Está en la página 1de 6

1. Las auditorias pueden ser asistidas por programas computacionales.

Es decir en algunos puntos de la auditoria es necesario hacer uso de este tipo de tcnicas para facilitar el trabajo del auditor y para poder realizar actividades de manera ms efectiva y eficiente.

Para cumplir con esta actividad debers elaborar un documento en Word en donde hables sobre estas tcnicas de auditora asistidas por computadoras. El documento deber contener como mnimo los siguientes puntos:

1. 2. 3. 4.

Definicin del concepto de CAATs Define mnimo 2 tcnicas de auditora asistidas por computadora. Menciona las ventajas de su uso en trminos generales. Incluye una conclusin personal sobre dichas tcnicas

1. Definicin del concepto de CAATs (tcnicas de auditoria asistidas por computadoras). CONCEPTO: Las TAACs son un conjunto de tcnicas y herramientas utilizados en el desarrollo de las auditorias informticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los anlisis efectuados por el auditor, a los sistemas y los datos de la entidad auditada. Incluyen mtodos y procedimientos empleados por el auditor para efectuar su trabajo y que pueden ser administrativos, analticos, informticos, entre otros; y, los cuales, son de suma importancia para el auditor informtico cuando este realiza una auditora.

APLICACIN Las TAAC's pueden ser usadas en: Pruebas de detalles de transacciones y balances (Reclculos de intereses, extraccin de ventas por encima de cierto valor, etc.). Procedimientos analticos: fluctuaciones significativas. por ejemplo identificacin de inconsistencias o

Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparacin de cdigos y versiones. Programas de muestreo para extractar datos. Pruebas de control en aplicaciones.

2. Define mnimo 2 tcnicas de auditoria asistidas por computadora. 1. TCNICAS ADMINISTRATIVAS: Permiten al auditor establecer el alcance de la revisin, definir las reas de inters y la metodologa a seguir para la ejecucin del examen. Seleccin de reas de auditoria: Mediante esta tcnica, el auditor establecer las aplicaciones crticas o mdulos especficos dentro de dichas aplicaciones que necesitan ser revisadas peridicamente, que permitan obtener informacin relevante respecto a las operaciones normales del negocio. Modelaje: Esta tcnica es muy similar a la tcnica de seleccin de reas de auditoria, cuya diferencia radica en los objetivos y criterios de seleccin de las reas de inters. Sistema de puntajes: A travs de esta tcnica el auditor selecciona las aplicaciones crticas de la organizacin de acuerdo a un anlisis de los riesgos asociados a dichas aplicaciones y que estn directamente relacionados con la naturaleza del negocio mediante asignarle a cada riesgo un puntaje de ocurrencia. Software de auditoria multisitio: Se basa sobre el mismo concepto de los sistemas distribuidos, en el que una organizacin con varias sucursales u oficinas remotas. Centros de competencia: Consiste en centralizar la informacin que va a ser examinada por el auditor, a travs de la designacin de un lugar especfico que recibir los datos provenientes de todas las sucursales.

2. TCNICAS PARA EVALUAR LOS CONTROLES DE APLICACIONES DE PRODUCCIN:

Se orientan bsicamente a verificar clculos en aplicaciones complejas, comprobar la exactitud del procesamiento en forma global

Mtodo de datos de prueba: Consiste en la elaboracin de un conjunto de riesgos que sean representativos de una o varias transacciones que son realizadas por la aplicacin que va a ser examinada. Facilidad de prueba integrada (ITF): Similar a la de datos de prueba, con la diferencia de que en esta se trabajan con datos reales y ficticios. Simulacin paralela: Esta es una tcnica en la que el auditor elabora, a travs de lenguajes de programacin o programas utilitarios avanzados, una aplicacin similar a la que va a ser auditada

3. Menciona las ventajas de su uso en trminos generales

Incrementan el alcance y calidad de los muestreos, verificando un gran nmero de elementos. se puede ver como los recursos han sido utilizados y detectar parmetros de uso o desviaciones en cuanto a los procedimientos y polticas de la empresa. Recuperar informacin ante incidentes de seguridad, deteccin de comportamiento inusual, informacin para resolver problemas, evidencia legal. Es de gran ayuda en las tareas de cmputo forense. Incrementan la confiabilidad y calidad permitiendo realizar pruebas que no pueden efectuarse manualmente. Brindan al auditor autonoma e independencia de trabajo. Elevan la calidad y fiabilidad de las verificaciones a realizar. Reducen el periodo de prueba y procedimientos de muestreos a un menor costo. Disminucin considerable del riesgo de no-deteccin de los problemas. Posibilidad de que los auditores actuantes puedan centrar su atencin en aquellos indicadores que muestren saldos inusuales o variaciones.

CONCLUSIN

El uso de las TAACs proporciona un medio para mejorar el grado de anlisis de la informacin, a fin de cubrir los objetivos de las revisiones de auditora, y reportar los hallazgos con relevancia en el nivel de confiabilidad de los registros generados y mantenidos en sistemas computadorizados. Las TAACs pueden tambin ser utilizadas para probar la efectividad de los controles. Asimismo, las TAACs pueden ser utilizadas en pruebas orientadas a la deteccin de fraudes. Por tanto, cuando se desarrolla el plan de auditora, se pueden tomar en cuenta la aplicacin de pruebas TAACs. Las TAACs manejan varias tcnicas para el proceso de anlisis de programas de software, los cuales son esenciales para el auditor mientras realiza su trabajo de auditora en la empresa, entre dichas tcnicas podemos mencionar. El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrnico y debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la informacin necesaria para auditar.

Actividad No 2 - Robo/Destruccin de informacin Descripcin de la actividad Los riesgos a los cuales se encuentra expuesta la informacin son enormes, es por eso que las empresas deben estar al tanto de la proteccin que deben tener para sus recursos computacionales tanto de hardware como de software. Muchas empresas han pasado por malos momentos al ocurrir alguna catstrofe o incidente que ha afectado sus recursos computacionales y debido a no tener una previsin adecuada esto a repercutido hasta en la existencia de la empresa. Para cumplir con esta actividad debers realizar una bsqueda en Internet o en alguna otra revista sobre el caso de una empresa que haya sufrido dao o robo de su 3. ESTRUCTURACION DIDACTICA DE LAS ACTIVIDADES DE APRENDIZAJE Gua de Aprendizaje Entregar un documento en Word que incluya los siguientes puntos:

1. Introduccin El caso Sony PSN. El 20 de Abril la red de entretenimientos on-line de Sony, que incluye la posibilidad de jugar juegos on-line, ver pelculas, programas de TV y contenidos exclusivos sali de lnea y entr en modo de mantenimiento. El 26 de Abril Sony hizo pblico que informacin personal de sus 78 millones de usuarios

fue extrada de sus servidores, convirtindose as en uno de los robos de informacin personal ms grande de la historia superando al incidente de Epsilon. Dentro de la informacin extrada, se encontraba: Nombre completo, direccin completa (ciudad, estado/provincia, cdigo postal y pas), direccin de e-mail, fecha de nacimiento, usuario y contrasea de ingreso a la red PSN y nmeros de tarjetas de crdito. 2. Nombre de la empresa: Sony PSN 3. Acontecimiento no previsto (Razn de la prdida: Robo de Informacin, Controles no implementados) 4. Fecha y lugar del incidente: 20/04/2011 Estados Unidos 5. Medidas de proteccin con las que contaba la empresa Firewall IPS 6. Medidas de proteccin que debera haber tenido DLP (Data Loss Prevention) Controles de claves seguras en servidores Lista de Accesos Medidas de Contingencias Ambiente de Pruebas Controles de Anlisis de vulnerabilidades 7. Consecuencias del evento: Dentro de la informacin extrada, se encontraba: Nombre completo, direccin completa (ciudad, estado/provincia, cdigo postal y pas), direccin de e-mail, fecha de nacimiento, usuario y contrasea de ingreso a la red PSN y nmeros de tarjetas de crdito. 8. Otros datos interesantes encontrados: Los datos obtenidos tanto de Sony podran utilizarse por los atacantes para intentar acceder a aplicaciones on-line, como ser e-bay, gmail, amazon, paypal, etc. Por qu? Dado que la mayora de las personas utiliza el mismo e-mail y hasta la misma contrasea como credenciales de acceso a todas las aplicaciones on-line que utiliza, los atacantes pueden intentar acceder a dichas aplicaciones hasta lograrlo. Incluso, con la informacin extrada les sera ms fcil adivinar una contrasea. 9. Debers incluir en tu documento la liga a la pgina de Internet en donde encontraste el artculo o el texto del artculo. http://www.identidadrobada.com/fuga-de-informacion-epsilon-y-sony-psn-un-casode-estudio/

10. Conclusiones La alta gerencia es responsable de conocer todos los riesgos que podran llegar a afectar la misin de la Compaa. Esto implica detectar aquellos que puedan causar la prdida de confidencialidad, integridad y disponibilidad de la informacin y/o los sistemas que sta posee para brindar sus servicios. La Compaa debe realizar un anlisis de riesgos exhaustivo para determinar los mismos, cuantificarlos y priorizarlos. Esto se conoce como Due Diligence . Una vez que la gerencia conoce todos los riesgos que pueden afectar la misin de la Compaa, deben implementar medidas para mitigar los mismos. Esto se conoce como Due Care. Si no toman estas medidas, en el caso de un ataque (como ser el que le sucedi a Sony) podran llegar a ser encontrados como negligentes por no haber tomado todos los recaudos necesarios para prevenir el mismo. 11. Fuentes Bibliogrficas http://www.identidadrobada.com/fuga-de-informacion-epsilon-y-sony-psn-un-casode-estudio/ http://www.redseguridad.com/opinion/articulos/fuga-de-informacion-la-mayoramenaza-para-la-reputacion-corporativa