UNIVERSIDAD CIENTIFICA DEL PERU Trabajo Prctico de Auditoria de Sistemas Integrantes:

RIOS RIOS, Edgard PEZO VILLACORTA, Augusto MANUYAMA CUBAS, Luigi

INTRODUCCIN
Las herramientas por evolucin, innovacin, complejidad y especializacin han tomado parte a lo largo de la historia En la antigedad el hombre se ha valido de herramientas los cuales fueron utiles para su supervivencia. Las herramientas pueden ser especificas, sustitutivas o multipropsito. Pero la mejor performance se obtiene si usamos las de tipo especificas

INTRODUCCIN
El Auditor de Sistemas de Informacin y de Tecnologas de la Informacin y las Comunicaciones (ASITIC) es el que escoge el tipo de herramientas a utilizar No existe la herramienta perfecta, optima; todo va depender del enfoque especifico con el que se va a enfrentar su uso. Toda herramienta tiene sus ventajas e inconvenientes.

IMPORTANCIA
Las herramientas SITIC hacen viable, llevadera y econmica la auditoria de ciertos objetos o campos a auditar en un mundo plegado de dudas, sospechas y quejas sobre la auditoria, hacer posibles o simplificar ciertas comprobaciones es de una gran trascendencia

TIPOS
A continuacin tenemos varias herramientas segn los siguientes aspectos: 1. Procedencia 2. Funcin 3. Uso o propsito 4. Ubicacin 5. Productividad 6. Cobertura

1-HERRAMIENTAS DE AUDITORIA SEGN SU PROCEDENCIA

Segn sus diversos conocimientos y habilidades los ASITIC con habilidades informticas pueden recurrir a utilizar:

Herramientas del entorno adquisicin-construccin Herramientas de prueba(ITF: empresa falsa) Herramientas del entorno explotacin-operacin Herramientas del SW de Sistema(SO, SW de red) Utilidades Herramientas de Internet(hacking tico)

Herramientas del entorno adquisicion-construccion

Los sistemas de informacion han sido construidos con leguajes de programacion, analizadores de path, por lo tanto con estas mismas herramientas se pueden auditar dichos sistemas

Herramientas de prueba

Estas herramientas son utilizadas como mecanismos de vigilancia auditoria continuada(en especial las ITF)

Herramientas del entorno explotacion-operacion

En el entorno explotacion.operacion estan los datos vivos, los cuales tenemos acceso a travs de los ASITIC. Este tipo de acceso debe ser controlado y supervisado, pues el riesgo de acceso de un intruso es muy alto

Herramientas del SW de Sistema

El ASITIC es capaz de lograr acceso privilegiado al Sistema operativo, software de red, etc., su capacidad de explotacin es enorme La complejidad del acceso es directamente proporcional a su criticidad, ya que las herramientas del sistema se ejecutan en modo privilegiado

Utilidades

Son herramientas potentes fundamentalmente en la extraccin de datos, pero no cualquiera debe usar esta herramienta.

Herramientas de TCP/IP e Internet

Esta herrameinta tiene que ver con los hacking y crackers; sean buenos o malos, blancos-eticos Los crackers sin tener grandes conocimientos en sistemas de informacion, son muy habiles en cuanto a la generacion de malwares y capaces de crear en tiempo record pequeos programas capaces de buscar y atacar sistemas

2-HERRAMIENTAS DE AUDITORIA SEGN SU FUNCIN

La auditoria es una actividad profesional tan amplia y compleja, por lo tanto su uso es de acuerdo a lo siguiente:

Captura de datos Anlisis de datos Combinaciones de captura y anlisis

Captura de datos

Aqu se recoge informacin, se captura datos, stos sern analizados, interpretados, los cuales funcionaran como disparadores , desencadenantes de acciones en una fase superior o simultnea

Muestras
Nos va servir para sacar muestras de una poblacin de datos . Es una tcnica estadstica muy til lo cual nos facilitara el trabajo. Las herramientas para obtener muestras pueden ser de procedencia , naturaleza, complejidad o ubicacin muy diversa

3-HERRAMIENTAS DE AUDITORIA SEGN SU USO O PROPOSITO

Las herramientas de Auditoria pueden usarse para: Auditoria SITIC Otros usos, sean legtimos o ilegtimos

Otras auditorias

Aqu vemos a las auditorias internas o externas, auditoria operativa, de cuentas, auditoria ISO 9001, 2000, 27001 Y 14000, muy aparte del control del supervisor o directivo

Otros usos
Como por ejemplo: Legtimos; pero ajenos a la auditoria Ilegtimos; realizados por empresas aparentemente correctas, o los comnmente llamados malware

4-HERRAMIENTAS DE AUDITORIA SEGN SU UBICACION

Trata las herramientas de auditoria en funcin de su ubicacin o integracin mayor o menor en las aplicaciones o sistemas auditados.

Se clasifica en dos categorias: Embebidas, como mdulo de una aplicacin o sistema Exentas, interactuando sincrnicamente o no, con elementos de una aplicacin o sistema

Herramientas embebidas

Se trata por lo general de herramientas construidas o adquiridas ya sea por la orden de un ASITIC o por el buen hacer de los desarrolladores

Herramientas Intrusivas y no Intrusivas

Intrusivas; stos insertan en el sistema algun servicio para generar logs. No Intrusivas; estos solo se limitan a leer y procesar

5-HERRAMIENTAS DE AUDITORIA SEGN SU PRODUCTIVIDAD

La naturaleza recurrente, generalmente cclica de la auditoria

y el peso relativo de las labores administrativas y de gestin, aconsejan cautela en la evaluacin de herramientas tcnicas no integradas o fcilmente integrables en paquetes de gestin El director ejecutivo de auditoria debe asegurar que los recursos de auditoria interna sean adecuados, suficientes y efectivamente asignados para cumplir con el plan aprobado.

6-HERRAMIENTAS DE AUDITORIA SEGN SU COBERTURA

Aqu se refiere al alcance, mbito o cobertura de casos, archivos, registros, etc Claramente es deseable una gran cobertura costeeficacia, y a veces se considera necesaria.