Herramientas del auditor
En la auditoria informática se realiza recabando información y
documentación de todo tipo, este tipo de documentos no pueden ni deben ser
repetidos para áreas distintas, sino diferentes y muy específicos para cada
situación con mucho cuidado en su fondo y su forma.
En estos documentos se recoge más información que la proporcionada por
medios técnicos o por las respuestas escritas en cuestionarios.
Al realizar las entrevistas el auditor sigue un sistema previamente
establecido, consistente en que bajo la forma de una conversación correcta el
auditado conteste sencillamente y con pulcritud a una serie de preguntas
variadas.
Checklists
El conjunto de preguntas recibe el nombre de checklist estas deben ser
contestadas oralmente ya que superan en riqueza y generalización a cualquier
otra forma.
Trazas y/o huellas
Se utilizan para comprobar la ejecución de las validaciones de datos
previstas, las mencionadas trazas no deben modificar en absoluto el sistema. Si
la herramienta auditoria produce incrementos apreciables de carga, se convendrá
de antemano las fechas y horas más adecuadas para su empleo. Son programas
encaminados a verificar lo correcto de los cálculos de nóminas, primas, etc.
Herramientas de apoyo a la auditoria
Este tipo de herramientas están orientadas a que se
incremente la productividad y efectividad del auditor, efectuar auditorias con
valor agregado, que todos los papeles de trabajo sean estandarizados,
optimización con la emisión del informe de auditoría. Entre estas herramientas
encontramos:
COBIT
Es un marco internacional que habla sobre las mejores
prácticas de auditoría y control de sistemas de información, permitiendo a la
gerencia entender y administrar los riesgos que conlleva la tecnología de
información. Este considera varias tipos de controles siendo:
·
De
negocio y TI a nivel de dirección ejecutiva, procesos de negocio, soporte de
los procesos de negocio.
·
Controles
generales de TI, desarrollo de sistemas, administración de cambios, seguridad,
operación del computador.
·
Controles
a nivel de aplicación, origen de datos, entrada de datos, procesamiento de
datos, limites,
ITAF
(Information Technology Assurance FrameWork)
Es una guía para el diseño, conducción y reporte de la
auditoria de TI como de revisiones de aseguramiento en donde define términos y
concepto específicos para el aseguramiento de TI estableciendo estándares de
los roles y responsabilidades de los profesionales de auditoria, los
conocimientos y habilidades requeridas.
Herramientas de planificación y registro
Este tipo de herramientas se enfocan en la
planificación estratégica basada en evaluación de riesgos, la planificación y
asignación de recursos, trabajo distribuido geográficamente, almacenamiento
centralizado, seguimiento.
La auditoría continua de SI también se realizan usando
típicamente procedimientos automatizados de auditoria.
Las herramientas GRC (Governance, Risk and Compliance)
pasaron de ser planillas donde se registran los riesgos de distintos sectores
de la empresa a ser sistemas que se conectan a las principales aplicaciones,
dando una visión en tiempo real de los riesgos en los sistemas, algunos
ejemplos de estas herramientas para instituciones financieras son: Basillea II,
Solvency II.
Estas se enfocan en los riesgos que puedan surgir del
privilegio de usuarios, controles generales, controles de aplicación y patrones
de fraude.
Este tipo de herramienta que evalúa la seguridad debe
ser vista en su contexto o el área que se necesita evaluar tales como bases de
dato, redes, sistema operativo.
Nessus
Es programa de escaneo de vulnerabilidades en sistemas
operativos, es de licencia publica y multiplataforma,
Winaudit
Es una herramienta de inventario para ordenadores
Windows, crea un informe completo sobre la configuración de una máquina,
hardware y software
Wireshark
Es un analizador de protocolos que provee organización
y filtrado de información dentro de redes de comunicación permitiendo
visualizar el tráfico de una red, es de licencia libre, multiplataforma.
Nmap
Es un programa de código abierto que sirve para
efectuar rastreo de puertos, se usa para evaluar la seguridad de sistemas
informáticos, así como descubrir servidores en una red, escáner de puertos más
poderoso, se utiliza para: auditorias de seguridad, pruebas rutinarias de redes
y como recolector de información para ataques futuros. Es una herramienta de
licencia publica, multiplataforma
Herramienta CASE
Es una herramienta que utiliza el auditor informático
para la revisión del diseño de las bases de datos, comprobando si se ha
empleado correctamente la metodología y asegurar un nivel mínimo de calidad.
Herramientas CAAT´s
Son pruebas del tipo sustantivas las cuales se usan
para:
·
Probar
el funcionamiento de un programa
·
Probar
el cumplimiento de controles
·
Buscar
excepciones/anomalías
·
Realizar
muestreo
·
Análisis
de datos financieros
·
Análisis
de archivos log.
·
ACL
Este mejora la calidad del trabajo, reduce el tiempo,
se concentra en los riesgos.
IDEA
Es una herramienta de análisis completa, potente y
fácil de usar que analiza el 100% de los datos, garantizando su integridad,
acelera el trabajo y prepara la información para auditorias más rápidas y
efectivas.
IDS
Sistemas utilizados para detectar las intrusiones o
los intentos de intrusión se les denomina sistemas de detección de intrusiones
(Intrusion Detection Systems), estos sistemas analizan el tráfico de la red y
compara patrones de ataques conocidos, tomando acciones de acuerdo a su
configuración, reacciona conforme a reglas.
No hay comentarios.:
Publicar un comentario