AUDITORIA DE APLICACIONES.

APLICACIN-- > Producto final que genera el rea de TI Que se aplica en la auditoria: METODOLOGIA TECNICAS para realizar pruebas sustantivas en ambientes de TI Que se evala? Grado de cumplimiento de los objetivos para el que la aplicacin fue creada. Finalidad de la aplicacin: 1. -Registrar exactamente la informacin de las operaciones llevadas a cabo por el aplicativo Ej: id, nombres, direcciones 2. -Ejecucin de cuantos procesos para ingresar, procesar y almacenar la informacin de entrada 3. -Generacin de reportes de la informacin almacenada para dar apoyo a algunas necesidades 4. -Generacin de informes dependiendo el inters aplicando: criterios de seleccin (filtrado), ordenamiento, totalizacin, agrupamiento, recuento y totalizacin, clculos de todo tipo.

AMENAZAS QUE IMPIDEN EL CUMPLIMIENTO DE LA FINALIDAD DE LA APLICACION -Posibilidad de fallo en algunos elementos que intervienen en el proceso tales como: Aplicaciones de otras firmas, servidores, modem, lneas de comunicacin -Aplicaciones en ambientes web (entornos abiertos) aumenta el riesgo de amenaza de confidencialidad e integridad de la informacin, permitiendo as la manipulacin de la informacin AMENAZAS: -por parte de personas que tienen o no acceso autorizado -Extraccin de la informacin utilizando otros medios de almacenamiento -Sabotaje para disminuir el rendimiento de los servicios de la aplicacin, o aprovechar algunas debilidades de seguridad para atacarlo a travs de aplicaciones, nuevos desarrollos o cdigo malicioso (troyanos, gusanos, errores en la programacion) -Fraude aprovechando los recursos para obtener beneficios lucrativos

-Ingeniera Social, manipulacin de personas para obtener informacin sensible Otras amenazas: -Desastres naturales -Perifricos: estabilizador, ups -Interceptar una red -Falta de capacitacin y sensibilizacin, esto conlleva al mal uso por la falta de conocimiento de las polticas de seguridad AMENAZAS
Las principales amenazas que pueden ocasionar un desastre informtico son ( fuente: E&Y Global Information Security Survey 2004) : Virus, gusanos o caballos de Troya. Inadecuada utilizacin de los sistemas de la informacin por los empleados. Spam (recepcin de correo electrnico publicitario masivo). Prdida de confidencialidad. Denegacin de servicios (ataques que ocasionan que algn recurso est demasiado ocupado para responder solicitudes autorizadas y tambin ocasiona la denegacin a los usuarios autorizados el acceso a su mquina) . Fraude financiero utilizando los sistemas de informacin. Inadecuada utilizacin de los sistemas de informacin por terceros. Seguridad fsica. Baja calidad del software. Robo de informacin. RECOMENDACIONES No es posible eliminar en su totalidad el riesgo existente, pero s se pueden minimizar los peligros y daos que pudiera ocasionar un desastre informtico. Para ello, toda empresa debe concienciarse de seguir una serie de recomendaciones con rigurosidad: ( fuente: Algunas de estas recomendaciones se obtuvieron desde el Centro de Alerta Temprana de Virus y Seguridad Informtica, http://alerta-antivirus.red.es) 1. Antes de abrir cada mensaje de correo electrnico, verificar la procedencia del mismo. 2. Evitar la descarga de programas de lugares no seguros de Internet (suelen ser seguras las pginas de empresa, pginas gubernamentales e instituciones).

3. Realizar peridicamente copias de seguridad (al menos una vez por semana). Esta prctica es una magnfica poltica de seguridad que en caso de prdida de datos (causada por ejemplo por un virus) puede ser superada mediante la restauracin de la ltima copia. 4. Estar continuamente informado sobre lo que acontece en el sector de la Seguridad Informtica. Para ello es muy recomendable visitar de forma peridica la pgina http://alerta-antivirus.red.es 5. Poseer un antivirus permanentemente actualizado y realizar escaneos frecuentemente del ordenador en busca de virus. 6. Mantener el sistema operativo actualizado permanentemente con los parches de seguridad que publican los fabricantes. En el caso de Windows, se puede automatizar mediante la utilidad "Windows Update", que permite conectarse a la web de Microsoft y chequear si existen actualizaciones pendientes de instalar en nuestro sistema. 7. Utilizar software legal y con licencia. Las aplicaciones copiadas ilegalmente poseen un alto riesgo de infeccin ya que circulan por un gran nmero de usuarios.

TAREA DEL AUDITOR -Revisar los controles y su eficacia HERRAMIENTAS -Entrevistas (Preguntas) -Encuestas (cuestionario) -Pruebas de Conformidad (acciones del auditor sobre la aplicacin, o tambin puede ser observacin del comportamiento ante un control implementado) -Pruebas Sustantivas o de Validacin: detectan errores o irregularidades en procesos, actividades o transacciones o a los controles integrados a ellos, o cuando no hay evidencia de controles. PRUEBAS: -Transacciones omitidas (ej: inscripcin, pago matricula, matricula, omitir la matricula) -Duplicados -Mal registradas -Registrada sin autorizacin -Informacin mal registrada por alteracin CONSECUENCIAS: -un tercero no cuenta con sus derechos y menos obligaciones -Informacin no veraz

USO DEL COMPUTADOR PARA REALIZAR LA AUDITORIA ETAPAS Recoleccin de la informacin y documentacin de la aplicacin Finalidad: identificar puntos dbiles y funciones que puedan generar riesgos, visin global del sistema: descripcin de la aplicacin, plan de sistemas (objetivos, planes, presupuestos, manual de usuario) Que hace la organizacin. Procedimientos de servicio, organigrama, polticas de formacin y sensibilizacin a los usuarios Entorno en la que se desarrolla la aplicacin: recursos: computadores asignados, perifricos, configuracin de la red, tipo de comunicacin utilizada Seguridad en el entorno y riesgos Arquitectura fsica y lgica de la aplicacin: Computador personal Computador donde se encuentre instalada la aplicacin SQL para acceder a la base de datos Informe de Excepcion (Log de Eventos) Ensayo de transacciones ficticias para verificar controles