Embed Size (px)
Citation preview
1. Las auditorias pueden ser asistidas por programas computacionales. Es decir en algunos puntos de la auditoria es necesario hacer uso de este tipo de técnicas para facilitar el trabajo del auditor y para poder realizar actividades de manera más efectiva y eficiente.
Para cumplir con esta actividad deberás elaborar un documento en Word en donde hables sobre estas técnicas de auditoría asistidas por computadoras. El documento deberá contener como mínimo los siguientes puntos:
1. Definición del concepto de CAAT´s2. Define mínimo 2 técnicas de auditoría asistidas por computadora.3. Menciona las ventajas de su uso en términos generales.4. Incluye una conclusión personal sobre dichas técnicas
1. Definición del concepto de “CAAT´s” (técnicas de auditoria asistidas por computadoras).
CONCEPTO:
Las TAAC’s son un conjunto de técnicas y herramientas utilizados en el desarrollo de las auditorias informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los análisis efectuados por el auditor, a los sistemas y los datos de la entidad auditada.
Incluyen métodos y procedimientos empleados por el auditor para efectuar su trabajo y que pueden ser administrativos, analíticos, informáticos, entre otros; y, los cuales, son de suma importancia para el auditor informático cuando este realiza una auditoría.
APLICACIÓN
Las TAAC's pueden ser usadas en:
Pruebas de detalles de transacciones y balances (Recálculos de intereses, extracción de ventas por encima de cierto valor, etc.).
Procedimientos analíticos: por ejemplo identificación de inconsistencias o fluctuaciones significativas.
Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparación de códigos y versiones.
Programas de muestreo para extractar datos.
Pruebas de control en aplicaciones.
2. Define mínimo 2 técnicas de auditoria asistidas por computadora.
1. TÉCNICAS ADMINISTRATIVAS:
Permiten al auditor establecer el alcance de la revisión, definir las áreas de interés y la metodología a seguir para la ejecución del examen.
Selección de áreas de auditoria: Mediante esta técnica, el auditor establecer las aplicaciones críticas o módulos específicos dentro de dichas aplicaciones que necesitan ser revisadas periódicamente, que permitan obtener información relevante respecto a las operaciones normales del negocio.
Modelaje: Esta técnica es muy similar a la técnica de selección de áreas de auditoria, cuya diferencia radica en los objetivos y criterios de selección de las áreas de interés.
Sistema de puntajes: A través de esta técnica el auditor selecciona las aplicaciones críticas de la organización de acuerdo a un análisis de los riesgos asociados a dichas aplicaciones y que están directamente relacionados con la naturaleza del negocio mediante asignarle a cada riesgo un puntaje de ocurrencia.
Software de auditoria multisitio: Se basa sobre el mismo concepto de los sistemas distribuidos, en el que una organización con varias sucursales u oficinas remotas.
Centros de competencia: Consiste en centralizar la información que va a ser examinada por el auditor, a través de la designación de un lugar específico que recibirá los datos provenientes de todas las sucursales.
2. TÉCNICAS PARA EVALUAR LOS CONTROLES DE APLICACIONES DE PRODUCCIÓN:
Se orientan básicamente a verificar cálculos en aplicaciones complejas, comprobar la exactitud del procesamiento en forma global
Método de datos de prueba: Consiste en la elaboración de un conjunto de riesgos que sean representativos de una o varias transacciones que son realizadas por la aplicación que va a ser examinada.
Facilidad de prueba integrada (ITF): Similar a la de datos de prueba, con la diferencia de que en esta se trabajan con datos reales y ficticios.
Simulación paralela: Esta es una técnica en la que el auditor elabora, a través de lenguajes de programación o programas utilitarios avanzados, una aplicación similar a la que va a ser auditada
3. Menciona las ventajas de su uso en términos generales
Incrementan el alcance y calidad de los muestreos, verificando un gran número de elementos.
se puede ver como los recursos han sido utilizados y detectar parámetros de uso o desviaciones en cuanto a los procedimientos y políticas de la empresa.
Recuperar información ante incidentes de seguridad, detección de comportamiento inusual, información para resolver problemas, evidencia legal.
Es de gran ayuda en las tareas de cómputo forense.
Incrementan la confiabilidad y calidad permitiendo realizar pruebas que no pueden efectuarse manualmente.
Brindan al auditor autonomía e independencia de trabajo.
Elevan la calidad y fiabilidad de las verificaciones a realizar.
Reducen el periodo de prueba y procedimientos de muestreos a un menor costo.
Disminución considerable del riesgo de no-detección de los problemas.
Posibilidad de que los auditores actuantes puedan centrar su atención en aquellos indicadores que muestren saldos inusuales o variaciones.
CONCLUSIÓN
El uso de las TAAC’s proporciona un medio para mejorar el grado de análisis de la información, a fin de cubrir los objetivos de las revisiones de auditoría, y reportar los hallazgos con relevancia en el nivel de confiabilidad de los registros generados y mantenidos en sistemas computadorizados.
Las TAAC’s pueden también ser utilizadas para probar la efectividad de los controles. Asimismo, las TAAC’s pueden ser utilizadas en pruebas orientadas a la detección de fraudes. Por tanto, cuando se desarrolla el plan de auditoría, se pueden tomar en cuenta la aplicación de pruebas TAAC’s.
Las TAAC’s manejan varias técnicas para el proceso de análisis de programas de software, los cuales son esenciales para el auditor mientras realiza su trabajo de auditoría en la empresa, entre dichas técnicas podemos mencionar.
El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrónico y debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la información necesaria para auditar.
Actividad No 2 - Robo/Destrucción de información
Descripción de la actividad
Los riesgos a los cuales se encuentra expuesta la información son enormes, es por eso que las empresas deben estar al tanto de la protección que deben tener para sus recursos computacionales tanto de hardware como de software.
Muchas empresas han pasado por malos momentos al ocurrir alguna catástrofe o incidente que ha afectado sus recursos computacionales y debido a no tener una previsión adecuada esto a repercutido hasta en la existencia de la empresa. Para cumplir con esta actividad deberás realizar una búsqueda en Internet o en alguna otra revista sobre el caso de una empresa que haya sufrido daño o robo de su
3. ESTRUCTURACION DIDACTICA DE LAS ACTIVIDADES DE APRENDIZAJE Guía de Aprendizaje
Entregar un documento en Word que incluya los siguientes puntos:
1. Introducción El caso Sony PSN. El 20 de Abril la red de entretenimientos on-line de Sony, que incluye la posibilidad de jugar juegos on-line, ver películas, programas de TV y contenidos exclusivos salió de línea y entró en modo de mantenimiento. El 26 de Abril Sony hizo público que información personal de sus 78 millones de usuarios
fue extraída de sus servidores, convirtiéndose así en uno de los robos de información personal más grande de la historia superando al incidente de Epsilon. Dentro de la información extraída, se encontraba: Nombre completo, dirección completa (ciudad, estado/provincia, código postal y país), dirección de e-mail, fecha de nacimiento, usuario y contraseña de ingreso a la red PSN y números de tarjetas de crédito.
2. Nombre de la empresa: Sony PSN
3. Acontecimiento no previsto (Razón de la pérdida: Robo de Información, Controles no implementados)
4. Fecha y lugar del incidente: 20/04/2011 – Estados Unidos5. Medidas de protección con las que contaba la empresa
FirewallIPS
6. Medidas de protección que debería haber tenido DLP (Data Loss Prevention)Controles de claves seguras en servidoresLista de AccesosMedidas de ContingenciasAmbiente de PruebasControles de Análisis de vulnerabilidades
7. Consecuencias del evento:
Dentro de la información extraída, se encontraba: Nombre completo, dirección completa (ciudad, estado/provincia, código postal y país), dirección de e-mail, fecha de nacimiento, usuario y contraseña de ingreso a la red PSN y números de tarjetas de crédito.
8. Otros datos interesantes encontrados: Los datos obtenidos tanto de Sony podrían utilizarse por los atacantes para intentar acceder a aplicaciones on-line, como ser e-bay, gmail, amazon, paypal, etc. ¿Por qué? Dado que la mayoría de las personas utiliza el mismo e-mail y hasta la misma contraseña como credenciales de acceso a todas las aplicaciones on-line que utiliza, los atacantes pueden intentar acceder a dichas aplicaciones hasta lograrlo. Incluso, con la información extraída les sería más fácil adivinar una contraseña.
9. Deberás incluir en tu documento la liga a la página de Internet en donde encontraste el artículo o el texto del artículo.
http://www.identidadrobada.com/fuga-de-informacion-epsilon-y-sony-psn-un-caso-de-estudio/
10. Conclusiones
La alta gerencia es responsable de conocer todos los riesgos que podrían llegar a afectar la misión de la Compañía. Esto implica detectar aquellos que puedan causar la pérdida de confidencialidad, integridad y disponibilidad de la información y/o los sistemas que ésta posee para brindar sus servicios. La Compañía debe realizar un análisis de riesgos exhaustivo para determinar los mismos, cuantificarlos y priorizarlos. Esto se conoce como Due Diligence .
Una vez que la gerencia conoce todos los riesgos que pueden afectar la misión de la Compañía, deben implementar medidas para mitigar los mismos. Esto se conoce como Due Care.
Si no toman estas medidas, en el caso de un ataque (como ser el que le sucedió a Sony) podrían llegar a ser encontrados como negligentes por no haber tomado todos los recaudos necesarios para prevenir el mismo.
11. Fuentes Bibliográficas http://www.identidadrobada.com/fuga-de-informacion-epsilon-y-sony-psn-un-caso-de-estudio/
http://www.redseguridad.com/opinion/articulos/fuga-de-informacion-la-mayor-amenaza-para-la-reputacion-corporativa
![Conceptualización Proceso Investigación [Goetz y Lecompte]](https://img.dokumen.tips/doc/110x75/577cc5981a28aba7119cce9f/conceptualizacion-proceso-investigacion-goetz-y-lecompte.jpg)
