2013

HERRAMIENTAS TECNOLGICAS PARA AUDITAR

TRABAJO DE INVESTIGACIN
Pablo Sal Osorio 13001118

UNIVERSIDAD GALILEO | Auditoria de Sistemas

CONTENIDO
INTRODUCCIN ................................................................................................................................... 2 ACL....................................................................................................................................................... 3 IDEA ..................................................................................................................................................... 5 BlueCoat .............................................................................................................................................. 7 Snort .................................................................................................................................................. 10 TripWire............................................................................................................................................. 12 Inotify ................................................................................................................................................ 14 EnVision ............................................................................................................................................. 16 FoundStone ....................................................................................................................................... 18 CONCLUSIONES ................................................................................................................................. 20 RECOMENDACIONES ......................................................................................................................... 21 e-GRAFIA ........................................................................................................................................... 22

INTRODUCCIN
Las herramientas de auditora ofrecen una gran cantidad de servicios diseados para asistir en la auditora de software. Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin: Salvaguarda el activo empresarial, Mantiene la integridad de los datos, Lleva a cabo eficazmente los fines de la organizacin, Utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.

ACL Es un software para anlisis y extraccin de datos, donde los auditores y profesionales pueden transformar grandes cantidades de datos electrnicos en un conocimiento comercial de valor. Con este programa se podr realizar la revisin de datos con una cobertura del 100%, lo que indica que se pueden realizar auditoras para poblaciones enteras, y no muestras pequeas. Los impactos que ACL se ve en: Los ciclos de auditora ms cortos Investigaciones ms detalladas Confianza en los resultados Ahorro en los recursos Un mayor rol de la auditora en el negocio.

 Identifica tendencias, seala excepciones y reas que requieren atencin Localiza errores y posibles irregularidades, comparando y analizando los archivos segn los criterios especificados por los usuarios. Recalcula y verifica saldos. Determina la aplicacin de los controles y el complimiento de las normas. Analiza y determina la antigedad de las cuentas por cobrar, cuentas por pagar u otras transacciones a las que afecta el tiempo transcurrido. Recupera ingresos perdidos o gastos, detectando pagos duplicados, secuencias numricas incompletas en la facturacin o servicios no facturados. Detecta las relaciones no autorizadas entre el personal de la empresa y los proveedores. Caractersticas generales Permite importar archivos de diferentes fuentes o formatos (archivos planos y de base de datos especficas). Los datos importados no son modificados asegurando la integridad e incrementando el nivel de confianza de los datos trabajados Generacin de pistas de auditoria (Quien, Como, Cuando, Donde) Posibilidad de escribir Scripts/Macros que automaticen procedimientos de revisin rutinaria en auditorias recurrentes. Incrementa la cobertura de revisin al 100% de datos a analizar

ACL ofrece un entorno seguro y centralizado para acceder a los datos, analizar las transacciones comerciales y realizar reportes de los hallazgos y los resultados de las auditoras. Sin importar el origen o las dimensiones, cada uno de los integrantes de su equipo tendr acceso a cualquier tipo de datos empresariales que necesite, en el momento en que los necesite.

IDEA Historia IDEA tiene una larga historia. El software se origina con la Oficina del Auditor General de Canad, que se desarroll un prototipo en 1986. El software fue desarrollado por el Instituto Canadiense de Contadores Pblicos y finalmente por CaseWare IDEA Inc. Hubo varias versiones de IDEA DOS, ltimo de los cuales (5,0) fue lanzado en 1994. Eran ejemplo popular entre las Entidades Fiscalizadoras Superiores, muchos de los cuales estn utilizando IDEA. Primera versin de Windows de IDEA (extraccin de datos y anlisis interactivos para Windows) fue lanzado en 1995. No era capaz de competir eficazmente con ACL de Windows, que en ese momento del tiempo tena ya su tercera versin. Entre otras cosas IDEA no era tan rpido como ACL. Adems, ACL se comercializ agresivamente, con el apoyo del Instituto de Auditores Internos . Sin embargo, IDEA ha desarrollado vigorosamente, y en 2002 la situacin haba cambiado. En una encuesta de la revista Auditora Interna (agosto de 2002) IDEA disfrut ms alto de satisfaccin general de los usuarios en materia de CAAT software. El desarrollo de IDEA se ha mantenido fuerte despus de eso, tambin, y hoy IDEA tiene un montn de caractersticas tiles que no se puede encontrar por ejemplo en ACL. Caractersticas Es una herramienta para anlisis, extraccin y sencillo de utilizar y provista de muchas funciones para verificar la calidad e integridad de la informacin de bases de datos y archivos de computadores. Ofrece funcionalidades para importar datos de archivos de diferentes formatos tales como texto, OBDC, Excel, PDF, reportes, AS400, SAP, y cuenta con un ilimitado nmero de registros. Con las funcionalidades de IDEA, se logra la mejora del desempeo y la ampliacin de posibilidades. Diseado por auditores para el uso de los auditores. Puede ser utilizado por auditores financieros como por auditores de sistemas.

Fortalezas de IDEA En mi mente fortalezas de IDEA son su alto grado de compatibilidad con los estndares de Windows y MS Office, especialmente con MS Excel, y facilidad de uso. Claridad de IDEA es una gran contribucin a su facilidad de uso general. Funciones de IDEA se asemejan a las de Excel. Lenguaje de scripting de IDEA, IDEAScript , es compatible con Visual Basic, como MS Excel de. Trabajo que se puede automatizar en este tipo de software se ha automatizado totalmente. Funcionalidad de la Ayuda del IDEA ayuda tambin a otros que los tcnicos sean excelentes en el uso de IDEA. Por sus caractersticas y funcionalidades IDEA, ha sido elegido como estndar de auditoria de datos por las grandes firmas de contadores pblicos, oficinas de auditoria y finanzas gubernamentales, auditores internos de empresas pblicas y privadas y adoptado por universidades como herramienta de aprendizaje en los cursos de pregrado y postgrado en Auditoria.

BlueCoat Historia Blue Coat Systems fue fundada en 1996 como CacheFlow, con la sede original en Redmond , Washington. Blue Coat ofrece productos a ms de 15.000 clientes en todo el mundo. Se identifica como una Application Delivery Networking (ADN). Blue Coat se utiliza principalmente en la industria como dispositivos de seguridad que proporcionan vigilancia, filtrado de contenidos y Proxy Web con un uso secundario como Cache Engine. Normalmente se utiliza en conjuncin con un servidor de seguridad en lugar del mismo. El 9 de diciembre de 2011, Blue Coat acord ser adquirida por Thoma Cressey Bravo por $ 1,3 mil millones. Con el cierre de la transaccin, las acciones de Blue Coat fue retirado de la lista de NASDAQ y ya no era una empresa que cotiza en bolsa.

Caractersticas Blue Coat Systems es el lder tecnolgico en Application Delivery Networking. Blue Coat ofrece una infraestructura de Application Delivery Network que proporciona la visibilidad, aceleracin y seguridad que se requieren para optimizar y asegurar el flujo de informacin a cualquier usuario, en cualquier red, en cualquier lugar. Aunque nuestra tecnologa est diseada para redes corporativas, ofrece a las familias el mismo software lder en la industria de seguridad Web utilizan clientes de negocios. El resultado es K9 Web Protection - software libre y de clase empresarial de seguridad diseada para los ordenadores de Blue Coat. Posee una tecnologa de seguridad diseado para frustrar los ataques de malware ms sofisticados.

Lista de productos Seguridad Web

ProxySG , software Multi-parte de la empresa y dispositivo de hardware, diseada para empresas con un gran nmero de equipos Servicio de nube , la seguridad web basada en la nube

Optimizacin WAN

MACH5 , Acelerar las aplicaciones internas y externas para los empleados distribuidos PacketShaper , la visibilidad y el control sobre la red y las aplicaciones de Content-Aware

Seguridad Personal

K9 Web Protection , libre de usar proteccin para su uso como control parental y para filtrar la navegacin por Internet

El almacenamiento en cach Proveedor de servicios

CacheFlow , soluciones de almacenamiento en cach de las compaas clientes

Optimizacin de WAN Acelera las aplicaciones de negocio, mejora la productividad del usuario y reduce los costos de ancho de banda.

La tecnologa de optimizacin de Blue Coat WAN permite acelerar el envo de informacin interna y externa y aplicaciones en tiempo real sensibles a la latencia a usuarios en toda la empresa, lo que resulta en tomas de decisiones ms rpidas y mejoras en la competitividad.

La infraestructura provee la aplicacin exhaustiva y el control requerido para contener los costos del ancho de banda de redes y permite la productividad del negocio, mientras provee la flexibilidad de alinear rpidamente las inversiones en la red con los cambiantes requisitos empresariales. Aceleracin de aplicaciones internas, externas y de tiempo real Las soluciones de optimizacin de Blue coat WAN aceleran aplicaciones crticas optimizando el trfico, conservando el ancho de banda y limitando o bloqueando las aplicaciones recreacionales. Con las tecnologas de optimizacin de Blue Coat WAN, se puede identificar y controlar el trfico no autorizado en la red tales como online ads, bsquedas web inapropiadas, Malware proveniente de la web, entre otras. Como resultado, las soluciones de optimizacin WAN ayudan: - Proporcionando rendimiento de las aplicaciones WAN a usuarios remotos y sucursales. - Le entregan un magnifico rendimiento de streaming de audio, video y otras aplicaciones multimedia. - Reduce los recurrentes costos de ancho de banda con mltiples niveles de compresin y contenido.

Snort Historia En noviembre de 1998, Marty Roesch escribi un programa para Linux llamado APE. Sin embargo, careca de lo siguiente:

Trabajar en mltiples Sistemas Operativos. Capacidad para trabajar con el formato hexdump. Mostrar todos los tipos de paquetes de la misma forma.

A partir de ello comenz a desarrollar como una aplicacin de libcap, lo que le da gran portabilidad. Caractersticas Snort es un libpcap-based sniffer/loger que se puede utilizar como un sistema de deteccin y prevencin de intrusiones de red. Utiliza un lenguaje de deteccin basado en reglas, as como diversos otros mecanismos de deteccin y es altamente extensible. Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu ocurre en la red, todo nuestro trfico), registro de paquetes (permite guardar en un archivo los logs para su posterior anlisis, un anlisis offline) o como un IDS normal (en este caso NIDS). La colocacin de Snort en la red puede realizarse segn el trfico a vigilar: paquetes que entran, paquetes salientes, dentro del firewall, fuera del firewall, en realidad prcticamente donde se desee. La caracterstica ms apreciada de Snort, adems de su funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una base de datos de ataques que se est actualizando constantemente y a la cual se puede aadir o actualizar a travs de la Internet. Los usuarios pueden crear 'firmas' basadas en las caractersticas

10

de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, para que as todos los usuarios de Snort se puedan beneficiar. Esta tica de comunidad y compartir ha convertido a Snort en uno de los IDSes basados en red ms populares, actualizados y robustos.

11

TripWire Tripwire, software de seguridad de TI reduce el riesgo, asegura sistemas y seguridad de los datos. Tripwire ofrece resolver la gestin de seguridad, de configuracin , de monitoreo continuo y deteccin de incidentes problemas que enfrentan las organizaciones de todos los tamaos, como soluciones autnomas o en conjunto con otros controles de seguridad de TI.

Tripwire asume que todos los controles de seguridad han fallado, y que el sistema ya ha sido alterado; al menos, parcialmente. Sin embargo, parte del arte de los atacantes consiste en no ser descubiertos, y para esto emplean diversas tcnicas relativamente sofisticadas. Tripwire servir para alertar al administrador de estos cambios (los cuales de otro modo podran pasar desapercibidos por semanas o meses) a fin de tomar acciones con rapidez.
Tripwire puede ayudar a garantizar la integridad de los archivos y directorios del sistema mediante la identificacin de todos los cambios realizados a los mismos. Las opciones de configuracin de Tripwire incluyen la posibilidad de recibir alertas por correo electrnico si los archivos particulares son alterados y comprobacin de integridad automatizado a travs de un trabajo cron. Usando Tripwire para detectar intrusiones y evaluacin de los daos ayuda a mantener un seguimiento de los cambios del sistema y puede acelerar la recuperacin de una rotura para reducir el nmero de archivos que se debe restaurar para reparar el sistema. Tripwire compara los archivos y directorios con una base de datos base de la ubicacin de los archivos, fechas de modificacin, y otros datos. Se genera la baseline tomando una instantnea de los archivos y directorios especificados en las condiciones de seguridad conocido. (Para una seguridad mxima, Tripwire se debe instalar y baseline debe ser creada antes que el sistema est en riesgo de intrusin.)

12

Despus de crear la base de datos base, Tripwire compara el sistema actual de la lnea base e informa las modificaciones, adiciones o eliminaciones. Para esto, Tripwire monitorea rutinariamente la integridad de una gran cantidad de archivos que tienden a ser blanco de los atacantes. Sin embargo, este proceso es pesado, y se suele ejecutar a intervalos; por ejemplo, diarios o interdiarios, aunque no hay ninguna restriccin (salvo de recursos) para no lanzarlo cada media hora.

13

Inotify
Inotify es un subsistema del kernel Linux que acta para notificar los cambios en los sistemas de archivos, e informar los cambios a las aplicaciones. El monitoreo de eventos en sistemas de archivos es esencial para muchos tipos de programas, desde los administradores de archivos hasta las herramientas de seguridad. A partir de kernel 2.6.13 de Linux, Linux ha incluido inotify, el cual permite que un programa de monitoreo abra un slo descriptor de archivos y vea en uno o ms archivos o directorios un conjunto especfico de eventos, como los atributos open, close, move/rename, delete, create o change. Se han realizado algunas mejoras en kernels posteriores, as que verifique el nivel de su kernel antes de contar con estas caractersticas.

Por qu debo controlar el sistema de archivos? La necesidad de analizar los cambios en un sistema de archivos determinado es bastante comn, y hay una serie de tareas comunes que requieren esto, incluyendo:

14

Aplicaciones de Notificacin de los cambios en los archivos de configuracin Seguimiento de cambios en los archivos crticos del sistema Monitorizacin del uso global del disco en una particin La limpieza automtica despus de un accidente La activacin automtica de los procesos de copia de seguridad Envo de notificaciones cuando la carga de un archivo a un servidor completa

Algunas de las ventajas de Inotify son:

Inotify utiliza un nico descriptor de archivos El descriptor de archivos utilizado por inotify se obtiene usando una llamada al sistema y no tiene un dispositivo o archivo relacionado. Con inotify, un archivo o directorio monitoreado en un sistema de archivos que es desmontado genera un evento, y el reloj desaparece automticamente. Inotify puede monitorear archivos o directorios. Como se seal anteriormente, inotify utiliza un descriptor de archivos, permitiendo a los programadores utilizar funciones select o poll estndares para monitorear los eventos. Esto permite I/O multiplexadas o integraciones con mainloop de Glib eficaces.

15

EnVision Solucin para la gestin de la seguridad de la informacin y administracin de eventos. La plataforma, mejorada, ha ganado en eficiencia y eficacia. Est diseada, entre otras funciones, para simplificar el cumplimiento normativo, mitigar riesgos y optimizar las operaciones de TI mediante la automatizacin de varios procesos. Adems de analizar y correlar las alertas y logs de todas las fuentes de eventos, RSA enVision est diseada para que las organizaciones puedan encontrar donde hay mayores posibilidades de que se produzcan problemas de seguridad. Son las pymes las que ms pueden beneficiarse de este sistema, ya que se estn adaptando tecnologas SIEM para hacer frente a la gestin de su seguridad. Puesto que la mayora cuenta con presupuesto reducido y plantilla pequea, las capacidades de enVision son muy actractivas.

16

Caractersticas y ventajas Cumplimiento de normas simplificado Simplifica el proceso de cumplimiento de normas con informes y alertas listos para usar y especficos para el cumplimiento de normas. Reduce el tiempo y esfuerzo mediante la automatizacin de la creacin de informes de cumplimiento de normas. Administracin optimizada de incidentes enVision para correlaciona e investiga las alertas y los eventos de alta prioridad en tiempo real. Dedicando ms tiempo a la correccin de incidentes y menos tiempo a su administracin. Anlisis de datos de logs RSA enVision se ha diseado integralmente para permitir procesos exhaustivos de recopilacin de logs, archivado y anlisis de datos de logs. Usado para realizar anlisis forenses en archivos de tamao masivo con fines de investigacin de incidentes y correccin. Seguridad Habilitar notificacin en tiempo real de los eventos de alto riesgo a travs de entornos informticos fsicos, virtuales e hbridos. Gira los datos de registro bruto en inteligencia procesable.

17

FoundStone

Historia Foundstone fue fundada en 1999 por George Kurtz, Chris Prosise, Gary Bahadur y William Chan. La compaa proporciona principalmente informacin de servicios de consultora de seguridad y ms tarde cre el producto de gestin de vulnerabilidades Foundstone Enterprise. Foundstone fue adquirida por McAfee en 2004. Despus de la adquisicin, el equipo de producto se integr en el grupo de desarrollo de productos de McAfee y el equipo de servicios se separ en la Divisin de Foundstone. Ms tarde las distintas divisiones de servicios de McAfee todas fusionaron en una sola nueva divisin, denominada McAfee Foundstone Professional Services y se convirtieron en un grupo dentro de ella. Aunque Foundstone es propiedad de McAfee, que se mantiene independiente del proveedor para seguir siendo imparcial en sus servicios. Adems de sus caractersticas iniciales, tales como la auditora basada en prioridades y remediacin, el descubrimiento de dispositivos no administrados y sus variadas opciones de informes, la versin 6.5 de Foundstone Enterprise ofrece una nueva direccin de exploracin que permite el anlisis que se ejecutan sin seleccionar un motor de bsqueda especfico. La ltima edicin tambin puede importar datos desde los servidores LDAP o Active Directory para identificar con mayor rapidez las direcciones IP para configuraciones de escaneo. McAfee Foundstone ofrece asesoramiento a empresas de todos los tamaos sobre las mejores maneras de mantener un ptimo nivel de seguridad. Posee equipos de expertos en seguridad que valoran las vulnerabilidades de la red, evalan las brechas en los programas de seguridad de la informacin y ofrecen estrategias para satisfacer los objetivos de cumplimiento de normativas, e incluso ofrecen su colaboracin para desarrollar programas de preparacin ante emergencias de seguridad.

18

Identifica las exposiciones al riesgo y violaciones de polticas. Reduce el riesgo. Lo ms notable son numerosas caractersticas y polticas de auditora, tales como Windows y UNIX host-scanning para violacines de poltica predefinidos. El producto tambin ofrece plantillas de polticas para ayudar a las organizaciones comprueben su estado de cumplimiento frente a las principales mandatos de la industria como SOX, GLBA, PCI DSS y FISMA, entre otros.

19

CONCLUSIONES
Cuando existen dudas o se requieren aclarar ciertas situaciones ocurridas al interior de una organizacin, es posible disear y aplicar determinadas y especficas herramientas de Auditora Interna, con el objeto de captar la informacin necesaria que permita la toma de decisiones. As por ejemplo, hay innumerables herramientas que es posible aplicar, una vez definido su alcance, tales como: Arqueos de caja, efectivo, fondos fijos o rendiciones de cuentas. Inventarios fsicos de materias primas, existencias, activos fijos, productos en proceso o terminados. Revisiones de registros, como libros oficiales, cuentas, archivos o contratos del personal, ya sea para validar su existencia, calidad, validez o actualizacin. Entrevistas con personal determinado, proveedores, clientes. Revisin de procesos especficos. Validacin en terreno de procedimientos acordados. Determinacin de "buenas prcticas" para procesos clave. Por lo tanto las herramientas utilizadas en la auditoria de sistemas es muy importante, pues, al mismo tiempo que provee de ayuda al auditor, tambin brinda una manera ms rpida y segura de obtener datos importantes sobre el funcionamiento de los procesos de una empresa y el poder informar a tiempo sobre las vulnerabilidades encontradas y realizar la correccin adecuada.

20

RECOMENDACIONES
El auditor debe obtener seguridad razonable de la integridad y utilidad de la herramienta de software de auditora por medio de la planificacin, diseo, prueba y revisin de la documentacin apropiada. Cuando se utiliza una herramienta de software de auditora para acceder a datos en produccin, el auditor debe dar los pasos necesarios para proteger la integridad del sistema y datos de informacin

Las herramientas pueden utilizarse para extraer datos sensitivos que deben mantenerse confidenciales. El auditor debe resguardar los datos extractados con un nivel adecuado de confidencialidad y seguridad. El auditor debe utilizar procedimientos adecuados, y documentar los resultados de los mismos, para proveer medidas para asegurar la integridad, confidencialidad y seguridad continua de las herramientas de software de auditoria. El auditor debe evaluar el impacto que los cambios al sistema en produccin pueden tener sobre el uso de las herramientas de software de auditoria. De esta forma, el auditor debe tener en cuenta el impacto de tales cambios sobre la integridad y utilidad de la herramienta de auditoria, as como la integridad de los datos utilizados por el auditor Cuando la herramienta de software de auditoria reside en un ambiente que no est bajo control del auditor, debe regir un adecuado nivel de control para identificar los cambios a la herramienta de software de auditoria.

21

e-GRAFIA
http://www.datasec-soft.com/es/acl http://www.tecnoav.com/analisis-de-datos/acl-software-reconocido-mundialmente-como-el-lider-entecnologia-para-auditoria-analisis-de-datos-consultas-y-generacion-de-reportes http://www.slug.es/blogslug.nsf/dx/acl-audit-tool.htm http://fraudit.blogspot.com/2011/04/idea-85.html http://archive.constantcontact.com/fs059/1102302027118/archive/1102591162910.html http://sams2000.com/software/auditoria/idea http://surveillance.rsf.org/es/2013/03/14/blue-coat/ http://www1.k9webprotection.com/corporate-overview http://es.wikipedia.org/wiki/Snort http://www.maestrosdelweb.com/editorial/snort/ https://wiki.archlinux.org/index.php/snort http://es.tldp.org/Tutoriales/GUIA_TRIPWIRE/guia_tripwire.html http://www.tripwire.com/ http://www.centos.org/docs/2/rhl-rg-en-7.2/ch-tripwire.html http://en.wikipedia.org/wiki/Inotify http://inotify.aiken.cz/ http://linuxaria.com/article/introduction-inotify http://www.bitworktech.com/our-solutions/information-security/log-monitoring-and-compliance/rsaenvision http://www.securelabs.net/envision.html http://searchsecurity.techtarget.com/review/Foundstone-Enterprise http://www.argentinawarez.com/programas-gratis/295878-mcafee-foundstone-enterprise-v6-8-dvt.html

22