P. 1
Herramientas Para Auditoria de SI

Herramientas Para Auditoria de SI

|Views: 515|Likes:
Publicado porKalemys Reveur S

More info:

Published by: Kalemys Reveur S on Oct 19, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

10/10/2013

pdf

text

original

HERRAMfENTAS P'AR,A LA AUDITORIA DE

LOSSI
Manuel Peleo Garcia Suenc

8.1 RESUMEN
La auditoria y la auditoria informatica tienen una dernanda cnxi~nte! crecientes exigencias rde cobertura y granularidad, EI auditor' es un I~':Y;~i limitado, escaso, relativamente care. Hay gran varledad de herramientas de auditorla --nllis 'I} ~ elementales 0 sofisticadas, especializadas 0 multiproposiro, aisladas Oc tntegr~~~ que el auditor puede utilizer para posibilitar/facilitar su tsrea, Illejoclmdro ~, productividad, aumcntando =-si couvicne-c- la cobertura de su estudio, rWu'Cimdo et riesgolerror~ con rnayores posibilldades de uutolUtltizad6n1ult-tQnl:cior.;.

Esa gran varicdad adrnite muchos modes de. cl.asH1tadun. EI1~ l~tip;~s,
principales cabe destacar las herramientus "ernbcbidas'' (EAM). hkS"'\1trtk~.(llei • gt'Sti6n (de la uuditoria)", Ius GAT (CAAT -cuyos referentes son U1EA t ACL ....Ja~ muchas de hacking cticoy los de compliance. , ,,',.'" ',
.:', ::;: , 5- ~

Las

hcrramientas

descritas

aproximadamentecon las que

:tinttJ,~'~eOlf'tZ~~ Gartner recoge.en.su e$tl,~.nllde·,m~~~u,d~.G'R(:
paITd10

cn"d

206 AUDlTORiA DE TECNOLOGiAS Y SISTEMAS DE INFORJl.1AC10N ~~~~~~~~~~~~~~------------------~

(Governance, Risk and Compliances de 200692. Dicho informe vaticina lin CA (Compound Annual Growth Rate, Tasa Cornpensada de Crecimiento Anual) ~~ 23.8% en el periodo 2005-20 10. e

Aparte de esc vertiginoso crecimiento cuantitativo,' debe esperarse tendencia hacia mas herramientas embebidas, automaticas, integradas Con CA~~a haciendo tcleauditoria; con mayor cobertura ymenor granularidad, en tiempo real ~ periodos cad a vez mas cortos.

8.2 INTRODUCCION 8.2.1 Herramientas, maquinas, sistemas, demonios

,

La voz "herramientas" que titula este capitulo debe entenderse en un sentido tan vago camp 10 entienden los diccionarios generales.

1. f. Instrumento, por 10 comun de hierro a accro, con que trabajan los artesanos. 2. f. Conjunto de estos instrumentos.P
1 a: a handheld device that aids in accompllshino a task b (I) .' the cutting or shaping part in a machine or machine tool.

(2) : a machine fo: shaping Jue((11.94 ,

. Las herramientas -par cvolucion, innavaci6n, complejidad Y "~~especializaci6n- se han transform ado en el continuo' Imas bien; popurri) de

nforme GOOl44520 de 29 de noviernbrc de 2006:

.

,gartncLcom/itJcontcntJ498300/498334/risk_rescarch.pdf ; IUlp:llhuscon.rac.csJdrncIlSrvltConsulta?TJPO _BUS=3&LEMA=hcrrnmicntl1

. crriam-Wcbstcr: htlp:IJwww.m-w.comJdictioimry/tool

..

"

. '"".,.'

I

~

------------C_A_PI_·T_U_L_O~8~,]~-r=E~Rr~tA~ ... ~~II~IE~'N~T~A~S~I'~A~R~A~L~A~A~U~I~)J~T~O~R~fA~D~E!L20~S~SJ~2~.O~7

"artefacta~ te,c~o16g.i~os~'de ~que ~os ,servimo~ para hacer (entre otras cosas) estfO tr..bajo: '" herrarnientas - lndqumas - SIstemas - demonios _ aranas _ i .... ~ nu . . .. equipos. Denotnmare genencamente a todos cstos "herrmnientas". Auuque yo 110 estaba alii -_pesc a la creencia de algunos colegas- tengo enlendido que :1. hombre se ha ~ahdo de herramientas (cascanueces, rascadores) desde el Palcolitico, haee 2,5 millones de aii0595, Previa y concurrentemente han usado hen'amientas pa~a ayudarse en su actividad los cuervos", nutrias", simios primates Y grandes snmos (orangutan, gorila, chirnpance, adem as del hombre)", Par 10 que no tiene mucho de particular que tambien las usernos algunos Auditores de Sistemas de Informacion y Tecnologias de la Informacion y las Comunicacianes (Auditores de SIT[C, ASlTIC). Cuando se habla de herramientas (no s610 de ASITIC) hay que tener muy presente el "principia ternario" esquernatizado en la figura 8.1, pero rrecuentemente conculcado. El ASITIC escoge la herrarnienta, en funci6n dela disponibilidad de la misma, de la adecuaci6n de esta al objeto (objetivo y entomo) de la auditoria y del conocimiento-habllldar] del auditor con ella,

8.2.2 Herramientas especificas, substitutivas y multlproprislto
Las herrarnientas suelen ser especificas, pueden ser sustitutivas (como dijo el bruto: "tarnbien un Stradivarius puede servir de maza") e incluso ser multiproposito (l,quien no ha tenido 0 envidiado una navaja swiss army?). Sin embargo, generalmente, el mejor coste-eficiencia se obtiene con herramientas especificas, no multiprop6sito. Salvo, claro esta, que los costes de formaci6n, su frecuencia e intensidad de lISO y el propio coste directq de cada herramienra aconsejen una multiproposito. Los gran des maestros y 105 artesanos de pro, tradicionalmente, han dedicado la mayoria de su tiempo con sus aprendices a: 1) evitar que se dafiaran con

-

91

hlfp:llcn,wikipedia.orgfwiki/Paleolilhic La fam iiia de los CUcr\'os (Corvidac), hltp:llcll,wikipedia,org/wiki/Corvidae
. .

%

~'EsPcCjalll1cnlcla nutria marina(EnhYdra lutris). hUP:!ft:n.wiki~Cdi~,org/\~iki/SCa_O\ler. ~
hUp;J/cn '\';I'kl'p edi ~I iki . , 13,or!:lwl'l(foo

r

X"',

..

3 La herrarnienta "perfecta" No existe la herramienta "perfecta". de In lJCLM.~~ EI sujeto (quien la usa) " debe'dom.... En . u mas no esta suficienternente documentado. Iquiercaso. posibilidades Y Los grandcs artistas y cientificos. en funcion de objeto y su I dominic de [ la herramienta. -. "But Marie lost nearly 20 pounds while doing her doctoral research._.---h~~m_~nt~ Figura 8. "'I Marie y Pierre Curie. . el objetivo era ella ensenarles una tecnica. . han Llsado/usan las herramientas de modo anormal. Depende del cristal con que sc mire: depende de cada enfoqueespecifico con el que se enfrente su USD... f0I111aS de usa normales y excepcionales. Que prim"b a .html. and Pit:rTC \\'i1>. (no al---reves) ---"'--~--. . "'-----d-e-te-r-m-in a Ia \ herramienta ._. el Prof. "optima".... exhaustedand in pain.' hltp:Jlwww. .. public() en 19S1 lInl'lodes\(~ art[:u~ documentaba un uso revolucionario de DELPHI (la conocidatecnien de couvergencia prospC(tlva d\.org/hisloryicurie/brierJ03 100 Por ejcrnplo. '" ~ArJO' . en ocasiones.. Jose Maria Urena frances." .nip. Principio ternario de las herramientas 8.. / I\... porque una herramienta sin tecruca es como un ordenador sin software.2.J. Toda herrarnienta tiene sus ventajas e inconvenientes.~~ -: El obieto ~ (objetlvo y entornoj/ . .O!:CJ' _radium/radium_ 4..inau' (metodologia) .1. limitaciones. con resultados revolucionarios 99 y 100.: ~ ~ ---_/ '\ .' tn"que.208 AUDtTORIA DE TECNOLOGiAS Y SISTEMAS Dr: INFORMACION las herramientas y ii) evitar que dafiaran la obra con las herramientas.

. AI considerar que este capitulo....googc.' Territorio. M.:. ~:". de la au d· . Urena y M.2..5. de Procesos.) [ver 8.:. 1.LA-und+lhc+computer'%E2%80%9D&btilG. julio) 981. .atchi vc&fid0:46 .10).scarcl. No se puede ignorar la que parece irreversible tendencia a la "integracion 8..2].' . ya que la Auditoria SITfC iiene mucho de cornun con otras Auditorias (Fiuanciera. con el inexorable tsunami de la informatica..theiia. . Aunque este sera lin empefio meramente formal.y\V...2.- i' RA·MA 8....:' ~ . Palao: "Propuesta de modijicacf(Jll del metoda Delphipara 514 USOen la ordenacion dd territorio ".g .tO 1 meta=lr%3Dlang_en :j.5 Enfoque de este capitulo AI redactar este capitulo me cabia la operon de optar entre el sentido estricto de las "herramientas especializadas de auditoria informatica" (CAAT.c fm7act=itaudit.<UU . me he inclinado por presentar toda la panoplia. HERRAi\1[ENTAS PARA LA AUDITORiA DE LOS SI209 de Auditoria (solamente) SITIC Aunque el titulo del capitulo reza "Herramientas de Auditoria".e sJ.<0 :. I I. etc..pasar de ser una intrcduccion.: it': 1 .?) ~ hllp:JI"" ·.brg/lTAuditiindcx.4 Herramientas CAPil1JLO 8. Revista de Obras Publicas. para ser mas estrictos -tratadas mas adelante-) U optar par una presentaci6n en sentido lata (todas las herrarnientas usadas frecuentemente por los ASITIC y otros auditores).2.(ve itoria" vease Ia firgura 8) .eSI . Corporation) para explorar las divcrgencias de los votantes minor~larios en ~ucstiones de Ordcnacidn d. es la (mica cobertura de estos ternas.:iSuScar& . Operativa. :: . .. y par tanto no puede -POl' su extension prcvista+. r< ~. &- -0 . en el contexto del libro.··· ' 102h!tpcf/www. q-"'Q~. (Algill1 lector recordara quiza la expresion "auditar en torno al ordcnador")'?'.. 101 ". I t I t ~ ~[ ! l ~ t t t I' t f i.. voy a intentar cefiirme a las de Auditoria SITIC. . .l. y mas que 10 tendra. '. j I . E2'U 80019Ca··udl·t.

• ' cobertura . '_ . uditor . ·1 de Ges ron A. pues..] .._ ..2.: '.I0 Ce\i!(\n Mcdli()ornblonlol Figura 8. . I"JI~() '1001::XX}() Gu\h6n Cuhdad ISo :>l(lOl SCl~! liSil. .... '.6 Tipos Me referire. a una gran variedad de herramientas Las tratare comprcnsion: • segun I de Auditoria pueden SIne. ~~.·--'..I I I diversos criterios que creo facilitar su procedencia • • funcion usa 0 proposito • • ubicacion productividad ...\'....'_..... Audltona Financiera ..[.2. .'~?~ .. -~ .' " :"'X_"f..} 1\0 140C.. Integracion de ia auditorla 8..··.las "-\ Nucleo cornun de 'Sistemas V creciente f " . Auditoria Operatlva .. "" '..~ : i...

: ~ l . . HERRAMIENTAS PARA LA AtJDlTORiA DE r.. WorldCOIll. Shel'·Oil. . En un mundo plagado de dudas. Parmalal. quejas (algunas justificadasJ y escandaloslOJ sabre la auditoria.:. 8.. . . • ". vemos como ambas se declaran lideres en el sector (siguiente tabla). En ello radica fundamentalmente la importancla de las herramientas de Auditoria SIIIe. haeer posibles 0 slmplificar-abarater ciertas comprobaeiones es de una gran trascendencia.2. . IDEA parece hacerlo de forma alzo menostriunfalista Y agresivn que ACL.7 Importancia Las herrarnientas de Auditoria srnc _..1 DATOS DE MERCADO Los datos que propone Gartner (ver notas 92 y 129) en su esrudio de mercado de GRe (Governance! Risk and Compliance) de 2006 pueden ser una buena estimaci6n de la parte de herramientas mas cspccificas de las que trato en este capitulo.hay poca informacion independiente (ya que sus emprcsas no cotizan en Balsa).quedaran mejor delineados mas abajo). 8... "'. La verdad: cuando se publiquen datos ind~pendientes. . Si rccurrirnos a las Fuentes de dichas empresas. sospechas... . Para aligerar 'la presentacion [ntentare dcsarrolla~ ?ada concepto en OC()SlOn de su primera aparicicn.: ".como he dicho mas arriba de todas las herramicntashacen viable y mas llevadera y cconornica la auditoria de dertos objetos 0 campos a auditar. Dichas estimaciones de Gartner para el"gasto total en software" son del orden de 500 M USD para 2007 Y de 860 M USD para 20 10.CAPiTULO 8...~ •• '. -: '" j- ~_i(- 1~IAFlNSA.2. Forum FilaiCiico. .. En el apartado siguiente ofrezco algunos datos del mercado de las mas verticales 0 especificas (terminos que -cs de esperar+. '· '. limitandorne luego a hacer remlSlones a ella.. I _..7.Enron. Sabre el mercado mas especifico y reducido de las CAA T -y mas en concreto los de ACL e fDEA.os SI211 Esta ripificacion pretcnde ser introductoria y util si bien no' es una buena c3tegorizaci6n (deja solapes y l~~lInas).

:. mg. Segun sus diversos conocimientos y habilidades. '1'("~1'11saroU!1( 111" World" • . al crecieme numcro de abogados Y otros profesionalcs odgen.he Global.II j'7C 'is the developer at dir I I ' analysis software used by accountants. • j. habi1idades inforrnaticas pueden recurrir a usar: los ASIT[C con lilJ En Espafia. ACL software solutions are delivered in multiple languages in more than J 30 countries to over 170. .< . and hundreds of natIonal" slate. .L"erVlC .':: v . nOjnfomuilh:OS~ '. . of I iDEA. IDE'.' and.casewarc-idea.com/company/ Tabla 1.r .. of. wired» "wifed". .2'~12~A~l~. aUe/ito..'C.~s ".acl. '" -l . •I <"". en el que recurrimos a la informatica para reservar nuestras vacaciones ~ buscar parejaque el ASITIC.Jas mas amplias. and lo~al governments. ' • ~ asp '.lD~r~ln~f~tll~\!D~E~1~h~tN~O~I~~O~G~A~Sl'~'~·~~~~~~---------~I{~. tne Ieo..3 HERRAMIENTASDE PROCEDENCIA AUDITORIA SEGUN SU No puede sorprender-en un mundo postindustrial. 'ovider. ademas de eso..jlI1anclG ."eS Ltd is the leading global PI. Our international customer base includes 70 percent ~)f {he Fortune 500 companies and over two-thirds oj t. sobre todo. U..que han dccididosuperur el tabu.aa a. the Big Four public accounting firms.000 licensed users through a global network oj ACL offices and channel distribution partners". . Como dijo el escolastico haec casi 8 'siglos: "Outen puede /0 mas puede 10 menos ". ' 'SISTEMAS DE INFORMACi6N -= I J.500. rs clnd I ~ I p' oJe.U i systems anc.\ •. H'.asp?surl=/aboutus/company. . Bu'Slness S . http://www. . http://www.com/fsr. g~cias.r. slobot distrib' Ilfol' "Case. Autodescripcion de IDEA y A CL 8. digital. por 10 que sus opciones de herramientas sonvnormalmente. I c " I ciontrols professions 'e lnancial management comntunity. -dit am and th 'fi" Assurance Analytics to tJ ie au. recurra a la Informatica para ayudarse en su trabajo. Un numero irnportante aunque decreciente'" de ASITfC son profesionales de 1a Informatica.I·r'·e. virtual.

ernpleado. como mecanismos de vigilancia y auditoria "continuada" [ver mas adelanto]. 8.. (i.~~}A~ ----~----_C_A_p_i·_rU_L_O_8~.~alquiera: ASITIC.2 Herramientas Las herramientas de prueba de prueba pueden considerarse a caballo de los entomos de adquisicion-construccion y explotacion-operacion (mantenirniento)._facililY w h·· . ikipcdia. < - . Con las mismas herramientas se pueden auditar dichos sistemas... La cual puedc explotar el ASITIC que sea capaz de manejar -y lograr acceso a--' JCL.Con que productividad?). lllll hUp:J/~n. 104. intruso) debe ser controlado y sup~~tsado. ~~:. :. 8.3. Cl. logs) • • • Utilidades Herramientas de Internet (hacking etico) • 8. t lei [Gallegos 20041~p. acceso (por c. analizadores de path ._le-st.~H=E~RRA~_~M~IE~N~T~A~S~PA~_I~~~.~~(.3. donde estan los "datos vivos" es en e I-entomo explotacicn-operacion.1 Herramientas del entornoadquisici6n-construcci6n Can lenguajes de programacion...3 Herramientas del entorno explotaci6n-operaci6n Pero.--~LA~A~U~D~f1~'O~R~fA~. SW de red. -.. .}. . y se usan ampliamente. SMF logs.3..Con que productividad?). Las herramientas de prueba -y mas particularmente las ITF (Integrated Test Facililies)I06 [empresas falsas. pues el ncsgo de impacto de un acceso intrusive en un entorno de produccion es muy alto. Este tipo de. etc. para pruebas]pueden usarse.org!wiki/l ntegraled_. sc han construido todos los Sistemas de Informacion. debuggers.~D~E~LO£S~S • • Herramientas Herramientas Herramientas Herramientas del entorno adquisici6n~construcci6n de prueba (lTF: empresa falsa)105 del entorno explotacj6n~operaci6n del SW de Sistenta(SO.

. cuandose . 8. quien debe comprobar que el acceso a utilidades por cl personal auditado esta restringido al maximo. parae! ASITIC de formacion Jnfonnatica. Y para evitar un descenso de la productividad de In auditorla.1 UTILIDADES Las utilidades (programas de utilidadlutililies) merecen resefia explicita Son una potente herramienta . conceplo tan equivoco como invasive y acaparador del propio concepto de auditoria: hoy dla rnuchas herramicntas. son la "bestia negra" de cualquier ASITIC..:. Lo que el AS. en modo privilegiado . 8. A partir de un usuario auditor con acceso privilegiado audita el SW del sistema." P. logs.. (i.. merecerian-de haecr caso a 13 moda. etc. Me refiero a las herramientas para el hacking "blanco" 0 "etico".~ ..4.." . emprcsas y servicios de hacking "etico" se denominan de "auditoria": proponen laparte coma el todo. Software de red...UD.:. se 8.Con que productividad?).4 Herramientas del SW de Sistema Aunque. ._.ITORiA DE TECNOLOGiAS Y.. "indagacion" y "vocacion" (incluso "obsesion") por la infonnatic-a{Y. ..IT1C cnpaz de lograr acceso privilcgiado a SO.. se pucden segrcgar dos cnfoques: • • lntentos de intrusion..3. clare. y .~ • ~..5 Herramientas de TCP/IP e Internet Las herrarnientas de TCP/IP e Internet. y tatalmente trazado.. ya que las herramientas del sistema se ejecutan en mo(~o privilegiado. otras tecnologias: previa y destacadamente.. en las. pero sabre todo.un capitulo del doble de extcnsi6n que este. Por cllo.Ja telefonia analogica).3. '<.' '_14 A. ~ . SISTEMAS DH INFORMACI6N ~~~~~~~~~~~~~~~~---------------~ o· .• ~~ . Se sabe que la accion (to hack) y su sujeto (the hacker). cuando se usan. pucde cxplotar es enorme. empezaron a apl icar (en el Massachusetts Insti tute of Techno logy-MIT -.. lamentablemente. todo esta en ciS? (0 por cncima).3. -. decadas de 1950 y 1960) tenian exc]usivamente connotaciones favorables de "habilidad". La complejidad del acceso cs dircctamente prop?r?iol~al a su critieidad. fundamental mente de extraccion de datos=. de icctura.

R· . . .I\~U:!. tnlCgnt). .er..m:. I'.A:.:n~~N:2....google.org/wiki/Grcy_hal • ~1. .llo explosive de Ia Informatica y de Internet. ..~ __ -- C_A_Pl_T_U_LO.. . 3utoti.htm I ill ntl! . http://www. - le'l:n O:\S. .htlll L I· '. '.200t. conocimientos de sistemas e 1I11... ~.OrmaclOn. lpedm.Cr:lC Pellc/rating QiteslioJl.mning.nicas que eI hacking de "sombrero negro" icrackersv: todo el caralogo de software y de malware.: ~ ..!lw'\\.on Systems Control Journal.1 Ia (r· ersidad de jurisdiccioncs) importa aqu! 1\1.w. http://lI'wl\' . esa acepci6n ?OSltiva ha VI~-a?o) parcial pero acus~dal11entelO\ a otra.ado"ilicito.:..corn/] ourna II sj/403/pal mer .. u El hacking "blanco" 0 "etico'" IU [en lugar de csa expresion cquivoca sugiero: auditor.wik ipedia.. II: Oil und a ..ticmpo ~ el desarro. blandiendo script gener(llorsIO? y. .. a rCllud(pcse a las dificuhades que plantean la globa I'rzacron y..!D~I~TO~1~d~A_!D~E1L~O~S~S~1 2~1~5 Con ~I . . csl search '1h1"'cs&q =%22scri pI +gcner<." S . http://cn. skills are the same. EI mero cscanco de pucrtos cs IIC1(O en J. '.largon.. Just a vi .rcsearch. J line 1995· -ISSU' of Cornputcrworld».:.ckers.II . phreakers.__.orglwiki/H I \ I hllp:llcn. volumen <I.:I...:M. . • . peyorativa.R:::.Wikipctlia.:A:. de la "carga de pago": al investigador 0 mero curioso Ie inleresa mas identificar las vulnerabilidades que explotarlas en los diversos modos posiblcs (basta evidcnciar el datto que se podria haber heche)' 12..llors%22&btnG= B uscar& meta= I1"%3 lang_en 0 tiD (\111C G ':\r)' first use of the term "ethical hackers" appears (0 have bCl:n in (111 Interview with John Patrick of1~M by . ra.'.a I It ..ierencc •n apphC3110nand IS 1 . de intruSO mas 0 mcnos malevolo (con toda In pleyade de crackers. 1 "hI.).':.:. h' . Quiza la diferencia esta en la autolimitacion. ". par el "sombrero blanco".wikipedia. .:.org/wi ki/Scri pt_ k idd le 11)1 I hup..lnfonnat.. ibm .wikipcdia. Pero "de noche todos los gatos SOI7 pardos' y hay una irnportante comunidad de "sombreros grises" que unas veces se comportan Iicitamente y otras no 1\3. ctc.askmlaws. la . III k .tv~\~J~. File _ defin ilion http://en. .orghviki/Hacker ackcr jlc lin ition _conI roversys. .f· Inicntras que en EEUU cs un 'acccso no . sa I.1·1·"-" . ..:.·~rl\~S~p:::A~.•. ]TI 1C difference " ..cohorle de los SCl'ipf-kiddieslO8 campa a SllS has por eI ciberespacio.orglwiki/Hackcr _definition_controversy . sin grandes aoC • d' r . la I~\ 1 http://cn.:II.. .' I' ab )ut the same as that between a locksmith between a penetration tester and a cnmrna IS at . Anthem thai appeared II) a I. Y atacar Sistemas.' comas que la cnca.' . La nueva "horna~al' de ha._S':.. investigador'!'] tieue a su disposicion las mismas hcrramientas y tc. . En mi opinion existe 1 1a1I'orque accpcion original positive coexistc con la peyorativa. . :' .~- . 111tP:!len \ 'iki .:.:. son proli ficos en la generacion de malware y capa~es de crear en tiempo record pequenos program as capaces de busc ..• ' .org/cyberlaw/library/ccfptsc.

.-. Las herramientas _illdepcndicnlcmcntc I r I del color..' I "'I' J enran emu at' as mctor os l C os pntlclpa cs al:lt]UC!'l connell OS..I pro10<0105 ".Iandur._5 (cuferni os \.• ' aJellca~nentc (OS ~~nlcnarcs de I • ~nas importantcs (he proclIraJu cxclll. 10 que dilicllita 01 i nte 01" de rcsc nurlo'! en II~ libr. J .. .. "evaluacion tic segurldad".:". cu.. e Las prucbas de pcnct rndbn (p.'9' l:..216 AlJDlTORL\ DE TI~CNOLOGiAS Y SISTEMAS ()E [NFORMAClON un paralelismo macabro con los plratas Y los "corsarios'' es decir.J~Jo."I(}'\'/8"'I) de I httcki "K . u pcnetmclon": ·'. 8 ... pmllas tn. del hacker.cqulvalcntcs 11 .lOs) . . lj "patente de corso". " .wHlo. hllpJ/www. C"'"O WIllits). • ldenti ficar: o aplicaciones sistemas operatives SGBD (Sistemas de Gesti6n de Bases de Datos) Topologia de red o o o • Explorar: a o contrasefias servicios • • Adquirir versiones y sus exploits o privilegios • informacion control • IJJ " '..coml ::'>-. La tab I.mJitorla de \·I1~ncr. a cs mctodns ~ II estan en continua cvo Iucion... t cml..eti co" in 1>•I II "1 .i:- ...~ suelen proponerse subrcpt iciumcntc objcti vos que.1 (vcr "agll'" 217) rcsefia .c. Son.cmlsn. aunque ~ IIICIUido aigullos c"nlOlldos . .sn~as. gencncos.r Ulg('~'lmos Y metouos.• ml.' at r".penelralion-!CSling.on Iii" . prueba de ev aluacion de ncsgo tCCJ10r6g1co". . simpl i ficadameme.

Snort. Ettercap. Visuall. \VIDZW~reless IDS. Targa. Inzider. TFN2K. eBlaster. N-Stealth Scanner. NOVEL8FH. MAC Changer. ExploreZip.NLM. Munga Bunga. Trojan Maker. ESM. Spooflog. nS5-Koei. StegDetect. John the Ripper. nbname. Rootkit. Bindery. EFSVicw. Donald Dick. IRIS. IPSECSCAN.. \Vin Nuke. Wrappers. NBTDeputy. SQLbf. Loki. HTTPort. Sam Spade. BjnCrack. URLsnarf. Enum. Winzapper. Cherobyl. Nimda.r ~-------------------~~~~~~~~~~~~~~~~~ f r i. LOphlCrack. TCPReplay. JilI32. WebCracker. Auditpol. Silk Rope 2000. CPU Hog. IEEN. lconPlus. . B~~kOnficc 2000. r: ~~. Elslave. . HTTrack Web Copier. Brutus.1.. Whois. uggernaut. JoIL2.otros metodos de hacking: scanning. FireKillcr 2000. EtherFlood. footprinting. dsniff. Webspy. TARA. Code Red Worm. Whisker. LogAnalyzer. SnadBoy. SNMPUtil. AiroPc~k. StackGuard. SQLSrnack. 5MBDie. ObiWan. Tripwire. Pazcan. Backdoor. IPEye. Find _ddos. Hunt. Userlnfo. Bubonic. NTInfoScan. WcbMiTM. Hard Disk Killer. Nikto. RPC Locator. Smurf. SideStep. WinSniffer. KerbCrack. pof. W32/Klez. hk. frJgrouler. SMAC~ Smart Whois. entre . Userdump.'- . GetAdmin. SSPing. Netscan Tools Pro 2000. Sockst'hain. WebSleuth.. vVS_Pmg_Pro. basada en Google.. LNS. Elitcwrap.Zombie Zapper. Traceroute. SYN Flood.. NAT. Lynx. Dumpxec. Camera/Shy. Snifffret. IDS Detection. Wireshark. eMailTracking Pro. Hardware Key Logger. Stacheldraht.\V32/0paserv Worm.Sniffcr. Security Check. Pinger. Queso. WinS~LMiM. 5MBRelay2. Hping2. s'Term. SQL2. ManlnThelvliddle. Snow. SolarWinds Toolset. IIS5Hack. eJlUf/lerafion. IlS. 5MBGrinder. Jad. SARA. NIDSbench. PassList. Tabla 8. Pandora. NWPCRACK. Spector. ArpSpoof. Ethereal. Netlnterceptor. Netcat. 'mailsnarf. Weblnspect. lmmunix. ADrvfutate. Bo. SID2User. Tini. 5MBRelay. SQLExec. Graffiti. Read'Cookies. NetBus. Nessus. CyberCop. passwo"d?l~ess~ng. cURL. Getit.~. GetAcct. Winfnnnp. TrinWire. Whack a Mole. fPort. QAZ. IP Watcher. Burglar. Packet rafter. HERRAMIENTAS PARA LA AUDITOR!A DE LOS SI217 Para ello se usan. ARIN. Black Widow. TCPView. NSLookup. Chknull. TFN. Cain and Abel.' :"? : '~. DDoSPing. YerSll1ia. Back Oriffice Plug-ins. THC-Scan. disabling audit. 'l-Sight. I Love You. SQL Slammer. IKS Software Logger. Net'Turnbler. SubSeven. icmpenum. Land. NeoWatch. Herramientcsde hacking : :-: . pcAnywhere. Process Viewer. nmap. mstrearn. User2SID. Cheeps. Antispector. Etherl'eek. Varient.ast. 1\ CAPillJLO 8. Kock. WIll~CPKilI. Root. . SpyAnywhcre. Kismet. SQLDict. TTYWatchel'. Melissa. Fuente: elaboraci6n propia. WinDNSSpoof. Trinoo. RID.exe. Code Red. Wget. sniffing} buffer overflow. LanManagcr Hash. Shaft. Ping of Death. Legion. AirSnort. SETPWD. Win'Irinoo. Novelffs. directmy traversal y SQL 111JecllOl1. CookicSpy. dskprobe.Rustock. . Neo'Irace.t '. Bugbear. Pretty Park. Macof. Gobbler.

8. el conjunto de hcrramientas ASJTIC.2 y ss.3. p: "\\w. pero puede no protcger Jos mtereses "personale 1.::..:r:. 1SIS • e liS ..4 HERRA}VIIENTASDE AUDITORIA SEGUN SU FUNCION .S. vease en Ia tabla 8.f~\S~Y. por ejemplo. lcar. os U:08 que e c ..~2~18~A~u!!o~r~ro~R~iA~D~E2r~EC~N~)O~L~O~G~i. Los ataques mas simples tienen un .S~IS~T!::. sitios Web can las bases de datos de inscripciones basadas en motor Jet (Joinl Engine Technology).2. . Se tratan en mas detalle en la seccion 8. 1 IcaClOn rayana a la cancatura: • captura de datos analisis de datos combinaciones de captura y ana')'. de los empleados...6 Herramientas especiflcas de auditoria y herramientas ofimaticas Constituyen. . situadas baja directorios no protegidos. mediante robots. .. La capacidad de utilizar la potencia de un buscador capaz de indexar todos los contenidos no adecuadarnente protegidos 115.. que puedcn sufrir un ataque de "Man in the Middle" durante sus consuItas bancarias. y en cntomos y CI rcunstancms tan d iversos que "tipi fi " ) P ..:IN:.. y es posible que una red proteja adecua~arnente los JJ1terescs emprcsariales que la sustentan.:::D:..l hacking externo en zeneral y de las medidas de control pen ferico. que sigue desprotegida ante un atacante ?vezado ~ acompafiado d a "Cain y Abel".EM~A::. " ~a ~ud~toria es u~a activid?d profesional (discrecional) tan am Iia con~plcja...NonnaJlllenrc......u:.:.//\\ ' .6.~ auditor da a las hClTamientas que usa es una simp)' f .contadorwap·· +: COIn/ .~_1I\_C_~I_6_N ~ Me parece relevante comentar q. con rnucho.O~R... eI mayor peligi 0 se encuentra en I ~ed interna. Otro punta a considerar es el hecho de que Google es considerado I principal herramienta.pese al aumento ?e.gran impacto SI se realiz~Hl en u~ entorno local.:.php b .::E.txl.:.. mas usado par los . 8.1. Vcr hit . ro cts.. .

.e! conjunto de herramientas ASITIC. Vcr hllp. ' J". 8. que pucden sufrir un ataque de "klan in the Middle" dUrante ~~s consultas bancarias.txt.contadonvap.1 h~cking extcrno e general y de las rncdidas de control periferico. lnt 1) Otro punta a considerar es el heche de que Google cs cOrlsiderado la principal herramienta. 8.6.' e~s~ empresariales que la sustentan.2. ' .coril/robots.. sitios Web con las bases de datos de inscripciones basadas en motor Jet (Joint Engine Technology).6 Herramientas especificas de auditoria y herramientas mas usado por los .php .218 AUOITORfA DE TECNOLOGIAS Y SISTEMAS DE INFORMACrON ~ Me parece re~evante comentar q.u~". C IIId exar todos los content id as no a d ecuacd amentc protegt id os 115·. con mucho. . C mayor pc rgro se enclIcntrae n red interna.//www. mediante robots.por ejemplo.4 HERRAMIENTAS FUNCION DE AUDITORIA SEGUN SU La auditoria es una actividad profcsional (discrecional) tan amplia y compleja. y en entornos y circunstancias tan diversos que "tipificar" los usos que el auditor da a las herramientas que usa es una simplificacion rayana a la caricatura: • • • captura de datos analisis de datos combinaciones de captura y analisis IU Normatmente. situadas bajo directories no protegidos.3. ofimaticas Constituyen. que sigue desprotegida ante. La capacidad de utilizar la potcncia de un buscador capazd .1. pero pucde no proteger los intereses Hpcrsonal de los ernpleados. un atacante ~lvezado ~ acompanadollia "Cain y Abel" Los ataqucs mas simples ucnen un gran unpacto SJ se reali2'ln de entorno local" y es posible que una red protcja adecuatlarnenre los en un . . vease en la tabla 8. .2 y 5S. Se tratan en mas detallc en la seccion 8.pesc ~I aument~l?e.

' . ' . naturaleza.-I' .:~ ~ :". banalizacion y abaratam~ento de e~u!~os infonnatic~s.. 'J!osldisparadores en e acetones.. productos.. marketing y auditoria. 0 (Computer • una herramienta GAS (Generalized Audit Software)/CAATT Assisted Audit Tools and Techniques). interpretados. fase posterIOr 0 stITIU tanea.6.1Captura de datos Estc primer tipo de herrarnientas recoge informacion.. segun reglas mas 0 • un filtro que selecciona complejas. Las buenas practicas de muestreo han contribuido substancialrnente en el ultimo mcdio siglo a enorrnes economias y aumentos de productividad en gestion de la produccion.. • men os . captura datos. 1l131'Carciertas entidades( clientes. :~ ... que . disPonib~~ difusi6n..1lVIUESTRAS El muestreo de una poblaci6n de datos (transacciones. y la ilidad de GAS/CAATT potentes y amlgables posibilita explorar universes . Las herramientas para obtener muestras pueden ser de procedencia. La (mica exigencia (a menudo incumplida) de un procedimiento de muestreo. accesos. ). 8. 0 menos automatlCas-· ) en .1. en este caso permitir el mas fecundo usa de las leyes de la Estadisticaes que sea un muesrreo estocastico.. u. Puede tratarse de: • una rutinita de 'diezmado' de un log. ~. aleatoric.CAPITULO 8. " ..2.. utiJizados -como serafl Id esenca demantes de acci . tratadas en 8.. una. control de la calidad.4. cornplejidad 0 ubicaci6n muy diversa.) es una tecnica estadistica de la que se sabc mucho y -par desgracia+se abusa rnucho (par ignorancia de quienes lo hacen). simplemente colocar una "bandera" (flag) en un campo de la BD para ". . usados (analizados. .4. . registros en un log. mas ga 1 I . ~. ciertas transacciones. cuentas . ImRRA~lfJENTAS PARA LA AUDITORiA DE LOS SI 219 i I 1 ! 8. para que genere la maxima productividad -.'.4.

" e-ervrcc l. wild pcdia.org/w ikifDma_ analysl s_(in format ion_techno Iogy) In. en su Axioma 2. f' .4. etc. metricas de SLA 111. Puede (de Iransaccioncs ' La sofisticaci6n de procedimiento$ Y herram..ientas. orensics. 8..I' ttors .· HOllO /1 all.. Iutp.hun . Las herramientas y las tecnicas usadas. IH. en funcion de los mismos criterios de exito con que se justifico su necesidad.rat I. whether the system-is a SUl'CC5S .:'111~s)'~. .. been criticized because they reach conclusions based upon limited samples". las 8. 8110 permitc. de hacer que las herramientas de vigilancia del 'sistema de aplicacion" vigilen eJ grado de exito de la aplicacion.. accesos. p. New York. '/ www. Il>i. filtros (incluso de lnteligencia Artificial)."x~om~. En todo caso deben ser COJ1sideraciones que lleven a la especificacion de la muesrra 0 c!e riesgo y de productividad cl unlverso...:. 15.(poblaci6n total) en lugar de limitarse a muestr~s. Wiky rlusinc$s Dal3 Processing Library. lave..ed u/toconnor/d 26/4 261inks.) hasta una muestra reducida. I' _ . ademas de no alterar la informacion recozida ni 13 indirecta logs. 1'. 1971.crn ~c~jg~cr can produ~c within the system reports thaI will tell . supe~ar fa crftica tradicional de que los auditores basan sus concluSlOl1CS en muestras JIlTIItadasl[6 .2 VIGILANCIA La vigilancia (en "ticmpo real".n II IIIIp:flfacu]IY.1.3 FORENSE Una variante especial de la recogida de datos es la forense'!". abarcar desde el universe 0 poblaci6n total registros en un log. menssjes email y sms) y de escalade (gestion de incidencias y crisis) puede ser !TIUY elevada y cornpleja. tecnicas de alerta y notificaci6n (sinopticos. Acuerdos de Nivel de Servicio. Robert I: Control of the Information System Development Cycle. Entre tanta sofisticacion no esta de mas recordar la recomendaci6n de Benjamin.4. fichcros ternporales relacionada con ella 0 ~on el i!f .1. con grabacion y timeSfamp) es una variante del muestreo. . 0 "difcrida". hl1r:l/en. . DcnJiU~lII. ncwc. registros.eve IAgreements> ..

4.6~1. Un ejernplo de escenario de "analisis muy diferido' pucde ser el caso en que una auditoria rutinaria detcctc una debilidad irnportante en una prueba de cumplimiento y ella mueva al ASITIC a desencadenar una prueba sustantiva (total o por muestreo) sabre eI h istorico.a gtlOHS En la scccion divulgadas.t 13-. HERRAMIENTAS PARALA AUDITORf" DB LOS SJ 22f Proceso de .tiencn carga moral? (.4.-.'IA CAPfTlJLO 8. -I d e as herramientas 1 forenses mas 8. deben perrnitir probar . al menos. . !.1 AUDITORIA COOPERAT[VA adelante. Las Herramientas • • de Auditoria pueden usarse para: Auditoria SITIC Otros usos.5 JIERRA"MTENT AS DE AU-DITORlA SE~UN SU ~ PROPOSITO usa 0 No es estc el Ingar para (intentar) zanjar el debate sobre In "neutralidad" de las tecnicas 0 herrarnientas: {.2 Analisis EI a~alisis 0 interpretaci6t.\. en --8 9 sc recozen " g . recogida la evidcncl3.l y evaluacion de la informacion rccogida puede SCI' concormtante con la rccogida de In informac.0 ese caracter s610 10 tienen sus usuaries? Perc SI cabe.. Un ejemplo de vigilancia-analisis cooperativo diferido se propene mas 8.In integrl~dad de Ia -. recordar In cuestion.. desde haec tres afios..\.---- o R._. aludidos mas arriba) 0 ser diferidas.. en la sccci6n 8.d ella d e ensoe--I' d-e .2. de un determinado (grupo de) fichcro(s).3.i6n (alertas y gestion de incidencias.. Iegitimos 0 ilegitimos -: : "'.. 8. Un ejemplo de escenario de "analisis diferido" es el analisis de ficheros con motive de una auditoria anual 0 semestral. incluso con horizontes muy ampiios.

Auditoria LSO 9001: 2000.000 normas VIVa$. 8. togas.. Auditorfa de Cuentas.biz. Espana es uno de los paises .Tavler.'Jl0 rol... y del "lade oscuro".. -----. 'dan de ..:::.:. la contemplada en la generalidad de este capitulo 8. sin mencionar las intervenciones de las Agendas Reguladoras".'.. a la etc. 1:1'. ISO 27001.F:.raClOn d C agenC.[I • .1 .' exccsiva• prolifn..' .6 I1ERRAMIENT AS DE AUDITOR1A SEGUN SU UBICACION .1 Auditoria SITIC' Es la utilizacion y dellibro.Rlbas.:...5. aplicables )' una . t 8.de Landwcll Pricewaterhous ex. ctc... 8..:. . .2Y. 22~22~A~. Tanto mayores cuanto mayor y mas diversificada es la empress. normal.I .. 1 i Este apartado se propane tratar las herrarnientas de auditoria en funcion de su ubicaci6n 0 integracion mayor 0 menor en las aplicaciones 0 sistemas auditados. con mas .5.l1 '.:.::. coordinadas la SITIC 0 no (usualmente no) con Se dan frecuentes e importantes solapes de "albarda sobre albarda" entre Auditoria lnterna y Externa..2 Otras Auditorias. con IISegtln un estudio deJa OCD~. de .I consen tirni . :.:"'t\.R.. .! I i I mas presion rezulatoria del mundo.C. &.: visita". . • Iicgitimos.!. aparte de las intervcnciones de control de directives y supervisores.S::' L~ST~E~Jv~IA~S:...IllS que CLlI '.TE!:'C::.". ~ Q ItA ". Auditoria Operative. auditoria: detecci6n de fraudes.~D!:P.T~O~R~iA~D~E~i. erec I I I I tarjeta 10 e a TIC. CSA (Control Self Assesment) y circulos de calidad. Socio ..• . dedicadas a trafico de direcciones..:.ooners: "E=.. . "perfilado" de clientes.. ISO 14000.. p. .lf'.::O::. • cumptimicnto .IN. pero ajenos investigacion dcmoscopica. donde las herramientas de auditoria pasan a ser un todo con el malware. . "D J d .U~D~I~. . d.:.3 Otros usos Cab en otros usos: • Legitimos. 100. Auditoria SITIC. del "lado claro".___ _ __ ~:.'..I_ON_.!N~O~l~.1Ole £oop ers: ' irmen irnpll ._·.' -.. realizados por empresas aparentemente correctas. Aqui clasifico las herramientas en dos grandes categorias: . .O~G~A~A~S. La Vanguardia 20070726...::.' .5.

a ap IcaClon 0 SIstema.3. C. aplicac" Jon 0 . que he ido sefialando en apartados anteriores. ii) el muy importante peso relativo de las tareas administrativas en la totalidad de Ja carga de trabajo de Iaauditoria.~·.. se trata de dos polos.tr. HERJv\MIE'N' . existiendo muchos casos Unas y otras intentan responder positivamente a Ia cuestion de la productividad.9 '-. • exentas. y iii) sefialar el &. intermedios._Q~Jg(l en ~. 9. con elementos (fu n damenta mente arcJuvos de datos) de till .' SIstema.[~JO~S~S~I~22~J • ernbebidas. estan directa y cspecificamente disefiadas al servicio del auditor y la funcion de auditoria (con Ia obvia excepcion de las herramientas horizontales. .. . interactuando sincr6nicarnente .I?allegos 2004).@ §lCW ~Pl1£i!!tle. Naturaleza "ciclica" y "administrativa" del ciclo de vida de la ASlTiC Aunque. ~~~--------------~~~~~~~~~l~A~S~P~A~RA~L~A~A~U~D~I~TO~f~{j~A~D~E~'.I . . ofimaticas.{(2~~t. Vida .3 propene.periodica). La figura 8..wJllg. evidentementc.$ "t~JAA2. p 94.if" CAPfTUlO 8. sinopticamente.) Figura 8. que tambien suponen significativas ayudas a la productividad).V~lQ~~r 'CicIo de Q. de Vida' prop~esto en. ' 0 no." n- :I (lnSp!radO en el'ClclO.£!J£D£!9 de ru.l~{LcjJ~. como modules de una ( . I' " . una triple reflexion: i) la de la natumleza ciclica de la auditoria discreta (que esta mas clara cuando es adcmas.

s ".4." ..4.zar Automatizada Embebida Ambito Integrada Figura 8.3 puede concluirse que 'sc t ender' . que existe (debiera 111 cxistir) entre la Fase I Evaluaci6n d C . que "integren" las 1a b ores Esto pretendo esqucmat. que minimice solapes y lagunas de unas Y afras intervenciones." esta vra para mitigarlos. Paquetes en la figura 8..'. I.1 conscic asienar I·' In auditoriaa asumc f a resultar de la e a Iuacron dc ri . y. Prospectiva Auditoria SlTIC 2007 . Auditoria continua (0 muy frecuente). ' .nar \1 " . 11 f: ')' duci I' eel fl6 correccion y can e a aCI ite re ucir e nesgo. • integrales de auditoria administrativas Y las tecnicas.2017 l:t EI prcsupuesto a o d be Direccion $(.214 r\UDlTORiA DE TECNOLOGfi\$ Y SISTEMAS DI~ INFORMACION elevado acoplamiento Rlesgos Y a -ase . hacia un 050 creclenle de: a • • Auditoria integral. por 10 tanto. .~ seren Ie~de os nesgos que ue 'r " c rresgos. de lonna que Ia. de los rccursosque esta dispucsta a asig a .\.F'" J Presupuesos t " ~ De 13 reflexi6n conjunta sabre 13 figura 8. que acorte los ciclos dete '6 . .

.2.. 20071 p... 47. 0 bien que durante el hacking etico. simplcmente..~~~'~~.. ~ . "i··· .con ' ... .1. conlinllOU· s con t· ro I or morutonng ae I'rvr't"I·'S • When both continuous. es asegurar que (el creciente nurnero de) las transacciones en tiempo real se bencfician de monitorizacion y controles tambien en tiempo real 123 • La auditoria continua exrge serVlCIOS ell linea" Puede ser total 0 por muestreo.emision del infonne"o ser l11£lS continua.1.3).101 SIS erna prinCipal.. ~ III Monit iz '.~. t.l1almcn. cost and other considerations and the technical skills that would be fCqu\fC~ ttl. ·0· ..l.represclltan probablemente la mejor apuesta por la sostenibilidad presupuesto acotado)..:>.'.:..' _ "' _. Esta clasificacion (que --como otras en este capitulose soIapa 1! .2 AUDITORIA inevitablemente con otras muchas) importa particularmente forenses (vease 8.I'~A§_~.:. . 10 m iSOlO "'""Continuous aud iti ngshould be .1Herramientas embebidas Se trata... en este caso probablemcnte son mas de vigilancia/control interne).."". 47.C. IVI III onzacton conllnua y au rtona.: asslJrJIlCe can be established". .d wit~ such features: Howcver.6. ji j tecnicas bajo condiciones 8... -. ... 'V\. .". . !I l\ I'AHA LA AlJDITORiA ~~~~~ SI 225 DE LOS • '" 8.4..lpado en el proyecto (jcomo consultor.6.. normalmcnte por requerimiento de un ASITIC que ha p~rtlc. como en general hacen los GAS/CAAT (vease 8. . dejen algun tipo de traza.1 HERRAIVIIENTAS INTRUSIV AS Y NO INTRUSIVAS Intrllsivas (en e~ sentido de que insertan en el sistema algun servicio para generar logs..I~'~·N!...bhsl1 and operate lhesc tools tend to limit the usaue of embedded audit modules to specific fields and applications .__ ~__.". 2007].6..te de hcrramientas COl t . [eRM.r __ ~RA~:~~1~A_.6. cuando se pretendan CONTINUAJAUDITORIA EN LiNEA EI objetivo.. norr.. p..:NO .c1 1"11 • I' "11' t " 1S nile as a qUIrI( as -.4. continuous c ni . de la presion auditora (riesgo de auditoria acotado y 8.. ¥ - ~C=A~I~li·~ru~I~.~as he~r~ll!ien~~scmbebida~ . porque: "Most current commercial ~pplications coul~ be c~s~omi7. Puede abarcar el cicio completo "captura de informacion . en la captura y mas discreta en la periodificacion del In Sobrc todo construidas.. I'mua.O~S~I~U~~R~b~A'~.).__-'---... ••• • .. morntonng and auditing take.. ' di '..c.. .. y puede quedar "quemado" como auditorl) 0 par el buen hacer de los desarrolladorcs. [CRM.al tiempo que la ap IC?C. cst~. i / d " .independent of "on . por ejernplo.."'..~.place.i No intrusivas (se limitan a leer y reprocesar)..

esta en la rcdacci6n de las reglas de los filtros automaticos. 8. los SaBD (DBMS). . f automatizaci6n de la detecci6n. La auditoria continua es tendencialmente esfuerzos y tiernpo para hacerla realidad..orglcpajoumal/2003/0S031dcptJdO'::41'. como rnucho. s610 se producira. • .IAS DE INFORMACION ~-~~~~~~~~~~~~~~~~~--------------~c:~. el futuro. quedan muchos Quiero insistir en que parece evidente que -3 igualdad de otras circunstancias+. : :..C~' •.. informe -que sera ma~ frecuente qlI~ trimestral. las herramientas de consulta (query). p. 1:4 [eRM _0071.h tm.Asl. 47. una transmision pirata. real' ' ") Y) .tlca os .manos) altamcnte cualiticadosl . In IA (Inteligencia Artificial). • .el impacto de ciertas amenazas. Y IV) con minima estorbo al auditadol27• La mayor dificultad.26. lnforrnation .05. en la direccion correcta. y -fundamentalmentelos modulos embebidos (embedded audi: modules EAM). p. debe ser inversarnente proporcional al periodo de la "ventana" de detecciones..3 AUDITORiA DIFERIDA "COOPERATlVA" EI cjernplo que sigue (figura 8. I II herramientas de audilOria avanzadas y parametflCas.podria dernandar recursos y trabajo significativosl_~.cpa. Las condiciones de exira para una auditoriad continua son estrictas: i) alta ~.. .. Las t<~cnicasde auditoria continua recorren: el registro de transacciones.. si nos han instalado un spyware para transferir a las 00:00:00 ciertos ficheros. Srinivas: Continuous Auditing Through Leveraging Technolosn LV' In V olume 2. con filtros SOls. y -sabre todo-. las CAA T. III exec ente y agil inlerfaz 26 con los auditores (hu.6. AUOiTORIA DE TECNOLOaiAS Y SISTEf'.nyss.5) presenta un modelo actual.·03 . I .3 3. naturalmente..fJ [eRM 2007). Sarva.1. .nnas en tlempo. Use t~~hnology 10 actually audit as opposed 10 using technology to automate manual auditing procedures. si nuestro cicio de detcccicn-corrcccion es de 24 horas. 2 .. (jOjaUl todo fuera tan simple y facil !). Y un camblOde cullura para. ') i15htlp:llwww. el dalamining. 47. -r 0 I': . Sv'>lcms control. V er tarn bilen: ..:": . los datawarehouses. 10 .. al lapso (usualmente superior) entre detecci6n y analisis-accion..2006.qu~. las redes neuranales y el XBRL. periodicas 0 continuas.

. anoma as (par tmporte . quiero serialar que el "universe de transacciones" (1. .. d . Web envia ( ~ 1Iditad 0 In trans d " . qUlen tabula las respuestos y las .:. dUna aplicacion . I\S PARA LA AUDITOHiA 08 El ASlTIC.. ldenufican casas de desequilibrio.1anzan.:..sp.. . a ambos. los analizan y -si cumplen ciertas condicionesprogramadas-. agmentaclOn. empleand.RA:. e explicacion y un forrnulario (.~~~~~~~~~~~~~~!e~~~ LOS SI227 c.. de esos sub-universes de transacciones entre motores es In auromadzacion del arbitraje financiero..e -segun un "criteria" (tan .. automaticamente las ordenes correspandientes. Nonnalmente la actividad de estos . univer. a e aquellas qu . .i i . Un ejcmplo. - I ASITIC..5. LO H.es.ex.'~ . 10 que par la naturaleza y volumen de estas transacciones recabara cl usa de herramientas de auditoria mas eficacesy eficientes. mUSlin mente a to a por sospecha de frao . u. Ejemplode Auditoria Cooperativa / Al hi 10 de este ejernplo..:l_as~_ _J @I I . O . . AudItor .__ Ta_I:J_U_la_r"T"e. .respuesta..'..so de transacciones una muestr.:_M~A~. ( saccion ...:. ...oopcrativamente- retorna el fot al ! I t @ Selecciona. ' camp IcJo cuanto sc desce )_. Cada vez mas. I'· ..1:.__. por ejemplo). entre muchos.§:1lgo 0 muy dlterido I Figura 8.este proceso '. SOl . . Ita . ' 1 Plcsuntanlcnte 'I . . ~C=A~I~li~TU~~C!. con CAAT If CRlTER 10 una muestra de transacciones muestra Aplicacl6n Web (emile la transacci6n sele~clonada al auditado e incorpora 'mascara' (pelicl6n y cuesuonano) 1· "-. I . ~1Todo.. una CAAT . .El a. habra mas transacciones iniciadas y/o finalizadas por "motores". IIERRAMIFNT .uditado --{. .. ~uede~desencadenars~ -punto 4 en tiempo re~r w . . e acompariada de una ... en que los motores de las entidades financieras exploran los mercados.trae (en trempo real 0 diferido) del . SohCltu . xu 1~ el fo~mularJo cumplimentado S mcorpoi a a su informe. en la figura) -de forma crecienteno tendra dircctamente un humane en uno u otro extrema emisor 0 receptor. al '1 .

Risk and Compliance (GRC) puede incluido en esta cate goria of rna. - . sobre las que pueden hacerse "integraciones" de productos comerciales espccificos de auditoria. tras el cual entran ell reposo Y hay que rearmarlos ( resetearlos ) manualmente. con mucho. 8. . /'. and legal" 1. hay en el mercado 8.3. ". 8./ SlIpporl the compli . . . " ~I '1softw. . G()Vf~rI1CmCe. . omo todo 10 que yo incluyo en I~ 9. y ii) de herramientas espccificamente disenadas como de auditoria. f1s.1. . '.. ". -..1..comhl/contcnV49830()/498334/ r. estas herrami . s. .cnntrols automation at I . . consldcftl. f51.. ". ..2.6. . 51 bilen. " ..~29 Para Gartner. ..2 GRe de . .6.. .. . ranee management. .2.. eneral d Illite cmradas (capturas) propias• de los sistem as d e Vtgl ancla· 1"9 a "1 .1 Gro upwa re EI groupware son aplicaciones (0 suites) particularmente diseftadas para eI trabajo en cquipo (basadas.. 1 i1'~ ana 1 ys/s.'" ar 1. titea. l\'o In 0. . .6. . .8. .. GRC es una categorfa Ian am lia c .motorcs esta limitada.«''(1\ ". exentas (no embebidas) constituyen.pdl: p4. .. integraciones' para Auditoria ~I ejemplo mas ~onocido de groupware SITIC..JiJ1l:l11~ a . en g~ . se propane plantear principalmente: i) el amplio usa por los ASITTC (como por cualquier otro profesional -e incluso ciudadallo-.2.. process... en nuestro entorno) de herramienlas ofimaticas!" (figura 8.2). ooeratto . es Lotus Notes..gurtncr. de relntiva mayor extension.1 k' p.RAMIENTAS HORIZONT ALES (OFIMATICA) ofimaticas Mcrece especial atencion el groupware. en un SGBD y una aplicacion de workflow). Las herrarnientas conjunto de herramientas 9.. ."_ . tareas frccucntcmcnte rcpctitivas.2. I vrt' hIlpJ/www.are 128 EI umplio empleo en la aud ltoriade..'-ona nss management. . .. entas otlmaticas se justifica por razones de produCIJ\ldad en .... 1. fundamental mente. por diseiio prudente.' . ' .6. .. . . Todas las herrarnientas se usan ampliamente par los auditores. a un ~ierto n~nn~:ode transaccioncs..._research.8.II mOmlarlllg •. audit maflt..1HER. Software ojJeril1<'s in the GRC /1..6...! parcialmente .2 I-Ierramientas exentas Esta seccion.lf!_!:"""II.1.6). el mas usado por ahora por los ASITIC (ver seccion 8.

Su plataforma R VR admite cualquier coleccion de marcos.protiviti.. 8. Empresa de GRC..com/ • Paisley..6. Actualrnente Gesia 2000. a mas especializacias. Consultores de gestion de riesgos.. pueden serlo mas de Las ..2 VKRTICALES Qesti6n ::>=-0 lIERRAMlENTAS vcrticales. Quiza si seftalar la nnportancia que las grandes finnas de auditoria han concedido a sudesarrolloy uso]. Protiviti Inc. . Las mas tecmcas consisten fundamentalmente en las GAS (8. Software de curnplimiento de seguridad (gestion de politicas y cumplimiento..9.audinfor. Algunos Ejcmplos de Productos y Audinfor -el decano producto www.paisley http://www...com! espartol-s-.8.Entre Internal Audit Workflow Technology. . • Sistemas Expertos (SE e IA) [demasiado ~llmeroso~ y disperses para dar aqut mas detalles.de gestion se in~linan hacia las horizontales v el groUpl1>'are ya tratados. '" :. : .. : : ~: "'l . Su producto Auto Audit" es una conocida herramienia vertical de gestion. • BindView. :":. ..2.rvrsystems. ~ '. gestion de directories y accesos). sus tccnologias: • • RVR Systems..4) aunque caben otras (como SAS y SPSS) no especificas de Auditorin SITIC. " '. ..9). rendimiento operativo y gobernanza TIC. estandares y normativas internas y soporta nativamente COSOy ComT.2.'':'. Se declaran especialistas en cumplimiento.cant! http://www.com/portaVsite/pro-us/· http://www.6.he~aI~ientas mas tecnicas.. ".. Se define como una empresa de GRC. gesti6n del riesgo. Adquirida en 2005 por Symantec. gestion de vulnerabilidades y configuracion. ~ " ~ ~.2. Las m<ls...3 I-IERRAlVllENTAS VERTICALES DE GESTION Emprcsas par tipos: o Unos ejemplos (ver tarnbien 8'.6." .

=.comlindex. por 10 que suelen ser invariantes de \05 programas y mas objetivas en cuanto a los datos (que en general es \0 que importa.. de gestion de papeles www.:. a la selecclOnd Ill) ".cascwilre-ldcil. 8.._1_A_C_IO_· N________ 2~O~A~'~1~)l~T~O~R~i..\VW. siendo CAAT e\ mas usado. Son herramientas especializadas (verticales.com/teammate/ de trabajo de Trip\vire..\~1!!. panopiia de tecnicas amisables de analisis. En la practica.que van desde.:::E:.4 HERRA1V[IENT AS VERTICALES TECNICAS Las herramientas verticales tecnicas que voy a referenciar otras mas genericas. buen ejemplo de un niche de especializaci6n-. son las GAS y Las herramientas GAS (Generalized Audit Software) 0 CAAT (Computer Assisted Audit Tools) se aplican para gestionar las CAATT (Computer Assisted Audit Tools and Techniques).\.O~G~Ji~A~S~Y~' S~I::.<c I ..:'l~A. ". Audit Command Language (ACL) hltp'/l. Se declaran tideres en auditoria y control de configuration http://www. deteccion .)T!:. IDEA y ACL se reparten el mercado profesional de los ASITlC.cOIn . Una _gran. . I:> '"..tripwire. Ambas tienen funcionalidades similares. hltp...M' • Dato [..nc13e (repeticiones 0 \agunas de nurneros de factura.:. creando "campos logicos".. ocasiona\mente integradas en suites).SIS (1DEA)... (Esto facihta recalculos de comprobaci6n). en primer Iugar).I/\\.2.13 s de co mer d enC13S (d e una cadena) a comprobacion 0 e de secu.X"~ .pwc... que pueden resumirse en capacidad de: • hnportaci6n de datos (no inrrusiva) de archivos en una gran variedad de soportes y codificados segun una gran variedad de estandares.:' ~ ~RA • o TeamMate.. ~T~EC~·N~'O~l~. opcion d~ que 1a extraccion sea cornpleta de muy diversas pautas de muestreo. mID '".::I~:iv...6..FO-=-RJ\.\I.cfm · ..ac ..::S. los tres terrninos se usan como sinonimos.I~N..ST. Cliul} slid :.:::D:. resultado de aplicar una fOnn~la (hP? "Excel") a los campos originalmente importados.aspx'lbhcp= I Interactive Ana ). Las mas conocidas son ACL e IDEA 130 -ambas canadienses. .. pero ap1icables a Auditorias SITIC.e. 0 siga autOlmiticamente una • c~\cuto. I'" ~' . por ejemplo). Herramienta PricewaterhouseCoope.rs.:. En general atacan a los archivos de datos y no a los programas de aplicacion. .co clauil.

.. Tambien merecen cirarse. de todo el SW forense. menor carga de .Ways Software Technology AG. una vez mas. f? nicos) que ACL. Otras herramientas (no especificas de auditoria. para la tecnologia forense: EnCase. pero de solida tradicion) son SAS y SPSS. p. os (con una gran diversidad de criterios y algoritmos). de la auditorial32.aspx.l3l.. Inc.. con potencia y productividad no tan alejadas de las de lasherramientas GAS.D La naturaleza recurrente. • II . merece dejarse constancia testimonial del concepto BEAST (Beneficial Electronic Audit Support Tools). !" "'Gallegos. como generalizacion de las CAAT.: http://W\V\v. ~ d ~ dI ' Ley de Benfor • pasanco par to os os estadisticos tradicionales. ntado a usuanos con mayor mve ue COnOClITIlCntos tecnicos.UlclO . .7 HE·RRA~IIENTAS DE AUDITORlA SEG(rN SU PRODUCTIVIDA. figura 8. incluyendo numerosas reglS. es cuesti6n de la capacitacion de los ASITIC. . 20041.3) aconsejan cautela en la evaluacion de herramientas IItecnicas" no integradas 0 facilme). y X.". generalmente ciclica (todavia).CAPiTULO 8. La palabra clave. esta mas basado en comandos y tee .x~ways. y el peso relativo de las labores adrninistrativas y de gestion (no rneramente "tecnicas''. http://www.comfcorporatc/iu?ex. que revela Sll DOS subyacente. .guidancesoftware. de Ia IDEA parece mas modemo y productivo (menos "clics".~ .. d . Resefia aparte (par su dificil clasificacion) http://www.netJforens]cs/ . .94. De Guidance Software.. 2005}. mas intuitive y orientado a usuaries finales no . III ICo<lcrrc. one . 8. con el que se pueden realizar parte de las tareas CAATT. es "pro ucnvida .teintegrahles en "paquetes de gestion": \ . rrn3cion para el usuario final.' id d" .lJnes para perfilar datos 0 detectar elementos inusuales incluso la aplicacion Ii. Se trata de Software estadistico y estadistico-sociologico. quiza el S\V mas conocido.approva. merece Approva Corporation: Pinalmente.. muy potente...l-IERRAMIENT'ASPAR/\ ~ LA AUDlTORiA DE LOS SI2Jl .net!company .. .

08.07 08. • 1. a 24J06/2007 Tabla 8. ~:" -. 09 Y 10 -' S6 Realizacion de Labores de Auditoria . ' . b I .3 recogc La Information Systems Audit and Control Association '131 fIAt. de .. sujicientes y efectivamente asignado» .1.3.. Normas y Directrices de lSACA deInteres Auditoria" para "Herramientas de -ISACA-ha generado normas y directrices de particular autoridad. 20041..2. los . .1. Sistemas dclnformacwn) Titulo C6digo Puntas concrcto.IJJ . i I I G8 Docurnentacion de la Auditoria Muestreo en Auditoria Actividadcs de Seguimiento GIG todo 2.' .. a partir de Norrnas y Directrices publicadas por ISACA en su portal. ie "El director eJecu "Iva UI audttorio debe asegurar que los' recursn. . . I Rcporte Actividades de Seguimiento (JSAG) (Directrices 03.09 IS Auditing Guidelines Codigo G3 de Audltoria) Titulo Usc deCAAT ..par(i auditor/a interna sean aaecuac.6 Y 4. 05! 07.2.' .2 I 035 I Fuente: claboracion propia. Puntas concretes todo todo I . for. IS A U( litiIIIU (SISA)'.3. COil el plan apro ac o 'e.3. 7: Norma 2030 Admi nislrad6n de Recursos.~ 04. (Norrnas Generales I h. p. .2. No puedo aqui presentar "in extenso" su tratamiento de las "Hcrramientas de Auditorla": la tabla 8. para III Auditoria de~ Standards . S7 58 . cumplir ...

. Par tanto una c. Me limito a sefialar alguna fuente de herramientas gratuitas.. ". DE AUDITORiA 0 SEGUN SU ·registros. http://www.'. ol'g/espal1a/an{ipiracy/Free-Softwal'e~Audit- 8.". . HERRAMIENTAS PARA LAAUDrI'ORiA DB LOSSI23l ~ .I' s en http://www. ." .9. y a veces se considera necesaria. .: .: .. 8. alcance cobertura de casos.. t'catnente las principales referencias .atalogaci6n no tend ria cabida aqui. .6. elm 11. es deseable una gran (incluso total) cobertura coste-cficaz.3 IDEA Interactive Data Extraction and Analysis. 8. Claramente.9 ALGUNOS EJEMPLOS DE PRODUCTOS EMPRESAS POR TIPOS Hay una multiplicidad Y de empresas y de productos.1Herramientas gratuitas Tools..1. Hay empresas can diversos productos de diverse tipo. Conseguirla depende de una habil combinaci6ri de herramientas embebidas y GAS/CAAT.Y unos pocos ejempJos destacados de herramientas para TCPIJP. . y 8. (Ver tarnbien Tabla 8. tP://lVWW.com/DefauIt. . sII10P I pub ICO a nuestro tema.. bSQ.: ~ 8.3). Herramientasde hacking.2 ACL Audit Command Language.2. '. Me renero aqui al ambito.archivos. tornadas de docUlllentos .CAPiTULO 8.' .".8 I1ERRAMIENTAS COBE'RTURA etc. 8.~" .: :> ~':1: . .9. h.acl.or· g/ . .lsaca.9. Hay una infinidad de productos. ._ ". . las CAAT de referencia -ACL e IDEA-.i. los dos gigantes incontestables -Symantec Y Computer Associates.aspx?bhcp= 1 .

como es logico. Esa evoluci6n depende fundamental mente de i) las nuevas demandas y objetivos (por ejemplo de "cumplimiento").org/ .darknet. i'llittp:l/www.9.ncSSU$. gestores. responsables de auditorfa y auditores.9.10 CONCLUSIONES La Auditoria SITIC esta.symantec.9. Nmap.com 8.http://www. y sobre todo de ii) la disponibilidad de herramientas y tecnicas que permitan: a) hacer ciertas pruebas.s)'mantcc. Contemplar las herramientas y tecnicas. pof Security Check Wireshark.jsp 8. Nikto. Nessus. economistas. y d) con mayor productividad. c) con rnenor riesgo/error. en evolucion constante. sin hacerlo desde Ia perspectiva de SLI productividad.com/enterprise/index.ukl2006J04/top-15-sccurityhackins"lools~1I1ililics/ hltp:llmnap-onlinC'.coml hllp:llwww. pcnnywhere.5 Computer Associates http://ca.eornlcntcrprisclindex. b) con mayor cobertura.caseware-idea.4 Symantec http://\V\vw.org. Yersinia son otros ejemplos de los -literalmentemiles d~ herramientas localizables en Internet -tanto en el "lado claro" como en el"lado oscuro .ww.com/us/products/ 8. puede ser propio de tecn61ogos 0 de historiadores. pero seria un error impcrdonable en empresarios._134 8..jsp hllp:l!\\.60tras John the Rippel'.

Asislida Mayor participacionde profesionalcs con expericncia.Dimension Problema Tccnologh\ . Aqui (y tambicn en todo 10 demas). Auditorta de Cucntas.Tecnlea EAO: Enscitanza Lent.por falta de cultura y reflcxion. Discreto-Continuo EI enfoque discrete (puntnal 0 .2). Mas tcleauditorla. ignorancia e incultura e instalar sistemas' de Auditoria lntegrada (figura 8. Auditoria ISO 9001: 2000. menores seran sus castes. Hay frecucntes c irnportantes solapes de "albarda sabre albarda" entre Auditoria lnterna y Externa. Auditoria SITIe. Se debe partir del. antes que aplicar las tecnicas habria que aplicar cl sentidocomun. Lagunas y Solapes Mas auoiforiaernbebida. MaS groupware. ISO 14000. periodificado) es lin atavismo que arrastrarnos par Ialta de recursos. continua. aparte de las intervcnciones de control de directives y supervisores.AspcdO . ISO 27001.a.lugar. Disponibilidad Escasa en h~mlillos absotutos (n° de ASITIC) y relatives: ticrnpo. sesgada mllchas veces. sin mencionar a lasAgencias Rcguladoras. CSA (Control Self Asscsment) y circulos de calidad. Auditorla Operativa. Compensar los deficits con aplicaciones de lAo . ~eficitaria (cuantitativa y cuaht<ltlvamente). habilidades.riesgo apreciado y ta coberrura deseadadesestructurar todas las capas debidas a intercses. Menos viajes. expcriencia y -sobre toclo. . Cuanto antes se detecte unproblema. automatica. Mbs auditorla embebida y automatica. en ticmpo real. par ordcnador.

relativamente caro.... hucer nn h)sn Imi. . 110 limllatla!l a mucslrus sino cxtcnrlidus nl univcrso.!. ~ -. '. i--C-o-b-crt-u-ra-. y cnben diversas estratcgias.~ i y mas ccncrctamentz c! h : auditoria cmbebida ~ automatica. I I Expcrtos iut . con plazos de· capacitacion significativos.-. I.-u-~-'d-".Adminlstrativo Pruhterun Por ~lfuern poco cl problcma de cscascz de ASITIC cualificudos.h_ I----------~-I------·--.. Algunos tendencias Los auditores son un recurso escaso.... Tabla 8. . I~qllipo'l jlrf)\6fltcn~ClII1I<¥S habillilfl(lc....~. si cabe.""" muy dependientcs de las lrcrramientas disponibles.:rtnr cntrcv l'ilil'~. It:. en [ugar de t:.> ~. se vcn COf7atiu" II dcdicar III mnyotia dc su llc111PO ilill n tmhuj\l" ndlllini'lirutiv{)" (pln!HnC.ic~J.. gt''}! iollllf vlnlcs).trtlS Las CAAT pueden hacer viable/rentable s610 muestras. -----_ Prucbas sustantivn I t:1Y 1111 clamor ere iientc.. ! tener mils cobertura y granularidad.-.rnaclonnlcs en quicnes conflo munifiestun su pasrno por cl d~ncil en E~paj'\:l de pruebas sustantivas y cuant ital ivas. Ia.-e-fi·~-. .n y hl'lltcmHi1icl1f~r. Todo ella se amplifica. hcrramieneas dl:. . Aumentar su disponibilidad y productividad es un reto importnnte. comirnsa.---~---..it\lIl ulcncn. c. '-. ticmpo real y de Ill:... !.-e-n-n-m-c--h·-o-s-c-as-o-s-... para los ASITIC. III chivnr papele" Ill! Iruhajo.-. Tambien pucden permitir ln automutizncion de muches rutinarias.Dimcnslcn Trabajo..1TnI:nlc lie la • iludilnri:fl cmlY:htd:i.236 AUDtTORlA DJ:I ECNOLOG!AS Y S1STtElV1AS DE INFORMi\('ION Aspecto .' . (Ilgunl\. Maynry m1.:y&..G-r-a-n-u-ta-ri-d-ad--+-L-as-p-n-Ic-b-as-.'IH1U. _..4. .~-.. el acceso a universes. 10th concn:I.nntmr:a.1~-'1 di~pC1'llhk. tiernpo real y de las CJ\ATT.h.: que la autentica Iuerza reside en la cultura establccidas por la aha direccion).:--l ("7lcCh-e-n--+-rv-r=-a-y-or-y-"-ma. p Los factores crlticos son unos pecos. (Sin caer en cl error d('".:t. y pollticas de la organlltlCll).~ .vu":.gn~. con cl consiguientc aumcnto de 1<1 roductividud del ASITIC.fir_... rcqtltrJd..~. . CA!\ Tf'. et't nIHOITl1Jt. en dcmanda de prucbus $1I'-fllllliva'i.

nnportdntes (pese a su gran IV'ease ta a S.. .esquema de este capitulo' .. pp.:.:O~':::. '" ' . Normas Generales para la Auditorla de los Sistemas de Informacion. ~~ficit 0 sesgo que el lector pueda encontrar es susceptible '..L. Ekaros Analytical Inc.. manzacion 0 debate (privado 0 publico) . 2005. 8. . 36:37.. agra ecrrmento y publico recol1ocnniento. .. .Ricardo ._UL::. " d' " as dispersion. ' emas criticas. David G. decimi . hay Gallegos..Todo error.__ 'D~:-:.::.cfm?Section=Standards&Template=/ContentMana gementiContentDisplay. ..:'-.::..'. sbla 8.cfm&ContentID=19227' Coderre 2005: Coderre.Javier Moreno han revisado enltircamente y'I lee h 0 . . 1)1 manuel@palao.41 version espanola.. http://www. To0 ls and Techniques. _------C-AJ.. es e 0.isaca.25:48 de la version inglesa.. or." . 2007.:H~E~Rl~{A~M~I~EN~"·~r.:. .coni ..12 REFERENCIAS 8.'~" Por scfialar algunos aspectos y tcndenci f' . http. CAATT and Other BEASTfor Auditors.-. refercncias y revtsiones de estilo al ultimo borrad ' . ISACA.4). y -sobre todo.: " . ' '.. . . ' comumcaClon .12.1 Lecturas recomendadas elSA Review Manual (CIUv12007) En particular. 2004: Gallegos. En particular: Chapter 4: Auditing Information Technology Using Computer-Assisted Audit.z/www. Frederick et al: Information Technology Control and Audit. 3rd edition. ISACA.~ .I' Bria y . yapreciare Sll .l. han con t' nib Ulida a dema con . aportaclOnes va iosas a mi . 8.'. .:.IA:. cultllras) . " \ . parses .._:'}i:. en uncion e empresas. ':' ': .C . 2nd Edition. y 0 mamfiesto aqui..d b t .Isaca.8 . 2004..de I)) c:orrecclOn.orgffemplate. 33:35. . Auerbach. .. exageracion. " .org/ .11 AGRADE'CIMIENTOS .A~S0:P~A~RA~1 {IA I" DE LOS SI2J7 A~A~£')I~'r'2~"·~''~Q' ~'~"~ k..

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->