2. Auditoria Herramienta Informática La auditoria informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.
3. Tipos de Auditoria Información Auditoria Informática De Explotación La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, ordenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad. Auditoria Informática De Desarrollo De Proyectos O Aplicaciones La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases: Prerrequisitos del usuario y del entorno Análisis funcional Diseño Análisis orgánico (reprogramación y programación) Pruebas Explotación Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la auditoria deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la máquina, los resultados sean exactamente los previstos y no otros
4. Tipos de Auditoria de Información Auditoria Informática De Comunicación Y Redes Este tipo de auditoria deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de inoperatividad informática. Todas estas actividades deben estar coordinadas y dependientes de una sola organización (Debemos conocer los tipos de mapas actuales y anteriores, como son las líneas, el ancho de banda, suponer que todas las líneas están mal, la suposición mala confirmarlo). Auditoria De La Seguridad Informática Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos .
5.
6.
7.
8.
9.
10.
11. Ejemplo de un Informe Auditoria 6) Alcance de auditoría: Esta auditoría fue aplicada en todas las áreas que se encuentran en ejecución, a sus S.I y a sus herramientas de sistemas como a la parte física de éstas. Estandares Usados . Nuestra responsabilidad es la de expresar una “opinión” respecto de la seguridad en los SI de la empresa y sobre la eficiencia de sus controles aplicados , El análisis y el informe presentado por nuestro grupo de trabajo es acorde a los principios indicados en Cobit, normas ISO y respecto a las leyes vigentes en Chile Enfoque de Auditoría: - al revisar profundamente los controles de la empresa nos dimos cuenta que parte de estos no eran confiables ya que muchos de ellos eran incompletos e incluso inexistentes.
12.
13.
14. Instrumentos para Realizar una Auditoria LCLint (Splint) una herramienta que comprueba posibles problemas en programas escritos en C. Se encarga de buscar muchos de los errores más habituales, pero además localiza posibles violaciones de información oculta, modificaciones inconsistentes de estados, usos inconsistentes de variables globales, errores en la gestión de la memoria, comparticiones peligrosas de datos o usos de alias inesperados, usos de memoria no definidos, de referencias al puntero nulo . . Flawfindel examina el código fuente buscando fallos de seguridad .Busca funciones con problemas conocidos. Como desbordamientos de buffer ( strcpy(), scanf(), y otras por el estilo), errores de formato ( printf (), syslog (), y más ) condiciones de carrera ( más adelante explicaré más o menos que es esto ) como son (access(), chmod(), entre otros ), posibles problemas de uso de metacaracteres en la shell (exec(), system() ...) y generadores de números aleatorios ( random () ) , la aplicación nos dará un informe con todos los posibles errores SPIKE y Sharefuzzhttp:es una útil herramienta de análisis de protocolo y de reproducción .Sharefuzz se utiliza para analizar programas suid buscando posibles desbordamientos de bufer utilizando LD_PRELOAD
15. Recursos para Realizar una Auditoria Recursos Materiales Proporcionados por cliente en su mayoría Software: paquetes de auditoría del equipo auditor, compiladores Hardware: PCs, impresoras, líneas de comunicación ± Determinación de incremento de carga del auditado y consenso en fechas y duración de actividades de auditoría Recursos Humanos Cantidad depende del alcance de la auditoría Perfil depende de la materia a auditar