Herramientas del Auditor
de Sistemas
Agenda
Marco Metodológico
 Tipos de Herramientas
 Software especial para auditoria

Marco metodológico
Marco metodológico

Para el uso adecuado de herramientas de
auditoria se debe aplicar cierta
metodología que abarca:




Efectuar pruebas
Tener ética profesional
Planificar
Documentar
Efectuar pruebas

El uso de TAAC’s no debe alterar la integridad ni
el desempeño de los recursos del cliente.

Deben ser probadas antes de ser utilizadas.
Tener ética profesional

La información recopilada por las herramientas
de auditoria debe ser confidencial.

La información debe estar guardada con cierto
nivel de seguridad.
Planificar

ISACA recomienda:
(Information Systems Audit and Control Association - http://www.isaca.org/)





Definir los objetivos de la auditoria
Determinar la accesibilidad y disponibilidad de TI
Determinar los requisitos de las TAAC’s.
Obtener acceso a los recursos de la empresa a
auditar.
Documentar las TAAC’s a utilizar y los objetivos
de cada una.
Documentar

La documentación relacionada con el uso de
TAAC’s debería incluir:




Las herramientas utilizadas y su objetivo.
Forma en que se preparó la herramienta.
Detalles de la ejecución de la herramienta:
 Entradas, procesos y salidas.
El análisis realizado por el auditor a partir de la
salida de la herramienta.
HERRAMIENTAS Y TÉCNICAS
PARA LA AUDITORIA
INFORMÁTICA
Cuestionarios

Se utilizan para la adquisición de información de la empresa
u organización auditada.

Se solicita que los cuestionarios preimpresos sean enviados
a personas especificas dentro de la organización.

Estos cuestionarios no pueden ni deben ser repetidos, sino
que siempre deben ser diferentes y muy específicos para
cada situación, y muy cuidadosos en su alcance y forma.
Checklist
El auditor deberá aplicar el Checklist de modo que el
auditado responda clara y concretamente. Se deberá
interrumpir lo menos posible a éste, y solamente en los
casos en que las respuestas se aparten sustancialmente de
la pregunta. En algunas ocasiones, se hará necesario invitar
a aquél a que exponga con mayor amplitud un tema
concreto, y en cualquier caso, se deberá evitar
absolutamente la presión sobre el mismo. Los tipos de
Checklist incluye Checklist de Rango, Checklist Binario y los
Checklist Standard.
Entrevistas (1)

La entrevista es una de las actividades personales más
importante del auditor; en ellas, éste recoge más
información, y mejor matizada, que la proporcionada por
medios propios puramente técnicos o por las respuestas
escritas a cuestionarios.

La entrevista entre auditor y auditado se basa
fundamentalmente en el concepto de interrogatorio; es lo
que hace un auditor, interroga y se interroga a sí mismo. El
auditor informático experto entrevista al auditado siguiendo
un cuidadoso sistema previamente establecido
Entrevistas (2)

Mediante la petición de documentación concreta sobre
alguna materia de su responsabilidad.

Mediante "entrevistas" en las que no se sigue un plan
predeterminado ni un método estricto de sometimiento a
un cuestionario.

Por medio de entrevistas en las que el auditor sigue un
método preestablecido de antemano y busca unas
finalidades concretas.
Trazas y/o Huellas
Verificar que los programas, tanto de los Sistemas como de
usuario, realizan exactamente las funciones previstas, y no otras.
Utilizar Software de rastreo de datos
Ejemplos de Software de rastreo:
 NMAP
 FSCAN
 CGISCAN
 Whisker
Las Trazas se utilizan para comprobar la ejecución de las
validaciones de datos previstas sin modificar en absoluto el
Sistema.
Para el análisis del Sistema, se emplean productos que
comprueban los valores asignados por Técnica de Sistemas a cada
uno de los parámetros variables de las Librerías más importantes
del mismo. Estos parámetros variables deben estar dentro de un
intervalo marcado por el fabricante.
Software de Interrogación y
soporte
Aplicaciones de IDEA








Detección de Fraudes
Informes y Análisis de
Gestión
Revisiones de Seguridad
Transferencia de Archivos
Bancos e Instituciones
Financieras
Industrias
Mayoristas
Gobierno
Software de Interrogación y soporte
Aplicaciones de WorkingPapers













TBalance de comprobación
IGenerador Automático de
Documentos
Plantillas de CaseWare
Importaciones y conversiones
sencillas
Facilidad para exportar
Consolidación
Función de mapeo
División de saldos
Medidas de performance
Comparación y revisión
Capacidad de acceso en
detalle
Bibliotecas de conocimientos
Enlaces a otro software
Software de Interrogación y soporte

Operación en tiempo real. Al
ingresar una transacción cada
reporte es instantáneamente
actualizado.

Bases de datos ilimitadas. No
tiene limites (mas allá de su
hardware) con respecto al
tamaño del archivo de Cliente,
códigos de trabajo, tiempos y
gastos.

Una base de datos de
clientes/contactos con más de
70 campos, pudiendo
personalizar los datos de sus
clientes.

Proyectos completos y sub.
Proyectos. Puede asignar
proyectos para un cliente
especifico, verificar su estatus
y Luego facturar por proyecto.
Software de Interrogación y suporte

Una pantalla de facturación
pudiendo personalizar el texto,
el diseño y el desglose de las
facturas.

Distribución flexible de cargos o
imputaciones a un único
empleado o a una combinación
de Empleados.

Una pantalla simple para
manejar todos los pagos
parciales y totales.

CaseWare Time le ofrece una
serie de funcionalidades
relativas a estos aspectos claves
de su trabajo:

Generación de Reportes.

Manejo de su trabajo y
mejoramiento de su Cash Flow.
Software de Interrogación y suporte
Software especial para Auditoria
-Monitoreo
de bases de datos
-Detección de intrusos
-Evaluación de Logs
Software para monitoreo de BDD
Alarma de base de datos:
1.
Envía un mensaje con una descripción del
problema.
2.
Se debe usar instrumentos de base de datos
para proporcionar la grabación más avanzada,
la clasificación, y el reportaje sobre la
supervisión de datos.

Las bases de datos son continuamente
supervisadas.

Sus profesionales técnicos están siendo
notificados antes de que ocurran condiciones que
podrían afectar la disponibilidad de negocio.

Asegurará la integridad y la disponibilidad de la
base de datos del uso.

Proporciona una mezcla de productos para
organizar satisfactoriamente y de manera
eficiente un ambiente de base de datos.

Los productos ofrecidos tienen diferencias que
proveerán la información que excede a una base
de datos típica supervisada por este producto.
Zero Impact Sql
Monitor
Capturar en tiempo real todo el texto SQL y
métrico correspondientes de funcionamiento.
Zero Impact Top N Sql
Analyzer
Identifica lo más frecuentemente ejecutado y
los recursos más intensivos de SQL
Zero Impact Service
Level Monitor
Forma tendencias antes que el usuario se queje
Stealth Blocked
Process Monitor
Proporciona una cuenta exacta de bloqueos o
estancamiento de procesos representados con
un gráfico del texto asociado SQL.
Software para evaluar logs



Pueden analizar el 100% de los registros de una
bitácora.
Características comunes:
 Estadísticas de campos numéricos y fechas.
 Búsqueda de duplicados.
 Generación de gráficas.
 Detección de errores y fraudes potenciales.
 Estratificación.
Ejemplo: IDEA, ACL
ACL
IDEA
Que es un IDS
Sistemas utilizados para detectar las intrusiones o los
intentos de intrusión se les denomina sistemas de detección
de intrusiones (Intrusion Detection Systems, IDS) o
sistemas de detección de intrusos. Cualquier mecanismo de
seguridad con este propósito puede ser considerado un IDS
Acciones en un IDS

Analiza el trafico en la Red y compara patrones de ataques
conocidos, tomando acciones de acuerdo a su configuración
( envío de mensajes de alerta, reseteando conexiones, etc)

Reacciona de acuerdo a Reglas.
Clasificación de los IDS’s
Primera Clasificación
IDS’s basados en red.
Un IDS basado en red monitoriza los paquetes que circulan
por nuestra red en busca de elementos que denoten un
ataque contra alguno de los sistemas ubicados en ella
Monitores de registros.
Sistemas que monitorizan los archivos de log generados por
los programas
Clasificación de los IDS’s
Los sistemas de decepción o tarros de miel
Son mecanismos encargados de simular servicios con
problemas de seguridad de forma que un pirata piense que
realmente el problema se puede aprovechar para acceder a
un sistema, cuando realmente se está aprovechando para
registrar todas sus actividades
Clasificación de los IDS’s
Segunda Clasificación
Detección de anomalías.
La base del funcionamiento de estos sistemas es suponer
que una intrusión se puede ver como una anomalía de
nuestro sistema.
Detección de usos indebidos.
Establecer patrones para los diferentes ataques conocidos y
algunas de sus variaciones.
Diagrama
Aspectos importantes de un IDS










Respuesta
Instalación
Análisis
Facilidad de administración
Costo de expansión
Debe reforzar una política de seguridad.
Resistente a un ataque.
Documentación y Soporte.
Lightweight
Respuesta a Incidente.
NIDS vs HIDS
Host
Network/Red




Examina ataques a la red,
analizando el trafico en la
misma.
Se pueden distribuir sensores
a través de la red y reportar
incidentes a un host central
Es posible detectar ataques
distribuidos.
Necesidad de personal
dedicado a la lectura de
reportes




El Host es el único protegido
en la red.
Examina un numero menor de
firmas
Requiere mínima
configuración.
El software debe ser instalado
en cada host para ser
monitoreado.
IDS Comerciales














DRAGON
Intruder Alert
NetProwler
ISS RealSecure
Cisco NetRanger
Cyber Cop
POLYCENTER Security Intrusion Detector
G-Server
Watch Dog
CMDS (Computer Misuse and Detection System)
INTOUCH NSA (Network Security Agent)
Symantec Network Security 7100
Host IDS 4.1 IDS
Symantec Network Security 4.0 Network IDS
Decoy Server 3.1
Preguntas?
Herramientas del Auditor de
Sistemas
Descargar

Marco metodológico