Controles & Auditoría (VII)

CONTROLES PREVENTIVOS:·         Son más rentables.·         Deben quedar incorporados en los sistemas.·         Evitan costos de corrección o reproces.CONTROLES DETECTIVOS·         Son más costosos que los preventivos.·         Miden la efectividad de los preventivos.·         Algunos errores no pueden ser evitados en la etapa preventiva.·         Incluyen revisiones y comparaciones (registro de desempeño).·         Conciliaciones,...

Read more »

Controles & Auditoría (VI)

CONTROL.Es el uso o establecimiento de todos los medios en un negocio para promover, dirigir, restringir, gobernar y verificar varias actividades con el fin de ver que los objetivos son alcanzados. Esos medios incluyen, pero no se limitan, la forma de organizarse, políticas, procedimientos, sistemas, instrucciones, normas, comités, catálogos de cuentas, pronósticos, presupuestos, programas, reportes, registros, métodos, mecanismos y auditoría interna.Actualmente Control es…… cualquier acción tomada por la Gerencia para mejorar la probabilidad de que los objetivos establecidos sean alcanzados.… Sistema de Control es la integración (o el conjunto) de los componentes o actividades que son usados por la organización para alcanzar sus objetivos...

Read more »

Controles & Auditoría (V)

CONTROLES DE PREVENCIONPrevención de la filtración a la informaciónSin las medidas preventivas adecuadas, las aplicaciones son vulnerables a varios tipos de ataques de seguridad. Un tipo particular a pesar de ser una de las vulnerabilidades mas documentadas, hoy en día es el denominado SQL injection.Utilizando este método, un hacker puede pasar cadenas de entrada a una aplicación con la esperanza de conseguir acceso no autorizado a la base de datos.¿Qué es SQL Injection?Una inyección SQL sucede cuando se inserta o inyecta un código SQL invasor dentro de otro código SQL para alterar su funcionamiento normal y hacer que se ejecute maliciosamente el código invasor en la base de datos.Consulta: “select * from usuario where user=’$user’ ”;Correcto...

Read more »

Controles & Auditoría (IV)

Control Verificar la identidad del personal de sistemas para el acceso al área de sistemas mediante un tarjeta de identificaciónObjetivos del control: Permitir el acceso sólo al personal autorizado a las instalaciones Descripción:Una persona debe poseer su tarjeta de identificación y su número de identificación personal que deberá ser utilizado en la puerta de ingreso al área. Con una base de datos del personal y el correcto número de identificación se permitirá el acceso  a las personas La base de datos debe contener los datos de las personas autorizadas, estos datos incluirán lo siguiente:·         Nombre, posición, número de identificación·        ...

Read more »

Controles & Auditoría (III)

CASOS PRÁCTICOS DE CONTROLES GENERALES DE AUDITORÍA DE SISTEMASCASO 1:CONTROL CORRECTIVO·         Disminuir el impacto de vulnerabilidades que pueden generar riesgos.·         Subsanar las vulnerabilidades identificadas y analizadas.Ejemplo:En la exanimación de los scripts de un módulo de un sistema, en el cual se le reporta algunas observaciones de aplicación, por lo que el control correctivo se debe de aplicar bajo una herramienta de software como Klocwork o acunetix. Para así analizare identificar las vulnerabilidades como también corregirlas. KLOCWORK:Está en una herramienta de análisis estático de código en C, C++ y Java.Beneficios de esta herramienta:·        ...

Read more »

Controles & Auditoría (II)

CASO SUNATHerramienta de control PREVENTIVOMcAfee Endpoint Protection — Advanced SuiteEndpoint Protection — Advanced SuiteMonitorización por parte de la oficina de control interno y de auditoría sobre la información institucional y restringida que pretende ser copiada a dispositivos de almacenamiento externo no institucionales. ›  Supervisa  y restringe  los datos copiados en dispositivos de almacenamiento y medios portátiles con el fin de evitar que estén fuera del control de la empresa›  Los archivos que sean copiados a un dispositivo portátil será encriptados y cifrados , por lo cual no se podrán abrir en una PC fuera de la red institucional.›  Se registrará la fecha, hora, usuario, y PC desde donde se intentó realizar...

Read more »

Controles & Auditoría (I)

CONTROL PREVENTIVO: LOGS DE AUIDTORÍAUno de los controles preventivos más importantes respecto a seguridad que pueden integrarse a un software aplicativo, es la creación de los “Logs de Auditoria”, tanto es así que la ISO 17799 nos da lineamientos generales. En este trabajo propondrán estructuras de tablas que nos podrían ayudar a generar logs mediante el aplicativo (programación) o mediante la base de datos (triggers). Al realizar el análisis indicaremos ¿qué información debemos almacenar en la base de datos para poder hacer revisiones posteriores y aportar tanto con evidencia de auditoría como evidencia para fines legales (forense)?.Una vez implementados los Logs de Auditoría estaremos en condiciones de poder analizar los datos almacenados,...

Read more »

Auditoría de Sistemas & Ejemplo de control en las Organizaciones

VER VIDEO AHORA...

Read more »

IS-Auditing-Standars II

NORMA 1: ESTATUTOEl propósito, responsabilidad, autoridad y rendición de cuentas de la función de auditoría de sistemas de información o de las asignaciones de auditoría de sistemas de información deben documentarse de manera apropiada en un estatuto de auditoría o carta de compromiso.El estatuto de auditoría o la carta de compromiso deben ser aceptados y aprobados en el nivel apropiado dentro de la organización. NORMA 2: INDEPENDENCIAIndependencia profesional en todos los aspectos relacionados con la auditoría, el auditor de SI debe ser independiente del auditado, tanto en actitud como en apariencia.Independencia organizacional La función de auditoría de SI debe ser independiente del área o actividad que se está revisando para permitir una...

Read more »

IS Auditing Standars

La naturaleza especializada de la auditoría de los sistemas de información (SI), así como las destrezas para llevar a cabo tales auditorías, requiere de estándares que aplican específicamente a la auditoría de SI. El desarrollo y difusión de los estándares de auditoría de SI son una piedra angular de la contribución de ISACA ( Information System Audit and Control Association o Asociación de Auditoría y control de Sistemas de Información). A continuación se detallan los estándares que deben ser seguidos por todo auditor de SI para realizar un trabajo de calidadS1 E1 Estatuto de Auditoría El propósito de este estándar de auditoría de SI es establecer y proporcionar asesoramiento con respecto al Estatuto de Auditoría utilizado durante el...

Read more »

IIASAC

Estándares de Auditoría.En los últimos años se ha incrementado la atención sobre los controles internos, tanto para los auditores, los gerentes, los contadores, como para las entidades reguladoras en general. Como resultado de un continuo y trabajoso esfuerzo, se han desarrollado varios documentos para definir, valorizar, reportar y mejorar el control interno y ser utilizados como marco de referencia en las organizaciones. En resumen, éstos son: -          Informe COSO - (Committee of Sponsoring Organizations), de la Comisión de Estudios de Controles Internos.-          SAC - (Systems Auditability and Control), de la Fundación de Investigación del Instituto...

Read more »

DTI -> BSI

Caso 1: Poniendo en marcha las defensas de seguridad.DTI entidad cuya funcionalidad es de apoyar a las empresas ser más productivas en los diferentes aspectos como en la seguridad de la información. Por lo cual la empresa XYZ S.A.C necesita hacer frente a las amenazas existentes referente a TI que pueden ocasionar la pérdida de la información, estas amenazas pueden darse de dos tipos: internos o externos. Por ello se necesita saber que defensas ante esto se requiere como también como reforzar las medidas de seguridad.Aspectos a considerar en la puesta en marcha de las defensas de seguridad:Personal de seguridad Esto hace referencia a que se debe tener un personal que debe de verificar a los empleados que ingresan a la empresa como a los que...

Read more »

COSO

El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de Control Interno. Está diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:Eficacia y eficiencia de las operaciones.Fiabilidad de la información financiera.Cumplimiento de leyes y normas que sean aplicables.Debido al mundo económico integrado que existe hoy en día se ha creado la necesidad de integrar metodologías y conceptos en todos los niveles de las diversas áreas administrativas y operativas con el fin de ser competitivos y responder a las nuevas exigencias empresariales. Surge así una nueva perspectiva...

Read more »