HERRAMIENTAS DEL AUDITOR DEL SISTEMA
HERRAMIENTAS DEL AUDITOR DEL SISTEMA
Abarca la revisión y evaluación de todos los
aspectos (o de cualquier porción de ellos) de los sistemas automáticos de
procesamiento de la información, incluidos los procedimientos no automáticos
relacionados con ellos y las interfaces correspondientes; también se puede
decir que es el examen y evaluación de los procesos del área de Procesamiento
Electrónico de Datos.
Se puede definir a las Herramientas como un conjunto de programas
y ayudas que dan asistencia a los auditores de sistemas, analistas, ingenieros
de software y desarrolladores, por otra parte podemos decir que son elementos
físicos utilizados para llevar a cabo las acciones y pasos definidos en la
técnica.
Las herramientas se aplican para investigar algún hecho, comprobar
alguna cosa, verificar la forma de realizar un proceso, evaluar la aplicación
de técnicas, métodos o procedimientos de trabajo, verificar el resultado de una
transacción, comprobar la operación correcta de un sistema software entre otros
muchos aspectos.
USO DE HERRAMIENTAS DE AUDITORIA PARA LLEVAR A CABO EL TRABAJO DEL AUDITOR
Al utilizar las herramientas en la auditoría de sistemas, lo que
se hace es aprovechar lo mejor de ellas para adecuarlas a las necesidades
específicas de evaluación requeridas en el ambiente de sistemas; ya sea para
evaluar la operación de los sistemas, en cuanto al hardware, software,
instalaciones, comunicaciones, etcétera, o la gestión administrativa del área
de sistemas, las metodologías de desarrollo de proyectos, entre otros
muchos aspectos relacionados con los sistemas.
AUDITOR DE SISTEMAS Y SUS HERRAMIENTAS
El
auditor debe aprovechas las técnicas, procedimientos y herramientas
tradicionales de auditoría aplicables en el área de sistemas computacionales;
el propósito es que las diseñe y utilice para hacer una evaluación correcta del
funcionamiento de dicha área.
Al utilizar
estas herramientas, métodos y procedimientos en la auditoría de sistemas, lo
que se hace es utilizar lo mejor de ellas para adecuarlas a las necesidades
específicas de evaluación requeridas en el ambiente de sistemas.
ENCUESTAS
Las encuestas
constituyen otra de las técnicas más populares y de mayor uso en una auditoría
de sistemas computacionales, y son útiles principalmente para averiguar
opiniones sobre aspectos de la informática tales como el servicio, el
comportamiento y utilidad del equipo, la actuación del personal y los usuarios,
la oportunidad de la presentación de los resultados.
Además haciendo
primero las encuestas y después entrevistas aleatorias, el auditor puede
corroborar la información recopilada de un área y compararla con la que tiene
de esa misma área o de otra. Permite recopilar, cuantificar, tabular e
interpretar fácilmente, en estadísticas, cuadros y gráficas las tendencias de
opiniones y comentarios de los encuestados.
LOS PRINCIPALES TIPOS DE INVENTARIOS APLICABLES EN EL AMBIENTE DE
SISTEMAS COMPUTACIONALES SON
Inventario de software: El propósito de
este inventario es evaluar la existencia
del software, su uso adecuado, su resguardo y aprovechamiento en el área de
sistemas, incluyendo las licencias para u uso, registros y demás
características. Este inventario se realiza mediante un documento formal en el
que se detalle todo el software que está instalado en los sistemas de la
empresa, incluyendo todas sus características, versiones, formas de
presentación e incluso número de licencias para su uso.
Es el recuento
físico, de todos los programas de aplicación, sistemas operativos, paqueterías,
lenguajes y demás software instalado en los sistemas computaciones de la
empresa; este recuento se hace con el propósito de identificar el software con
el que cuenta el área de sistemas o los demás equipos de la empresa.
Inventario del hardware: El inventario
de los sistemas computacionales y de sus componentes y periféricos físicos
utilizados en la institución para la captura de datos, el procesamiento de la
información y la emisión de sus resultados. El propósito es evaluar su uso
adecuado, su resguardo, su aprovechamiento y el estado en que éstos se
encuentran; incluyendo las instalaciones internas y los componentes físicos de
los sistemas computacionales.
Inventario de consumibles: Inventario
físico de todos los materiales que se consumen en el área de sistemas, a fin de
conocer, valorar y resguardar todos los materiales que contribuyen al
desarrollo de las actividades necesarias para el procesamiento de información
de la empresa. Este inventario es de carácter administrativo o financiero,
debido a que se hace un conteo físico de los consumos normales de insumos de
sistemas de la empresa, valorando contablemente las existencias, consumos
promedios, periodicidad de abastecimiento, justificaciones de los faltantes y
costos financieros de estos materiales.
Inventario de documentos: Se realiza para
buscar los elementos de apoyo bibliográfico que contribuyan al buen desempeño
de las actividades y tareas que se realizan en el área de cómputo; su propósito
es verificar la existencia de documentos que apoyen y avalen la gestión
administrativa de funcionarios, directivos, empleados y usuarios del centro de
sistemas, así como la operación y funcionamiento de los diversos sistemas
instalados en el área de sistemas o en las demás áreas de la empresa.
Inventario del personal informático: Este levantamiento de información relacionada con los directivas,
empleados y usuarios del área de sistemas es de suma importancia, ya que le
permitirá valorar la importancia y utilidad del factor humano que contribuye al
desarrollo de los trabajos de sistemas de la empresa.
Es una
aplicación correcta de los métodos y procedimientos estadísticos ayuda bastante
a seleccionar una parte representativa del universo que se tiene que revisar;
el propósito es obtener la mima información o parecida a la que se obtendría al
revisar todo ese universo. De esta manera el auditor puede determinar el
comportamiento global de todo el universo y con ello puede contar los elementos
de juicio necesarios para emitir un dictamen apegado a la veracidad de los
hechos.
Esta herramienta
es fundamental en la auditoría de sistemas, debido a que el auditor se apoya en
los propios sistemas computacionales para diseñar la muestra, seleccionar la
probabilidad de la captura de datos y después procesar esa información para
elaborar los cuadros y gráficas representativos de los resultados. Además, a
través del uso de las hojas de cálculo y programas estadísticos se pueden
manejar los aspectos estadísticos y matemáticos con mayor exactitud, e incluso
en el propio sistema se pueden hacer pruebas con las muestras elegidas,
utilizando los mismos datos del sistema, a fin de compararlos con los
resultados elegidos.
El primer paso
para aplicar la técnica del muestreo es saber seleccionar el tipo de muestra
que servirá para hacer el estudio, la cual dependerá del tipo de muestreo que
será aplicado. En el caso de la auditoría de sistemas, se debe tomar en cuenta
que tanto el universo como la muestra son elegidos de acuerdo con lo que se
quiere evaluar.
HERRAMIENTAS TECNOLÓGICAS DE AUDITORIA DE SISTEMAS
Herramientas De Apoyo a La Auditoria
COBIT: Ayuda a las organizaciones a
incrementar el valor de
TI., apoya el alineamiento con el negocio y simplifica la implantación
del COBIT.
Herramientas de Planificación y Registro
Se Audit: Ayuda a las
organizaciones a administrar la amplia gama de actividades, datos y procesos
relacionados con las auditorías en un ambiente único y amplio. Proporciona la
flexibilidad de soportar todos los tipos de auditoría, incluyendo auditorías
internas, operacionales, de TI, de proveedores, de riesgos, controles y
auditorias de calidad.
GESIA: Es una herramienta
integral para la Realización, Organización, Gestión y Control de los
trabajos de Auditoría, permitiendo al auditor un control permanente y global
sobre los papeles de trabajo.
IDEA: es una herramienta
de análisis completa, potente y fácil de usar que analiza rápidamente el 100%
de sus datos, garantizando su integridad, acelera su trabajo y prepara el
terreno para auditorías más rápidas y efectivas.
Herramientas de Evaluación de la Seguridad
Las Herramienta
de auditorías de seguridad informática permiten conocer en el momento de su
realización cuál es la situación exacta de sus activos de información en cuanto
a protección, control y medidas de seguridad.
NMAP: Ha llegado a ser una de las herramientas
imprescindibles para todo administrador de sistema, y es usado
para pruebas de penetración y tareas de seguridad informática en general.
Como muchas
herramientas usadas en el campo de la seguridad
informática, es también una herramienta muy utilizada
para hacking.
NESSUS: Es un programa de escaneo de vulnerabilidades
en diversos sistemas
operativos. Realiza el escaneo en el sistema objetivo,
y el cliente (basado en consola o gráfico) que muestra el avance e
informa sobre el estado de los escaneos.
BAckTrack: Es una distribución GNU/Linux en formato LiveCD pensada y diseñada
para la auditoría de seguridad y relacionada con la seguridad informática en
general.
Herramientas en BAckTrack
1.
Aircrack-ng: Herramientas para auditoría
inalámbrica.
2.
Kismet: Sniffer inalámbrico (Aplicación de
monitorización WIFI)
3.
Ettercap: Interceptor/Sniffer/Registradorpara
LAN.
4.
Wireshark: Analizador de protocolos.
5.
Medusa: Herramienta para Ataque de fuerza
bruta para auditar el inicio de sesión de varios servicios.
6.
Nma: Rastreador de puertos
ACL: Es la
herramienta de software preferida por los profesionales de las finanzas y
auditoría para extraer y analizar datos, detectar fraudes y lograr un monitoreo
continuo.
Meycor CobiT
Suite: Es una completa herramienta integral e intuitiva para la
implementación del marco Cobit, para la Gobernanza, la Gestión de riesgos
tecnológicos, la Seguridad, el Control Interno, y el Aseguramiento de la TI
Apex SQL Audit: Provee una
herramienta de auditoría activa para empresas que necesitan auditar bases de
datos Microsoft SQL Server.
Apex SQL Audit: es la solución
perfecta de auditoría activa para SQL Server.
Trillium
Software: Combina el poder de tecnología de vanguardia con un proceso
probado de descubrimiento, reingeniería, identificación, estandarización y
mejora de los datos, así como la obtención y detección de relaciones entre los
registros de la base de datos sin importar el origen de los mismos.
Comentarios
Publicar un comentario