - - ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Para ello se usan, entre .otros metodos de h a ck in g : s ca n n in g , fo o tp rin tin g .

eJlUf/lerafion, pa sswo "d ?l~ess~n g , d isa blin g aud it, sn iffin g } bu ffe r o v er flo w ,

directmy t r av e r sa l y SQ L 111Jecl lOl1.

ADrv fu ta te , A iroPc~k , AirS no rt, An tis pe cto r, ARIN, ArpSpoof, Auditpol,

Backdoor.Rustock, B~~kOnficc 2000, B ack O riffice Plug-ins, B jnC rack, B indery,

Black W idow , Bo.Sniffcr. B rutus, Bubonic , Bugbear, Burglar, Cain and Abel,

Camera/Shy, Cheeps, Cherobyl, Chknull, C ode Red W orm , C ode Red, C ookicSpy,

CPU Hog, cU RL, C yberC op, D D oSPing, Donald Dick, dskprobe, dsniff, D um pxec,

eBlaster, EF SVicw , E litcw rap, Elslave, eM ailT racking Pro, Enum , ESM , Ethereal,

EtherFlood, Etherl'eek, Ettercap, ExploreZip, Find _ddos, FireKillcr 2000, fPort,

frJgrouler, G etA cct, G etA dm in, G etit, Gobbler, Graffiti, H ard Disk Killer, Hardware

K e y Logger, h k , Hping2, HTTPort, HTTrack W eb Copier, Hunt, I Love You,icmpenum, lconPlus, ID S D etection, IEEN, IIS5Hack, nS5-K oei, IK S Softw are

Logger, IlS, lmmunix, Inzider, IP W a tcher, IPEye, IPSECSCAN, IRIS, Ja d, JilI3 2,

John the Ripper. JoIL2, uggernaut, K erbC rack, Kismet , Ko ck , LOph lC rack , Land;

. LanManagcr Hash, Legion, LNS, LogAnalyzer, Loki, Lynx, M AC Changer, Macof,

' m a i l s n a r f , ManlnThelvliddle, Melissa, mstrearn, Munga Bunga, NAT, nbname,

NBTDeputy, Neo'Irace, NeoW atch, N essus, N etBus, Netcat, N etscan Tools Pro

2 00 0, N etlnterceptor, N et'Turnb ler, N ID Sb ench, N ikto, N im da, nm ap, N OVE L8F H,

Novelffs, NSL ookup. N -Stealth Scanner, N TInfoScan, NW PC RA CK , ObiWan,

Packet rafter, Pandora, PassL ist, Pazcan, pcA nyw here, Ping of Death, Pinger, pof,

Pre tty Park , P rocess V iew er, Q AZ, Q ueso, Read'Cookies , RID, Root, Rootkit, RPCLocator, Sam Spade, SARA, Security C heck, SETPWD .N LM , Shaft, SID 2U ser,

SideStep, Silk Rope 2000, SMAC~ Smart Whois, 5M BD ie, 5M BG rinder,

5MBRelay, 5MBRelay2, Smurf, SnadBoy, Snifffret, SNM PU til, Snort, Snow ,

Sockst'hain, SolarW inds Toolset, Spector. Spooflog, SpyA nyw hcre, SQ L Slammer,

SQL2.exe. SQ Lbf, SQ LD ict, SQ LExec, SQ LSrnack, SSPing. S tacheldraht,

StackGuard, StegDetect, s'Term, SubSeven, SY N F lood, TARA, Targ a, TCPRe pla y,

TC PView , TF N, TFN2K , THC-Scan, Tini, T raceroute, T rinoo, T ripw ire, T rinW i re,

Trojan M aker, 'l-S ight, TTYW atchel', U RLsnarf, User2SID, U serdum p, U serlnfo,

Varient, Vis ua ll. as t, W 32 /K l ez ,\V32 /0p as erv Worm, We bC rack er, W e blnspect,WcbMiTM, WebSleuth, W ebspy, W get, Whack a M ole, W hisker, W hois, \VID Z-

W~reless ID S. \Vin Nuke, W inDNSSpoof, W infnnnp, W inSniffer, W inS~LM iM .

WIll~CPKilI, W in'Irinoo, W inzapper, W ireshark , W rappers, vVS_Pmg_Pro,

YerS ll1 ia ,Zombie Zapper.

Fuente: elaboraci6n p ro pia , b asa da en Google .

Tabla 8,1. Herramientcsde hacking

r : .t:.. -: ~~.~.;

', :"? :

'~ ..;.'-



~ 2 ~ 18 ~ A ~ u !! o~ r~ ro ~ R ~ iA ~ D ~ E 2 r ~E C ~ N ~ ) O ~ L ~ O ~ G ~ i .f ~ \S ~ Y .. :: .S ~ IS ~ T !: :. E M ~ A : :. .. S. .: :: D : . :: E .. .: .: I N : .. :. .: r: .. .. .: ;O ~ R . ;; . .~ _ 1I \_ C _~ I_ 6 _N ~

Me parece relevan te comentar q.u:, ,pese al aum ento ?e.l hacking externo e n

zeneral y de las med id as d e con tro l pen ferico, eI mayor peligi 0 se encuentra en I

~ed interna, que sigue desprotegida ante un atacante ?vezado ~ acompafiado d a

"Cain y Abel", Los ataques mas sim ples tienen un .gran impacto SI se realiz~Hl en u~entorno local; y es posib le que una red proteja adecua~arnente los JJ1 terescs

em prcsaria les que la sustentan, pero puede no protcger Jos mtereses "personale 1;

de los empleados, que puedcn sufrir un ataque de "Man in the Middle" d uran te su s

c on su Ita s b a nc aria s.

O tro punta a considerar es el hecho de que Google es considerado I

principal herram ienta. La capacidad de utilizar la potencia de un buscador capaz de

indexar todos los contenidos no adecuadarnente protegidos 115, por ejemplo, sitios

W eb can las b ases de datos de inscripciones basadas en motor Jet (Joinl Engine

Technology), situadas baja directorios no protegidos, vease en Ia tab la 8.1 .

8 .3 .6 Herramientas especiflcas de auditoria y herramientas

ofimaticas

C onstituyen, con rnucho, el conjunto de hcrram ientas mas usado par lo s

A SJTIC . Se tratan en mas detalle en la seccion 8.6 .2 .2 y ss. .

8 .4 HER R A }VIIEN TA SD E AUDITORIA SEGUN SUFUNCION

,. " ~a ~ud~ toria es u~a activid?d profesional (discrecional) tan am Iiacon~plcja, y en cntomos y CI rcunstancms tan d iversos que "tipi fi " ) P . .~auditor da a las hC lTam ientas que usa es una sim p)' f ., lcar. os U:08 que e

c . 1 Ic aC lOn rayana a la cancatura:

• captura de datos

• analisis de datos

ecombinaciones de captura y ')'.. ana 1SIS

liS .

. ..NonnaJ ll len rc , med ian te robots,txl. Vcr hit .//\ \ ' .

p : "\ \w .c on ta do rw a p·· COIn/ b+: .. ro cts.php



21 8 AU OITO RfA D E T EC NO LO GIAS Y SISTEM AS D E INFORMACrON

~

Me parece re~ evante com entar q.u~",pesc ~I aumen t~ l ?e .1 h~cking extcrno e

general y de las rncdidas de control periferico, C mayor pc rgro se e n c l I c n t r a e n

red interna, que sigue desprotegida ante, un atacante ~ lvezado ~ acompanadollia

"Cain y Abel" Los ataqucs mas simples ucnen un g ran u np acto S J se reali2 'ln de

entorno local" y es posib le que una red protcja adecuatlarnenre los l n t e n u n, ..' e~s~

empresariales que la sustentan, pero pucde no proteger los intereses H p c r s o n a l 1)

de los ernpleados, que pucden s u f r i r un ataque de "klan in the Middle" d U r a n t e ~ ~ s

c on su lta s b an ca ria s,

Otro punta a considerar es el heche de que Google cs cOrlsid erado la

principal herramienta. La capacidad de utilizar la potcncia de un buscador capazd. d id d d id 1 15· CIII exar todos los content as no a ecuac amentc protegt os ,por ejemplo, s i t i o s

Web con las bases de datos de inscripciones basadas en motor Je t (J oin t E ng in eTechnology), situ ad as b ajo directories no protegidos, vease en la tabla 8.1.

8.3.6 Herramientas especificas de auditoria y herramientas

ofimaticas

C onstituyen, con mucho,e! conjunto de herram ientas mas usado por los

ASITIC . Se tratan en m as detallc en la seccion 8.6 .2 .2 y 5S.

, ,

8.4 HERRAMIENTAS DE AUDITORIA SEGUN SU

FUNCION

La auditoria es una actividad profcsional (discrecional) tan amplia y

compleja, y en entornos y circunstancias tan diversos que "tipificar" los usos que el

auditor da a las herram ientas que usa es una simplificacion rayana a la caricatura:

• captura de datos

• analisis de datos

• combinaciones de captura y analisis

I U No rma tment e, medi an te robots. txt . Vcr hllp;/ /www,contadonvap,cori l /robots.php

, ' ..

J". '



C APIT UL O 8, ImRRA~lfJENTAS PARA LA A UD ITO RiA D E LO S SI 219

I1

i!

8.4 .1C aptura de datosEstc prim er tipo de herrarnientas recoge inform acion, captura datos, que

, usados (analizados, interpretados, utiJizados -comos e r a f l I d dem de acci . . ' . . )1'J! osld isp ar ad or es e se nc a e n a ntes e acetones, mas 0 meno s a utoma tlCas -· en

ga I .' ,..

~ . fase p osterIO r 0 stITIU tanea.u n a .

8.4.1.1lVIUESTRAS

El m uestreo de una poblaci6 n de datos (transacciones, registros en un log,

a c c e s o s.,.) es una tecnica estadistica de la que se sabc mucho y -par d esg racia+ -

s e abusa r n u c h o (par ignorancia de quienes lo hacen).

La (m ica exigencia (a menudo incumplida) de un procedim iento de

m u e s t r e o , para que genere l a m axim a productividad -. en este c a s o perm itir el m as

fe cundo usa de las leyes de la Estadistica- es que se a un muesrreo estocastico,

a l e a t o r i c .

Las buenas practicas de m uestreo han contribuido substancialrnente en el

u l t im o m c d io s ig l o a enorrnes econom ias y aum entos de productividad en gestion

de la p roducc ion, con tro l de la calidad, m arketing y auditoria.

Las herram ientas para ob tener muestras pueden ser de procedencia,

naturaleza, cornplejidad 0 ub icaci6 n m uy diversa. Puede tratarse de:

• u n a r u t i n i t a de 'diezmado' de un log;

• un filtro que selecciona ciertas transacciones. segun reglas mas 0 m en os

complejas; .

• simplemente colocar una "bandera" (flag) en un campo de la BD parau. ". .. .1l131'Carciertas entidades( clientes, productos, cuentas ... ); 0

• una herramienta GAS (Generalized Audit Software)/CAATT (Computer

Assisted Audit Tools and Techniques), tratadas en 8.6 .2 .4 . " .

d i s P o n i b ~ ~ d ifusi6n , b anali zacion y abaratam~ento de e~ u!~ os infonnatic~s. y lailidad de GAS/CAAT T potentes y am lg ab les p osib ilita ex plo rar universes

.;, :",

~.- . ~ ~

; . :~



(pob laci6 n total) en lugar de limitarse a m uestr~s. 811 0 perm itc, supe~ar fa crftica

tradicional de que l os a ud ito re s basan s us c on cluSlO l 1CS en muestras J Il T I I t a d as l[ 6 . .

En todo caso deben ser COJ1 sideraciones c!e riesgo y de productividad lasque lleven a la especificacion de la m uesrra 0 cl unlverso.

8.4.1.2 VIGILANCIA

La vigilancia (en "ticmpo real"; 0 "difcrida", co n g rab acion y t imeSfamp)

es una variante del muestreo.

Puede abarcar desde el universe 0 pob laci6 n total (de Iransaccioncs

registros en un log, accesos, etc.) hasta una muestra reducida, '

La sofisticaci6 n de procedim iento$ Y herram .ientas, filtros (incluso de

lnteligencia Artificial), metricas de SLA 111, tecnicas de alerta y n otificaci6 n

(sinopticos, menssjes email y sms) y de escalade (gestion de incidencias y crisis)

puede se r !TIUYelevada y cornpleja.

Entre tanta sofisticacion no esta de mas recordar la recomendaci6n de

Benjamin, en su Axioma 2, de hacer que las herram ientas de vigilancia de l 's is tema

deaplicacion" vigilen eJ grado de exito de la aplicacion, en funcion de lo s mismos

criterios de exito con que se justifico su necesidad.

8.4.1.3 FORENSE

Una variante especial de la recogida de datos es la forense'!", Las

herramientas y las tecnicas usadas, ademas de no alterar la informacion recozida ni

1 3 indirecta logs, registros, fichcros ternporales relacionada con ella 0 ~on el

i!f .. '. I,· /1 f' , bat

HOllO

.I'all. ttors lave. een criticized because they reach conclusions based upon limited samples".

hl1r: l /en. wild p cd ia .o rg /w i k ifDma_ analysl s_(in format ion_techno Iogy)

In.;:." l .Ie-ervrcc .eve Agreements> Acuerdos de Nivel de Servicio,

IH.:'111~s)'~;crn ~c~jg~cr can produ~ c w ithin the system reports thaI w ill tell ... whether the system-is a SUl'CC5S

... ."x~om ~. D cnJiU~lII. R ob ert I: C ontrol of th e Information System Development Cycle, Wiky r lu sinc$s Da l3P roce ssing L ib rary, N ew Y ork . 1 971 . p. 15. .

Il>i I .. '/ I' _ . I. utp., www, orensics.n I

II IIp:flfacu]IY, ncwc .ed u / to conno r/d 26/4 261inks.hun



o R;\.;\.'IA

- - - - C APfTlJLO 8. HERRAM IENTAS PARALA AU DITORf" DB LO S SJ 22f

Pro ceso de recogida deben perrnitir probar In i nt eg rl~dad de I -- d d - t --I' d-. - - - - -._ ., a en ella e ensoe 13- ela evidcncl3. - - --

En la scccion 8 9 sc recozen -I d 1" - g - a gtlOHS e as herramientas forenses masdivulgadas.

8.4.2 Analisis

EI a~al is is 0 interpretaci6t. l y evaluacion de la inform acion rccogida puede

SCI' concorm tante con la rccogida de In inform ac.i6 n (alertas y gestion de

incidencias; aludidos mas arriba) 0 se r diferidas, incluso co n horizontes muyampiios.

Un ejemplo de escenario de "analisis diferido" es el analisis de ficheroscon motive de una auditoria anual 0 semestral.

U n ejernplo de escenario de "analisis muy diferido ' pucde ser el caso en

que una auditoria rutinaria detcctc una debilidad irnportante en una prueba de

cumplimiento y ella mueva al ASITIC a desencadenar una prueba sustantiva (total

o por muestreo) sabre eI historico, desde haec tres afios, de un determinado (grupode ) f ichcro( s) .

8.4.2.1 AUDITORIA COOPERAT[VA

Un ejemplo de vigilancia-analisis cooperativo diferido se propene masadelante, en la sccci6n 8.6~1.3.

8.5 JIERRA"MTENT AS DE AU-DITORlA SE~UN SU usa 0~

PROPOSITO

No es estc el Ingar para (intentar) zanjar el d eb ate so bre In "n eu tralid ad " de

l as t ecn ic as 0 herrarnientas: {,tiencn carga m oral? (,0 e se c ar ac te r s610 10 tienen sususuaries? Perc S I cabe, al menos, recordar I n cuestion.

Las Herramientas de Auditoria pueden usarse para:

• Auditoria SITIC

• Otros usos, Iegitimos 0 ilegitimos

-: : "'.

!.....



2 2 ~ 2 2 ~ A ~ .U ~ D ~ I ~ . T ~ O ~ R ~ i A ~ D ~ E ~ i ! . T E ! : ' C : : . ! N ~ O ~ l ~ , O ~ G ~ A ~ A ~ S . . 2 Y . . : . S : : '~ S T ~ E ~ J v ~ I A ~ S : . . . ~ D ! : P . : : : . I N . : . : . F : . . .. : : O : : . R . : :. .: . . . : . . : " ' t \ . . : . . C . : : . _ · . I_ _O_ __ . - - - - - . . . ; . _ _ _ Q I tA. ".'.:; ~

8 .5 .1 Aud ito ria SITIC'

Es la utilizacion norm al. la contemplada en la generalidad de este c a p i t u l o

y dellib r o.

8.5.2 Otras Auditorias, coordinadas 0 no (usualmente no) con

la SITIC

Se dan frecuentes e importantes solapes de "albarda sobre alb arda" entre

Auditoria lnterna y Externa, Auditoria Operative, Auditorfa de Cu en ta s, Audito ria

SITIC , Auditoria LSO 9001 : 2000 , ISO 27001 , ISO 14000 ; aparte de las

intervcnciones de control de directives y supervisores, CSA (Control Self

Assesment) y circulos de calidad; sin mencionar las in tervenciones de las Agendas

Reguladoras". Tanto m ayores cuanto m ayor y mas diversificada es la em press,

8.5.3 Otros usos

Cab en otros usos:

• Legitimos, pero ajenos a la auditoria: detecci6 n de fraudes,

investigacion dcmoscopica, etc.

• Iicgitimos, del "lado claro", realizados por empresas aparentemente

correctas, dedicadas a trafico de direcciones, "perfilado" de clientes,

ctc.; y del "lade oscuro", donde las herramientas de auditoria pasan a

ser un todo con el malware.1.,t

8.6 I1ERRAMIENT AS DE AUDITOR1A SEGUN SUUBICACION .

:.",

1

Este apartado se propane tratar las herrarnientas de auditoria en funcion de

s u u b ic ac i6 n 0 in te gra cio n m a yo r 0 m enor en las aplicaciones 0 sistemas auditados.

i.!

I

Aqui clasifico las herramientas en d os g ran des categ orias:i

III

II

1:1'.',.• IIS eg tln un estudio deJa OCD ~, E spana es uno de lo s paises con mas presion re zu la to ria d el m u nd o. co nmas de 100.000 normas VIVa$. aplicables )' una exccsiva prolif '.' d -. 'dan d e ,[I• . . . . ., ,'.' . . . • .' • n;raClOn C agenC.IllS que CLlI -

cum ptim icnto .. . .T avler.R lb as, Socio de L andw cll Pricew aterhous £ oop ers: " E = . I ' tirni.1

irnpll,'Jl0

rol.lf'.l1'. d. .. "D J d I .. . , ex.ooners: consen irmen Oletarjeta .: visita", erec 10 e a TIC, togas.biz, La Vanguardia 20070726, p, &.



if" CAPfTUlO8. HERJv\MIE'N' .~~~--------------~~~~~~~~~l~A~S~P~A~RA~L~A~A~U~D~I~TO~f~{j~A~D~E~'.[~JO~S~S~I~22~J

ernb eb idas, como modules de una aplicac" .'. ( Jon 0 SIstema,

exentas, in teractuando sincr6 nicarnente(fu d . I . . ' 0 no , con elem entosn am enta mente arcJuvos de datos) de till . I ' " .. . a ap Ica Clo n 0 S Istem a.

•

•

C , " : In -

( lnSp!radO en e l'C lc lO , d e V id a' prop~esto en,I?allegos 2004), p 94, 9 .V~lQ~~r, t r . 9 'C ic Io d e

' -. . V ida .{(2~~t;_Q~Jg(l en ~..£!J£D£!9 de ru;l~{LcjJ~.$ "t~JAA2.~·- wJllg,@ §lCW ~Pl1£i!!tle,)

Figura8.3. Naturaleza "ciclica" y "administrativa" del ciclo de vida de la ASlTiC

Aunque, ev identem entc, se trata de dos po los, existiendo muchos casos

intermedios.

Unas y otras inten tan responder positivamente a Ia cuestion de la

productividad, que he ido sefialando en apartados anteriores; estan directa y

cspecificam ente disefiadas al serv icio del audito r y la funcion de auditoria (con Ia

obvia excepcion de la s herram ientas horizontales, ofim aticas, que tam bien suponensig nifica tiv as ay ud as a la p ro du ctiv id ad ).

La figura 8.3 propene, sinopticam ente, una triple reflexion: i) la de la

natum leza ciclica de la aud itoria discreta (que esta mas clara cuando es

adcmas- periodica); ii) el muy im portante peso relativo de las tareas

administrativas en la totalidad de Ja carga de trabajo de Iaauditoria; y iii) sefialar el

&.



214 r\UDlTORiA DE TECNOLOGfi\$ Y SISTEMAS DI~ INFORMACION

elevado acoplamiento que existe (debiera cxistir) entre la Fase I Evaluaci6n d

. I .F '" P t 111 ~Rlesgos Y a -ase J resupuesos " C

De 1 3 reflexi6 n conjunta sabre 1 3 figura 8.3 puede con clu ir se que sc t. . ' e n d e r '

hacia un 050 creclenle de: a

•Auditoria integral, que m inim ice solapes y lagunas de unas Y a f r a s

intervenciones.

•Auditoria continua (0 muy frecu ente). que acorte lo s ciclo s dete '6

, . 1 1 f: ') ' d u c i I ' e e l f l6correccion y can e a aCI ite re ucir e nesgo.

• Paquetes integrales de auditoria queadm inistrativas Y las tecnicas.

"integren" la s 1 ba ores

Esto pretendo esqucmat;zar en la figura 8.4.

Ambito Integrada

Automatizada

Embebida

Figura 8.4. Prospectiva Auditoria SlTIC 2007 - 2017

l:t EI prcsupuesto a asienar o In auditoria d be fDireccion $(.';1 conscic I~d I·' a ue 'r a resultar de la ,\ ,. I ' ." dc r i . . . \1" .s ".~ sere n e e os nesgos que asumc " e a uacron c rresgos, de lonna que I a , "esta vra para mitigarlos. y, por 10 tanto, de los rccursosque esta dispucsta a asig

nara



r

;i

1 !ji

j,

__~ RA~:~~ 1~A_. ~ C=A~I~li·~ ru~I~ .O~S~I~ U~ ~R~b~ A'~.I~ '~·N!.I'~A§_~.~ .~ ~~ '~ ~.~ .~~~~¥ - • '" 'V\,,, !I l\ I 'AHA LA AlJD ITO RiA D E LO S SI 225

8.6.1Herramientas embebidas

S e trata, norr.l1 alm cn.te de hcrram ientas COl t . i /d " .c1 1 " 1 1 •I ' "1 1 ' t " 1Snile as a qUIrI( as -- al tiempo

que la ap IC?C,101 SIS erna prinCipal, norm alm cnte por requerim iento de un ASITIC

que ha p~rtlc,lpado en el proyecto (jcomo consultor, y puede quedar "quemado"como auditorl) 0 par el b uen hacer de los desarrolladorcs. .

,~as he~r~ l l! ien~~scmbebida~ ,represclltan probablemente la mejor apuesta

por la sostenib ilidad de la presion auditora (riesgo de auditoria acotado yp re supu es to a co ta do ).

8.6.1.1 HERRAIVIIENTAS INTRUSIV AS Y NO INTRUSIVAS

Intrllsivas (en e~ sentido de que insertan en el sistem a algun servicio paragenerar logs, por ejernplo; en este caso probab lemcnte son m as de

vigilancia/control interne); 0 b ien que durante el hacking etico, dejen algun tipo detraza,

No intrusivas (se limitan a leer y reprocesar), como en general hacen lo sGAS/CAAT (vease 8.6,2.4.).

Esta clasificacion (que --como otras en este capitulo- se soIapa

inevitab lem ente con otras muchas) im porta particularm ente cuando se pretendant ecn icas ba jo condiciones forenses (vease 8.4.l.3).

8.6.1.2 AUDITORIA CONTINUAJAUDITORIA EN LiNEA

EI ob jetivo, simplcmente, es asegurar que (el creciente nurnero de) las

transacciones en tiempo real se bencfician de m onitorizacion y co ntro les tam b ienen tiempo real 1 23 •

L a auditoria continua exrge serVlCIOS ell linea" P uede ser total 0 por

muestreo. Puede abarcar el cicio completo "captura de informacion - emision delinfonne"o se r l11£lS continua, en la captura y mas discreta en la periodificacion del

In S ob rc to do co nstruidas, po rqu e: "M ost curren t co mm ercial ~ pplication s cou l~ b e c~s~omi7.c,dwit~ such features:

H ow cver. cost and o th er considerations a nd th e tec hn ic al skills that w ould be fCqu\fC~ t tl ,cs t~ .bhsl1 and operate

l he sc t oo ls tend to lim it th e u sau e of em bedd ed audit modules to specific fields an d a pp lic atio ns , [eRM. 20071 p .47. ~

II I Monit iz '. ' di '. . I ' .:NO "on 10 m iSOlO "Cont inuous aud itingshould be independent of. IVI III onzacton conllnua y au rtona.con mua ..:>; "'" ' ,. ••• .'. • ..

c o n li n ll O U · s c t· I n i I' ' t " I · ' S When both continuous morntonng and aud it ing t ake.p lace , continuous. . con ro or morutonng ae rvr t;: • ...

ass lJ rJI lCecan be e sta blis he d" . [CRM , 2007]. p. 47.

.. .~,-. ,

.__ ~__;;";"";,,,,,...;,"'...;,' _ "' _. ;..";,,,...:.....__-'---..C. ·0· "i··· .:.,



226 . AU OiTO RIA D E TEC NO LO aiAS Y SISTEf'.IA S D E INF ORMAC IO N c :~-~~~~~~~~~~~~~~~~~--------------~..~.

inform e -que sera ma~ frecuente qlI~ trimestral, 1 0 ,qu~podria dernandar recursos y

trabajo significativosl_~. Y un camblOde cullura para. Use t~~hnology 10 actually

audit as opposed 10 using technology to automate manual auditing procedures , ,05 ,

Las condiciones de exira para una a ud ito ria continua so n estrictas: i) al tf~ . d I . a

automatizaci6n de l a de tecci 6n, con filtros SOls.tlca os Y 3 3.nnas en tlempo. real' "). ...) I ' IIherramientas de audilOria avanzadas y parametf lCas; II I exec ente y agil inlerfaz

con los au dito res (hu .m an os) altam cnte cualiticadosl26

; Y I V ) con m inim a estorbo al

auditadol27• La m ayor dificultad, naturalmente. esta en la rcdacci6n de la s re gla s de

lo s f iltro s automa tic os .

L as t< ~cn ic as de a ud ito ria c on tin ua rec orre n: el registro de transacciones, l a s

herram ientas de consulta (query), las CAA T, los SaBD (DBMS), l o sdatawarehouses, el dalamining. In IA (Inteligencia A rtificial). las re de s neu rana le s

y el XBRL, y -fundamentalmente- los modulos embebidos ( embedded a u d i :

modules EAM).

La auditoria continua es tendencialmente el fu turo; quedan m u c h o s

esfuerzos y tiernpo para hacerla realidad.

Q uiero insistir en qu e parece evidente que -3 igualdad de otras

circunstancias+- el im pacto de ciertas am enazas, periodicas 0 continuas, deb e s e r

inversarnente proporcional al periodo de la "ventana" de detecciones, y -sabretodo-. al lapso (usualm ente superior) entre detecci6 n y analisis-accion - A sl, si n o s

han instalado un spyware para transferir a las 00 :00 :00 ciertos ficheros, si n u e s t r o

cicio de detcccicn-corrcccion es de 24 horas, s610 se producira, com o rnucho. una

transm ision pirata, (jO jaU l todo fuera ta n s imp le y facil !).

8.6.1.3 AUDITORiA DIFERIDA "COOPERATlVA"

EI cjernplo que sigue (figura 8.5 ) presenta un modelo actual. en la

d irecc ion correc ta ,

1:4 .... ')[eRM _0 071 , p. 47 .

i1 5htlp:llw ww.nyss.cpa.orglcpajoum al/2 00 3/0 S0 31 dcptJdO '::41 '.·0 3 h V . bi. -r 0 . tm . er t arn len :

I:.fJ [eRM 2007). p. 47.

V

Ina rv a , S r in iv a s: C on tin uo us A ud itin g T hr ou gh L ev er ag in g T ec hn olo sn lnforrnation Sv'>lcms contro l ;C~ '

olume 2,2006. LV ..., •. • . •

.. : :; :":



O . R A : ; . : _ M ~ A ~ . ~C=A~I~li~TU~~C!.~~~~~~~~~~~~~~!e~~~_ ... LO H. IIERRAM IFNT .c; I\S PARA LA AUD ITOH iA 08 LOS SI227

El ASlTIC, empleand., una CAAT .'~ ,u niv er .s o d e transacciones una muestr. d ,ex,trae (en trempo real 0 diferido) del

I

. a e aquellas qu . 'camp cJo cuanto sc desce )_.. SOl . . .. e -segun un "criteria" (tan. I . I ' · . ' 1 Plcsuntanlcnte 'I ..mUSlin mente a to a po r sospecha de frao .. , anoma as (par tmporte

. a gmenta clOn , por ejemplo). .

Una aplicacion W eb envia a l '1 ditad. . d d " , ( ~ 1I . Ita 0 In trans ; , . -SohCltu . e explicacion y un forrnulario .1 :. . ( saccion acompariada de una

. ...... ( e respuesta,

.El a.uditado --{;oopcrativamente- retorna el fot .'. .ASITIC, qUlen tabula las respuestos y las . xu 1~ e l fo~mu la rJo cumpl imentado al

S mcorpoi a a su informe.I

t

!IAudItor @

S ele cc io na , c onCAAT If C R lTE R 1 0

una mue stra d e tra ns ac cio ne s

muestra

A p lic ac l6 n W e b (emile l a t ransacc i6n

se le ~c lo na da a l a ud ita do e in co rp ora'm as ca ra ' (p elic l6 n y cuesuonano)

1·

.. ~1Todo.este proceso .

~uede~desencadenars~

-punto 4w en tiempo re~r',§:1lgo 0 m u y dlterido

" - - _ _ T a _ I: J _ U _ la _ r " T " e .. : . s p. , u . . : . e s . : . . ; : l _ a s ~ _ _J @II

I/

Figura 8.5. Ejemplode Auditoria Cooperativa

Al hi 1 0 de este ejernplo, quiero serialar que el "universe de transacciones"

(1, en la figura) -de forma creciente- no tendra dircctamente un humane en uno

u otro extrema emisor 0 receptor, a ambos. Cada vez mas , habra mas transacciones

iniciadas y/o finalizadas por "motores", 1 0 que par la naturaleza y volum en de estas

transacciones recabara cl usa de herramientas de auditoria mas eficacesy

eficien te s. Un ejcmplo, entre muchos, de esos sub-universes de transacciones entre

motores es In auromadzacion del arbitraje financiero, en que los motores de las

entidades financieras exploran los m ercados. ldenufican casas de desequilibrio, lo s

analizan y -si cumplen ciertas condicionesprogramadas-. .1anzan.

automaticamente las ordenes correspandientes. Nonnalmente la actividad de estos . ,.ii



motorcs esta lim itada, por diseiio prudente, a un ~ierto n~nn~:ode transaccioncs,

tras el cual entran ell reposo Y hay que rearmarlos ( resetearlos ) manualmente.

8.6.2 I-Ierramientas exentas

Esta seccion, de relntiva mayor extension, se propane p l a n t e a r

principalmente: i) el amplio usa por los ASITTC (como por cualquier otro

profesional -e incluso ciudadallo-, en nuestro entorno) de herramienlas

ofim aticas!" (figura 8.2); y ii) de herram ientas espccificam ente disenadas como de

auditoria.

Las herrarnientas exentas (no embeb idas) constituyen, con mucho, el

conjunto de herramientas mas usado por ahora por los ASITIC (ver seccion

9.8.3.6).

8.6.2.1HER,RAMIENTAS HORIZONT ALES (OFIMATICA)

Todas las herrarnientas ofimaticas se u san am pliam en te par los auditores.

Mcrece especial atencion el groupware.

8.6.2.1.1 Gro upwa re

EI groupware son aplicaciones (0 suites) p articu larm en te d iseftad as para eItrab ajo en cquipo (basadas, fundam ental m ente, en un SGBD y u na a plic ac io n de

workflow) , sob re las que pueden hacerse "integraciones" de productos com erciales

e sp cc if ic os d e a ud ito ria .

". ~I ejemplo mas ~onocido de g roupware es Lotus Notes; hay en el mercadointegraciones' para A uditoria SITIC .

8.6.2.1.2 GRe

, " . " ~ I '1softw.are de .G()Vf~r I1CmCe, Risk and Compliance (GRC) p u e d ec o ns ld c ftl. f5 1 ;! parcialm ente incluido en esta cate gor ia of . ti . bi e n e r a ld

. . ' rna tea, 51 len, en g~ . ,a Illite cmradas (c ap tu ra s) p ro pia s de los sistem d "1 . 1 "9. • as e Vtgl ancla· - .

1 28 EI um plio em pleo en la aud l to r iade , es tas herram i ..,. . '. , .. ,. . . ..tareas frccucntcm cnte rcpctitivas. entas o tlm aticas se justifica por razones de produCIJ\ldad en

.~2 9 P ara G artn er, GRC e s u na c ate go rfa Ian am lia c ,. . . . ."_ .Software ojJeril1<'s in the GRC /1.1 k' p. . omo todo 1 0 que yo incluyo en I~ 9.8,6.2. s.al\'o In 0.JiJ1l:l11~

1. , '" a r 1,; / Sl Ipporl the com p li ., ., .. , 1 i1'~

ana ys/s, .cnntrols automation at I .., .. ranee management. process, audit maf lt .l f!_!:"" "I I. . .

h ,. ,II mOmlarlllg•. ooeratto . I ".1., . ... . /'. vrt'IlpJ/www,gurtncr,comhl/contcnV49830()/498334/ r.,1.'-- ona nss management, and legal" 1.«''(1\ ",

, , f1 s,,_research .pdl: p4. ' ,

- ; . , . ; .. "



8.6.2.2VKRTICALES lIERRAMlENTAS

Las ,he~aI~ ientas vcrticales, a mas especializacias, pueden serlo mas deQesti6n 0 mas tecnicas.::>=-

Las m <ls,de gestion se in~ linan hacia las horizontales v el groUpl1>'are ya

tratados. Las m as tecmcas consisten fundam entalm ente en las GAS (8.6 .2 .4 )

aunque caben otras (como SAS y SPSS) no especificas de A uditorin SIT IC .

8.6.2.3 I-IERRAlVllENTAS VERTICALES DE GESTION

Unos ejemplos (ver tarnbien 8'.9 .9 ), A lgunos Ejcmplos d e P ro ducto s yEmprcsas p ar tip os:

o Audinfor -el decano producto esparto l-s-. A ctualrnente G esia 2000 .www.audinfor .com!

• B indView . Softw are de curnplim iento de seguridad (gestion de

politicas y cumplim ien to; g estio n d e v uln erab ilid ades y configuracion;

gestion de directories y accesos). Adquirida en 2005 por Sym antec.

ht tp: / /www.paisley .cant!

http:/ /www.protiviti .com/portaVsite/pro-us/·

ht tp: / /www.rvrsystems.com/

• Paisley . Se define como una empresa de GRC. Su producto

Auto Audit" es una conocida herram ienia vertical de gestion .

• Protiv iti Inc. C onsultores de gestion de riesgos.Entre sus tccnologias:

Internal Audit Workflow Technology.

• R VR System s. Empresa de GRC. Se declaran especialistas en

cum plim iento , gesti6 n del riesgo, re nd im ie nto o pe ra tiv o y gobernanza

T IC . Su plataform a R VR adm ite cualquier coleccion de m arcos,

estandares y norm ativas internas y so po rta n ativ am ente COSOy

ComT. '"

• S istemas Expertos (SE e IA) [demasiado ~llmeroso~ y disperses para

dar aqut mas detalles. Q uiza si seftalar la nnportancia que las grandes

finnas de auditoria han concedido a sudesarrolloy uso]. ..

'.. :

";..... : ..... "l~. :~-:

," ., :":.;'':', .~ ~.,

:.;,

http://www.audinfor.com%21/

http://www.paisley/

http://www.rvrsystems.com/

http://www.rvrsystems.com/

http://www.paisley/

http://www.audinfor.com%21/



2~O A ~ ' ~ 1 ~ ) l~ T ~ O ~ R ~ i ;\ ~ 1 ! !. ) T ! : .: 'T~EC~·N~'O~l~.O~G~Ji~A~S~Y~'~ I : : .. S T . : : I ~ : iv . : . .: ' l~ A . : :S . . : :: D : . . : :: E : . . .. : .I ~ N . : . . . .F O - = - R J \ . _ 1 _ A _ C _ I O _ · N________ ~RA. = . ~

TeamMate. H erram ienta de gestion de papeles de trabajo d e

PricewaterhouseCoope.rs . www.pwc.com/teammate /•

o T rip\vire. S e d eclara n tid eres e n a ud ito ria y contro l de configuration

ht tp : / /www.tr ipwire .comlindex.cfm ·

,

8.6.2.4 HERRA1V[IENT AS VERTICALES TECNICAS

L as h erram ie ntas v ertica les tecnicas que voy a referenciar son las GAS y

otras m as genericas, pero ap1 icab les a A uditorias SIT IC .

Las herram ientas GA S (Generalized Audit Software) 0 CAAT (Computer

Assisted Audit Tools) se aplican para gestionar las CAATT (Computer A s s i s t e d

Audit Tools and Techniques). En la practica, los tres terrninos se u s a n c o m o

sinonim os, siendo C AA T e\ m as usado.

S on herram ientas especializadas (verticales; ocasiona\m ente in tegradas e n

suites) . En general atacan a los archivos de datos y no a los programas d e

aplicacion, por 1 0 que suelen ser invariantes de \05 programas y m a s objetivas e n

cuanto a los datos (que en general es \0 que im porta, en prim er Iugar).

Las mas conocidas son ACL e IDEA 130 -ambas canadienses, b u e n

ejemplo de un niche de especializaci6n-. IDEA y ACL se reparten el m e r c a d o

profesional de los ASITlC. Ambas tienen funcionalidades similares, que pueden

resumirse en capacidad de:

• hnportaci6n de datos (no inrrusiva) de archivos en una gran variedad

de sopo rtes y codificados segun una gran variedad de estandares,

opcion d~ que 1 a extraccion sea cornpleta 0 siga autOlmiticamente u n a

de muy diversas pautas de muestreo,

c~\cuto, creando "campos logicos", resultado de aplicar una fOnn~la

(hP? "Excel") a lo s cam pos originalmente importados, (Esto f a c i h t arecalculos de comprobaci6n).

U na _gran.panopiia de tecnicas amisables de analisis,. ,que van desde.1 3seteccion de co d (d 0 13,. .. e mer enC13S e una cadena) a comprobacion de secu. e. nc e

(repeticiones 0 \agunas de nurneros de factura. por ejemplo), a la selecclOnd

•

Ill) Audit C om mand Language (ACL) hltp'/l,<c .M • I . mID '", "., [...... C l i u l } slid", I'" ~ ' . I : > '" . . ;\,,\I.ac .co clauil.aspx'lbhcp=I Interactive D ato :.X"~Ana ),SIS (1DEA). hltp,I/\\,\VW.cascwi lre-ldcil .cOIn

http://www.pwc.com/teammate/

http://www.tripwire.comlindex.cfm/

http://www.tripwire.comlindex.cfm/

http://www.pwc.com/teammate/



CAPiTULO 8 .l-I ERRAM IENT'ASPAR /\ LA AUDlTORiA D E LO S SI2Jl

~

. . . os (con una gran diversidad de criterios y algoritmos), incluyendo numerosasreglS.lJnes para p erfila r d ato s 0 detectar elem entos inusuales incluso la aplicacionI i .U lc lO . ~ d ~ d I '

I L

ey de B enfor • p asanco par to os os estadisticos tradicionales.

de a

ID EA p arece mas modemo y productivo (m enos "clics", m enor carga de

. rrn3cion para el usuario final, mas intuitive y orientado a usuaries finales no .

f ? nicos) que ACL, que re ve la Sll DOS subyacente, esta mas basado en comandos yt e e . • I I . .. ntado a usuanos con m ayor mve ue COnOClITIlCntos tecnicos, La p alab ra clave,

one .. d .' id d" ..una vez mas, es "pro ucnvida .

Tamb ien m ere cen cirarse, para la tecnologia forense: E nC ase, quiza el S\V

mas conocido, de todo el SW forense.. De G uidance Softw are, Inc.:

http:/ /W \V\v.guidan cesoftware.com fcorporatc/iu?ex.aspx; y X- W ays Softw are

Technolo gy AG; h ttp ://www . x~ways .n etJ fo re ns]c s/ .

Resefia aparte (par su dificil clasificacion) m erece A pprova Corporation:

http: / /www.approva.net!company .

Pinalm ente, m erece dejarse constancia testim onial del concepto B EAST

(B en e fic ia l E le ctr o nic A u dit Su p po r t T oo ls ).l3 l, como generalizacion de las C AA T.

Otras herramientas (no especificas d e a ud ito ria , pero de solida tradicion)

son SAS y SPSS. Se trata de S oftw are estadistico y e stad istico -so cio lo gic o, m uypotente, con el que se p ued en rea liza r parte de las tareas C AA TT, con potencia y

productividad no tan alejadas de las de lasherram ientas GAS; es cuesti6 n de la

c ap ac ita cio n d e lo s AS IT IC .

8.7HE·RRA~IIENTAS DE AUDITORlA SEG(rN SU

PRODUCTIVIDA,D

La naturaleza recurrente, g en eralm en te ciclic a (todavia), de la au dito rial32

;

y el peso relativo de las labores adrninistrativas y de gestion (no rneramente"tecnicas'', figura 8.3) aconsejan cautela en la evaluacion de herram ientas ,.

I I t e c n i c a s " no in te grada s 0 facilme);teintegrahles en "paquetes de gestion":\

III

I C o < l c r r c , 2005},

!"

" 'G all egos , 2 004 1 . p.94, . , .. .~

.", .

http://www.approva.net%21company/

http://www.approva.net%21company/



. " ie audttorio debe asegurar que los recursn, de"E l d irec to r eJecu Iva UI .' .' , ' .

•1. los sujicientes y efectivamente as i gnado» par(iauditor/a interna sean aaecuac. ,. ,. b I ..IJJ

cumpl i r COil e l p lan ap ro ac o ,

IS A liti IU (SISA) (Norrnas Generales para II I Auditoria de~Standards for. 'e. .U( IIIh.. '. . .;

S istem as d cln fo rm a cw n )

Puntas concrcto.~ -TituloC6d igo

-'S6 R ealizacion de L ab ores

04 , 05 ! 07, 08, 09 Y 1 0de Aud ito ria

S7Rcporte 03,07

,

58, Activ id ad es d e 08,09I

Seguimiento

IS Auditing Guidelines (JSAG) (Directrices de Audltoria)

Codigo Titulo P un ta s co nc retes

IU sc deCAAT todo

,G3 i

II

G8 D ocurnentacion de la todoAuditoria

G IG Mues tre o e n Au dito ria todo I

I035 Activ id ad cs d e 2.3.1,2.3.2.,2.6 Y4.1.2

Seguimiento

F uente: clab oracion propia, a partir de N orrnas y Directrices publicadas por ISAC A ensu portal, a 24J06/2007

Tabla 8.3. Normas y Directrices de lSACA deInteres para "Herramientas de

Auditoria"

La Information Systems Audit and Control Association -ISACA-ha

generado norm as y directrices de particular autoridad. No puedo aqui presentar "in

extenso" su tratam iento de las "Hcrramientas de Auditorla": la tab la 8.3 r e c o g c

'131 f IAt. 20041 , p. 7: N orm a 20 30 A dm i nislrad6 n de R ecursos,

~" -. '



CAPiTU LO 8, HERRAMIENTAS PARA LAAUDrI 'ORiA DB LOSSI23l

~

. , t'catnente la s principales referencias a nuestro tema, tornadas de docUlllentos .

s I I 10P I .' , g /. ,.I' s en http ://w ww .lsaca .o r· . .pub IC O

8.8I1ERRAMIENTAS DE AUDITORiA SEGUN SU

COBE'RTURA

Me renero aqui al ambito, alcance 0 cob ertu ra de casos,archivos, ·registros,

etc.

Claramente, es deseab le una gran (incluso tota l) cobertura coste-cficaz; y a

v eces se considera necesaria. Conseguirla depende de una habil combinaci6r i de

her ramientas embeb idas y GAS/CAAT.

8.9 ALGUNOS EJEMPLOS DE PRODUCTOS Y

EMPRESAS POR TIPOS

Hay una multiplicidad de empresas y de productos. Hay empresas can

diversos productos de diverse tipo. Hay una infinidad de productos. Par tanto una

c.atalogaci6n no tend ria cabida aqui,

Me lim ito a sefia lar alg una fuente de herram ientas gratuitas, las C AAT de

referencia -ACL e IDEA-, los dos gigantes incontestables -Symantec Y

Computer Associates- Y unos pocos ejempJos destacados de herramientas para

TCPIJP.

(Ver ta rnb ien Tabla 8.1 . Herramientasde hacking. y 8.6.2.3).

8.9.1Herramientas gratuitas

11 ,P: // lVWW. bSQ. o l'g / es p al1 a /a n {ip ir a cy /F r ee - So ftw a l'e ~A ud it- T o o ls . elm

8.9.2 ACL

Audit Command Language.

ht tp: / /www.acl .com/DefauI t .aspx?bhcp= 1 . i . ' , :

.~. ,:

8 . 9 . 3 IDEA

Interactive Data Extraction and Analysis.;", .

"_ " h"

,.: ~ ':1 :

,~ " . : :>, ..,",;.

http://www.acl.com/DefauIt.aspx?bhcp=

http://www.acl.com/DefauIt.aspx?bhcp=



http://www.caseware-idea.com

8.9.4 Symantechttp://\V\vw.symantec.com/enterprise/index.jsp

8.9.5 Computer Associates

http://ca.com/us/products/

8.9.60tras

John the Rippel', Nessus, Nikto, Nmap , pcnnywhere, pof Security Check

Wireshark. Yersinia son otros ejemplos de lo s -literalmente- miles d~

herramientas localizables en Internet -tanto en el "lado claro" como en el"ladooscuro ,,_134

8.10 CONCLUSIONES

La Auditoria SITIC esta, como es logico, en evolucion constante, E s a

evoluci6 n depende fundam ental m ente de i) las nuevas dem andas y objetivos (por

ejemplo de "cumplimien to"); y sob re todo de ii) la disponib ilidad de herramientas

y tecnicas que permitan: a) hacer ciertas pruebas; b) con mayor cobertura; c) con

rnenor riesgo/error; y d) con mayo r p rodu ct iv id ad .

C ontem plar las herramientas y tecnicas, sin hacerlo desde Ia perspec tiva de

SLI productividad, puede ser propio de tecn6 1ogos 0 de historiadores; pero seria un

error impcrdonab le en empresarios, gestores, econom istas, responsables d e

auditorfa y auditores.

i ' l l i t tp: l /www,s) 'mantcc,eornlcntcrprisclindex.jsp

hllp: l!\ \ ,ww.darknet.org.ukl2006J04/top-15-sccurityhackins"lools~1I1ili l ics/

hltp:llmnap-onlinC',coml

hl lp : l lwww.ncSSU$,org /

http://www.caseware-idea.com/



http://www.caseware-idea.com/



AspcdO - Dimension ProblemaTccnologh\ - Tecnlea

Len t. a, ~ e fi ci ta ri a ( cuant it at iva y

c ua ht< lt lv ament e) , s es ga da m l lc ha sveces,

EAO: Enscitanza Asislidapar ordcnador .

Mayo r pa rt ic ipa cionde

p ro fe sio na lc s c onexpericncia.

C omp en sar lo s deficits co na plic acio ne s d e lA o .

Disponibilidad E scasa en h~mlillos ab so tu to s (n ° d e

ASITIC) y relatives: ticrnpo,lugar,habilidades.

Mbs aud ito rla embebid a y

automatica,

Mas tc leauditorla .

MaS groupware.

Menos v ia je s.

Discreto-Continuo EI enfoque discrete (puntnal 0 .

perio dificado ) es lin atav ism o qu e

a rrastrarn os p ar Ialta d e rec urso s,

expcriencia y -sobre toclo- p or falta

d e cultu ra y reflcxion.

C uanto an tes se d etecte u np rob lem a,

menores seran sus castes.

Mas auo ifor iaernbebida .

a utomatic a, c ontin ua , e n

t icmpo r ea l.

Lagunas y Solapes Hay frecu cnte s c irnp ortan tes so lapes

de "alb ard a sab re albarda" entre

Aud ito ria ln te rn a y Exte rn a, Audito rla

Operat iva, Auditorta d e Cu cnta s,

Auditoria SITIe. A uditoria ISO 9001 :

2000 , ISO 27001 , ISO 14000; aparte de

las in tervcnciones de control de

directives y supervisores, C SA(Control Self Asscsment) y circulos de

calidad ; sin m encio nar a lasA gencias

Rcguladoras ,

Aqui (y tam bicn en todo 1 0

d em as), an tes q ue ap lic ar la s

tecn icas h ab ria q ue a plicar cl

sentidocomun.

S e deb e pa rtir del.riesgo

apreciado y t a cobe rrura

deseadadesestructurartodas las capas debidas a

in te rc se s, ig no ra nc ia e

in cu ltu ra e in sta la r s is tem as '

de Auditor ia lntegrada

(figura 8.2) ,



236 AUDtTORlA DJ:I ECNOLOG!AS Y S1STtElV1AS DE INFORMi\('ION

A sp ecto - D im cn slcn Pruhterun

I~qllipo'l jlrf)\6fltcn~C l I I 1 I < ¥ S

hab il li lf l( lc ; r cq tltrJd;h_

Trabajo.Adminlstrativo Por ~luern poco cl prob lcm a de

cscascz d e ASIT IC cualificud os, se vc n

COf7atiu" II dcdicar I II mnyo tia dc su

l l c 1 1 1 P O ilill n tmhuj\l" n d l l l i n i ' l i r u t i v { ) "

(pln!HnC;h;it\lIl ulcncn, I.'IH1U.:rtnr

cntrcv l'ilil'~, IIIchivnr papele" Ill! Iuhajo,

h u c e r n n h)s n Im i . gt''}! iollllf vlnlcs).

I----------~-I------·--.~-........~-.-...--~---.----_I t : 1Y 1 1 1 1 clamor e r e iientc, en d cm an da Maynry m 1 . n ! ; f i r _ ; v u " : ; ; 1 ~ - ' 1

d e p ru cb us $1I'-fllllliva'i, 110 limllatla!l a hl'lltcmHi1icl1f~r; di~pC1'llhk, Imucslrus sin o cxtcnrl idus n l univcrso. y 10th concn :I .1TnI :n lc l ie la •

Expcrtos iut .rnaclonnlcs en quicnes iludilnri:fl cmlY:htd:i,

conflo munifiestun su pasrno por cl n I H O I T l 1 J t .i c ~ J . , c.nntmr:a, et't

d~ncil en E~paj'\: l de pruebas ticmpo real y de Ill:.

sustantivas y c ua nt ita l iv as. CA!\ Tf'.

Prucba s s us tan ti vn

!i - - C - o - b - c r t - u - r a - , - .G - r - a - n - u - t a - r i- d - a d - - + - L - a s - p - n - I c - b - a s - . - e - n - n - m - c - - h · - o - s - c - a s - o - s - . ( " 7 l c C h - e - n - - + - r v - r = - a - y - o r - y - " - m a . ; - , '- ;-e-fi·~--.- u - ~ - ' d - " , ! ; : - - l

te ne r m ils cobertura y granularidad. Ia. . hcrramieneas dl:;:y& ,;:t.~ i

y m a s ccncrctamentz c!h :auditoria cmbebida ~

automatica, comirnsa, It:;

ti er npo r ea l y d e lasCJ\ATT.

Tabla 8.4. Algunos tendencias

Los auditores son un recurso escaso, relativamente caro, con plazos d e ·

capacitacion significativos. Todo ella se amplifica, si cabe, para los ASITIC.

Aumentar su disponibilidad y productividad es un reto importnnte,

Las CAAT pueden hacer viable/rentable el acceso a universes, en [ugar de

s610 muestras. Tambien pucden permitir ln automutizncion de muches t:.trtlS

rutinarias, con cl consiguientc aumcnto de 1<1roductividud del ASITIC.

Los factores crlticos son unos pecos, y cnben diversas estratcgias. (Ilgunl\.~. . . , , " " "

muy dependientcs de las lrcrramientas disponibles. (Sin caer en cl error d('",gn~;:

que la autentica Iuerza reside en la cultura y pollticas de la organlltlCll).,,>

establccidas por la aha direccion).

~, .~...'.~,. -'



'D~:-:.IA:...-,------C-AJ..;._:'}i:..::..l.::._UL::.:O~':::.:.8.. .: ;. :H ~ E ~ R l~ { A ~ M ~ I~ E N ~ " ·~ r , A ~ S 0 :P ~ A ~ R A ~ 1~A~£')I~'r'2~"·~'" ' ~Q ' ~ '~"~__ k ,~" {IA DE LOSSI2J7

P or sc fialar algunos aspectos y tcndenci . , ,.. f' , " d' " as nnportdntes (pese a su gran

dispersion, en uncion e em presas, parses cultllras) IV' sbla S. ", ," \ ease ta a 8.4).

8.11AGRADE'CIMIENTOS

Ricardo B ria y Javier Moreno han revisado lti , , 'I h. ,I' , . '" ' ,', ,C .: " en rcamente y lee 0

aportaclOnes va iosas a m esquema de este capitu lo ' han t' ib id dema. . , ' , con n U l a a emas conc ri tic a s, r ef er cnc ia s y revtsiones de estilo al ultimo borrad ' ,L, ,d b t

. , ' '. decimi .. , ,', or., es e 0, y 0m am fiesto aqui, agra ecrrm ento y publico recol1ocnniento,

,Todo error, exageracion, ~~ficit 0 sesgo que el lector pueda encontrar es

s us ce ptib le d e c:orrecclOn, manzacion 0 debate (privado 0 publico) yapreciare Sll,, '. I)) , , '

comumcaC lon ,

8 .12 RE F E RE NC I AS

8.12.1 Lecturas recomendadas

elSA Review Manual (C IU v12007) 2007, ISAC A. ht tp.z/www.Isaca.org/ .

En particular; pp . 33:35 , 36 :37,41 y -sobre todo- 25:48 de la version in gle sa; h ay

ve rs ion espano la .

Gallegos, 2004: Gallegos, F rederick et al: In fo rm a tio n Te ch no lo gy C on tro l

an d Aud it. 2nd Edition. Auerbach, 2004. En particular: C hapter 4 : Audi t ing

In fo rm a tio n Te ch no lo g y U sin g Computer-Assisted Aud i t, To0ls and Techniques.

Normas Generales para la Auditorla de los S istemas de Informacion.

ISACA.

http: / /www .isaca.orgffemplate .cfm?S ect ion=Standards&T emplate=/ContentMana

gementiContentDisplay.cfm&ContentID=19227'

C oderre 2005 : C oderre, D avid G . CAATT and Other BEASTfor Auditors,

Ekaros A nalytical Inc. 3rd edition, 2005 .

1) [email protected]

.. " .:.:'-.,~., ., ': ':

http://http.z/www.Isaca.org/

http://www.isaca.orgffemplate.cfm/?Section=Standards&Template=/ContentMana

mailto:[email protected]

mailto:[email protected]

http://www.isaca.orgffemplate.cfm/?Section=Standards&Template=/ContentMana

http://http.z/www.Isaca.org/

Herramientas Para Auditoria de SI

Documents

Transcript of Herramientas Para Auditoria de SI